“Cybersecurity is the greatest threat the world has faced since the atom bomb” uttalte Apple gründer Steve Wozniak i intervju på australsk TV for litt siden. Bak denne overraskende uttalelsen ligger erkjennelsen om at det, slik som for atombomben, ikke finnes sikre gjemmesteder eller trygge havner for cyberkriminalitet.
Gjennom nyhetskanalene har vi hørt om at elektroniske anslag både kan slukke strømnettet og slå av internett. Internasjonalt har politiske rivaler bilateralt slått ut den andre parts støttesystemer eller massive propagandakampanjer. Eksperter innen kommunikasjonsteknologi frykter at terrorister i teorien både kan ta over kontroll av rutefly, jernbanenett og atomkraftverk.
For å kartlegge økonomisk kriminalitet og elektroniske angrep rettet mot deler av norsk næringsliv, gjennomførte SAS Institute en spørreundersøkelse rettet mot helse- og omsorgssektoren og annen kommunal virksomhet. Undersøkelsen var anonym og henvendte seg direkte til ledere. Resultatene fra undersøkelsen plasserer frykten for å bli utsatt for elektroniske angrep øverst på trussellisten samtidig som det uttrykkes bekymring for å skape tilstrekkelig forståelse og erkjennelse blant egne ansatte for at angrep også vil ramme offentlig sektor.
Det gjelder alle andre
For mange oppleves imidlertid trusselen om elektroniske anslag som fjern. Det er bare noe vi hører om i media, som ikke rammer egen virksomhet. Derfor har vi kanskje ikke et tilstrekkelig bevisst forhold til selve kjernen i problematikken.
Flere internasjonale undersøkelser har sett nærmere på dette og det viste seg dessverre at mange virksomheter som er rammet, ikke vet hvem inntrengeren er. I gjennomsnitt hadde inntrengeren vært innenfor forsvarsverket i 205 dager og i 60% av tilfelle brukte virksomheter mer enn tre måneder før de oppdaget inntrengeren. I de fleste tilfellene gjennom at kundene eller myndighetene hadde fattet mistanke.
Nærmere analyser av disse angrepene viser at i de fleste av tilfellene ble disse karakterisert som sofistikerte og målrettede angrep hvor angriperne systematisk og bevisst gikk etter de mest sensitive eller kritiske data. Analysene konkluderer med at sikkerhetsstrategiene vi har brukt inntil nå blir stadig mindre effektive mot denne typen angrep.
Etablere en sikkerhetsstrategi
Intrusion Detection System (IDS) og Security Information and Event Management (SIEM) er regelbaserte systemer som for bl.a. nettverksdata kalkulerer mistanke om uautoriserte forsøk på tilgang og inntrenging med påfølgende blokkering og varsling. Prosessen kan delvis automatiseres.
En av utfordringen med å implementere disse typer system, er at det produsere betydelige mengder med nye data i form av logger og alarmer. Slik genereres det nye oppgaver og et behov for et omfattende apparat som i ettertid må følge opp resultatene. En slik reaktiv strategi foregår ofte primært ved bruk av manuelle rutiner som medfører tapt tid og sent iverksatte tiltak.
Nå har vi lært at beskyttelse mot elektroniske anslag krever en mer proaktiv tilnærming. Vi må legge om gamle rutiner som var rettet mot virusangrep, brannmurbeskyttelse og nettverkslogger. De fleste eksperter er i dag enige om at en offensiv forsvarsstrategi må ta utgangspunkt i at:
- Angriperen vil i det lange løp lykkes pga. deres overlegne styrkeforhold
- Virksomhetsstrategien bør ha som utgangspunkt at inntrengere allerede har kommet seg på innsiden
En proaktiv forsvarsstrategi og best mulig beskyttelse handler med andre ord om å innføre en realtidbasert risikoanalyse. En analyse der man oppdager nye avvikende bruksmønstre som gir muligheter for raskt å kunne identifisere og isolere områder i virksomheten med høy risiko. Slike områder kan f.eks. være fysiske områder, avdelinger/organisatoriske enheter eller fagnettverk.
