For noen uker siden ble virksomheter i over 100 land, inkludert Norge, rammet av det som omtales som «tidenes største dataangrep». Sørg for at din virksomhet er rustet til å stå imot neste forsøk.
Ransomware er en betegnelse på en ondsinnet programvare som kan gjøre skade på datamaskiner, for deretter å kreve løsepenger. Den vanligste formen er såkalt crypto-ransomware, som krypterer alle brukerfiler på enheten slik at filene blir uleselige.
Ransomware-angrep øker i frekvens, og kravene til gode løsninger øker. Alle typer virksomheter er utsatte, og ledere bør vite hva de kan gjøre for å ruste sin virksomhet best mulig.
Sikkerhetsansvarlig i Accenture, Gaute Lien, anbefaler nå alle sine kunder å vurdere sine nåværende prosesser mot disse rutinene, og å tette eventuelle sikkerhetshull så snart de kan. Han anbefaler alle bedrifter å sette seg inn i rutinene og praksisen verdensledende selskaper har for å beskytte seg selv, og ber om at fokus rettes mot hvordan man kan redusere sjansene for å bli offer for et ransomware-angrep.
Strategisk grep
Foto Sikkerhetsekspert i Accenture Norge, Gaute Lien. (Foto: Accenture)
Ifølge Lien burde både it og sikkerhet ha en kanal inn- og en forankring i toppledelsen i alle bedrifter.
– Det er viktig at disse funksjonene støtter opp om det forretningsmessige perspektivet. i bedriftene. It og sikkerhet bør ha et aktivt forhold med toppledelsen, sier han.
Han forteller at bedrifter ofte ikke har alt på plass når det gjelder sikkerhet. Da gjør bedriftene seg sårbare for angrep. I dag er det dessuten et gap i markedet rundt behovet for sikkerhetsprodukter og kompetanse samt tilbudet og etterspørselen etter det bedriftene trenger.
– Det er rett og slett ikke nok kapasitet på området – og spesielt for få sikkerhetseksperter. Derfor bør bedrifter tenke på hvilken sikkerhetskapasitet de har behov for, og vurdere hva de skal prioritere selv og hva de bør sette bort av funksjoner. Nye teknologier og stadige trusler krever at man setter av ressurser til fortløpende å kunne håndtere utviklingen, forklarer han.
Bedrifter bør tenke på sin egen kapasitet, og vurdere hva de kan gjøre selv og hva de bør sette bort av funksjoner
En omfattende ransomware-kampanje infiserte for noen uker siden flere store europeiske selskaper. Også norske selskaper opplevde å bli infisert. Kampanjen ble omtalt som «WannaCry» eller «WanaCrypt0r». En infisering førte til at filer på systemet ble kryptert og man ble spurt om å betale penger for å få dem dekryptert. Det spesielle med denne kampanjen var at den infiserte svært mange maskiner på veldig kort tid. Det ble gjort gjennom å utnytte en sårbarhet i Microsoft SMB 4 for å kompromittere andre maskiner i nettverket.
Skadevaren spredte seg automatisk, og gikk derfor ikke mot en spesifikk sektor. Norske bedrifter ble rammet i begrenset omfang, sammenliknet med de større internasjonale selskapene.
– Dette var en stor bølge. Det er en liten tvil om det. Vi kalte inn ekstra folk. Vi hadde vanlig bemanning, men måtte forsterke utover kvelden, sa Håkon Bergsjø i Nasjonal sikkerhetsmyndighet (NSM) til VG etter dataangrepet.
Han leder avdelingen for alvorlige dataangrep kalt NorCERT. Ifølge Bergsjø er det som oftest enkeltpersoner og små virksomheter som rammes av slike virus.
– Men når det rammer viktige samfunnsinstitusjoner som sykehus, blir det verre. Det er det som har fått oppmerksomhet nå, uttalte han til avisen.
En av grunnene til at Norge ble rammet i mindre grad enn selskaper i andre land, begrunnes blant annet med en kombinasjon av at vi har nyere maskinparker og tilfeldigheter.
