Jacob Herbst, der er teknisk chef i it-sikkerhedsvirksomheden Dubex, har fem konkrete anbefalinger, som kan sikre en god it-sikkerhed. Den første – og vigtigste – handler om at udrydde dårlige passwords og have to-faktor-godkendelse. Foto: Dubex

IT-SIKKERHED

Jacob Herbst gør status: Sådan er it-trusselsbilledet lige nu

Hvor kommer hackerne fra? Hvad har krigen i Ukraine betydet for cyberkriminaliteten? Og hvor godt rustede er vi egentlig mod truslerne? It-sikkerhedskoryfæet Jacob Herbst giver os et overblik over trusselsbilledet netop nu.


Er man et uskyldigt offer, eller er man selv ude om det, hvis man bliver ramt af et hackerangreb?

Der er ikke en entydigt svar på det spørgsmål, men generelt hælder flere og flere af os til, at en virksomhed, der bliver lagt ned af et cyberangreb, ofte bærer en del af skylden selv.

Det fortæller Jacob Herbst, der er teknisk chef og partner i it-sikkerhedsvirksomheden Dubex.

- Jeg har en fornemmelse af, at der er ved at ske et holdningsskifte til de virksomheder, der bliver ramt, siger han og fortsætter:

- For fire-fem år siden var der en opfattelse af, at det var rigtig synd for virksomhederne, som blev angrebet, og at de sådan set var uskyldige ofre, fordi det kunne ramme alle og enhver.

- I dag fornemmer jeg, at man er mere kritisk over for de ramte virksomheder. For havde de rent faktisk gjort nok for at sikre sig? Der er en forventning om, at man som virksomhed kan håndtere at blive angrebet – og det bliver sværere og sværere at undskylde sig med, at man bare er et tilfældigt offer, særligt hvis angrebet er banalt og i øvrigt bliver håndteret dårligt.

Trusselsbilledets to kasser

Når man taler om it-sikkerhed i Danmark, kan man ikke rigtig komme udenom Jacob Herbst.

Han er et koryfæ i branchen, og han var med til at stifte Dubex tilbage i 1997.

I dag sidder Jacob Herbst i det nationale cybersikkerhedsråd, han er forperson i IT-Branchens policyboard for cybersikkerhed, og han er med i DAU’s bestyrelse, hvor han varetager netværket for it-sikkerhed i industrien.

Helt overordnet kan man dele trusselsbilledet op i to store kasser – det kriminelle og det geopolitiske.

Jacob Herbst har altså fingrene godt og grundigt nede i cyber-miljøet – og han er derfor også den helt rette mand til at give os et overblik over trusselsbilledet netop nu.

- Helt overordnet kan man dele trusselsbilledet op i to store kasser – det kriminelle og det geopolitiske, starter Jacob Herbst.

Og så har vi efterhånden også en ret stor gråzone mellem de to ting.

Svindel er nummer ét 

Hvis vi starter med den kriminelle kasse, handler det rigtig meget om alle mulige former for svindel. Det kan være falske butikker, kærlighedssvindel eller klassisk CEO-fraud, hvor hackerne forsøger at få Jytte i bogholderiet til at betale en regning, imens chefen er på ferie.

- Og det er blevet meget mere avanceret i dag, så hackerne typisk bryder ind i mailsystemet og forfalsker tingene, siger Jacob Herbst.

Hele svindel-delen er den gren, hvor de kriminelle tjener flest penge, fortæller Dubex-chefen, og han understreger, at det både rammer virksomheder og private ofre.

- Den største udfordring for virksomhederne er digital gidseltagning, altså ransomware, hvor hackerne bryder ind, låser data og derefter afpresser virksomhederne til at betale en løsesum for dataen.

Den reaktionstid, du har til at opdage og stoppe angrebet, er blevet væsentligt mindre.

Ransomware har været en udfordring i mange år, men hastigheden er skræmmende i dag, påpeger Jacob Herbst.

