version af denne artikel oversat af Marisela Ordaz Tænk på [cybersikkerhed] mere som sikkerhed og sikkerhed på veje og biler. Bilen har ikke rigtig ændret sig i de sidste 30 år, men en masse sikkerhed er indbygget, og den er ikke sexet, før den redder dit liv. Du har ting, der er skjult – airbags – og bits der for at minde dig om at være sikker som sikkerhedsseler... Noget af det handler om god opførsel og god attitude, noget af det handler om fysisk sikkerhed for at minde dig om, at der er en risiko, og noget af det er bagt ind for at redde dig.
– Sian John, Senior Cybersecurity Strategist hos Symantec
Vi indrømmer det. Cybersikkerhed er ikke sexet. Men i nutidens digitale tidsalder er cybersikkerhed blevet mere og mere kritisk for både store virksomheder og små startups. I dag er indsatsen højere end nogensinde, da "hver virksomhed er blevet en teknologivirksomhed." Teknologi er blevet mere end et supplement til en virksomheds drift, og i mange tilfælde er aktiverne på deres netværk er deres kerneaktiviteter. Dette forstærkes af det faktum, at hacks er ved at blive almindelige på grund af stigningen i mobilbrug og tingenes internet, samt det voksende økosystem af cyberkriminelle.
Denne artikel skitserer typerne af cyberkriminelle, cyberkriminalitetstaktikker og medvirkende faktorer. Stykket indeholder også håndgribelige løsninger, virksomheder kan bruge til at beskytte sig selv. Løsninger omfatter både teknologiske sikkerhedsforanstaltninger og menneskelige komponenter. For eksempel skal ledelsen anerkende cybersikkerhed som et strategisk forretningsproblem og ikke kun et "it-problem". Derudover er nogle af de mest effektive løsninger ret basale, såsom medarbejderuddannelse eller to-faktor-autentificering for brugere.
Forenklet sagt er en cyberkriminalitet en forbrydelse med en eller anden form for computer- eller cyberaspekt. Det kan tage form i en række forskellige formater og fra enkeltpersoner eller grupper med forskellige motivationsfaktorer. Cybertrusler er grundlæggende asymmetriske risici, idet små grupper af individer kan forårsage uforholdsmæssigt store mængder skade.
Økonomisk motiverede organiserede kriminelle grupper: De fleste af disse grupper er placeret i Østeuropa
Nationsstatsaktører: Folk, der arbejder direkte eller indirekte for deres regering for at stjæle følsomme oplysninger og forstyrre fjendernes evner. De er generelt de mest sofistikerede cyberangribere, hvor 30 % stammer fra Kina.
Aktivistgrupper eller "hacktivister": Er normalt ikke ude efter at stjæle pengene. De er ude på at fremme deres religion, politik eller sag; at påvirke omdømme eller at påvirke kunder.
Insidere: Disse er de "desillusionerede, afpressede eller endda overhjælpsomme" medarbejdere, der opererer inde fra en virksomhed. De må dog ikke deltage i cyberkriminelle aktiviteter bevidst; nogle tager måske blot en kontaktliste eller et designdokument uden at indse, hvilken skade det kan forårsage.
Gennemsnitsalderen for en cyberkriminel er 35 år, og 80 % af kriminelle hackere er tilknyttet organiseret kriminalitet. Kort sagt, folk vælger dette som et erhverv.
Cyberkriminelle bruger både statiske og dynamiske metoder til at begå deres forbrydelser. Lad os dykke ned.
Et DDoS-angreb forsøger at forstyrre et netværks tjeneste. Angribere sender store mængder data eller trafik gennem netværket, indtil det bliver overbelastet og holder op med at fungere. Den indgående trafik, der oversvømmer ofret, stammer fra mange forskellige kilder, potentielt hundredtusindvis. Dette gør det umuligt at stoppe angrebet ved at blokere en enkelt IP-adresse og gør det vanskeligt at skelne legitim trafik fra angrebstrafik.
Phishing-angreb, der ofte optræder som en anmodning om data fra en betroet tredjepart, sendes via e-mail og beder brugerne om at klikke på et link og indtaste deres personlige data. Det involverer ofte psykologisk manipulation, påkaldelse af uopsættelighed eller frygt, narring af intetanende personer til at udlevere fortrolige oplysninger.
Der er et par faktorer. For det første er phishing-e-mails blevet sofistikerede og ligner ofte legitime anmodninger om information. For det andet bliver phishing-teknologi nu udlicenseret til cyberkriminelle, inklusive on-demand phishing-tjenester og off-the-shelf phishing-sæt. Det mest bekymrende er måske det faktum, at mørke webtjenester har gjort det muligt for cyberkriminelle at forfine deres kampagner og færdigheder. Faktisk er der seks gange større sandsynlighed for, at der klikkes på phishing-e-mails end almindelige marketing-e-mails til forbrugere.
