Gagendran ­Srisurendran er cand.it fra Syddansk Universitet. Han arbejder som senior it security consultant i DLG Group og udvikler sikkerhedsplaner, arbejder med cyber­kriminalistiske undersøgelser og tester infrastrukturers modstandsdygtighed over for avancerede angreb. Foto: Tobias Nicolai

Cyberrejsehold

Sæt spot på ulykken

Ordet cyberrejsehold blev ved årsskiftet nævnt i forbindelse med regeringens nationale strategi for cyber- og informationssikkerhed. Det fik PROSA-medlem Gagendran Srisurendran, der er konsulent i it-sikkerhed, til at gå i tænkeboks. For hvordan skal sådan et udrykningskoncept egentlig fungere i praksis?

Et cyberrejsehold skal kunne reagere hurtigt, fra det sekund uheldet er ude.

Der skal indsamles informationer, og den indsamlede viden skal derefter deles på en platform, hvor oplysningerne om det enkelte angreb ikke kan knyttes til en bestemt person, virksomhed eller organisation.

Enhver skal kunne tilgå data om angrebets karakter og omstændigheder. På den måde kan alle lære af hinanden.

Det er løsningen, mener konsulent i it-sikkerhed og PROSA-medlem Gagendran Srisurendran, hvis det offentlige Danmark for alvor vil bistå de omkring 300.000 små og mellemstore virksomheder, som hver dag er truet af cyberkriminelle.

Tema:

Denne artikel er en del af et tema, der handler om at dele viden under hackerangreb:

Tal om det
Forhandleren
Sæt spot på ulykken

Der er ifølge ham brug for et sted, hvor man kan ringe ind, i det øjeblik man opdager, at virksomheden er under angreb og derfor har brug for akut hjælp og vejledning.

Cyberrejseholdet kan bidrage til dette ved at lave en såkaldt first information report.
– Det er dog vigtigt, at rapporten bliver udarbejdet så hurtigt som overhovedet muligt. For hukommelsen kan svigte, når der går tid. Især når man står midt i en presset situation, hvor virksomhedens tekniske infrastruktur er under angreb. Allerede efter et par timer kan vigtige oplysninger gå i glemmebogen, siger han.

Som at ringe til 112

En first information report kan sammenlignes med de notater, alarmcentralen tager, når en borger ringer 112.

Medarbejderen ved lige nøjagtig, hvad der skal spørges ind til for at kunne give den fornødne vejledning, så ulykken standses, og der derefter sendes den rette hjælp. Er der brug for en ambulance, politi, en dykker eller en helikopter? Medarbejderen er også uddannet i at give råd til førstehjælp.

Gagendran Srisurendran forestiller sig, at telefonvagten hos cyberrejseholdet på samme måde vil være grundigt trænet og have et præcist spørgeskema, som gennemgås med den, som er blevet angrebet.

Det vigtige er, at ingen bliver nervøse for, at deres oplysninger bliver delt med navns nævnelse
- Gagendran Srisurendran, senior it security consultant

Det sikrer, at alle de rette spørgsmål bliver stillet, at roen bevares, selv om anmelderen er stresset, og at alle first information reports bliver udført ensartet, så oplysningerne kan blive lagt ind i en søgbar database.

I dag har den enkelte virksomhed ofte sin egen procedure for, hvordan en hændelse bliver rapporteret. Det kan være medarbejderne i it- sikkerhedsafdelingen, der udarbejder en rapport, men det kan også være eksterne leverandører.
– Jeg mener, der er behov for en central og uafhængig instans, som giver førstehjælp til virksomhederne og indsamler viden på en standardiseret facon. Det findes ikke i dag, siger Gagendran Srisurendran.

Hvem, hvad, hvornår?

Gagendran Srisurendran foreslår, at cyberrejseholdet skal markedsføres i befolkningen på linje med alarmcentralen. Danskerne skal kende dets telefonnummer, og ingen skal være nervøse for, at deres oplysninger og navne bliver nævnt.

Hans vision er, at cyberrejseholdet skal følge en standardiseret procedure.

Regeringen ønsker et cyberindsatshold

I juni 2021 indgik regeringen, Venstre, Dansk Folkeparti, Radikale Venstre, Det Konservative Folkeparti og Liberal Alliance aftalen Et styrket dansk cyberforsvar. Aftalen blev fulgt op af en national strategi for cyber- og informationssikkerhed i december 2021. Der er afsat 500 millioner kroner til en række initiativer. Der er blandt andet sat 10 millioner kroner af til et såkaldt cyberindsatshold.

Først skal telefonvagten nedskrive en hændelsesrapport, som er et resumé med faste datapunkter, der gør det nemmere at dele oplysningerne i ensartet form.

Datapunkterne kan for eksempel være: Hvad har anmelderen konkret oplevet? Blev der klikket på et link i en mail, hvorefter der blev lagt et program på computeren, som kan aflure adgangskoder? Har anmelderen modtaget en troværdig meddelelse om stjålet data sammen med en trussel om, at man skal opfylde nogle krav, hvis man vil undgå afsløring?

Den kortfattede hændelsesrapport og datapunkterne kan så køres igennem databasen med rapporter om andre hændelser. Og fordi der bliver spurgt og registreret på samme måde hver gang, kan cyberrejseholdet hurtigt analysere sig frem til, hvorvidt en hændelse ligner noget, en anden har været udsat for.

