Seriøs razzia fra it-sikkerhedsmyndighed: Sniger sig ind i bygning og gemmer sig på wc

Illustration: sevendeman/Bigstock
Tests af offentlige virksomheder i Norge afslørede alvorlige sårbarheder.

Den norske sikkerhedsmyndighed, Nasjonal sikkerhetsmyndighets (NSM) årlige risiko- og trusselsvurdering advarer om stadigt øget risiko for at blive ramt af digitale sikkerhedstruende angreb.

Rapporten, som blev publiceret tirsdag, fortæller om gentagne forsøg på at hacke virksomheder, som forvalter kritiske samfundsfunktioner.

»Vores vurdering er, at sådan aktivitet kan få alvorlige og til dels uoverskuelige konsekvenser for stats- og samfundssikkerheden. NSM har i løbet af det seneste år koordineret håndtering af større og mere alvorlige digitale hændelser end i tidligere år. I lyset af disse hændelser fremstår norske virksomheder som meget lidt modstandsdygtige over for denne type netværksoperationer.«

»Det er en øgning, som er meget bekymrende. Mørketalsundersøgelsen viser, at få vælger at anmelde sådanne angreb, og det betyder, at dette er en form for kriminalitet, hvor risikoen for at blive pågrebet er lav. Vi opfordrer alle til at anmelde, så politiet får information til at danne sig et helhedsbillede, så de kan allokere nødvendige ressourcer til efterforskning«, siger Christine Korme, direktør for digitalisering og fornyelse i Abelia, som er en norsk paraplyorganisation for viden- og teknologivirksomheder.

Gemte sig på toilettet

I NSM’s tests af norske offentlige virksomheder er der det seneste år blevet afdækket alvorlige sårbarheder.

Ved hjælp af en e-mail med simuleret malware og et link, som bad om indlogningsdetaljer, fik testene for eksempel ni ud af ti ansatte i en offentlig virksomhed til at klikke på linket og fem af ti til at aktivere malwaren. Tre ud af ti oplyste deres indlogningsinformation.

Også fysiske sårbarheder hos virksomhederne kan give adgang videre ind i netværket.

NSM’s indtrængningstestere er også kommet ind på offentlige virksomheders datasystemer gennem blandt andet åbne bagdøre brugt af kantinemedarbejdere, fysiske tilkoblingsmuligheder i usikrede møderum – og i et enkelt tilfælde adgang til hele netværket via en IoT-enhed, som drev kølesystemet i køkkenet.

»NSM fik fysisk tilgang til lokalerne i en offentlig virksomhed ved diskret at snige sig ind gennem en dør, som på grund af træghed i dørpumpen stod åben forholdsvist længe, efter at en person med legitimt ærinde var gået ind. Testpersonalet gemte sig på virksomhedens toilet, indtil alle ansatte var gået hjem for dagen, hvorefter det stod dem frit for at koble fordækte digitale enheder til virksomhedens netværk.«

»Bevidstheden om datakriminalitet i norske virksomheder er for lav, og det gælder særligt i ledergrupper og styrerum. Det er vigtigt at huske, at mange angreb kan forhindres med relativt enkle greb,« mener Korme.

»Vi må hæve kompetencerne«

Rapporten peger også på mangel på tilstrækkelige kompetencer i mange virksomheder, og problematikken med at it-tjenester dermed bliver outsourcet, ofte til andre lande.

»Norske virksomheder må i mange tilfælde se udenlands for at få fat i nøglekompetencer, hvilket kan give sikkerhedsmæssige udfordringer. Kompetenceunderskuddet udgør i stigende grad en sårbarhed.«

Abelia-direktøren er enig i, at kompetenceniveauet i Norge skal øges.

»Det er for få, som har it-sikkerhed som specialområde i Norge, både hos virksomheder og myndigheder. Der er en stor efterspørgsel på denne kompetence. Vi må uddanne flere, hæve kompetencerne hos dem, som allerede er ansat, og vi må hæve kompetencen i befolkningen, så alle kan være med til at beskytte fællesskabet. Abelia foreslår 5.000 nye it-studiepladser de næste fem år, hvoraf nogle bør være øremærket it-sikkerhed,« fortæller hun.

Du kan læse hele rapporten fra NSM her (pdf).

Denne artikel er fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
Michael Fosgerau

Der er ikke meget nyt i, at sikkerhedsfirmaer der bliver bedt om virkeligt at gå til den for at afsløre huller i en virksomheds virke, gør brug af metoder så som fysisk pen-testing også, udover de alment kendte såsom social engineering.

Jeg kan anbefale denne DEFCON session fra 2012, om en jævnt hård tilgang til emnet; "Lad os se om der er huller i din virksomheds sikkerhed og procedurer":

https://www.youtube.com/watch?v=JsVtHqICeKE

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017