“Dét skulle vi aldrig have fortalt” og hvordan du undgår det bliver brugt mod jer, inden det er for sent

Skrevet af Mads Skydt
13.12.2022

“Loose Lips Sink Ships” stod der på en propagandaplakat fra Anden Verdenskrig. Det var et af budskaberne fra ”United States Office of War Information”, som bød befolkningen at undgå skødesløs snak, der kunne underminere krigsaktiviteter. Denne samme risiko er i dag relevant for virksomheder, hvor oplysninger i de forkerte hænder kan føre til store tab. 

I denne artikel, i to dele, vil du lære om offentligt tilgængelige oplysninger: 

  • Hvordan de kan misbruges (det er nemmere, end du tror)
  • Hvilke kan være farlige (der er flere, end du tror)
  • Hvad der kan gøres for at reducere sandsynligheden for at et angreb lykkes ved at kontrollere information (du kan gøre noget allerede i dag)

Du får undervejs værktøjer og terminologi, der hjælper dig med at indsamle datapunkter om egen virksomhed og strategier til i sidste ende at reducere tab. 

Dette er første artikel i en serie af to. Næste artikel er på vej, så hold øje med hjemmesiden og vores LinkedIn

FÅ STYR PÅ VIRKSOMHEDENS ANGREBSFLADE 

En angriber vil altid søge at øge sandsynligheden for succes, og én af de faktorer, der er altafgørende, er at forstå forsvar og interne forhold for at fastlægge mål og taktik for et angreb. Denne slags efterretninger (“intelligence”) sammensættes af datapunkter, som indhentes i den første fase af et (cyber)angreb: rekognoscering. 

Ved at registrere og kortlægge offentlig tilgængelig (“open source”) information om virksomhedens angrebsflade, får man viden, som kan indgå i en kvantitativ risikovurdering og gøre estimater på sandsynligheder bedre. Området kaldes ofte Open Source Intelligence (OSINT).  

Målinger gør dig også i stand til at reducere usikkerheden på risici. Det er relevante data for din risikovurdering på samme måde som antallet af maskiner i virksomheden, der har modtaget sikkerhedsopdateringer rettidigt. For det måler du jo også på, ikke? 

”If you know neither the enemy nor yourself, you will succumb in every battle.” 

Sun Tzu, The Art of War 

HVORDAN KAN INFORMATIONER MISBRUGES? 

Kriminelle er meget interesserede i at stjæle persondata og forretningshemmeligheder. De kan bruges effektivt til at afpresse virksomheder, kunder og medarbejdere ved at true med offentliggørelse. 

Kronjuvelerne beskytter virksomheder godt, mens tilsyneladende triviel information om softwareløsninger, interne forhold i virksomheden og kontaktinformationer på medarbejdere ofte går under radaren. Men disse oplysninger bruger de kriminelle til at øge deres sandsynlighed for succes. 

For at kunne identificere disse trivielle, men potentielt skadelige oplysninger, skal vi vide lidt om, hvordan de kan misbruges. 

TILLID, FRYGT OG ANDRE FØLELSER 

Generalisering: ”De fleste mennesker ønsker at passe ind. De er autoritetstro og vil gerne have andre til at kunne lide én. Hvis nogen gør noget for én, så vil man gerne gengælde tjenesten. I det hele taget vil man gerne hjælpe andre – hvis de spørger om noget, så svarer man. Det er jo sådan spørgsmål fungerer – de fordrer et svar. Mennesker vil også gerne følge regler og følge flokken, så de ikke risikerer at gøre sig negativt bemærket. Hvis nogen fortæller noget man allerede ved, så er det let at have tillid til dem.”

Mange mennesker, vi kender, kan helt eller delvist beskrives med ovenstående svada. Når kriminelle manipulerer deres mål til at gøre noget (”klik på dette link”) eller afsløre oplysninger (”send mig dit kontonummer”), så bruger de ovenstående følelser og udsagn aktivt til at sammensætte en historie, som hjælper dem videre i deres angreb. Det kaldes for ”social engineering”. 