Malware, forkortelse for "ondsindet software", er designet til at få adgang til eller beskadige en computer. Malware er en paraplybetegnelse for et væld af cybertrusler, herunder trojanske heste, vira og orme. Det introduceres ofte til et system gennem e-mail-vedhæftede filer, softwaredownloads eller operativsystemsårbarheder.
Mens de ondsindede insidere, der lækker information til WikiLeaks, modtager al presse og ære, er et mere almindeligt scenarie, at en gennemsnitlig, men opportunistisk medarbejder eller slutbruger i hemmelighed tager fortrolige data i håb om at udbetale et sted hen ad linjen (60 % af tiden) . Nogle gange bliver medarbejderne lidt for nysgerrige og lurer lidt (17%). Personlige oplysninger og medicinske journaler (71 %) er målrettet mod økonomisk kriminalitet, såsom identitetstyveri eller svindel med selvangivelse, men nogle gange er det blot for sladder.
Disse angreb omfatter fysisk implantering af et aktiv, der læser magnetstribedata fra et betalingskort (f.eks. pengeautomater, benzinpumper, POS-terminaler). Det er relativt hurtigt og nemt at udføre et angreb som dette, med potentiale for relativt højt udbytte – og det samme er en populær handlingstype (8%).
For tre år siden anslog Wall Street Journal, at omkostningerne ved cyberkriminalitet i USA var 100 milliarder dollars. Andre rapporter anslog, at tallet var så meget som ti gange højere end dette. I 2017 er de gennemsnitlige omkostninger ved et databrud $7,35 millioner sammenlignet med $5,85 i 2014. Omkostningerne omfatter alt fra opdagelse, indeslutning og genopretning til forretningsafbrydelser, tab af indtægter og beskadigelse af udstyr. Ud over monetære bekymringer kan et cyberbrud også ødelægge immaterielle aktiver, såsom en virksomheds omdømme eller kundegoodwill.
Interessant nok har virksomheder med det højeste niveau af forretningsinnovation ofte dyrere angreb. En "forretningsinnovation" kan være alt fra et opkøb eller frasalg til indtræden på et nyt geografisk marked. Et virksomhedskøb eller frasalg viste sig at øge omkostningerne ved cyberkriminalitet med 20 %, mens lanceringen af en væsentlig ny applikation øgede omkostningerne med 18 %.
For finansielle servicevirksomheder kan omkostningerne efter et sikkerhedsbrud tilskrives forretningsforstyrrelser, tab af information, tab af indtægter og andre omkostninger.
Den uheldige sandhed er, at selvom ingen industri er immun, er cybersikkerhedsproblemer særligt udtalte for finansielle tjenester. Ifølge Verizon Data Breach Investigations Report fra 2017 ramte 24 % af bruddene finansielle organisationer (den bedste industri), efterfulgt af sundhedsvæsenet og den offentlige sektor. Til sammenligning lå industrien i 2012 på tredjepladsen efter forsvaret og forsynings- og energiindustrien. Ud over frekvensen er omkostningerne til finansiering af virksomheder de højeste af alle industrier, idet de i gennemsnit tabte 16,5 millioner USD i 2013.
Inden for finansielle tjenester involverede den mest almindelige type cyberbrud DDoS-angreb. Og som for alle DDoS-angreb blev finansindustrien hårdest ramt.
I 2012 var seks store amerikanske banker (Bank of America, JPMorgan Chase, Citigroup, U.S. Bank, Wells Fargo og PNC) mål i en bølge af computerangreb fra en gruppe, der hævdede mellemøstlige bånd. Angrebene forårsagede strømafbrydelser på internettet og forsinkelser i netbank, hvilket resulterede i frustrerede kunder, som ikke kunne få adgang til deres konti eller betale regninger online.
Det var DDoS-angreb, hvor hackerne overvældede bankens hjemmesider til det punkt, hvor de blev lukket. Angrebene brugte også botnets, netværk af inficerede computere, der udfører bud fra kriminelle. Nogle gange omtales botnets som "zombiecomputere", der adlyder kommandoerne fra et "master botnet". Desværre kan disse lejes gennem sorte markeder eller lånes ud af kriminelle eller regeringer.
