Er man et uskyldigt offer, eller er man selv ude om det, hvis man bliver ramt af et hackerangreb?
Der er ikke en entydigt svar på det spørgsmål, men generelt hælder flere og flere af os til, at en virksomhed, der bliver lagt ned af et cyberangreb, ofte bærer en del af skylden selv.
Det fortæller Jacob Herbst, der er teknisk chef og partner i it-sikkerhedsvirksomheden Dubex.
- Jeg har en fornemmelse af, at der er ved at ske et holdningsskifte til de virksomheder, der bliver ramt, siger han og fortsætter:
- For fire-fem år siden var der en opfattelse af, at det var rigtig synd for virksomhederne, som blev angrebet, og at de sådan set var uskyldige ofre, fordi det kunne ramme alle og enhver.
- I dag fornemmer jeg, at man er mere kritisk over for de ramte virksomheder. For havde de rent faktisk gjort nok for at sikre sig? Der er en forventning om, at man som virksomhed kan håndtere at blive angrebet – og det bliver sværere og sværere at undskylde sig med, at man bare er et tilfældigt offer, særligt hvis angrebet er banalt og i øvrigt bliver håndteret dårligt.
Trusselsbilledets to kasser
Når man taler om it-sikkerhed i Danmark, kan man ikke rigtig komme udenom Jacob Herbst.
Han er et koryfæ i branchen, og han var med til at stifte Dubex tilbage i 1997.
I dag sidder Jacob Herbst i det nationale cybersikkerhedsråd, han er forperson i IT-Branchens policyboard for cybersikkerhed, og han er med i DAU’s bestyrelse, hvor han varetager netværket for it-sikkerhed i industrien.
Helt overordnet kan man dele trusselsbilledet op i to store kasser – det kriminelle og det geopolitiske.
Jacob Herbst har altså fingrene godt og grundigt nede i cyber-miljøet – og han er derfor også den helt rette mand til at give os et overblik over trusselsbilledet netop nu.
- Helt overordnet kan man dele trusselsbilledet op i to store kasser – det kriminelle og det geopolitiske, starter Jacob Herbst.
Og så har vi efterhånden også en ret stor gråzone mellem de to ting.
Svindel er nummer ét
Hvis vi starter med den kriminelle kasse, handler det rigtig meget om alle mulige former for svindel. Det kan være falske butikker, kærlighedssvindel eller klassisk CEO-fraud, hvor hackerne forsøger at få Jytte i bogholderiet til at betale en regning, imens chefen er på ferie.
- Og det er blevet meget mere avanceret i dag, så hackerne typisk bryder ind i mailsystemet og forfalsker tingene, siger Jacob Herbst.
Hele svindel-delen er den gren, hvor de kriminelle tjener flest penge, fortæller Dubex-chefen, og han understreger, at det både rammer virksomheder og private ofre.
- Den største udfordring for virksomhederne er digital gidseltagning, altså ransomware, hvor hackerne bryder ind, låser data og derefter afpresser virksomhederne til at betale en løsesum for dataen.
Den reaktionstid, du har til at opdage og stoppe angrebet, er blevet væsentligt mindre.
Ransomware har været en udfordring i mange år, men hastigheden er skræmmende i dag, påpeger Jacob Herbst.
- I gamle dage var det ofte sådan, at der sagtens kunne gå flere dage, fra de kriminelle brød ind, til at de begyndte at kryptere data. I dag går der typisk ganske få timer, siger han og fortsætter:
- Så den reaktionstid, du har til at opdage og stoppe angrebet, er blevet væsentligt mindre.
Hvad skal myndigheder og virksomheder gøre for at sikre sig en god it-sikkerhed? Jacob Herbst kommer her med sine fem vigtigste anbefalinger.
1. Passwords
Vi ser gang på gang, at dårlige passwords er de kriminelles vej ind. Så sørg for som minimum at have to-faktor-godkendelse på de vigtige cloudservices og alle de steder, hvor man kan komme eksternt ind i systemerne. Det er nok det allervigtigste sted at starte.