Det er vigtigt at forstå, at simple dagligdagsoplysninger, som isoleret set ikke er hverken farlige eller hemmelige, alligevel kan være meget interessante for en angriber. De bruger små stykker information til at udbygge deres historie til den næste person, de kontakter: afdelingsstrukturer, personers arbejdsområder, intern jargon, ferieperioder, godkendelsesprocedurer, screenshots af software fra en vejledning på hjemmesiden osv. Alt er relevant og kan bruges – lige frem til at en projektleder, med den rette adgang, sender kildekoden til firmaets nyeste telefon til en hacker. 

DE TEKNISKE OPLYSNINGER 

Virksomheder bruger deres hjemmeside til at markedsføre og sælge produkter, formidle kontaktoplysninger på virksomheden og måske nogle eller alle medarbejderne. Der er måske en webshop, som er integreret med et ERP-system med priser og lagerstatus. Der er software, som lader medarbejdere koble op hjemmefra og bruge systemer. 

Disse tekniske løsninger er eksponeret på internettet. Løsningerne er logisk opbygget og navngivet, for at mennesker kan finde ud af at arbejde med dem, og der er samtidig indbygget forskellige lag af sikkerhed på systemerne. Disse tekniske oplysninger kan enhver kigge på udefra. IT-systemer er til for mennesker og for andre IT-systemer og er derfor ofte meget hjælpsomme ved at oplyse detaljer, der øger brugervenligheden. IT-systemer kan også være konfigureret på en usikker måde for at øge brugervenligheden eller blot ved en fejl.

Der er mange gode og indlysende grunde til, at du IKKE MÅ tilgå andre virksomheders og personers IT-infrastruktur via internettet. Afprøv KUN dig selv og din egen virksomhed, og KUN efter skriftlig aftale med virksomhedens ledelse. Det er dit ansvar at have styr på, hvad du må, og ikke må.

Man kan dog i Danmark uden problemer søge i offentligt tilgængelige databaser og tjenester. 

Eksempler: www.cvr.dk, www.google.dk og wwww.skraafoto.kortforsyningen.dk

Eksempel 1 

Med søgemaskiner som www.shodan.io kan enhver søge i registre over IT-infrastruktur, som er tilsluttet internettet. 

En virksomhed i Phoenix, USA, har en forældet webserver (Microsoft-IIS/6.0) som ikke har fået sikkerhedsopdateringer siden 2015. Man kan se, at denne server har mindst 5 sårbarheder fra 2008 og 2009. 

En rapport fra sikkerhedsfirmaet Palo Alto indikerer, at det tager 15 minutter fra publiceringen af en sårbarhed, til kriminelle påbegynder scanning af internettet for systemer med den specifikke sårbarhed. 

Man kan konfigurere servere til ikke at dele informationer om deres type og versionsnummer. På den måde kan man reducere sandsynligheden for, at en sårbarhed nemt kan opdages. I eksemplet skulle serveren dog have været udskiftet senest i 2015. Ved at søge i sårbarhedsdatabaser som nvd.nist.gov, kan du finde detaljer om sårbarheder og søge videre på efter metoder til at udnytte sårbarhederne som på www.exploit-db.com

Tre gode tiltag:

  1. Overvej, om det overhovedet er nødvendigt at eksponere et system online. En hjemmeside – ja, den skal være online. Men måske skal ”intranet.virksomhed.dk” kun være tilgængeligt internt og via VPN.
  2. Sørg for, at sikkerhedsopdatere hardware og software automatisk og hurtigt
  3. Udskift altid hardware og software før end-of-life

Eksempel 2 

Mange virksomheder bruger markedsføringsværktøjer, som f.eks. Mailchimp, til at afsende e-mail-nyhedsbreve. For at disse systemer kan sende mails på vegne af virksomheden, uden at de markeres som spam, skal der konfigureres lidt teknik på internetdomænet. Hermed eksponerer virksomheden brugen af værktøjet. Det kan f.eks. misbruges i en phishing-e-mail sendt direkte til en marketingsmedarbejder. 

Tre gode tiltag: 

  1. Sørg for, at IT vedligeholder et register over systemer, som bruges og er eksponeret mod internettet. Forstå farerne og gør det svært at identificere navngivne systemer
  2. Sørg for, at alle medarbejdere er klar over, hvordan viden om interne forhold kan misbruges
  3. Implementér procedurer for verifikation af identitet og for udlevering af enhver form for oplysninger

DE MINDRE ÅBENLYSE, MEN FARLIGE, OPLYSNINGER 

Tilsyneladende harmløse oplysninger om interne forhold kan også misbruges. Man kan ikke begrænse alle typer information, men enkle retningslinjer og awareness på emnet kan hjælpe et stykke af vejen. 