Så hvordan kommer vi oss fra en reaktiv handlemåte bygget rundt rapportering på allerede innsamlede nettverksdata og logger til en proaktiv løpende overvåkning og deteksjon av risikobildet?
Informasjonssikkerhet basert på en risikobasert tilnærming
Å gjennomføre denne type kontinuerlig sikkerhetsanalyse, A Risked Based Approach, stiller ekstrem krav til systemets skalerbarhet og evne til å takle raske skifter, store volumer og høy hastighet i datautbud. Virksomhetene må tenke moderniseringsstrategi og implementasjon som evner å fange store og skiftende datamengder gjennom utallige kanaler og med teknologier som muliggjør rask og nøyaktig analyse. En typisk Big Data problematikk.
Vi i SAS Institute arbeider internasjonalt sammen med et bredt spekter av virksomheter for å få på plass forretningssentrerte og kostnadseffektive løsninger for disse utfordringene. En av komponentene i vår løsningssuite er den hybride analysemotoren som scorer risiko, finner mistenkelige korrelasjoner, identifisere hendelser og visualiserer mønstre av interesse som kan tyde på ondsinnet atferd på innsiden av virksomhetens forsvarsverk.
Med bakgrunn i våre erfaringer mener vi derfor at en risikobasert tilnærming som gir øyeblikksbildet og en hybrid analysemotor der indikasjoner på anslag kan sjekkes mot hverandre, gir virksomhetene en holistisk risikobasert oversikt gjennom å:
- Identifisere timing knyttet til hendelser. Finne mønstre eller sekvenser av forekomster knyttet opp mot tid
- Få innsikt i forskjeller i resultater basert på data fra ulike kilder. Fores virksomheten med falske data?
- Kunne rangere trusselbildet og forutsi videre utvikling
- Identifisere muligheter for å iverksette automatisering av tiltak
- Skape plattform for dypere årsaksanalyser og nye strategier
Vår brukerundersøkelse innen offentlig sektor og helse viste helt tydelig at virksomhetene ønsket å møte trusselen for å bli utsatt for elektroniske anslag med forbedrede rutiner knyttet til informasjonssikkerhet. Men samtididig ble det uttalt at dagens tiltak mot cyberkriminalitet og elektroniske angrep mest handlet om kompetansebygging for dedikerte IT-roller og var i liten grad rettet mot proaktiv prosessforbedring og innføring av systemstøtte. Videre i liten grad med innretning mot å identifisere mulig kriminalitet som allerede har kommet seg på innsiden av forsvarsverket.
Diskusjonen i ledelsen i virksomhetene bør nå være; Har vi gjennomført de viktigste og de riktige tiltakene mot cyberangrep? Hvilken pris versus kostnader er knyttet til å rydde opp i slike hendelser hvor inntrengeren allerede har kommet seg innenfor forsvarsverket?
Å besvare dette er en krevende prosess siden et angrep vil kunne skape store bevegelser både på inntekt- og kostnadssiden. Der investeringer i system og forbedrede prosesser kanskje er beskjedene kostnader sammenlignet med potensiell tap.
Det er publisert forholdsvis lite informasjon internasjonalt om reelle kostnader knytet til cyberangrep, men det halvstatlige Get Safe Online i Storbritannia anslår at britiske virksomheter tapte omlag 13 milliarder NOK på Cyberangrep i 2015. Det foreligger lite materiale for kostnader for risikobildet knyttet til cyberangrep i Norge. I «De norske resultatene, PWC’s Global Economic Crime Survey 2014» fremkommer det bl.a. at over halvparten av virksomhetene har fått økt erkjennelse av cyberrisiko og er mest bekymret for omdømme og tap av intellektuell kapital.
Avslutningsvis går jeg tilbake til Apple gründer Steve Wozniak og intervju med han på australsk TV der han sier: "We used to fear the atomic bomb when I was young, and you used to come home from school and sirens would go off for a test on every corner. Those were incredible days of fear from something. And now we fear all the cyberattacks and hacking».
Ønsker du å se hva SAS kan tilby innen Cybersikkerhet, se våre løsningssider.