IT-SIKKERHEDEN UNDER KONSTANT PRES
”Cybertruslen mod Danmark er meget høj.”
Sådan lyder første sætning på Center For Cybersikkerheds hjemmeside. Dykker man lidt længere ned i centerets trusselsvurdering for 2020, får man et lidt mere nuanceret billede.
De gode nyheder er, at truslen fra cyberterrorisme ikke eksisterer. Truslerne fra destruktive cyberangreb og cyberaktivisme er lave.
Til gengæld er de dårlige nyheder, at truslerne fra cyberspionage og cyberkriminalitet er meget høje. I begge tilfælde er de rettet ikke bare mod virksomheder, også myndighederne er i fare. Bundlinjen er, at mens de forskellige typer af trusler kan variere over tid, forandrer det samlede trusselsniveauet sig ikke. Vi må erkende, at vi lever i et digitalt samfund, hvor også forbrydere og andre lyssky elementer er digitale.
”Man er ikke nødt til at være et geni for at hacke et IT-system. Ofte lever systemer i virksomheder ikke helt op til det, de burde være.”
Oksana Kulyk
Nye muligheder for angreb
På tærsklen til det nye årti kommer vi ifølge Center For Cybersikkerhed til at se kunstig intelligens spille en stadig større rolle i forsvaret mod de digitale angreb; men desværre også som redskab for kriminelle og spioner. Også kvanteteknologi vil på sigt forandre spillereglerne i kampen mellem det gode og det onde.
Kvantecomputernes regnekraft vokser langt hastigere end normale computere. De amerikanske myndigheder skønner, at kvantecomputere inden for de næste 10 år vil kunne bryde en af de mest udbredte krypteringsmetoder, vi i dag bruger til at beskytte vores data med.
SAMDATA Magasinet har spurgt to forskere ansat på IT-Universitetet (ITU), Alessandro Bruni og Oksana Kulyk, om deres syn på de cybertrusler, som vi står overfor. Som det første henviser hun til den situation, som ikke bare danskere men også andre verden rundt står midt i, nemlig COVID-19, som også har direkte konsekvenser for IT-sikkerheden (se faktaboks længere nede).
”I et meget digitaliseret samfund som det danske er mange forskellige enheder forbundet over internettet. Særligt lige nu under epidemien arbejder mange mennesker hjemmefra. Det betyder, at mange ting, som vi gjorde fysisk nu skal udføres online. Det skaber nye muligheder for IT-kriminelle og andre angribere,” siger Oksana Kulyk.
Menneskelige faktor
Mens mange film og tv-serier viser hackere og andre tiltvinger sig adgang til IT-systemer, er virkeligheden som oftest anderledes og noget mere jordnær, også under COVID-19-pandemien. Arbejder man hjemmefra, sidder man som oftest alene og kan ikke lige vende sig mod en kollega ved naboskrivebordet for at få et godt råd.
”Man er heller ikke nødt til at være et geni for at hacke et IT-system. Ofte lever systemer i virksomheder ikke helt op til det, de burde være. Måske er de ikke blevet opdateret længe. Men omvendt bunder mange brud på sikkerheden i menneskelige fejl. Mange angreb på meget avancerede systemer sker ved phishing, hvor medarbejdere bliver snydt til at afgive vigtige informationer. Den menneskelige faktor er som oftest kritisk,” siger Oksana Kulyk.
I den sammenhæng handler det for hende ikke om at pege fingre ad medarbejderne som et problem. Tværtimod. Hun fremhæver, at de kriminelle i dag som oftest er meget dygtige til at producere både e-mails eller websider, som fremstår overbevisende. I den sammenhæng kan det være en hjælp lige at kunne tjekke, om webadresserne eller afsenderne stemmer overens med, hvad de giver sig ud for at være, påpeger Oksana Kulyk.
”Men det er jo ikke ganske lige til og nemt for en bruger, som ikke er fortrolig med, hvad man skal kigge efter,” siger hun.
Kan koste dyrt
Det samme ræsonnement gør sig for så vidt gældende for passwords. Alt for mange brugere genbruger det samme password eller anvender nogle, som er alt for nemme at regne sig frem til. I begge tilfælde kan et af svarene være at hjælpe brugerne til at automatisere den type processer, lyder det fra Oksana Kulyk.
I stedet for brugerne selv skal huske passwords eller skrive dem ned på en gul post-it påklistret arbejdscomputeren, kan de bruge password manager-systemer, der både foreslår stærke passwords og gemmer dem, så de er klar til brug.
På samme måde bør man udvikle systemer, der opfanger så mange som muligt af phishing-mails, så brugerne – medarbejdere som chefer – ikke kommer i den situation, hvor de kan komme til at træffe en forkert beslutning, der kommer til at koste dem eller deres arbejdsplads dyrt.
”Det bedste er naturligvis, hvis det lykkes at skabe et engagement på arbejdspladsen, så alle føler, at de virkelig er sammen om at gøre en indsats for IT-sikkerheden. Det ville betyde, at folk er mere på vagt og opmærksomme på farerne. Men vi må også erkende, at vi som mennesker har vores begrænsninger,” siger Oksana Kulyk.
