Gagendran Srisurendran er cand.it fra Syddansk Universitet. Han arbejder som senior it security consultant i DLG Group og udvikler sikkerhedsplaner, arbejder med cyberkriminalistiske undersøgelser og tester infrastrukturers modstandsdygtighed over for avancerede angreb. Foto: Tobias Nicolai
Et cyberrejsehold skal kunne reagere hurtigt, fra det sekund uheldet er ude.
Der skal indsamles informationer, og den indsamlede viden skal derefter deles på en platform, hvor oplysningerne om det enkelte angreb ikke kan knyttes til en bestemt person, virksomhed eller organisation.
Enhver skal kunne tilgå data om angrebets karakter og omstændigheder. På den måde kan alle lære af hinanden.
Det er løsningen, mener konsulent i it-sikkerhed og PROSA-medlem Gagendran Srisurendran, hvis det offentlige Danmark for alvor vil bistå de omkring 300.000 små og mellemstore virksomheder, som hver dag er truet af cyberkriminelle.
Denne artikel er en del af et tema, der handler om at dele viden under hackerangreb:
Tal om det
Forhandleren
Sæt spot på ulykken
Der er ifølge ham brug for et sted, hvor man kan ringe ind, i det øjeblik man opdager, at virksomheden er under angreb og derfor har brug for akut hjælp og vejledning.
Cyberrejseholdet kan bidrage til dette ved at lave en såkaldt first information report.
– Det er dog vigtigt, at rapporten bliver udarbejdet så hurtigt som overhovedet muligt. For hukommelsen kan svigte, når der går tid. Især når man står midt i en presset situation, hvor virksomhedens tekniske infrastruktur er under angreb. Allerede efter et par timer kan vigtige oplysninger gå i glemmebogen, siger han.
En first information report kan sammenlignes med de notater, alarmcentralen tager, når en borger ringer 112.
Medarbejderen ved lige nøjagtig, hvad der skal spørges ind til for at kunne give den fornødne vejledning, så ulykken standses, og der derefter sendes den rette hjælp. Er der brug for en ambulance, politi, en dykker eller en helikopter? Medarbejderen er også uddannet i at give råd til førstehjælp.
Gagendran Srisurendran forestiller sig, at telefonvagten hos cyberrejseholdet på samme måde vil være grundigt trænet og have et præcist spørgeskema, som gennemgås med den, som er blevet angrebet.
Det vigtige er, at ingen bliver nervøse for, at deres oplysninger bliver delt med navns nævnelse
Det sikrer, at alle de rette spørgsmål bliver stillet, at roen bevares, selv om anmelderen er stresset, og at alle first information reports bliver udført ensartet, så oplysningerne kan blive lagt ind i en søgbar database.
I dag har den enkelte virksomhed ofte sin egen procedure for, hvordan en hændelse bliver rapporteret. Det kan være medarbejderne i it- sikkerhedsafdelingen, der udarbejder en rapport, men det kan også være eksterne leverandører.
– Jeg mener, der er behov for en central og uafhængig instans, som giver førstehjælp til virksomhederne og indsamler viden på en standardiseret facon. Det findes ikke i dag, siger Gagendran Srisurendran.
Gagendran Srisurendran foreslår, at cyberrejseholdet skal markedsføres i befolkningen på linje med alarmcentralen. Danskerne skal kende dets telefonnummer, og ingen skal være nervøse for, at deres oplysninger og navne bliver nævnt.
Hans vision er, at cyberrejseholdet skal følge en standardiseret procedure.
I juni 2021 indgik regeringen, Venstre, Dansk Folkeparti, Radikale Venstre, Det Konservative Folkeparti og Liberal Alliance aftalen Et styrket dansk cyberforsvar. Aftalen blev fulgt op af en national strategi for cyber- og informationssikkerhed i december 2021. Der er afsat 500 millioner kroner til en række initiativer. Der er blandt andet sat 10 millioner kroner af til et såkaldt cyberindsatshold.
Først skal telefonvagten nedskrive en hændelsesrapport, som er et resumé med faste datapunkter, der gør det nemmere at dele oplysningerne i ensartet form.