Eksempel 1 

På virksomhedens hjemmeside findes et detaljeret organisationsdiagram og kontaktoplysninger på alle medarbejdere med navn, titel, afdeling, e-mail og mobilnummer. 

Tre gode tiltag: 

  1. Reducér detaljeniveauet på hjemmesiden. Direkte- eller mobilnumre er måske ikke nødvendige
  2. Undlad at have oplysninger om alle medarbejdere. F.eks. kan studentermedhjælpere eller elever være særligt påvirkelige ift. phishing eller måske afpresning
  3. Sørg for, at medarbejdere er trænet i ikke at tillægge kendskab til offentligt tilgængelige oplysninger værdi i forhold til troværdighed. Blot fordi en person i telefonen kender CFO’ens privatadresse og ved at han spiller tennis, er det ikke en person, der på denne baggrund skal have flere oplysninger

Eksempel 2

På Instagram har en medarbejder uploadet et billede af jubilæumskagen, som står på en Canon kopimaskine ved siden af en dør til ”Mødelokale A.6” med teksten ”Tillykke til Marianne som har holdt os ud i 10 år!” 

Tre gode tiltag: 

  1. Medarbejdere skal have en forståelse af, at billeder og anden intern information, der lægges på nettet, kan misbruges: Tag det med i awareness-træningen
  2. Retningslinjer eller regelsæt omkring medarbejderes brug af sociale medier bør indgå i medarbejderhåndbog, IT-sikkerhedspolitik eller lignende
  3. Foretag regelmæssige søgninger på internettet eller etablér automatisk overvågning med det formål at styre information, der publiceres fra/om virksomheden

Eksempel 3

En ny medarbejder har på LinkedIn posted et billede af sin velkomstpakke: en t-shirt, en iPhone, en Thinkpad-laptop og et adgangskort på en keyhanger med virksomhedens logo. 

Tre gode tiltag: 

  1. Specifik skriftlig instruks til nye medarbejdere (såvel som de der forlader virksomheden) om, at publicering af billeder af adgangskort og andet udstyr ikke er tilladt
  2. Generel awareness-træning om praksis for fysisk adgang samt brugen af sociale medier
  3. Foretag regelmæssige søgninger på internettet eller etabler automatisk overvågning med det formål at styre information der publiceres fra/om virksomheden

OPSUMMERING

Start disse tre aktiviteter for at beskytte virksomheden mod misbrug af oplysninger: 

1. Kortlæg egen angrebsflade

Der findes en række værktøjer, du kan bruge til at forstå din egen angrebsflade. Prisen går fra gratis til dyr. Det skriver vi mere om i artiklens anden del. Sammenlign angrebsfladens med data fra sidste gang og brug data til at reducere usikkerhed i IT-risikovurderingen. 

2. Analyser og forstå angrebsfladen og risikoniveauet

Forstå, hvad der kan misbruges i kombination med andre oplysninger. Det vil hjælpe med at udvælge de rette tiltag til at reducere risikoen. 

3. Reducér sandsynligheden for misbrug af oplysninger

Regelsæt udtrykt i politikker, procedurer og personalehåndbøger er vigtige og en del af awareness-arbejdet. Vær opmærksom på forhold, vi ikke kan ændre: nogle oplysninger er bare offentlige tilgængelige, og kriminelle vil forsøge at manipulere med os. Der skal også være fokus på tekniske tiltag, hvor man bl.a. minimerer angrebsfladen bedst muligt. 

I del 2 af denne artikel kommer vi ind på flere af de værktøjer og metoder, som kan bruges til at forstå virksomhedens angrebsflade og dermed reducere usikkerheden i vurderingen af risikoniveauet. 

Så, stay tuned. 

“To know your Enemy, you must become your Enemy.” 

Sun Tzu 

Fortsæt læsningen her

ISO 27005 Is Wrong About Quantitative Risk

ISO 27005 Is Wrong About Quantitative Risk

The International Standards Organization recently published an updated version of their guidance for information security risk management, but they have missed the mark entirely on quantitative...