- I gamle dage var det ofte sådan, at der sagtens kunne gå flere dage, fra de kriminelle brød ind, til at de begyndte at kryptere data. I dag går der typisk ganske få timer, siger han og fortsætter:

- Så den reaktionstid, du har til at opdage og stoppe angrebet, er blevet væsentligt mindre.

FEM ANBEFALINGER


Hvad skal myndigheder og virksomheder gøre for at sikre sig en god it-sikkerhed? Jacob Herbst kommer her med sine fem vigtigste anbefalinger.

1. Passwords
Vi ser gang på gang, at dårlige passwords er de kriminelles vej ind. Så sørg for som minimum at have to-faktor-godkendelse på de vigtige cloudservices og alle de steder, hvor man kan komme eksternt ind i systemerne. Det er nok det allervigtigste sted at starte.

2. Se på dig selv udefra
Prøv at træde et skridt baglæns og se på dig selv, som en angriber vil se dig. Lidt på samme måde, som hvis man tager en tur rundt om huset derhjemme for at tjekke, om vinduer og døre er lukkede, og om der er nogen mørke kælderskakter, hvor man kan gemme sig, hvis man vil brække et vindue op. Gør det samme med din it-infrastruktur. Kig på den udefra og få en vurdering af, hvilke ting en angriber vil få øje på, når de kigger på din virksomhed.

3. Opdater dine programmer
Sørg for at opdatere dine systemer og programmer. Vi kan se, at de kriminelle er lynhurtige til at udnytte det, hver eneste gang der kommer en ny sårbarhed. Hackerne er lynhurtige til at automatisere deres angreb, så hvis du har et eller andet, der er sårbart, så vil det blive udnyttet – særligt hvis det er noget, man kan nå fra internettet. Så sørg nu for at opdatere – og få det gjort i en fart.

4. Backup
Sørg for at have en backup og at passe godt på den. Hvis nogen kommer ind og får ødelagt det hele, så vil din backup være din eneste livline i sidste ende.

5. Lav en plan
Sørg for at have en plan for, hvad du gør, hvis det går galt. En beredskabsplan behøver ikke at være superbesværlig, men du skal have tænkt igennem, hvad du gør, hvis du pludselig står midt i et angreb, så du har en idé om, hvilken retning du skal gå i.


De kriminelle grupper

Den cyberkriminalitet, både virksomheder og private i dag bliver ramt af, kommer i øvrigt fra mange forskellige kanter.

Det er en superglobaliseret branche, som Jacob Herbst udtrykker det, men alligevel kan man godt dele kloden groft op i svindelformer.

- De russiske cyberkriminelle laver rigtig meget ransomware og afpresning, hvor det i Fjernøsten ofte handler om crypto, cryptomining og sådan nogle ting. Og når vi snakker om kærlighedssvindel, foregår meget af det i Afrika.

- Så ja, de er simpelthen specialiserede i de forskellige geografiske områder.

Fire lande i fokus

Lad os gå videre til den anden kasse i det samlede trusselsbillede – altså det geopolitiske.

Her handler det typisk om, at stater på den ene eller anden måde bruger cyberangreb til at påvirke borgere, stjæle information fra andre lande eller på anden vis forstyrre samfundsordenen med hackerangreb som våben.

I det geopolitiske trusselsbillede er der ifølge Jacob Herbst fire lande, der er særligt interessante at fokusere på.

  • Nordkorea: Den nordkoreanske stat bruger rigtig meget cyberkriminalitet til at finansiere regiment. Nordkorea har ikke som sådan nogen stor interesse i Danmark, men de bruger pengene til styret, så derfor kommer der en del angreb herfra.
     
  • Iran: Indtil for ganske nylig var Irans primære formål at spionere på landets egne statsborgere – eksempelvis systemkritikere. I øjeblikket ser vi dog også – dels fordi de er blevet gode venner med russerne og dels på grund af krigen i Gaza – at iranerne også er blevet væsentlig mere aktive i forhold til forskellige former for cyberaktivisme og cyberangreb særligt rettet mod USA og Israel.
     