Datapunkterne kan for eksempel være: Hvad har anmelderen konkret oplevet? Blev der klikket på et link i en mail, hvorefter der blev lagt et program på computeren, som kan aflure adgangskoder? Har anmelderen modtaget en troværdig meddelelse om stjålet data sammen med en trussel om, at man skal opfylde nogle krav, hvis man vil undgå afsløring?
Den kortfattede hændelsesrapport og datapunkterne kan så køres igennem databasen med rapporter om andre hændelser. Og fordi der bliver spurgt og registreret på samme måde hver gang, kan cyberrejseholdet hurtigt analysere sig frem til, hvorvidt en hændelse ligner noget, en anden har været udsat for.
Cyberrejseholdet stiller den rette diagnose, og rådgivningen er baseret på evidens.
Næste skridt kalder Gagendran Srisurendran emergency response.
Bemanding:
• Cyberchef
• Telefonvagt og it-supportere, third level experience
• Pentestere (white hat)
• Netværksspecialister
• Serverspecialister on prem og in cloud
• HR og bogholderi
Arbejdsgang:
Når telefonvagten modtager et opkald, går en fast procedure i gang:
1. Hændelsesrapport og datapunkter
2. Emergency response: Hvem gør hvad og hvordan?
3. Stands ulykken
4. Eventuel fysisk udrykning
5. Gendan
6. Del information med medlemmerne gennem krypteret tunnel
Det drejer sig om at standse ulykken og vurdere, om der er brug for, at cyberrejseholdet skal rykke fysisk ud. I mange tilfælde kan hjælpen ske over telefon, eller ved at holdet bliver koblet på virksomhedens netværk. Det beror dog på en vurdering af angrebets karakter. Er netværket helt lagt ned? Kan der etableres en bagdør til systemet? Hvordan er netværket segmenteret? Er andre end virksomheden selv blevet ramt? Er kunder og partnere også ramt?
Parallelt med håndteringen af den akutte situation deles viden om hændelsen på en platform og på en måde, så den enkelte virksomhed ikke kan identificeres.
Oplysningerne på platformen opdateres, i takt med at hændelsen udspiller sig. Når det hele er overstået, bliver der udarbejdet en konklusion. Oplysningerne er nu søgbare for enhver, der ønsker at holde sig opdateret om igangværende eller tidligere angreb. Alle kan blive klogere på, hvad der findes af konkrete trusler, og hvordan man kan lukke de huller, som har gjort andre sårbare. Alle interesserede kan modtage notifikationer om igangværende angreb.
Gagendran Srisurendran er klar over, at det tager tid at opbygge en fyldig database med beskrivelser af sikkerhedshændelser. Det kræver en langvarig, møjsommelig og stringent indsats med registrering. Men det er den eneste vej frem, mener han.
– Der er behov for grundig videndeling, så vi i fremtiden i højere grad forebygger end slukker brande, siger han.
15. marts udsendte Center for Cybersikkerhed en vurdering af trusselsniveauet efter Ruslands invasion af Ukraine. CFCS fastholder den gældende vurdering, men pointerer, at billedet kan ændre sig hurtigt i den spændte situation.
Truslen fra cyberkriminalitet mod Danmark er fortsat meget stor. Cyberkriminalitet udgør en alvorlig trussel, der er rettet mod myndigheder, virksomheder og borgere på tværs af samfundet. Ruslands invasion af Ukraine har ikke i væsentlig grad påvirket truslen fra cyberkriminalitet mod Danmark.
Truslen er rettet mod myndigheder, virksomheder og borgere på tværs af samfundet. Ruslands invasion af Ukraine har skabt flere reaktioner internt i det kriminelle miljø, men ikke i væsentlig grad påvirket truslen fra cyberkriminalitet mod Danmark.
Kriminelle hackere er fortsat hovedsageligt finansielt motiverede, og cyberkriminelle netværk vil fortsat angribe danske mål uafhængigt af Ruslands invasion af Ukraine. Konflikten har på kort sigt derfor ikke en direkte betydning for truslen fra cyberkriminalitet. Den alvorligste trussel kommer fortsat fra målrettede ransomware-angreb, der kan påvirke samfundsvigtige tjenester.
Kilde: Center for Cybersikkerhed
