Angreb – hvor hurtig kan du reagere?

Virksomheder der fortæller dig, at deres produkt giver dig 100% sikkerhed imod angreb, indbrud, brand eller andre former for katastrofer, fortæller ikke sandheden.

Det samme gælder med IT sikkerhed, – der findes ikke noget produkt, der giver 100% sikkerhed mod angreb.

Alarmsystemer

Når en virksomhed vælger at få installeret en tyverialarm, så er det næppe fordi man regner med, at det giver 100% sikkerhed imod tyveri. Nej det er fordi man vil sikre sig, at når alarmen aktiveres, så er der nogen der tager affære. Reaktionstiden er nu det vigtigste,  og skaden afhænger af hvor hurtigt en vagt  kommer frem til gerningsstedet og får stoppet indbruddet.

Når det drejer sig om IT sikkerhed, er det samme mekanismer der er gældende, og det vigtigste er TIDEN! Når en hacker er kommet ind på din Web eller interne netværk, er tiden den afgørende faktor. Så følgende spørgsmål er nærliggende at stille:

  • Hvem i din organisation får alarmen?
  • Hvad skal reaktionstiden være fra alarmen har lydt?
  • Forstår du alarmen, – bruger den et sprog der enkelt fortæller, hvad du skal foretage dig?

Angreb foregår 24/7

Hvis du har ovenstående ting på plads,  er det næste at finde ud af hvad der egentlig ville ske. Hvis vi et øjeblik vender tilbage til den almindelige form for tyveri, vil man opdage at der er taget nogle ting f. eks. computere,  dokumenter etc.

Nogle har video overvågning, der optager hvem tyven er, og hvad han foretager sig. Men når det gælder elektronisk kriminalitet, kan man ikke direkte se, hvad angriberen stjæler.

Til forskel fra almindeligt tyveri, kan elektronisk kriminalitet godt foregå om dagen.

Det er jo sværere at gå ind i en virksomhed om dagen og lave almindeligt tyveri, hvorimod hackere arbejder døgnet rundt. Især hvis alarmsystemet ikke fungerer.

Følg angrebet 

Hvis hackeren er kommet igennem dit forsvarssystem, er det vigtigste at være i stand til at følge hans spor. Hvis hackeren har knækket et  brugernavn og password, er han jo en godkendt bruger. Han har rettigheder, som alarmsystemet ikke nødvendigvis reagerer på.  Nu har vi brug for et system, der ligesom videoovervågningen optager hvad der foregår.

Nål i høstak
Nålen i høstakken

De fleste systemer har mulighed for at logge alt. Problemet er bare, at denne logning ofte ikke er sat til og hvis den er sat til,  kræver det, at man jævnligt gennemgår denne log for uregelmæssigheder.

Det giver ikke værdi at man logger alting, hvis ingen gennemser eller forstår indholdet af loggen. Det kræver stor ekspertise, at forstå de meddelelser en log indeholder.

En firewall bør logge alt, både ind- og udgående trafik, og en Server skal logge alle login, også dem der gik godt.  

Millioner af log linier

En almindelig dansk virksomhed kan nemt generere millioner af log linier pr. dag. Det er som at lede efter en nål i en høstak, hvis ikke man præcist ved, hvad man skal se efter.

Interne systemer, der indeholder følsomme data som økonomi eller kundedata, bør også registrere, hvornår man logger af og på.

For eksempel er det acceptabelt, at jeg logger ind på vores økonomisystem 3 gange i løbet af en dag, men det er ikke normalt, at jeg prøver at logge ind 10 gange indenfor nogle få minutter.

Denne uregelmæssighed bør et sikkerhedssystem opfange, og  gøre den sikkerhedsansvarlige opmærksom på, at der foregår noget usædvanligt. Måske er situationen i orden, men det skal tjekkes.

Starten på min artikel er: “Hvor hurtig kan du reagere på et hacker angreb” og mit budskab er, at ligesom med tyverialarm på hoveddøren, bør der også være  tyveri- og angrebsalarm på et IT system.

Det er virksomhedens ansvar

Hvad enten man outsourcer denne funktion eller man selv har ekspertisen, så bør der være en klar plan for niveauet af sikkerheden.

Husk ingen produkter er 100% sikre, men med hjælp fra eksperter i IT sikkerhed, kan man få sikkerheden op på et niveau, der matcher den risiko for IT indbrud, din virksomhed kan blive udsat for.

Husk også reglerne i EU’s dataforordning hvis du er underlagt denne, som giver dig 72 timer’s reaktionstid.

Hvor hurtig kan din virksomhed reagere på et hackerangreb?

… Og hvorfor afviser nogle virksomheder IT angreb gang på gang? 

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *

This site uses Akismet to reduce spam. Learn how your comment data is processed.