Høytid for datakriminelle

IT-sikkerhetsselskapet Watchcom har utviklet et system som overvåker alle norske nettsteder for å kunne kartlegge trusselbildet fra dag til dag. Det mener at datakriminelle blir stadig dyktigere og mer utspekulerte. Derfor blir det også stadig vanskeligere å se at de har vært inne på en nettside. Mange bedrifter vet ikke at de blir angrepet. Men at antallet dataangrep øker, er Watchcom ikke i tvil om.

Et typisk internettangrep utføres ved at man infiserer en troverdig internettside med trojanske hester eller datavirus (se faktaboks). De som går inn på siden etterpå, vil kunne få sin datamaskin infisert, noe som gjør at det er mulig å hente ut informasjon fra den. Det datakriminelle typisk er ute etter, er kortnummer og kontonummer, som de kan tømme kontoene til sine ofre med.

Selv om finanskrisen ikke har ført til at bedrifter reduserer sine budsjetter til IT-sikkerhet, mener administrerende direktør i Watchcom, Fred Habberstad, at det er en klar sammenheng mellom kriser og internettangrep.

– Under alle kriser ser vi at det blir en markant økning av angrep. Det har sammenheng med at folk i større grad søker informasjon. For eksempel da svineinfluensaen kom. Da søkte mange informasjon om dette og åpnet derfor e-poster de normalt ville slettet, forklarer Habberstad.

At det har vært en økning i internettangrepene er også noe Nasjonal Sikkerhetsmyndighet (NSM) har registrert. Men avdelingsleder Christophe Birkeland sier han ikke kan knytte det til finanskrisen.

– Det har vært en jevn økning. Men det at statistikken vår viser at det har vært en dobling av innrapporterte hendelser, betyr ikke at den reelle økningen har vært så stor, sier han.

• Mindre budsjetter: Selv om bedriftenes budsjetter krymper, øker andelen av budsjettene som går til IT-sikkerhet. Det er et tegn på at vi i Norge tar sikkerheten på alvor.
• Kompetanse: I store bedrifter registrerer man flere internettangrep enn i mindre bedrifter. Det er ikke fordi de store bedriftene er mer utsatt for angrep, men fordi de har bedre kompetanse, og de oppdager derfor flere av angrepene.
• Nettskyer: Det er ikke noen økt risiko ved bruk av nettskyen (se tekstboks) så lenge man får kvalitetssikret leverandøren.

På en sky

Sikkerhetskonsulent Preben Nyløkken i Watchcom mener det helt klart har vært en økning i bruken av nettskyen, altså at man jobber og lagrer på nett i stedet for på egen maskin eller server. Det kan være kostnadsbesparende i enkelte tilfeller, og skjønner at det kan være fristende i disse tider. Men han legger til at det representerer et nytt risikobilde.

– Man legger ut dokumenter på nettskyene. Det skumle er at andre kan få tak i din bedriftsinformasjon uten at du vet det. Det har skjedd at man har fått tilgang til andre bedrifter, fordi all informasjonen ligger på samme boks, forteller han. Nyløkkens vurdering av risikobildet ved bruk av nettskyer er ikke unik. Christophe Birkeland sin vurdering likner veldig:

– Som ved alt nytt, er det fordeler og ulemper. Man slipper serverrom og kapasiteten tilpasser seg dynamisk. Men når man bruker en nettsky, tar man del i en større enhet, og legger derfor ett ekstra egg i kurven. Blir nettskyen angrepet, vil mange tjenester kunne bli slått ut, sier han.

Birkeland understreker at han synes nettskyer er gode løsninger under forutsetning av at man stiller riktige krav til leverandøren:

– Oppsett og sikker drift av IKT-systemer forutsetter sterk datakompetanse på grunn av den raske teknologiske utviklingen. Under forutsetning av at leverandøren av nettsky-tjenester garanterer god sikkerhet, kan bruk av nettskyer derfor innebære mindre risiko for små og mellomstore bedrifter, sier han.

Selv om nettskyer ikke er mindre sikre enn andre lagringsenheter som er tilknyttet internett, mener leder av Norsk Senter for Informasjonssikring (NorSIS), Tore Larsen Orderløkken, at nettskyer er mer utsatt for angrep for øyeblikket.

– Det er typisk at nye applikasjoner er offer for flere angrep, men bare tiden vil vise om den er det på sikt, sier han.

– Må forankres

Det holder ikke at bedrifter investerer i topp moderne IT-sikkerhetssystemer hvis det ikke følges opp i organisasjonen. De tekniske løsningene vil i mange tilfeller ikke hindre angrep, men de registrerer bare angrepene. Det betyr at de som bruker IT-løsningene må skjønne hva advarslene betyr, og at noen må sjekke loggene. Hvis ikke blir ikke angrepene oppdaget.

I tillegg til at angrep ikke blir registrert når sikkerheten ikke er forankret i det organisatoriske, har både NSR og Watchcom registrert at de aller fleste sikkerhetsbrudd blir utført av bedriftens egne ansatte.

– Generelt er det én ting som går igjen. Fire av fem gjør sikkerhetsbrudd uten at de mener det. Det vil si at de videresender informasjon som ikke skal deles, eller skriver ut og tar med seg dokumenter som ikke skal ut av bygget, sier Nyløkken.

I mørketallsundersøkelsen til Næringslivets Sikkerhetsråd (NSR) kommer det frem at den aller største delen av brudd på IT-sikkerheten skyldes at IT-utstyr har forsvunnet. Seniorrådgiver Arne Røed Simonsen tror ikke at det er fordi de ansatte er blitt mer uærlige.

– Mange av hendelsene hvor IT-utstyr er blitt borte, skyldes nok at ting for eksempel er blitt glemt i en drosje, sier han.

Birkeland i Nasjonal Sikkerhetsmyndighet mener at det handler om sikkerhetskultur. Man løser ikke sikkerhetsproblemet med tekniske duppeditter. Ledelsen må synliggjøre at sikkerhet er en utfordring, sier han.

– Jevn økning

Bedrifter tør ikke kutte ned på IT-sikkerheten, fordi kuttene fort kan koste mer enn hva man sparer. Sikkerhetskonsulent Preben Nyløkkens erfaring er at andelen av budsjettet som går til IT-sikkerhet har økt, mens bedriften totalt bruker mindre penger på innleid arbeidskraft, som for eksempel konsulenttjenester.

– Mens investeringene til IT-sikkerhet øker litt, øker trusselbildet markant. Det er ikke sikkert at økningene i budsjettene er nok, mener Habberstad.

NSRs mørketallsrapport viser at det er relativt liten forskjell mellom privat og offentlig sektor. Røed Simonsen syns at det er noe overraskende.

– Det er positivt at de private har så god sikkerhet, men samtidig er det litt bekymringsfullt overfor det offentlige. Det offentlige er mer regulert gjennom lover og forskrifter, sier han.