I sommeren 2014, i det største sikkerhedsbrud i en amerikansk bank til dato, blev navne, adresser, telefonnumre og e-mailadresser på omkring 83 millioner konti kompromitteret af hackere. Ironisk nok bruger JPMorgan omkring 250 millioner dollars på computersikkerhed hvert år. Bruddet i 2014 var ikke resultatet af en sofistikeret ordning. Angrebet brugte ikke et zero day-angreb, den nye softwarefejl, der sælger for millioner på det sorte marked. Den brugte heller ikke malware, som hackere i Nordkorea brugte i deres cyberangreb af Sony. Snarere var kilden til problemet grundlæggende:Banken brugte ikke to-faktor-godkendelse, som er et ekstra lag af sikkerhed, når brugere logger ind for at få adgang til data eller en applikation. JPMorgans sikkerhedsteam forsømte at opgradere en af dets netværksservere med det dobbelte adgangskodeskema - det var alt, der skulle til.
I februar 2016 blev Society for Worldwide Interbank Financial Telecommunication (SWIFT), et internationalt konsortium af over 11.000 banker, der faciliterer grænseoverskridende overførsler, hacket. Bangladesh Bank, en bruger i SWIFT-netværket, blev hacket for 81 millioner dollars. Kun en lille del blev inddrevet, før Federal Reserve Bank of New York blokerede 30 andre transaktioner, der kunne have overført yderligere $850 millioner.
Disse angreb viser, at betalingsnetværk kun er lige så troværdige som deres svageste led. Mange i branchen var ikke overrasket over angrebet. Ifølge Justin Clarke-Salt, medstifter af Gotham Digital Science, et cybersikkerhedsfirma, udnyttede angrebene en svaghed i systemet:at ikke alle institutioner beskytter adgangen til SWIFT på samme måde. Når alt kommer til alt, "Angribere angriber ofte folk, der er nemmere at angribe... Så langt fra, hvad vi ved er blevet offentligt rapporteret, har de i høj grad rettet sig mod mindre finansielle institutioner. Det skyldes sandsynligvis, at de har mindre sofistikerede kontroller.”
Selvom nyhederne ofte dækker angreb på de største virksomheder (Target, Yahoo, Home Depot, Sony), er små virksomheder ikke immun. I de sidste 12 måneder har hackere brudt halvdelen af alle små virksomheder i USA ifølge 2016 State of SMB Cybersecurity Report.
På den ene side, hævder nogle, er mindre virksomheder muligvis ikke i stand til at komme sig efter et cyberangreb**. **Ifølge Sian John, senior cybersikkerhedsstrateg hos Symantec, oplever virksomheder, der er ramt af et sikkerhedsproblem, et "massivt omdømme- og økonomisk hit" for virksomheder i året efter, før de vender tilbage til normaliteten. Hun spurgte:"Hvis du er en mindre virksomhed, kan du så overleve den dyk?"
På den anden side hævder andre, at små virksomheder har en fordel:"En stor virksomhed er mere sårbar end en lille virksomhed:De har store datapuljer, og hundredvis af mennesker skal have adgang...Hvis du er i den mindre ende af skala, være smart omkring forretningsprocesser og forstå, hvor disse forretningsprocesser kan udnyttes, er nemmere end for en stor organisation,” erklærede Richard Horne, partner hos PricewaterhouseCoopers.
Cyberkriminelle vedtager nu virksomhedens bedste praksis for at øge effektiviteten af deres angreb. Nogle af de mest driftige kriminelle sælger eller licenserer hackingværktøjer til mindre sofistikerede kriminelle. For eksempel har professionelle kriminelle solgt zero-day-teknologi til kriminelle på det åbne marked, hvor de hurtigt bliver varemærket. Bander tilbyder også ransomware som en tjeneste, der fryser computerfiler, indtil offeret opfylder de økonomiske krav, og derefter tager et snit for at give licensen.
Der er nu et helt økosystem af ressourcer, som cyberkriminelle kan udnytte. "Avancerede kriminelle angrebsgrupper gentager nu de færdigheder, som nationalstatsangribere har. De har omfattende ressourcer og et højt kvalificeret teknisk personale, der arbejder med en sådan effektivitet, at de opretholder normale åbningstider og endda holder weekender og helligdage fri...Vi ser endda kriminelle angribere på lavt niveau oprette callcenter-operationer for at øge virkningen af deres svindel,” sagde Kevin Haley, direktør hos Symantec.
Hvis en tredjepart bliver hacket, risikerer din virksomhed at miste forretningsdata eller kompromittere medarbejderoplysninger. For eksempel var Target-databruddet i 2013, der kompromitterede 40 millioner kundekonti, resultatet af, at netværksoplysninger blev stjålet fra en tredjepartsleverandør af varme og aircondition. En undersøgelse fra 2013 viste, at 63 % af det års databrudsundersøgelser var knyttet til en tredjepartskomponent.