  • Kina: Kineserne støtter i høj grad deres industri ved at stjæle industrihemmeligheder med arme og ben – og her er Danmark interessant, fordi vi er gode til at lave grøn teknologi og til at lave biotech. Derudover er Danmark også interessant for Kina på grund af Grønland og Færøerne.
     
  • Rusland: Rusland er en rough state – de er altså uden for det gode selskab. Hvis man spørger russerne, så har de en opfattelse af, at de er i krig med Vesten, så derfor gør de alt, hvad de overhovedet kan for at påvirke og genere os. Dels laver de mange cyberangreb i Ukraine for at understøtte krigen der, men de angriber også andre steder, så de kan skubbe til stabiliteten i de vestlige samfund, så vores beslutningsevne og samarbejde bliver dårligere.


Ukraine-krig sætter spor

De geopolitiske spændinger, når det gælder cyber-området, er blevet større, siden Rusland invaderede Ukraine, mener Jacob Herbst. Og det betyder også, at gråzonen mellem de kriminelle og angreb fra stater bliver støtte.

- Vi har for eksempel set, at hvis Danmark melder ud, at vi vil støtte Ukraine noget mere, så kommer der også flere store DDoS-angreb mod danske websites.

- Min vurdering er, at russerne skubber de kriminelle foran sig og bruger dem som plausible deniers. Hvis den russiske stat begyndte at angribe vestlige virksomheder direkte, så ville Vesten nok se det som en form for aggression, hvorimod der er en armslængde, hvis det er kriminelle grupper, der angriber.

Min vurdering er, at russerne skubber de kriminelle foran sig og bruger dem som plausible deniers.

Den helt store udfordring er ifølge Jacob Herbst, at alle grænser for, hvor langt russerne vil gå, de facto er væk i dag.

- Tidligere havde vi en mulighed for at påvirke russerne i en eller anden grad til at gøre noget ved de cyberkriminelle i Rusland, men den mulighed er jo fuldstændig forsvundet i dag.

Mange hænger i bremsen

Der er ingen tvivl om, at truslerne står i kø, men det helt store spørgsmål er, hvor godt vi egentlig er rustede til at stå imod dem?

- På samfundsniveau – altså virksomheder og myndigheder – er udfordringen, at der er ret stor spredning, siger Jacob Herbst.

Der er nogle steder – og heldigvis flere og flere – som egentlig gør et godt stykke arbejde, men der er altså også rigtig mange, hvor man stadigvæk hænger i bremsen, lyder det.  

- Der er især mange små og mellemstore virksomheder, der ikke helt har forstået, hvad det handler om. Og i det offentlige er der bestemt også steder, hvor der er plads til forbedring.

Er du også doven?

Når det gælder private, er en af udfordringerne, at vi er for dovne, påpeger Jacob Herbst. Vi ved godt, at vi burde have to-faktor-godkendelse, og at vi burde bruge forskellige password og skifte dem i ny og næ, men vi gør det ikke, fordi det er lidt besværligt, og vi ikke lige får taget os sammen.

Jeg har en fornemmelse af, at vi nok ikke er særlig godt rustet, når det kommer til stykket.

Det helt store problem er dog i endnu højere grad, at vi som individer ofte er alt for lette at narre, mener Jacob Herbst. Teknologien er samtidig også blevet meget bedre, så det er let at forfalske billeder, lyd og video, og det gør spillepladen endnu større for de kriminelle.  

- Så jeg har en fornemmelse af, at vi nok ikke er særlig godt rustet, når det kommer til stykket, hvis vi for alvor begynder at blive udsat for misinformation og påvirkningskampagner.

Godt med lidt pisk

Selvom vi står overfor en del udfordringer både på samfunds- og individniveau, er det positivt, at der er så meget fokus på it-sikkerhed i øjeblikket – og det er også en god ting, at lovgivning som NIS2 nu bliver implementeret, mener Jacob Herbst.

