64 procent af danske virksomheder har været udsat for et hackerangreb i de seneste 12 måneder. Etisk hacker ved PwC mener, der er plads til forbedring i it-sikkerheden.
Næsten to ud af tre virksomheder har været udsat for et hackerangreb i de forgange 12 måneder. Det viser en undersøgelse blandt danske og norske virksomhedsledere, som konsulenthuset PwC har foretaget. Samtidig peger samme undersøgelse på at en 37% ikke mistede penge, men også kunder, brandværdi eller permanent adgang til kritiske systemer.
Lone Juul Dransfeldt Christensen arbejder som hacker – nærmere bestemt som certificeret etisk hacker ved konsulenthuset PwC. Hun arbejder med at forbedre it-sikkerheden for landets virksomheder ved at teste robustheden over for uønskede hacking-angreb. Og beskeden er klar: der er plads til forbedring.
”Lige nu er mange virksomheder bagud i kampen mod hackere. Så der er mange muligheder for at angribe lige fra tekniske angreb på infrastrukturen til CEO-fraud og phishing”, forklarer Lone Juul Dransfeldt Christensen med henvisning til angreb, hvor hackeren udgiver sig for at være direktør (CEO) og narrer nøglemedarbejdere til f.eks. at overføre penge (CEO-fraud) eller analogt finder en vej ind i virksomheden ved at finde passwords og brugeroplysninger til it-systemerne i f.eks. en skraldespand (dumpster diving).
Og virksomhederne kan opruste på it-sikkerheden, vurderer hun.
”Hvis man ser det som en kamp mellem forsvar og angreb, kan vi se lige nu, at hackerne er et stykke foran. Og der er mange ting virksomhederne kan gøre for at opruste sit forsvar”.
EF-chef: hacking er største trussel
Chefen for Forsvarets Efterretningstjeneste, Lars Findsen mener også at truslen lige nu, er alvorlig for både virksomheder, offentlige myndigheder og borgere.
”Generelt set er sikkerhedstruslen under niveauet ”meget høj”. Og det er det allerhøjeste niveau vi kan ramme. Der er hele tiden aktører, der forsøger at trænge ind i vores netværk”, lyder advarslen fra Lars Findsen. Han mener, at virksomheder bør granske deres eget sikkerhedsniveau løbende, så man altid er rustet til at håndtere truslen.
”Der er mange ting, man kan gøre for at hæve barren i forhold til cybersikkerhed. Går problemerne så væk af den grund? Nej, formentlig ikke. Men ligesom med indbrudstyve går de formentlig ind til naboen, hvis de møder modstand. Og så længe vi har interessante informationer, går truslen ikke væk”, siger Lars Findsen, chef for Forsvarets Efterretningstjeneste.
Han forklarer, at cybertruslen særligt kommer fra lande som Rusland, Ukraine, Iran og Nordkorea, der opererer via servere over hele verden for at sprede trådene.
Hackeren kigger i din papirkurv
Selvom truslen ofte kommer langt fra danske kyster, så kan hackere sagtens operere i vores egen baghave.
”Hvis hackeren vælger en vej, hvor man udnytter medarbejderen gennem social engineering, kan dette gøres analogt. Man kan for eksempel fysisk trænge sig ind i virksomheden og gennemsøge papirkurve eller tag et kig i skraldespande og affald tilgængeligt udenfor bygningen. Det er det, der hedder ’dumpster diving’”, forklarer Lone Juul Dransfeldt Christensen.
Trusler som disse må virksomheder indregne, mener hun.
”Der er mange måder, man som hacker kan arbejde på. Og derfor skal man som virksomhed se på, hvilken trussel man står over for. Hvor langt hackere vil gå afhænger af hvad de kan opnå – det er altså en afvejning af indsats versus udbyttet. Er udbyttet stort i form af f.eks. kapital eller politisk vinding så holdere hackeren sig måske ikke tilbage fra at dykke ned i for eksempel skraldespande.
Og virksomhederne har i stort omfang fanget, at interne medarbejdere spiller en nøglerolle i it-sikkerheden og brud på samme. For eksempel mener 56% af de adspurgte virksomheder, at den største it-trussel er uopmærksomme medarbejdere, hvorfor awareness-træning også er blandt de højest prioriterede it-investeringer hos virksomhederne.
Mærsk er et fint udgangspunkt for erhvervsliv
Sidste år kostede et hackerangreb Mærsk op mod to mia. kr., og det kan være et pejlemærke for, hvordan det står til med danske virksomheders it-sikkerhed.
”Sidste års angreb Wannacry og NotPetya (et større angreb der ramte Windows-baserede styresystemer, red.), er noget alle danske virksomheder kan tage ved lære af. Omfanget af angrebene er med til at give en indikator af sikkerhedsniveauet i mange virksomheder, og behovet for at der bliver oprustet. Danmark var heldige at blive skånet for Wannacry på grund af Store Bededag, men så heldige er vi nok ikke næste gang”, siger hun.
Og selvom erfaringen i tilfælde med denne type angreb kan være dyrt købte, skal man også tage det som en læringsproces, vurderer hun.
”Man må tage sikkerhedsbrud som en erfaring, selv hvis man ikke var uheldig at blive ramt. Hvad kan man gøre for at beskytte sig mod et angreb såsom NotPetya? F.eks. patch management for at sikre sig mod kendte sårbarheder, netværkssegmentering for at begrænse spredningen, beredskabsøvelser så man er klar når uheldet er ude.”.
Ikke en kæmpe forretning
Selvom hackerangrebene koster milliarder for virksomhederne, er det ikke noget, hackere nødvendigvis tjener store summer på. Det forklarer Søren Debois, forsker i it-sikkerhed ved ITU.
”WannaCry-angrebet sidste år, der var et ransomware-angreb, hvor hackere kryptere computere, så man ikke kan komme ind på den, spredte sig rigtig hurtigt til store institutioner som NHS i England, der var nede i et længere stykke tid. Det var enormt ødelæggende, og dem, der gjorde det, fik omkring én million kroner ud af det. Det siger noget om asymmetrien i det”, siger han.
Til gengæld er markedet for it-sikkerhed boomende. Det mærker de også hos PwC, hvor efterspørgslen er stigende.
”Vi ser helt klart en stor efterspørgsel på det, vi kan, så vi udvider i både i mængden af services og i antallet af medarbejdere. Jeg er ny i PwC af samme grund.”, siger Lone Juul Dransfeldt Christensen.