In planning cybersecurity, it is critical to start the planning from the actual threats and the company’s business operations. Thus, it is possible to direct the investments made in cyber defense at the areas critical for the business and at the real threats these are exposed to.
Dataintrång – en del av alla företags verklighet
December 6, 2018 at 14:08
Att det hänt en gång, betyder att det kan hända igen. Ett erkännande som många företag som utsatts för ett intrång undviker att tänka på.
Att sticka huvudet i sanden är en vanlig mänsklig reaktion, även när det gäller risk för dataintrång. Skyddande system och åtgärder kan upplevas dyra och besvärliga att implementera. När en organisation har haft ett intrång är det lätt att tänka: ”Nu har det hänt och då händer det inte igen”.
Men tyvärr är risken stor att det gör det! Det tar i genomsnitt närmare 200 dagar att upptäcka ett intrång. Under mer än ett halvår kan alltså kriminella förövare härja fritt, tanka hem stora mängder information och ta sig längre och djupare in i ett företag utan att bli upptäckta.
Enligt undersökningsföretaget Ponemon Institutes studier uppstår det skador för genomsnitt 1 400 kr per stulen information, det vill säga per exempelvis stulen person- eller kunduppgift. Enligt våra erfarenheter är det få företag, som upptäcker ett intrång på eget bevåg. Hela 81% av intrången upptäckts av någon annan än företaget själv, uppger Trustwave i en undersökning.
Intrång sker ofta i en kedja av händelser, till exempel kan en underleverantörs system används som ingång för att komma åt din information.
När Nixu anlitas efter att ett företag har drabbats av en incident är loggar en av de första komponenterna som vi undersöker. Dessvärre är det också här som vi ser stora brister. Om alla haft ordentliga loggar skulle analysen av incidentens påverkan gå snabbare och vara mer exakt. Allt för ofta, när vi ställer frågan: Från hur lång tid tillbaka har ni sparat era loggar? Får vi svaret; en månad, en vecka eller ibland t.o.m. en dag. Loggar sparas med andra ord alldeles för kort tid.
Ett annat vanligt exempel på bristfälliga loggar är att vi kan se att en användare har loggat in i ett system, men inte vad personen har gjort, till exempel skulle personen kunnat laddat ner hela kundregistret till sin privata dator utan att det går att utläsa i loggarna.
Många associerar ordet loggning till enbart regelefterlevnad eller felsökning. Visst kan bristen på loggar leda till allvarliga juridiska problem, men tillgången till loggar för att hitta avvikelser är minst lika viktigt. En god början är att se till att loggarna sparas tillräckligt länge, många behöver sparas åtminstone ett år.
Ett helt annat problem är bristen på insikt gällande vilken information som är skyddsvärdig, det vill säga att man tror att den information man har i sina system är ointressant och inte behöver skyddas. Men det finns aktörer som lägger ett större pussel med din, till synes, mindre skyddsvärda information och använder den på ett ytterst kreativt och ofta kriminellt sätt som kan skada din verksamhet, dina medarbetare, dina kunder och i värsta fall till och med vår nation. Intrång sker i en kedja av händelser, där till exempel underleverantörers system används som ingång för att komma åt din information.
Man behöver förstå hur en angripare tänker och agerar, för att kunna skydda sin verksamhet.
Ett företag behöver egentligen lära sig hur en angripare tänker och agerar, oavsett om intrången sker internt eller externt för att kunna skydda sig, men detta är givetvis svårt då cybersäkerhet och cyberkriminalitet som regel inte är verksamhetens kärnverksamhet och tillräcklig kunskap saknas. Därför är det bra att ta hjälp av en extern cybersäkerhetsspecialist som kan ge rekommendationer men också jobba aktivt med övervakning för att ha koll på vad som händer och som varslar om något avviker från det normala.
Cybersäkerhetsspecialister kan hjälpa till att definiera nivån på larm och kontrollåtgärder, hjälpa till att filtrera, analysera och gräva djup ner i varje incident.
Förutom att ta kontroll över sina loggar och identifiera sin skyddsvärdiga information behöver organisationen inventera vad den har för tillgångar. Vad finns det för teknisk utrustning i organisationens digitala nätverk? Skrivare, telefoner, TV? Man kan inte enbart titta i sin egen företagsmiljö utan man måste följ upp hela kedjan av leverantörer och samarbetspartners.
Tänk på att en liten flamma kan starta en skogsbrand. En skrivare, tv eller annan synbart oskyldig enhet vara den enhet i kedjan som ger angriparen ett fotfäste. Och kom ihåg: Har din verksamhet redan varit utsatt för en incident? Säkerställ då att ni har förbättrat era förutsättningar när det är dags för nästa incident.