- Tidligere havde jeg nok den holdning, at det her sådan set var virksomhedernes eget problem. Men jeg er efterhånden nået dertil, hvor lovgivning og lidt pisk er en rigtig god idé, da konsekvenserne af den manglende handling er blevet for store.

- For der er simpelthen for mange, som ikke gør nok, og som ikke gør det hurtigt og effektivt nok – og det er jo her, hvor netop sådan noget som NIS2 kan være med til at sætte et passende niveau.

Det er dog afgørende, at NIS2 og andre reguleringer bliver implementeret rigtigt, påpeger han.

- Det skal ikke blive en skrivebords-compliance-papir-øvelse, siger Jacob Herbst og fortsætter: 

- Hvis man kigger på GDPR, så skæmmer sporerne jo lidt. Der er godt nok lavet mange overflødige databehandleraftaler over årene, så det er vigtigt, at NIS2 rent faktisk giver noget reel sikkerhed og ikke bare bliver en compliance-øvelse.

HVAD KAN DU GØRE?


Hvis du ikke arbejder konkret med it-sikkerhed til daglig, er der alligevel en række ting, du kan gøre som it-ansat for at ruste din arbejdsplads mod angreb.

- Selvom der ikke stå sikkerhed på ens jobtitel, er man en vigtig komponent i forhold til at hjælpe ens virksomhed med at have et ordentligt sikkerhedsniveau, siger Jacob Herbst.

- For det at man gør sit arbejde på en ordentlig og omhyggelig måde, og at man er opmærksom på alle de simple ting, gør, at virksomheden har et solidt fundament rent it-mæssigt.

Sikkerhedshændelser er nemlig typisk en kæde af forskellige ting, påpeger han.

- Og hvis de fleste led i kæden er nogenlunde stærke, så er det altså sværere for de kriminelle at trevle kæden op.

- Man kan også sige, at jo flere rådne æbler, der er i kurven, jo nemmere er det at være kriminel.

Din sunde fornuft

For det første bør alle it-folk have sin sunde fornuft med sig, når de går på arbejde, lyder det fra Jacob Herbst. Man skal være opmærksom og altid være en lille smule skeptisk og tænke over tingene en ekstra gang.

- Og så er rigtig meget sikkerhed også almindelig it-hygiejne. Så sørg for at få opdateret serverne, lad være med at lade systemerne sande til, og luk de brugere, der ikke arbejder i virksomheden længere, siger Jacob Herbst.

- Det er dybest set alle de basale ting, alle it-folk på en eller anden måde støder på i deres hverdag, som kan være med til at sikre et fornuftigt sikkerhedsniveau de fleste steder.


Læs også...

Estland kan skabe unicorns – altså virksomheder, der er over en milliard dollars værd.

”Velkommen til verdensmesteren i iværksætteri.” Sådan burde der stå, når man lander i den lille, men hyggelige og moderne lufthavn i Estlands…

Jargon har i årevis samlet forklaringer på tech-forkortelser, it-udtryk og ord. Det er blevet til et ret massiv og enkelt opslagsværk over it-kultur…

Isak Juel Nielsen er 20 år og studerer datalogi på Syddansk Universitet.

I Estland vokser udviklingen nedefra, fordi de lytter oppefra. Det har gjort dem til verdensmestre i iværksætteri, og det har skabt…

PROSA oplever en tendens til at muligheden for hjemmearbejde blandt vores medlemmer indskrænkes. Regler om hjemmearbejde er langt de fleste steder et…

Danmark er langt fremme på tech-motorvejen, men vi kan stadig lære noget af andre. Vi har samlet en håndfuld ting, som Danmark kan lære af Estland.

Lønsamtaler kan give sved på panden, men med den rette strategi kan du forlade chefens kontor med mere i lønningsposen. Mariam Senounou er jurist hos…

Man kan lære mange ting på skolebænken, men meget læring kommer også fra virkeligheden. Det har tre software design-studerende i den grad mærket på…

Microsoft vil starte en atomreaktor op igen for at give grøn strøm til deres datacentre, specielt dem med AI. Hvis det reelt går igennem, og de får…