Stille hos PWC efter cyberangreb: Andre gange er telefonerne rødglødende

Hverken hos PWC eller Center for Cybersikkerhed har der været særligt mange henvendelser i forbindelse med WannaCry-angrebet.

Mens WannaCry-ransomware-ormen har trukket vilde og vildt mange overskrifter i de danske medier, så har malwaren ikke just skabt telefonstorm hos PWC's it-sikkerhedsafdeling.

PWC hjælper blandt andet kunder, når de har problemer med it-sikkerheden og eksempelvis bliver ramt af ransomware, som var en del af WannaCry.

»Den har jo slet ikke ramt Danmark på samme måde som andre lande,« siger Mads Nørgaard Madsen, der har titel af Head of Security og Technology.

Henvendelser kunne klares over telefonen

Han baserer udsagnet på, at relativt få har henvendt sig til virksomheden i forbindelse med den WannaCry. PWC har både private og offentlige virksomheder i kundekredsen.

Der har dog været nogle henvendelser, men de sager har kunnet klares over telefonen.

»Det er småting. Det er små instanser, hvor det ikke har givet mening at rykke ud på det. De har genskabt ting fra backup. Det har været en telefonsamtale her og der, men ikke noget, hvor beredskabet har skullet rykke ud,« siger Mads Nørgaard Madsen.

Anderledes vildt er det gået for sig, når Danmark har været udsat for de gængse spam-mail-kampagner, hvor eksempelvis PostNords navn bliver misbrugt, og hvor brugeren bliver narret til at køre ransomware.

»Så kan vores telefoner være rødglødende. Der kan være mange virksomheder, der er ramte, på samme tid,« fortæller Mads Nørgaard Madsen om spam-mail-kampagnerne.

Undrer sig over hvorfor Danmark stort set er gået fri

I den forbindelse undrer det ham faktisk, at Danmark ikke er blevet hårdere ramt i forhold til WannaCry, der har spredt sig ved at udnytte en sårbarhed i uopdaterede Windows-systemer.

»WannaCry havde alt, hvad der skulle til, for at Danmark var blevet ramt lige så kraftigt som andre steder. Vi er på ingen måde bedre til at opdatere vores systemer.«

Som andre også har peget på, så mener Mads Nørgaard Madsen, at den tilsyneladende ringe WannaCry-infektions-succes i Danmark kan hænge sammen med, at angrebet startede omkring store bededag, hvor folk havde fri. Og dermed var der altså antageligt heller ikke så mange på arbejde til at tænde for deres måske sårbare computere.

It-folk på weekend-arbejde

Til gengæld var der ifølge Mads Nørgaard Madsen mange it-folk i diverse virksomheder på arbejde hen over weekenden til sikre, at systemerne var WanaCry-sikrede, når folk mødte ind på arbejde mandag, påpeger Mads Nørgaard Madsen.

Derudover så var der også sikkerhedsforskeren, kendt som MalwareTech, der fredag i sidste uge - altså store bededag - registrerede et domæne, som var indlejret i malwaren. Domæne-registreringen fik ransomware-aktiviteten til at stoppe, hvilket Mads Nørgaard Madsen også mener har været en medvirkende faktor til, at Danmark er sluppet forholdsvis nådigt fra WannaCry.

Tilbage i marts frigav Microsoft en kritisk sikkerhedsopdatering til flere Windows-systemer, som har lukket for det hul i styresystemet, som WannaCry har spredt sig via. Ifølge Mads Nørgaard Madsen er det dog ikke usædvanligt, at virksomhedssystemer går uden kritiske opdateringer i månedsvis.

»Det vil jeg sige. Det er jo komplekse miljøer. Det at rulle en patch ud kan jo lyde nemt, men i komplekse miljøer kan der være programmer, der ikke virker, når der kommer opdateringer på.«

Er det alm., at der går flere måneder, hvor man lader være med at rulle kritiske opdateringer ud?