COVID-19 ØGER TRUSLEN
Ifølge Center For Cybersikkerhed bliver der under pandemien sendt flere phishing-mails til danske myndigheder og virksomheder end ellers. Det samme gør sig gældende i andre lande. Mange af disse phishing-mails misbruger COVID-19 for at lokke dig til at læse mailen og klikke på links eller vedhæftede filer. Centeret vurderer i sin trusselsvurdering for 2020, at kriminelle også vil forsøge at udnytte statslige kompensationsordninger i phishing-mails.
I samme periode har man set mange falske hjemmesider, som bl.a. kriminelle anvender i deres forsøg på at franarre brugerne f.eks. NEMID-oplysninger. En del af hjemmesiderne ligner offentlige hjemmesider. Samtidig forsøger de også at ramme mobiltelefoner og tablets med apps o.l. beregnet på at stjæle data fra den mobile enhed.
Lige som Oksana Kulyk vurderer Center For Cybersikkerhed, at hackerne forsøger at udnytte, at man arbejder hjemmefra, hvad der giver øget behov for fjernadgange, VPN-løsninger samt samarbejds- og kommunikationsplatforme
Grænser for krav
I den forbindelse peger hun på arbejdspresset. De fleste kender en hverdag med en stadig strøm af e-mails, der kræver hurtigt svar. Der er stress og deadline.
”Vi har simpelthen nogle grænser for, hvad vi er i stand til at overkomme og huske. Det er ikke noget, vi kan gøre for. Det er bare sådan, vi er bygget som mennesker. Så der er nogle begrænsninger af, hvad meget man kan forlange, at folk skal kunne overskue og tage ansvar for,” siger Oksana Kulyk.
Ifølge hende er en af løsningerne at udvikle IT-sikkerhedssystemer, der er nemme og intuitive at anvende i dagligdagen for almindelige brugere. Samtidig kan man sikre sig ved at sørge for, at hver enkelt bruger kun har adgang til netop de dele af et system, som hun eller han har brug for at anvende som en del af deres normale arbejdsopgaver.
”Så selv hvis de bliver kompromitteret, er der grænser for, hvor meget skade indbruddet kan afstedkomme,” siger Oksana Kulyk.
Særligt tekniske udfordringer
Det menneskelige aspekt er blot en del af IT-sikkerheden. Den anden del handler om de tekniske udfordringer. Her vender vi os mod Alessandro Bruni, ligeledes forsker på IT-Universitetet. Ifølge ham er der særligt tekniske udfordringer i forhold til de mange nye apparater, som hele tiden bliver koblet på internettet. Lige fra robotstøvsugeren i stuen til baby-alarmen i barneværelset til kaffemaskinen i køkkenet. Han arbejder særligt med den disciplin, man kalder Internet Of Things eller IOT.
”Alle disse forskellige elementer påvirker IT-sikkerheden, men ikke alle har det fornødne sikkerhedsniveau. Hvis vi ser på vores almindelige pc, mobiltelefon og tablet, så har vi med tiden lært at sikre dem ordentligt. Men vi er slet ikke på samme niveau, når det gælder alle de nye gadgets og andre enheder, som er kommet på nettet,” siger Alessandro Bruni. Samtidig kan disse gadgets eller andre såkaldte devices være forbundet til kritiske dele af vores infrastruktur, som f.eks. energinettet.
Du kan ikke fjerne dem igen
Næsten i samme sætning peger Alessandro Bruni på et andet problem, der berører ikke bare IT-systemer, hvad der kan være slemt nok, men også persondata. Som et eksempel fremhæver han en sag, der sidst i december kom frem i de danske medier. Her var data fra blodprøver fra gravide mødre i Danmark blevet videresendt til amerikanske forskere og andre.
”Jeg vil ikke tage stilling til rigtigt og forkert i den konkrete sag, men det illustrerer problemstillingen i forhold til databeskyttelse,” siger Alessandro Bruni.
Han fortsætter:
”Vi kan også se problematik i forhold til brugen af blockchain-teknologien (metode til at registrere data, så de ikke kan ændres efterfølgende, red.). Hvis du lægger personlige data ind i sådan en offentlig database, så kan du ikke fjerne dem igen.”
Ifølge ham mangler man stadig at finde teknologier, som sikrer personlige oplysninger på en måde, så de ikke kommer til at ligge og flyde rundt på internettet. Og som det sidste punkt på hans liste vender han tilbage til samme bekymring, som hans kollega, Oksana Kulyk, fremlagde i begyndelsen af denne artikel, nemlig hvad COVID-19 betyder for IT-sikkerheden.
”Vi ser en udvikling, hvor vi både på grund af pandemien og men også generelt arbejder mere hjemmefra. Vi er vant til at bruge vores egne maskiner på arbejdspladsens netværk. Det udgør også en sikkerhedsmæssig trussel, fordi de maskiner ikke nødvendigvis er sikret tilstrækkeligt,” siger Alessandro Bruni.
Det har ikke været muligt at få Center for Cybersikkerhed i tale for at få uddybet centerets trusselsbillede.