Børns gaming er hackernes dør til forældrenes arbejdsplads: »Problemet er, at 90 procent af vores VPN-forbindelser er sat forkert op«
Det er første punkt i mange virksomheders manual for it-sikkerhed: Lad være med at klikke på noget i mails, du ikke er helt sikker på. Og de fleste har nok lært det efterhånden. Men netop fordi denne indgang er blevet indsnævret for hackerne, har de fundet en ny foretrukken indgang til virksomheders it-systemer - børns gaming. Det er noget, man oplever i stigende grad hos it-sikkerhedsfirmaet Vipre Security, der gennemgik udviklingen på området ved den netop overståede V2 Security messe i København. Her er Torben Clemmensen sikkerhedsekspert, og i denne uges afsnit af ingeniørens podcast, Transformator, beretter han om et helt konkret eksempel:
»Det var den her dreng på 13-14 år, hvis far var ansat i en bank, og hvis mor havde regnskabsansvar i en virksomhed. Drengen havde spillet Counter Strike i flere år og skulle ud og have sig et nyt skin til sin riffel. Og det er virkeligt spændende for hackere at holde øje med. Her havde de holdt øje med ham i en periode og solgte ham derefter et skin. Men det var mere end bare et skin. Det indeholdt også en ondsindet kode, der endte med at sprede sig i hele hjemmet - for hjemmet er det svage område.«
»Men det begynder med, at hackerne har udset sig en virksomhed, og derefter begynder at se rundt på medarbejderne. Det skal helst være en på mellemniveau. Ikke for højt - for så er det for synligt. Ikke for lavt - så er der ikke adgang. Herefter begynder de ellers at gennemgå sociale medier hos familiemedlemmerne. Gerne ægtefællen, men allerhelst børnene. For vi skal huske på, at børn har langt større tillid til alle mulige fremmede, de møder på nettet. Hvis de er på samme hold i Counter Strike, så ser de dem jo som venner, man kan stole på.«
»Når koden får lov at sprede sig i hjemmet, så skyldes det, at de fleste af os bruger den samme router fra TDC, Yousee, Telenord eller hvem, man nu har som udbyder. Og den yder jo ingen beskyttelse.«
De fleste af os sætter vores lid til VPN og stoler på, at data således er krypteret mellem hjemmearbejdspladsen og kontoret. Men det er en falsk tryghed, siger Torben Clemmensen.
»Problemet er, at 90 procent af vores VPN-forbindelser er sat forkert op. Ikke i ond mening. Man har bare ikke tænkt over tingene. Fordi vi har så meget trafik ind og ud via vores videomøder, så er fleste VPN forbindelser sat op således, at den type data bare skal fare direkte ud på nettet. Det skal bare bypasse, fordi der ikke er plads til det i båndbredden. Og dermed har du skabt et kunstigt hul. Nu er endpointen på offerets maskine eneste forsvar mellem dig og virksomhedens infrastruktur. VPN tunnellen bliver dermed den direkte tunnel ind i virksomheden.«
Selv om man gør alt for at beskytte endpoint, mener Torben Clemmensen, at der skal mere radikale løsninger til, hvis man skal undgå sikkerhedsbrud, som familien i eksemplet oplevede. Løsningen kan være at få eksekveret det hele i skyen:
»Man kan sige, at det er spørgsmålet, hvor du vil have bål og brand henne. Vil man have ild i sit hus, hvor flammerne kan kravle rundt inde i væggene - eller vil man have ilden ude i forhaven. Sådan skal man tænke sin it- løsning. Alting skal præ-scannes, inden det når din computer. Ligemeneget om det er et besøg på en hjemmeside eller en patch til din pc. Får du et link i en mail, åbnes den i en isoleret browser i skyen og scannes derude. Er der noget galt, eksploderer det ude i din forhave frem for inde i dit hus. Ellers bliver hjemmearbejdspladsens endpoint-beskyttelse eneste forsvar, du har, forstæller han til Transformator.«
Hør hele interviewet med Torben Clemmensen:

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.