Du har måske hørt ordsproget:"Lad aldrig en krise gå til spilde." Desværre har hackere taget det til sig under COVID-19. Antallet af cyberangreb steg i vejret, da hackere gentagne gange udnyttede sårbare bagdøre ind i virksomhedens systemer midt i distraktionen forårsaget af pandemien. Mål omfattede sundhedspleje, finansielle tjenesteydelser og offentlige institutioner som Verdenssundhedsorganisationen. Angreb mod finanssektoren steg med 238 % globalt mellem februar og april 2020.
Ifølge Alissa Abdullah, Vice Chief Security Officer hos Mastercard og tidligere vice-CIO i Det Hvide Hus under præsident Barack Obama, har COVID-19 og det resulterende skift til virtuelt arbejde "ændret modstanderens muligheder og flyttet deres fokus på nogle af de andre værktøjer, som vi bruger.”
Hackere angreb også samarbejdsplatforme. I april 2020 fik hackere fat i mere end 500.000 Zoom-kontobrugernavne og adgangskoder og solgte dem i dark-web kriminalitetsfora for så lidt som en øre pr. konto; nogle oplysninger blev simpelthen givet væk. Cyberangreb, der involverede COVID-19-vaccinen, dukkede også op; i december 2020 rapporterede Det Europæiske Lægemiddelagentur, at nogle data om Pfizer/BioNTech COVID-19-vaccinen blev stjålet under et cyberangreb. Omtrent på samme tid slog IBM alarm over hackere, der var rettet mod virksomheder, der er centrale i distributionen af COVID-19-vacciner.
Cyberangreb og de dermed forbundne omkostninger vil kun fortsætte med at accelerere. Overvej følgende:Cybersecurity Ventures forudsiger, at cyberangreb vil forekomme hvert 11. sekund i 2021, næsten det dobbelte af 2019-hastigheden (hvert 19. sekund) og fire gange 2016-hastigheden (hvert 40. sekund). Det anslås, at cyberkriminalitet nu koster verden 6 billioner dollars årligt, det dobbelte af 2015's samlede 3 billioner dollars. I 2025 forventes cyberkriminalitet at koste verden 10,5 billioner USD hvert år.
Prismærket for cyberkriminalitet inkluderer blandt andet tyveri af intellektuel ejendom og personlige og finansielle data samt faktiske penge – plus omkostningerne ved post-angrebsforstyrrelser, tabt produktivitet og skade på omdømmet, forklarer Steve Morgan, grundlægger af Cybersecurity Ventures. Ud over disse direkte konsekvenser omfatter cyberkriminalitets skjulte omkostninger også øgede forsikringspræmier, lavere kreditvurderinger og advokatomkostninger på grund af, at kunder indleder retssager.
En IBM Security-rapport fra 2020, der undersøgte 524 brudte organisationer i 17 lande på tværs af 17 brancher, indikerede, at de gennemsnitlige omkostninger ved et databrud var hele $3,86 millioner og tog i gennemsnit 280 dage at begrænse. Konsekvenserne kan fortsætte i årevis efter hændelsen.
I Storbritannien i 2019 skyldtes 90 % af databrudene menneskelige fejl. Under pandemien har medarbejderne været optaget af forstærket personlig og økonomisk stress, hvilket gør dem mere sårbare over for spyd-phishing – en form for phishing, der er rettet mod bestemte personer eller grupper i en organisation – og "social engineering"-angreb designet til psykologisk at manipulere enkeltpersoner til at afsløre følsomme oplysninger.
Mere specifikt sigter social engineering angreb på at narre medarbejdere til at gøre noget, der virker legitimt, men ikke er det. Selvom virksomheder typisk træner medarbejdere til at identificere svigagtige anmodninger, er det midt i pandemiens unormale omstændigheder blevet sværere for medarbejdere at skelne svindel fra legitime anmodninger.
"Alle ved, at du ikke kan hente en USB på en parkeringsplads [og sætte den ind i din computer], men at træne sofistikerede medarbejdere på falske e-mails fra chefer er stadig et reelt problem," siger Thomas Ruland, finansekspert i Toptal netværk og Head of Finance and Operations hos Decentriq, en virksomhed, der er specialiseret i sikker datadeling og samarbejde. "Når du ikke er på samme kontor, kan utilsigtet datadeling ske oftere. Når folk arbejder på det samme fysiske kontor, kan du bare spørge:'Hey har du virkelig sendt dette?', men det er sværere at analysere, når du arbejder hjemmefra."