2. Se på dig selv udefra
Prøv at træde et skridt baglæns og se på dig selv, som en angriber vil se dig. Lidt på samme måde, som hvis man tager en tur rundt om huset derhjemme for at tjekke, om vinduer og døre er lukkede, og om der er nogen mørke kælderskakter, hvor man kan gemme sig, hvis man vil brække et vindue op. Gør det samme med din it-infrastruktur. Kig på den udefra og få en vurdering af, hvilke ting en angriber vil få øje på, når de kigger på din virksomhed.
3. Opdater dine programmer
Sørg for at opdatere dine systemer og programmer. Vi kan se, at de kriminelle er lynhurtige til at udnytte det, hver eneste gang der kommer en ny sårbarhed. Hackerne er lynhurtige til at automatisere deres angreb, så hvis du har et eller andet, der er sårbart, så vil det blive udnyttet – særligt hvis det er noget, man kan nå fra internettet. Så sørg nu for at opdatere – og få det gjort i en fart.
4. Backup
Sørg for at have en backup og at passe godt på den. Hvis nogen kommer ind og får ødelagt det hele, så vil din backup være din eneste livline i sidste ende.
5. Lav en plan
Sørg for at have en plan for, hvad du gør, hvis det går galt. En beredskabsplan behøver ikke at være superbesværlig, men du skal have tænkt igennem, hvad du gør, hvis du pludselig står midt i et angreb, så du har en idé om, hvilken retning du skal gå i.
De kriminelle grupper
Den cyberkriminalitet, både virksomheder og private i dag bliver ramt af, kommer i øvrigt fra mange forskellige kanter.
Det er en superglobaliseret branche, som Jacob Herbst udtrykker det, men alligevel kan man godt dele kloden groft op i svindelformer.
- De russiske cyberkriminelle laver rigtig meget ransomware og afpresning, hvor det i Fjernøsten ofte handler om crypto, cryptomining og sådan nogle ting. Og når vi snakker om kærlighedssvindel, foregår meget af det i Afrika.
- Så ja, de er simpelthen specialiserede i de forskellige geografiske områder.
Fire lande i fokus
Lad os gå videre til den anden kasse i det samlede trusselsbillede – altså det geopolitiske.
Her handler det typisk om, at stater på den ene eller anden måde bruger cyberangreb til at påvirke borgere, stjæle information fra andre lande eller på anden vis forstyrre samfundsordenen med hackerangreb som våben.
I det geopolitiske trusselsbillede er der ifølge Jacob Herbst fire lande, der er særligt interessante at fokusere på.
Ukraine-krig sætter spor
De geopolitiske spændinger, når det gælder cyber-området, er blevet større, siden Rusland invaderede Ukraine, mener Jacob Herbst. Og det betyder også, at gråzonen mellem de kriminelle og angreb fra stater bliver støtte.
- Vi har for eksempel set, at hvis Danmark melder ud, at vi vil støtte Ukraine noget mere, så kommer der også flere store DDoS-angreb mod danske websites.
- Min vurdering er, at russerne skubber de kriminelle foran sig og bruger dem som plausible deniers. Hvis den russiske stat begyndte at angribe vestlige virksomheder direkte, så ville Vesten nok se det som en form for aggression, hvorimod der er en armslængde, hvis det er kriminelle grupper, der angriber.
Min vurdering er, at russerne skubber de kriminelle foran sig og bruger dem som plausible deniers.
Den helt store udfordring er ifølge Jacob Herbst, at alle grænser for, hvor langt russerne vil gå, de facto er væk i dag.
- Tidligere havde vi en mulighed for at påvirke russerne i en eller anden grad til at gøre noget ved de cyberkriminelle i Rusland, men den mulighed er jo fuldstændig forsvundet i dag.
Mange hænger i bremsen
Der er ingen tvivl om, at truslerne står i kø, men det helt store spørgsmål er, hvor godt vi egentlig er rustede til at stå imod dem?
- På samfundsniveau – altså virksomheder og myndigheder – er udfordringen, at der er ret stor spredning, siger Jacob Herbst.