Cyberrejseholdet stiller den rette diagnose, og rådgivningen er baseret på evidens.

Næste skridt kalder Gagendran Srisurendran emergency response.

Gagendrans cyberrejsehold

Bemanding:
• Cyberchef
• Telefonvagt og it-supportere, third level experience
• Pentestere (white hat)
• Netværksspecialister
• Serverspecialister on prem og in cloud
• HR og bogholderi

Arbejdsgang:
Når telefonvagten modtager et opkald, går en fast ­procedure i gang:
1. Hændelsesrapport og ­datapunkter
2. Emergency response: Hvem gør hvad og hvordan?
3. Stands ulykken
4. Eventuel fysisk udrykning
5. Gendan
6. Del information med medlemmerne ­gennem ­krypteret tunnel

Det drejer sig om at standse ulykken og vurdere, om der er brug for, at cyberrejseholdet skal rykke fysisk ud. I mange tilfælde kan hjælpen ske over telefon, eller ved at holdet bliver koblet på virksomhedens netværk. Det beror dog på en vurdering af angrebets karakter. Er netværket helt lagt ned? Kan der etableres en bagdør til systemet? Hvordan er netværket segmenteret? Er andre end virksomheden selv blevet ramt? Er kunder og partnere også ramt?

Parallelt med håndteringen af den akutte situation deles viden om hændelsen på en platform og på en måde, så den enkelte virksomhed ikke kan identificeres.

Oplysningerne på platformen opdateres, i takt med at hændelsen udspiller sig. Når det hele er overstået, bliver der udarbejdet en konklusion. Oplysningerne er nu søgbare for enhver, der ønsker at holde sig opdateret om igangværende eller tidligere angreb. Alle kan blive klogere på, hvad der findes af konkrete trusler, og hvordan man kan lukke de huller, som har gjort andre sårbare. Alle interesserede kan modtage notifikationer om igangværende angreb.

Gagendran Srisurendran er klar over, at det tager tid at opbygge en fyldig database med beskrivelser af sikkerhedshændelser. Det kræver en langvarig, møjsommelig og stringent indsats med registrering. Men det er den eneste vej frem, mener han.
– Der er behov for grundig videndeling, så vi i fremtiden i højere grad forebygger end slukker brande, siger han.

Center for Cybersikkerhed: Truslen om kriminalitet er stor

15. marts udsendte Center for Cybersikkerhed en vurdering af trusselsniveauet efter Ruslands invasion af Ukraine. CFCS fastholder den gældende vurdering, men pointerer, at billedet kan ændre sig hurtigt i den spændte situation.

Truslen fra cyberkriminalitet mod Danmark er fortsat meget stor. Cyberkriminalitet udgør en alvorlig trussel, der er rettet mod myndigheder, virksomheder og borgere på tværs af samfundet. Ruslands invasion af Ukraine har ikke i væsentlig grad påvirket truslen fra cyberkriminalitet mod Danmark.

Truslen er rettet mod myndigheder, virksomheder og borgere på tværs af samfundet. Ruslands invasion af Ukraine har skabt flere reaktioner internt i det kriminelle miljø, men ikke i væsentlig grad påvirket truslen fra cyberkriminalitet mod Danmark.

Kriminelle hackere er fortsat hovedsageligt finansielt motiverede, og cyberkriminelle netværk vil fortsat angribe danske mål uafhængigt af Ruslands invasion af Ukraine. Konflikten har på kort sigt derfor ikke en direkte betydning for truslen fra cyberkriminalitet. Den alvorligste trussel kommer fortsat fra målrettede ransomware-angreb, der kan påvirke samfundsvigtige tjenester.

Kilde: Center for Cybersikkerhed


Læs også...

Ole Tange, it-politisk rådgiver i PROSA, har i denne uge indsendt en klage over Danmarks Radio til Datatilsynet. Det skyldes DRs krav om obligatorisk…

Er du på jagt efter et nyt job i it-branchen? Og er du i tvivl om, hvad virksomhederne især kigger efter? PROSAbladet har spurgt en række…

Fra Baltikums største sciencepark i udkanten af Tallinn sikrer Tehnopol, at hundredvis af startups kommer flyvefærdigt ud i virkeligheden. De får…

Estiske børn og unge får praktisk talt tech ind med modermælken, da it og tech-gadgets er en helt central del af hverdagen i både børnehaver,…

I Estland har borgerne kunne stemme digitalt siden 2005. Der har været kritik og debat, men i dag er det mere end halvdelen af esterne, der bruger…

Hvis man i Estland gerne vil skifte spor i sin karriere, er der en lang række muligheder for at videreuddanne sig inden for it. Skoler og online…

I denne udgave af PROSAbladet har vi lavet et tema-nummer om Estland. Det er sjældent, at vi giver så meget spalteplads til et tema – men det baltiske…

Pulserende krea-værksted klæder estiske børn på med både tech-skills og startup-mentalitet. Der er ingen læreplaner eller kedelige eksamener, men 3D…

Det minder om en blanding af X Factor og Den store bagedyst, og det lægger på 15. år gaderne øde i Estland. Velkommen til tv-talentshowet Rakett69,…

Estland har rykket sig ufattelig langt de seneste 30 år – men hvad skal der ske nu? En af udfordringerne er, at Estland kommer til at mange hænder og…