Slik ruster du deg mot dataangrep
Phishing-angrep
De fleste ransomware-angrep oppstår som et phishing-forsøk, altså forsøk på å tilegne seg sensitiv informasjon. Forebyggingstrening og bevissthetsprogrammer kan hjelpe ansatte å gjenkjenne varslingstegn på phishing-svindel og hvordan disse skal håndteres. Opplæringsprogrammene bør bestå av:
Opplæring av ansatte til bedre å kunne gjenkjenne og unngå e-postsvindel. Veiledning om hvordan ansatte skal reagere hvis de mener at de har blitt offer for et angrepsforsøk. Hyppige tester som vurderer ansattes kunnskap på området. Eksempelvis kan man sende ansatte falsk e-post som inneholder typiske kjennetegn på et phishing-forsøk, for å teste hvordan de ansatte reagerer
Ransomware og e-postkontroller
Å styrke e-postkontroller kan ofte forhindre skadelig e-post fra å nå ansatte. Vurder følgende fremgangsmåte for bedre beskyttelse:
Aktivere sterke spamfiltre for å hindre at mistenkelige e-postadresser kommer til sluttbrukere. Etablere systemer som skanner innkommende og utgående e-post før de godkjennes, for å oppdage trusler og filtrere filer. Konfigurere e-post slik at e-post som kommer utenfra bedriften identifiseres tydelig og gjør ansatte mer oppmerksomme. Vise filutvidelser («file extensions») som gjør det lettere å se filtyper som ikke vanligvis sendes til ansatte. Installere Microsoft Office Viewers, slik at ansatte kan se innhold I et dokument uten å åpne dokumentet
Beskyttelse av infrastruktur
Hackere blir smartere, og det er vanskeligere for ansatte å gjenkjenne skadelige e-postmeldinger. I disse tilfellene kan følgende tiltak beskytte infrastrukturen din:
Begrense administratorrettigheter til kun de som må ha dem. Skille nettverk, slik at servere og arbeidsstasjoner ikke er i samme nettverk. Implementere og/eller stramme opp webfiltre/URL-blokkere. I tillegg til å klikke på linker i phishing-e-post, møter ansatte på skadelig programvare ved å besøke kompromitterte nettsider. Webfiltrering bidrar til å blokkere nettsteder med ransomware, samt kommando- og kontrollservere. Distribuere et skybasert analyseverktøy som OpenDNS, Forcepoint eller Palo Alto som blokkerer trafikk fra kjente ondsinnede nettsteder. Gå gjennom sikkerhetssystemene for konfigurasjoner (virusskannere, brannmurer, IPS, e-post/web gateways). Angi standard utførelseskommandoer til "nei." Dette bidrar til å identifisere autoriserte applikasjoner og begrense hvilke som kan gjøre endringer eller oppdatere seg. Det forhindrer også forsøk på gjøre endringer i blokkeringer av ransomware. Oppdatere operativsystemer og applikasjoner regelmessig slik at kjente sårbarheter ikke utnyttes. Bruke et sikkerhetsovervåkingsprogram for å validere at alle viktige verktøy er på plass og fungerer. Konfigurere SIEM-løsninger for å flagge hendelser og aktivere automatiserte opprydningsmetoder
Beredskapsplan for gjenoppretting
Ransomware-angrep er ikke tilfeldig, men målrettet og forsettlig. Selv med et godt forsvar på plass, kan vellykkede angrep fortsatt forekomme. Å ha en sterk beredskapsplan for gjenoppretting gjør det lettere å unngå å betale løsepenger. Nøkkelkomponenter for at en virksomhets beredskapsplan skal være effektiv mot ransomware inkluderer:
Gjenopprettingsmål som skal tilpasses de kritiske oppgavene innen en akseptabel tidsramme. Gjenopprettingsplanen må regelmessig vurderes, oppdateres og testes. Arbeidsstasjoner og filservere bør ikke være konstant koblet til sikkerhetskopieringsenheter, for å unngå at sikkerhetskopieringen blir kryptert dersom et vellykket angrep utføres. I tillegg bør man bekrefte at backup-løsningen lagrer periodiske stillbilder i stedet for vanlige overskriv av tidligere sikkerhetskopier
/roxen-files/print/images/magic-dash.png "[soft hyphen]")
WannaCry» eller «WanaCrypt0r». En infisering førte til at filer på systemet ble kryptert og man ble spurt om å betale penger for å få dem dekryptert. Det spesielle med denne kampanjen var at den infiserte svært mange maskiner på veldig kort tid. Det ble gjort gjennom å utnytte en sårbarhet i Microsoft SMB 4 for å kompromittere andre maskiner i nettverket.
