Seriøs razzia fra it-sikkerhedsmyndighed: Sniger sig ind i bygning og gemmer sig på wc

21. marts 2018 kl. 12:212
Seriøs razzia fra it-sikkerhedsmyndighed: Sniger sig ind i bygning og gemmer sig på wc
Illustration: sevendeman/Bigstock.
Tests af offentlige virksomheder i Norge afslørede alvorlige sårbarheder.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Den norske sikkerhedsmyndighed, Nasjonal sikkerhetsmyndighets (NSM) årlige risiko- og trusselsvurdering advarer om stadigt øget risiko for at blive ramt af digitale sikkerhedstruende angreb.

Rapporten, som blev publiceret tirsdag, fortæller om gentagne forsøg på at hacke virksomheder, som forvalter kritiske samfundsfunktioner.

Version2 Infosecurity

It-sikkerhedsmessen Infosecurity Denmark 2018 byder på mere end 110 seminarer og cases, 25 udvalgte keynotes og 80 udstillere. To dage med masser af faglig viden og netværk d. 2. og 3. maj i Øksnehallen i København.

Konferenceprogrammet dækker både compliance, cybercrime, IoT, nye teknologier som AI og blockchain samt cloud security og giver et unikt indblik i de nyeste it-sikkerhedsmæssige udfordringer på et højt fagligt niveau.

Du bliver opdateret om både de nyeste tekniske landvindinger fra spydspidsforskere og får indblik i aktuelle trusselsbilleder fra nogle af verdens bedste rådgivere.

Flere oplysninger

Vil du gå direkte til tilmelding, klik her.

»Vores vurdering er, at sådan aktivitet kan få alvorlige og til dels uoverskuelige konsekvenser for stats- og samfundssikkerheden. NSM har i løbet af det seneste år koordineret håndtering af større og mere alvorlige digitale hændelser end i tidligere år. I lyset af disse hændelser fremstår norske virksomheder som meget lidt modstandsdygtige over for denne type netværksoperationer.«

Artiklen fortsætter efter annoncen

»Det er en øgning, som er meget bekymrende. Mørketalsundersøgelsen viser, at få vælger at anmelde sådanne angreb, og det betyder, at dette er en form for kriminalitet, hvor risikoen for at blive pågrebet er lav. Vi opfordrer alle til at anmelde, så politiet får information til at danne sig et helhedsbillede, så de kan allokere nødvendige ressourcer til efterforskning«, siger Christine Korme, direktør for digitalisering og fornyelse i Abelia, som er en norsk paraplyorganisation for viden- og teknologivirksomheder.

Gemte sig på toilettet

I NSM’s tests af norske offentlige virksomheder er der det seneste år blevet afdækket alvorlige sårbarheder.

Ved hjælp af en e-mail med simuleret malware og et link, som bad om indlogningsdetaljer, fik testene for eksempel ni ud af ti ansatte i en offentlig virksomhed til at klikke på linket og fem af ti til at aktivere malwaren. Tre ud af ti oplyste deres indlogningsinformation.

Også fysiske sårbarheder hos virksomhederne kan give adgang videre ind i netværket.

Artiklen fortsætter efter annoncen

NSM’s indtrængningstestere er også kommet ind på offentlige virksomheders datasystemer gennem blandt andet åbne bagdøre brugt af kantinemedarbejdere, fysiske tilkoblingsmuligheder i usikrede møderum – og i et enkelt tilfælde adgang til hele netværket via en IoT-enhed, som drev kølesystemet i køkkenet.

»NSM fik fysisk tilgang til lokalerne i en offentlig virksomhed ved diskret at snige sig ind gennem en dør, som på grund af træghed i dørpumpen stod åben forholdsvist længe, efter at en person med legitimt ærinde var gået ind. Testpersonalet gemte sig på virksomhedens toilet, indtil alle ansatte var gået hjem for dagen, hvorefter det stod dem frit for at koble fordækte digitale enheder til virksomhedens netværk.«

»Bevidstheden om datakriminalitet i norske virksomheder er for lav, og det gælder særligt i ledergrupper og styrerum. Det er vigtigt at huske, at mange angreb kan forhindres med relativt enkle greb,« mener Korme.

»Vi må hæve kompetencerne«

Rapporten peger også på mangel på tilstrækkelige kompetencer i mange virksomheder, og problematikken med at it-tjenester dermed bliver outsourcet, ofte til andre lande.

Artiklen fortsætter efter annoncen

»Norske virksomheder må i mange tilfælde se udenlands for at få fat i nøglekompetencer, hvilket kan give sikkerhedsmæssige udfordringer. Kompetenceunderskuddet udgør i stigende grad en sårbarhed.«

Abelia-direktøren er enig i, at kompetenceniveauet i Norge skal øges.

»Det er for få, som har it-sikkerhed som specialområde i Norge, både hos virksomheder og myndigheder. Der er en stor efterspørgsel på denne kompetence. Vi må uddanne flere, hæve kompetencerne hos dem, som allerede er ansat, og vi må hæve kompetencen i befolkningen, så alle kan være med til at beskytte fællesskabet. Abelia foreslår 5.000 nye it-studiepladser de næste fem år, hvoraf nogle bør være øremærket it-sikkerhed,« fortæller hun.

Du kan læse hele rapporten fra NSM her (pdf).

Denne artikel er fra digi.no.

2 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
2
22. marts 2018 kl. 18:24

ændre kulturen. Dansk nå ja det går nok slaske sløv dansk kultur.

1
22. marts 2018 kl. 08:44

Der er ikke meget nyt i, at sikkerhedsfirmaer der bliver bedt om virkeligt at gå til den for at afsløre huller i en virksomheds virke, gør brug af metoder så som fysisk pen-testing også, udover de alment kendte såsom social engineering.

Jeg kan anbefale denne DEFCON session fra 2012, om en jævnt hård tilgang til emnet; "Lad os se om der er huller i din virksomheds sikkerhed og procedurer":

https://www.youtube.com/watch?v=JsVtHqICeKE