Der er nogle steder – og heldigvis flere og flere – som egentlig gør et godt stykke arbejde, men der er altså også rigtig mange, hvor man stadigvæk hænger i bremsen, lyder det.
- Der er især mange små og mellemstore virksomheder, der ikke helt har forstået, hvad det handler om. Og i det offentlige er der bestemt også steder, hvor der er plads til forbedring.
Er du også doven?
Når det gælder private, er en af udfordringerne, at vi er for dovne, påpeger Jacob Herbst. Vi ved godt, at vi burde have to-faktor-godkendelse, og at vi burde bruge forskellige password og skifte dem i ny og næ, men vi gør det ikke, fordi det er lidt besværligt, og vi ikke lige får taget os sammen.
Jeg har en fornemmelse af, at vi nok ikke er særlig godt rustet, når det kommer til stykket.
Det helt store problem er dog i endnu højere grad, at vi som individer ofte er alt for lette at narre, mener Jacob Herbst. Teknologien er samtidig også blevet meget bedre, så det er let at forfalske billeder, lyd og video, og det gør spillepladen endnu større for de kriminelle.
- Så jeg har en fornemmelse af, at vi nok ikke er særlig godt rustet, når det kommer til stykket, hvis vi for alvor begynder at blive udsat for misinformation og påvirkningskampagner.
Godt med lidt pisk
Selvom vi står overfor en del udfordringer både på samfunds- og individniveau, er det positivt, at der er så meget fokus på it-sikkerhed i øjeblikket – og det er også en god ting, at lovgivning som NIS2 nu bliver implementeret, mener Jacob Herbst.
- Tidligere havde jeg nok den holdning, at det her sådan set var virksomhedernes eget problem. Men jeg er efterhånden nået dertil, hvor lovgivning og lidt pisk er en rigtig god idé, da konsekvenserne af den manglende handling er blevet for store.
- For der er simpelthen for mange, som ikke gør nok, og som ikke gør det hurtigt og effektivt nok – og det er jo her, hvor netop sådan noget som NIS2 kan være med til at sætte et passende niveau.
Det er dog afgørende, at NIS2 og andre reguleringer bliver implementeret rigtigt, påpeger han.
- Det skal ikke blive en skrivebords-compliance-papir-øvelse, siger Jacob Herbst og fortsætter:
- Hvis man kigger på GDPR, så skæmmer sporerne jo lidt. Der er godt nok lavet mange overflødige databehandleraftaler over årene, så det er vigtigt, at NIS2 rent faktisk giver noget reel sikkerhed og ikke bare bliver en compliance-øvelse.
Hvis du ikke arbejder konkret med it-sikkerhed til daglig, er der alligevel en række ting, du kan gøre som it-ansat for at ruste din arbejdsplads mod angreb.
- Selvom der ikke stå sikkerhed på ens jobtitel, er man en vigtig komponent i forhold til at hjælpe ens virksomhed med at have et ordentligt sikkerhedsniveau, siger Jacob Herbst.
- For det at man gør sit arbejde på en ordentlig og omhyggelig måde, og at man er opmærksom på alle de simple ting, gør, at virksomheden har et solidt fundament rent it-mæssigt.
Sikkerhedshændelser er nemlig typisk en kæde af forskellige ting, påpeger han.
- Og hvis de fleste led i kæden er nogenlunde stærke, så er det altså sværere for de kriminelle at trevle kæden op.
- Man kan også sige, at jo flere rådne æbler, der er i kurven, jo nemmere er det at være kriminel.
Din sunde fornuft
For det første bør alle it-folk have sin sunde fornuft med sig, når de går på arbejde, lyder det fra Jacob Herbst. Man skal være opmærksom og altid være en lille smule skeptisk og tænke over tingene en ekstra gang.
- Og så er rigtig meget sikkerhed også almindelig it-hygiejne. Så sørg for at få opdateret serverne, lad være med at lade systemerne sande til, og luk de brugere, der ikke arbejder i virksomheden længere, siger Jacob Herbst.
- Det er dybest set alle de basale ting, alle it-folk på en eller anden måde støder på i deres hverdag, som kan være med til at sikre et fornuftigt sikkerhedsniveau de fleste steder.