Spørgsmålet om "vishing" - stemme-phishing - er også blevet forværret af pandemien, hvor angribere bruger opkald til at få VPN-legitimationsoplysninger eller andre følsomme oplysninger fra medarbejdere. Vishing-svindel forsøger ofte at virke legitim ved at give potentielle ofre et nøjagtigt stykke personlige oplysninger, såsom en persons CPR-nummer eller bankkontonummer. En overraskende mængde af andre personlige oplysninger er offentligt tilgængelige for angribere, som kun behøver at gennemsøge sociale medieplatforme eller andre tilknyttede websteder for at få adgang til sådanne detaljer.
COVID-19 ansporede til den forhastede indførelse af nye teknologier, da organisationer indførte nye digitale processer midt i forstyrrelsen af arbejdet på kontoret. I de tidligere stadier af pandemien havde mange virksomheder intet andet valg end at acceptere nye risici, herunder reducerede kontrolstandarder, for at opretholde driften.
Et af de vigtigste resultater af sådanne hurtige og dramatiske ændringer var udbredt cloud-adoption. I sin 2021 State of the Cloud-rapport fandt Flexera, at krav om fjernarbejde skubbede mere end halvdelen af den adspurgte gruppe til at øge deres cloudbrug ud over det, der var planlagt. Andre respondenter angav, at deres organisationer kunne fremskynde migration på grund af vanskeligheder med at få adgang til traditionelle datacentre og forsinkelser i deres forsyningskæder. Mens 20 % procent af virksomhederne afslørede, at deres årlige cloud-udgifter oversteg 12 millioner USD, en stigning på 7 % fra året før, rapporterede 74 %, at deres omkostninger oversteg 1,2 millioner USD, en stigning fra 50 % året før.
Desværre har handlinger truffet under ekstrem tid og driftspres uundgåeligt ført til huller i cybersikkerhed. Og 75 % af de adspurgte i Cybersecurity Insiders' 2020 Cloud Security Report angav, at de enten var "meget bekymrede" eller "ekstremt bekymrede" over offentlig cloud-sikkerhed. Skysikkerhedsproblemer forværres yderligere, når organisationer bruger to eller flere offentlige cloud-udbydere, som 68 % af respondenterne gør.
Sikkerhedseksperter og arbejdsgivere er primært bekymrede over tre cloud-sikkerhedsudfordringer. For det første sky- og containerfejlkonfiguration, når en administrator utilsigtet implementerer indstillinger for et skysystem, der er i konflikt med organisationens sikkerhedspolitikker. En anden er begrænset netværkssynlighed, hvor en organisation er usikker på, hvilken hardware og software der er forbundet til netværket, og hvilke netværksbegivenheder der sker. Og den tredje største bekymring er ubeskyttede cloud-runtime-miljøer, som giver angribere muligheder for at forgribe sig på en organisation.
COVID-19 og skiftet til virtuelt arbejde førte til udbredt anvendelse af medbring-din-egen-enheder-programmer. Især i de tidlige stadier af pandemien havde mange arbejdere intet andet valg end at bruge personlige enheder, offentligt Wi-Fi eller hjemmenetværk til at arbejde eksternt. Sådanne omstændigheder giver hackere mulighed for at få adgang til organisatoriske ressourcer; når personlige enheder kompromitteres, kan de fungere som startpunkter i virksomhedens netværk.
"En af de største cybersikkerhedsrisici er den personlige enhed," fortalte Trina Glass, en advokat hos Stark &Stark til Society for Human Resource Management. "Uanset om det er smartphone eller bærbar computer, er der alvorlige problemer ved at bruge personlig teknologi i arbejdsmiljøer, der involverer følsomme oplysninger. Medarbejdere kan gemme dokumenter på deres skrivebord eller sende dokumentkladder til deres personlige e-mail. De har muligvis ikke opdateret antivirussoftware, eller de kan bruge forældet personlig adgangskodebeskyttelse."
I december 2020 kom nyheden om, at SolarWinds, et stort it-administrationsfirma, led af et cyberangreb, der forblev uopdaget i flere måneder. Tidligere samme år havde udenlandske hackere brudt ind i SolarWinds’ systemer og indsat ondsindet kode. Efterfølgende, da SolarWinds sendte softwareopdateringer ud til sine 33.000 kunder, fulgte angribernes kode med og skabte en bagdør til kundernes it-systemer. Hackerne brugte disse bagdøre til at installere yderligere spion-malware. I sidste ende installerede omkring 18.000 af SolarWinds' kunder disse opdateringer, herunder amerikanske agenturer som Department of Homeland Security og Treasury og private virksomheder som Intel, Microsoft og Cisco.
