TRUSSELSBILLEDET I 2014 Af Shehzad Ahmad Det seneste års tid har én tendens præget diskussionen af informationssikkerhed i Danmark: Truslen mod borgernes data. Det begyndte, da Edward Snowden afslørede myndighe dernes omfattende overvågning af borgernes kommunikation både i USA og internationalt. Emnet fik en dansk vinkel, da en tidligere Se og Hør-journalist afslørede, at ugebladet via en centralt placeret kilde havde udnyttet fortrolige data om kendte personers kreditkortransaktioner hentet fra it-systemerne hos Nets. Hvor Snowdens oplysninger handler om eksterne parter, der tilgår data i andres systemer, er Se og Hør-sagen et eksempel på insider-misbrug: En medarbejder misbruger den tillid, arbejdspladsen viser ham, til at udnytte fortrolige oplysninger. Dette er naturligvis under forudsætning af, at anklagerne mod den tidligere Nets- og IBM- medarbejder holder stik. Både eksterne og interne trusler mod informationssikkerheden kræver, at virksomheder, myndigheder og organi sationer træffer forholdsregler, der minimerer risikoen. Kryptering er en mulighed, der især virker mod eksterne trusler: Selv om angriberne kan aflytte kommunikation, kan de ikke se indholdet af den, hvis den er krypteret. Mod interne trusler er kryptering mindre effektiv. Det kan beskytte mod misbrug fra medarbejdergrupper uden teknisk viden. Men en it-medarbejder vil ofte kunne omgå hindringer som kryptering. Her er det mere effektivt at indføre procedurer, der mindsker risikoen for misbrug – for eksempel ved løbende sikkerhedstjek af nøglepersoner og krav om, at der skal to personer til at aktivere kritiske funktioner.
UAFVIDENDE HJÆLPERE En særlig vinkel på insidertruslen er, at medarbejdere ofte uafvidende er med til at hjælpe eksterne angribere. I mange tilfælde, hvor angribere udefra har fået fat i fortrolige data, har de fået hjælp fra en medarbejder. Det kan ske via phishing eller malware. Phishing-truslen har været voksende. Den går ud på, at angriberne sender en mail
til offeret med link til en webside. På websiden opfordres offeret til at indtaste fortrolige oplysninger. Svindleren kan fx skrive, at det er nødvendigt at genaktivere en konto efter et hackerangreb. Medarbejderen indtaster brugernavn og password, som derefter lander hos bagmændene. De senere år er phishing blevet mere målrettet via såkaldt spear phishing. Nu sender angriberne e mails rettet mod specifikke firmaer eller organisationer og med henvisnin ger til viden og personer, som modtageren kender. Det gør mailen mere troværdig.
MALWARE GIVER ADGANG Mailen til en ansat i den virksomhed, angriberne har udset sig, kan også indeholde malware (skadelig software). Det kan være i form af et link til en farlig webside eller en vedhæftet fil. Hvis det skadelige program kører, kan det fungere som en bagdør ind i virksomhedens systemer. Herfra kan angriberne snuse rundt efter data. De it-kriminelle bruger altså malware og phishing til at få fat i fortrolige data. Malware bruges derudover også til afpresning, hvor det skadelige program lukker for adgangen til data på computeren. Endelig indgår malware i svindel med annonceklik på websider og andre lyssky metoder til at tjene penge.
ENKLE FORHOLDSREGLER Samlet set er truslerne mod informationssikkerheden stigende både i Danmark og internationalt. Truslerne kommer både fra amatører, fra den organiserede kriminalitet og fra efterretningstjenester og andre statslige aktører. Mange analyser viser, at ganske simple midler kan mind ske risikoen markant. Det er på den ene side godt, for det betyder, at det ikke er så vanskeligt at gøre noget ved problemet. På den anden side viser det, at de fleste organisationer bruger for få ressourcer på informationssikkerheden. Ofte fejler organisationer på de mest basale discipliner såsom at holde software opdateret og at styre rettighederne til, hvem der må tilgå hvilke data.
Shehzad Ahmad er tidl. chef for DKCERT og medlem af bestyrelsen for RfDS.
DIGITAL SIKKERHED I DANMARK / 2014
7