På grund af et stigende antal online-mål er hacking blevet nemmere end nogensinde. I forbrugerbank er brugen af mobile enheder og apps eksploderet. Ifølge en Bain &Company-undersøgelse fra 2014 er mobil den mest anvendte bankkanal i 13 ud af 22 lande og omfatter 30 % af alle interaktioner globalt. Derudover har forbrugerne taget mobile betalingssystemer til sig. For banker, der konkurrerer med fintech-startups, vil kundernes bekvemmelighed fortsat være vigtig. De skal muligvis veje de potentielle svindeltab med tab fra en mere ubekvem brugeroplevelse. Nogle institutioner bruger avanceret godkendelse til at konfrontere disse ekstra sikkerhedsrisici, hvilket giver kunderne adgang til deres konti via stemme- og ansigtsgenkendelse.
Internet of things (IoT) er afsat til ideen om, at en bred vifte af enheder, herunder apparater, køretøjer og bygninger, kan forbindes med hinanden. For eksempel, hvis din alarm ringer klokken 7:00, kan den automatisk give din kaffemaskine besked om at begynde at brygge kaffe for dig. IoT kredser om maskine-til-maskine kommunikation; den er mobil, virtuel og tilbyder øjeblikkelige forbindelser. Der er over en milliard IoT-enheder i brug i dag, et antal forventes at være over 50 milliarder i 2020. Problemet er, at mange billigere smarte enheder ofte mangler ordentlig sikkerhedsinfrastruktur. Når hver teknologi har høj risiko, vokser risikoen eksponentielt, når den kombineres.
På trods af overskrifter omkring cybersikkerhed og dens trusler, er der stadig en kløft mellem virksomhedernes bevidsthed og deres parathed til at håndtere det. I det sidste år har hackere brudt halvdelen af alle amerikanske små virksomheder. I Ponemon Institutes undersøgelse fra 2013 angav 75 % af de adspurgte, at de ikke havde en formel responsplan for cybersikkerhedshændelser. 66 % af de adspurgte var ikke sikre på deres organisations evne til at komme sig efter et angreb. Yderligere viste en undersøgelse fra 2017 fra cybersikkerhedsfirmaet Manta, at hver tredje små virksomhed ikke har værktøjerne på plads til at beskytte sig selv.
Taktisk set har finansielle servicevirksomheder meget at forbedre med hensyn til at opdage og reagere på angreb. I 2013 lykkes 88 % af de angreb, der blev indledt mod FS-virksomheder, på mindre end et døgn. Men kun 21 % af disse bliver opdaget inden for en dag, og i perioden efter opdagelse er kun 40 % af dem gendannet inden for en tidsramme på én dag.
Der er ikke en "one-size-fits-all" løsning til cybersikkerhed. Generelt bør løsninger dog omfatte både sofistikeret teknologi og mere "menneskelige" komponenter såsom medarbejderuddannelse og prioritering i bestyrelseslokalet.
Real-time intelligens er et kraftfuldt værktøj til at forhindre og begrænse cyberangreb. Jo længere tid det tager at identificere et hack, jo dyrere er konsekvenserne. En undersøgelse fra 2013 fra Ponemon Institute afslørede, at it-chefer mener, at mindre end 10 minutters forhåndsmeddelelse om et sikkerhedsbrud er tilstrækkelig tid til at deaktivere truslen. Med kun 60 sekunders meddelelse om et kompromis kan de resulterende omkostninger reduceres med 40 %.
Ifølge James Hatch, direktør for cybertjenester hos BAE Systems, "at opdage [et cyberangreb] tidligt er nøglen ... Det kan være forskellen mellem at miste 10 % af dine [computere] og 50 %." Desværre tager det i virkeligheden i gennemsnit virksomheder mere end syv måneder at opdage et ondsindet angreb.
Virksomheder kan tage flere mindre, taktiske skridt for at beskytte sig selv. Disse omfatter:
Udførelse af en flerlags forsvarsstrategi. Sørg for, at den dækker hele din virksomhed, alle slutpunkter, mobile enheder, applikationer og data. Hvor det er muligt, skal du bruge kryptering og to- eller tre-faktor-godkendelse til netværks- og dataadgang.
Udførelse af en tredjepartsleverandørvurdering eller oprettelse af serviceniveauaftaler med tredjeparter: Implementer en "mindst privilegeret" politik vedrørende hvem og hvad andre kan få adgang til. Gør det til en vane at gennemgå brugen af legitimationsoplysninger med tredjeparter. Du kan endda tage det et skridt videre med en serviceniveauaftale (SLA), som kontraktmæssigt forpligter tredjeparter til at overholde din virksomheds sikkerhedspolitikker. Din SLA bør give din virksomhed ret til at revidere tredjepartens overholdelse.