Hackere målretter og angriber ofte usikre elementer i software- eller hardwareforsyningskæden. Accenture fandt ud af, at 40 % af cybersikkerhedsangrebene stammer fra den udvidede forsyningskæde. Angribere søger typisk de svageste led, såsom små leverandører med få cybersikkerhedskontroller eller open source-komponenter. Oftere end ikke, efter at have identificeret deres mål, tilføjer hackere bagdøre til legitim og certificeret software eller kompromitterer systemer, der bruges af tredjepartsudbydere. Supply chain-angreb afslører således sandheden om, at en organisations cybersikkerhedskontrol kun er så stærk som kædens svageste led.
Nu hvor verden er mere end et år inde i pandemien, må virksomhederne bevæge sig ud over blot at indføre stopgab-foranstaltninger og i stedet foregribe "det næste normale." Chief information security officers, CFO'er og cybersikkerhedsteams skal finde ud af, hvordan deres arbejdsstyrker, kunder, forsyningskæder og branchekammerater vil arbejde sammen for at levere tilstrækkelig cybersikkerhed. Her er fem måder at starte på:
Traditionel IT-netværkssikkerhed er baseret på borg-og-grav-konceptet:Alle inde i netværket er som standard betroet, og det er svært for dem uden for netværket at få adgang. Cyberangreb, der fandt sted under COVID-19-pandemien, har afsløret denne strategis begrænsninger. Virksomheder bør overveje at vedtage en nul-tillidsstrategi, der opretholder strenge adgangskontroller og som standard ikke har tillid til nogen enkeltperson, enhed eller applikation – selv dem, der allerede er inden for netværkets perimeter. En nul-tillidsmodel kræver identitetsbekræftelse og godkendelse for hver person og enhed, der forsøger at få adgang til ressourcer på et privat netværk. I 2019 forudsagde Gartner, at i 2023 ville 60 % af virksomhederne gå fra VPN'er til nul-tillidsinitiativer.
Ydermere bør virksomheder påbyde to-faktor autentificering for medarbejdere. To-faktor autentificering kræver, at en bruger angiver to forskellige typer oplysninger for at få adgang til en onlinekonto eller it-system; dette inkluderer typisk et brugernavn/adgangskodepar (enkeltfaktorgodkendelse) og et andet identitetsbevis, såsom en kode sendt til en medarbejders telefon eller e-mailadresse.
World Economic Forum anbefaler, at virksomheder også begynder overgangen til biometrisk multifaktorautentificering ved hjælp af fingeraftryk, ansigter, skriveadfærd eller andre faktorer for at verificere brugernes identitet. I modsætning til virksomheder, der gemmer deres kunders adgangskoder på deres servere, gemmes brugerbiometri på brugerenheden, og der er således ikke et enkelt dataindsamlingspunkt for cyberkriminelle at få adgang til, og risikoen for online-svindel og identitetstyveri er væsentligt reduceret. . Den globale markedsstørrelse for biometriske systemer forventes at vokse fra 36,6 milliarder USD i 2020 til 68,6 milliarder USD i 2025.
For at styrke cybersikkerheden skal organisationer undersøge deres sikkerhedsværktøjer og krav til deling og vedligeholdelse af private oplysninger med leverandører. Organisationer bør begynde med at gennemgå alle leverandører og potentielle skygge-tredjepartstjenester; tildele risikoniveauer til leverandører, afgrænse de mest kritiske for driften og have den største adgang til vital information; og kalibrer derefter vurderingsomfanget tilsvarende.
Virksomheder bør derefter opdatere kontroller og adgangsbegrænsninger for tredjeparter og udvikle mere robuste kontroller for tab af data. Organisationer skal også sikre, at leverandører, der i øjeblikket ikke er forberedt på øget cyberrisiko, forpligter sig til at udvikle cyberberedskabsplaner for sikkert at håndtere information og interagere med organisationers virksomhedsnetværk. Ydermere bør virksomheder, hvor det er muligt, integrere kritiske tredjepartslogfiler i virksomhedens sikkerhedsovervågning og oprette alarmsystemer til koordineret overvågning og respons. At tage alle disse trin vil hjælpe med at opbygge cyberresiliens på tværs af forsyningskæder.
Efterhånden som organisationer bevæger sig væk fra traditionelle lokale cybersikkerhedsløsninger og mod sky-centrerede arkitekturer, skal de lære at forsvare skyen.