»Det er jo ikke fordi, man lader være, det er fordi, man ikke når dertil. Det er jo en risikobetragtning. Hver gang man ruller en opdatering ud, så udsætter man jo virksomheden for en risiko i forhold til, at ting ikke virker,« siger Mads Nørgaard Madsen.

PWC har i den forbindelse ikke nogen decideret statistik over, hvor lang tid, der i gennemsnit går, til der bliver rullet en kritisk Windows-opdatering ud i danske organisationer.

»Alt tyder på, den har spredt sig via dette sikkerhedshul, og det havde jo ikke været et problem, hvis alle havde opdateret,« siger Mads Nørgaard Madsen og tilføjer:

»Der er masser i Danmark, der har Windows XP og Windows Server 2003. De er så gamle, at der ikke kommer opdateringer til dem, medmindre man har et dyrt abonnement.«

Version2 har været i kontakt med Center for Cybersikkerhed for at høre til, hvor mange henvendelser, organisationen har fået fra sine kunder - blandt andet statslige organisationer - i forbindelse med WanaCry-angrebet.

»Vi har haft meget få henvendelser omkring mulige WannaCry-infektioner,« siger chef for CFCS Thomas Lund Sørensen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (2)

Thomas Hedberg

Der er flere faktorer - et par af dem:

Jeg har mere end almindeligt svært ved at komme i tanke om et internet produkt fra teleselskaberne i Danmark, som ikke inkluderer en NAT baseret firewall. Det skulle lige være de simple 3G/4G USB modems og det vil være min formodning at de sidderpå en meget beskeden del af markedet - ikke mindst fordi alle har en smartphone og en del nok bruger deling i den fremfor et dedineret produkt. Derudover har en standard Windows installation i meget lang tid haft firewall'en aktiveret som standard. Da WannaCry er en orm der kun inficerer via SMB så er de private stort set ikke blevet ramt.

Virksomhederne har på samme måde firewalls der blokerer for SMB (som det længe har været kotume at gøre). Så der er specielle løsninger som skiltnene i Randers m.m. der bliver ramt og det tjener som et varsel om hvordan IoT tidsalderen bliver fremover.

Noget der hjalp virksomhederne er inkubations tiden. Der ser ud til at være en relativt kort tid fra en maskine inficeres til den krypterer filer og gør opmærksom på sig selv. Så kort tid, at man kun i sjældne tilfælde ville nå at tage maskinen med sig til et nyt netværk og inficere maskiner som ellers ikke ville være eksponeret. Hvis forfatterne havde skelet til biologi ville de vide, at ønsker man at inficere mange, så skal man vente lidt med at slå hosten ihjel - ihvertfald til de er nået at smitte en del andre.

Hvis man tager det med over i WannaCry og havde ventet f.eks. 8 timer eller til at maskinen havde skiftet netværk kunne antallet være radikalt anderledes. Hvis man havde haft flere smitteveje kunne det være blevet meget værre. Jeg så for et år siden en på det tidspunkt 10 år gammel virus variant der udnyttede SMB og den lagde nærmest produktionen ned i en milliard virksomhed i en lille uge. Den var meget simpel. Den renamede katalogerne og lagde .exe filer med de gamle katalog navne og håbede på, at folk ville klikke på dem. Det virkede forbavsende godt og gav et enormt oprydningsarbejde - Den var relativt uskadelig og slettede ikke data. Havde den været kombineret med noget destruktivt som ransomware ville de stadig havde været igang med at restore data i mange uger efter pga. datamængderne.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017

Welcome to Free course to learn about the combined power of Alteryx and Qlik!

Affecto invites to a free course, where we want to share our knowledge of this self-service analysis platform together with the power of Qlik.
20. apr 2017

Robotics Process Automation (RPA) changes the way organizations think about and perform work at a reduced cost, higher efficiency and greater productivity

Join us for this exiting seminar, which Affecto hosts with our business partner SmartRPA May 3rd, 2017 at 13.00 in Copenhagen.
30. mar 2017