Løbende sikkerhedskopiering af data. Dette kan være med til at sikre mod ransomware, som fryser computerfiler, indtil offeret opfylder de økonomiske krav. Sikkerhedskopiering af data kan vise sig at være kritisk, hvis dine computere eller servere bliver låst, fordi du ikke behøver at betale for adgang til dine data.
Pacher ofte. En softwarepatch er en kodeopdatering i eksisterende software. De er ofte midlertidige rettelser mellem fulde udgivelser af software. En patch kan rette en softwarefejl, løse en ny sikkerhedssårbarhed, løse problemer med softwarestabilitet eller installere nye drivere.
Hvidliste softwareapplikationer. Applikationshvidlisting ville forhindre computere i at installere ikke-godkendt software. Dette giver administratorer mulighed for at have meget mere kontrol.
En ny trend er anti-hacker-forsikring eller cyberforsikring. Dens omfang varierer på tværs af udbydere, men beskytter typisk mod sikkerhedsbrud og tab. Forsikringsselskaber begrænser typisk deres kapacitet til mellem $5 millioner og $100 millioner per kunde. I oktober 2016 havde kun 29 % af amerikanske virksomheder købt cyberforsikring. Det samlede cyberforsikringsmarked anslås dog at være 20 milliarder dollars i 2025, op fra 3,25 milliarder dollars i dag. Forsikringsselskaberne er positive og estimerer, at præmierne vil tredobles i løbet af de næste par år.
For at en organisation kan bestemme, hvor meget cyberforsikring den har brug for, bør den måle sin cyberrisiko. Den skal forstå, hvordan deres aktiver påvirkes af et cyberangreb, og hvordan man prioriterer dem.
En anden ny idé i branchen er noget, der kaldes et bug bounty-program, hvor en organisation betaler udenforstående ("venlige hackere") for at underrette den om sikkerhedsfejl. Virksomheder lige fra Google og Dropbox til AT&T og LinkedIn har allerede taget denne praksis i brug.
Et "it-problem" bliver et strategisk forretningsproblem. For mange administrerende direktører og finansdirektører kan hacking være frustrerende, fordi de ikke forstår fjenden. Ifølge Richard Anderson, formand for Institute of Risk Management, "sidder der stadig mange mennesker på tværs af større virksomheder, som stadig betragter det som noget, nørderne ser efter, snarere end at det er et forretningsspørgsmål." Men som statistikken har vist, kunne dette ikke være længere fra sandheden.
En hvidbog fra Deloitte foreslår at skabe et dedikeret cybertrusselshåndteringsteam og skabe en "cyberrisikobevidst kultur." Det anbefales også, at organisationer udpeger en Chief Information Security Officer (CISO). For eksempel havde hverken JPMorgan eller Target CISO'er, da de blev brudt i henholdsvis 2014 og 2013.
Tilbage til det grundlæggende:Medarbejderuddannelse. Databrud er ofte et resultat af menneskers psykologiske svagheder. Det er derfor vigtigt at uddanne dine medarbejdere om advarselstegn på sikkerhedsbrud, sikker praksis (vær forsigtig med at åbne vedhæftede filer i e-mail, hvor de surfer), og hvordan man reagerer på en formodet overtagelse.
En fælles tilbagevisning af den stigende opmærksomhed på farerne ved cybersikkerhed er, “Hvad så? Skal vi bare holde op med at innovere af frygt for angreb?” Svaret er, ikke ligefrem. Det kunne dog være nyttigt for virksomheder at se cybersikkerhed som et spørgsmål om etik. Det vil sige, at cybersikkerhed ikke kun skal være et spørgsmål om teknologi, men også et spørgsmål om moral. Er det trods alt etisk at skabe og sælge teknologi, der efterlader forbrugerne sårbare? Med Silicon Valleys "vækst eller dø" og nogle gange kortsigtede kultur er dette sandsynligvis en upopulær holdning.
Der er dog præcedens i andre sektorer. For eksempel kræver American Medical Association og American Bar Association, at fagfolk følger deres respektive etiske kodeks. Læger skal afgive den hippokratiske ed, et af de ældste bindende dokumenter i historien, som giver mandat til, at læger lover at beskytte deres patienter. På samme måde følger advokater en modelregler for professionel adfærd, der lover at beskytte og respektere deres klienter.
Vi vil alle gøre klogt i at huske, at selvom teknologi kan komme og gå, ændres rigtigt og forkert aldrig.