Cloud- og containerfejlkonfiguration kan være et problem, fordi i modsætning til et lokalt netværk, hvor kun it-professionelle kan opsætte og implementere netværksinfrastruktur, i et cloudmiljø, kan langt flere mennesker gøre det. Angribere udnytter ofte fejlkonfigurationer til at få adgang til et netværk, fordi de er nemme at få øje på. Organisationer kan hjælpe med at administrere fejlkonfigurationer ved at følge Gartners Market Guide for Cloud Workload Protection Platforms for at etablere en baseline for aktiver forbundet til netværket. (Den fulde rapport kan købes her.) Derfra bør organisationer overvåge disse aktiver for afvigelser og potentielt anvende automatiserede forsvarsforanstaltninger for at beskytte deres systemer mod angreb.
Hvad angår netværkssynlighed, giver værktøjer til registrering af aktiver enhedsgenkendelse og en bevidsthed om ikke kun, hvad der er i netværket, men også hvilke aktiver, der er ubeskyttede. Disse værktøjer giver gennemsigtighed i forholdet mellem aktiver, deres brug, netværket og andre enheder, herunder hvilke softwaremoduler der er installeret på netværket.
Endelig kan organisationer forsvare sig mod ubeskyttede cloud-runtime-miljøer for containeriserede arbejdsbelastninger. Når en enhed forsøger at køre en applikation, fungerer runtime-miljøer som en mellemmand mellem applikationen og operativsystemet.
Selvom menneskelige sikkerhedsanalytikere allerede anvender automatiseringsværktøjer til at udtrække de mest presserende advarsler fra massive datasæt og få mennesker til at handle, bliver værktøjer til kunstig intelligens (AI) og maskinlæring (ML) mere og mere sofistikerede.
"Vi bevæger os ud over algoritmer, der bare ser på dine målinger og fortæller et menneske at gøre noget ved en bestemt afviger," siger Splunks Vice President of Engineering og Head of Machine Learning, Ram Sriharsha, i virksomhedens 2021 Data Security Report. "Som et spørgsmål om skala har vi brug for algoritmer og automatisering, der sætter handling i gang. På sikkerhedsdomænet træner vi ikke kun modeller på tidligere dårlige skuespillere og adfærd for at identificere ny lignende adfærd. Vi vil se algoritmer, der bare ser på, hvad der sker – se på trafikken, se på data – for at identificere dårlige mønstre og foretage undvigende handlinger.”
Organisationer bør overveje brugen af selvlærende, AI-baserede cybersikkerhedsstyringssystemer. Men efterhånden som AI/ML cybersikkerhedsløsninger udvikler sig, gør angribere det også. Ved at bruge modstridende læring får dårlige aktører nok viden om en AI/ML-model til at designe måder at forgifte systemet på og gøre det ineffektivt til forsvar. Modstridende læring svarer til f.eks. at narre et autonomt køretøj til at misforstå et stopskilt. Og ifølge Gartner-undersøgelser vil 30 % af alle AI-cyberangreb udnytte træningsdataforgiftning, AI-modeltyveri eller modstridende prøver til at angribe AI-drevne systemer frem til 2022. På trods af disse trusler mod AI/ML-systemer afslørede en nylig Microsoft-undersøgelse. at 25 ud af 28 virksomheder angav, at de ikke havde de rigtige værktøjer på plads til at sikre deres AI/ML-systemer. Vær ikke en af dem.
Selvom det tilsyneladende er enkelt, er det afgørende for organisationer at forbedre medarbejderuddannelsen omkring cybersikkerhedsforanstaltninger. Organisationer bør designe rollebaserede træningsprogrammer og øvelser for at øge bevidstheden omkring nye cyberrisici i et fjerntliggende miljø, herunder nye trusler, regler for godkendt enhedsbrug og processer til rapportering af cyberhændelser.
Ledelsesteams bør også levere simuleringer og gennemgange til scenarier for cyberangreb for aktivt at engagere medarbejderne. Ledelsen bør også give klare retningslinjer omkring nødvendige handlinger, og hvornår beslutninger skal eskaleres.
Endelig skal medarbejderne mindes om ikke at bruge offentlige Wi-Fi-netværk eller printere og ikke at gemme dokumenter på hjemmecomputere.
For at reagere på eskalerende cyberangreb i form af social engineering og supply chain-angreb og stigende skygge-IT og sårbare stopgap-foranstaltninger, bør virksomheder fokusere på at tilpasse sig "det næste normale." Det vil sige, at ledelsen skal samarbejde med cybersikkerhedsteams for at øge årvågenheden omkring adgang, genoverveje forsyningskæden og tredjepartsrisici, udvikle cloud-sikkerhedsfærdighedssæt, udnytte AI- og ML-værktøjer og forbedre interaktiv medarbejdertræning. At skabe sikre miljøer for kunderne giver virksomheder en konkurrencefordel og opbygger tillid og loyalitet med deres nuværende og fremtidige kunder.