Trusler og trender juni 2003

Transkript

1 Trusler og trender juni 2003 Senter for informasjonssikring (SIS) SINTEF, 7465 Trondheim Tel: (+47) Fax: (+47) E-post: Web:

2 Forord Senter for informasjonssikring (SIS) har som en prioritert oppgave å presentere et helhetlig bilde av trusler mot IKT-systemer i Norge. Vi tar utgangspunkt i uønskede hendelser som kan påvirke konfidensialitet, integritet og tilgjengelighet. Dette vil også omfatte andre sikkerhetselementer som krav til sporbarhet og ikkebenekting. Vi har i våre analyser tatt hensyn til både utilsiktede og tilsiktede hendelser i tillegg til ekstreme hendelser som skyldes forhold utenfor virksomhetens kontroll ("acts of God"). Et trusselbilde vil være dynamisk. SIS vil derfor løpende oppdatere trusselbildet i forhold til relevante faktorer. Dette omfatter forhold som endring i teknologi, endring i anvendelsesområder og den foreliggende samfunnsmessige trusselvurdering. Trusselbildet er basert på de kilder SIS har tilgang til, samt informasjon om hendelser som inntreffer. Det er derfor svært nyttig for SIS å bli informert om alle sikkerhetshendelser som virksomheter utsettes for. Dette vil øke nøyaktigheten i framtidige rapporter. Vi tar også svært gjerne imot kommentarer til de rapporter vi utgir. Kontakt SIS: tlf: e-post: post@norsis.no web: 2

3 Innholdsfortegnelse 1 SAMMENDRAG 4 2 TILSIKTEDE INNBRUDD 5 3 TJENESTENEKTING: ORMER 8 4 VIRUS I ELEKTRONISK POST OG MAKROER 10 5 MISBRUK AV VIRKSOMHETENS RESSURSER 13 6 MENNESKELIG SVIKT 15 7 TAP AV NETTILGANG - SINGLE-POINT-OF-FAILURE 17 8 UKRITISK BRUK AV E-POST 19 9 MISBRUK AV TRÅDLØS KOMMUNIKASJON TYVERI AV MOBIL ENHET SPAM 25 3

4 1 Sammendrag Gjennom oppslag i media får innbruddsforsøk via Internett stor oppmerksomhet. Vår erfaring er imidlertid at den største trussel mot IKT-systemer kommer innenfra. De fleste hendelser skyldes utilsiktede handlinger som gjerne oppfattes som feil og uhell og som i de fleste tilfeller kan tilskrives menneskelig svikt. Dette underbygger kravet til at virksomhetene må satse betydelig mer på intern holdningsbygging for å øke risikobevisstheten. Menneskelig svikt eller feilvurdering har også sammenheng med flere av de trusler som er omtalt i rapporten. Vi ser en økende tendens til tyveri av laptop eller andre mobile enheter. Dette representerer stor sårbarhet dersom informasjonen som er lagret på disse ikke er tilfredsstillende sikret. Vi omtaler også misbruk av virksomhetens ressurser som en trussel og erfarer at dette ofte skyldes dårlige holdninger blant de ansatte. Stor utbredelse i bruk av Internett i Norge har gjort oss sårbare som følge av flere trusler. En av disse er at selve tilgangen til Internett svikter, enten som følge av feil hos leverandør eller i verste fall at leverandøren innstiller sin virksomhet (for eksempel ved konkurs). En annen effekt av utbredt bruk av Internett, er økt/hurtigere spredning av ondsinnet kode eller mer bevisst tjenestenektingsangrep. Vi har registrert en markert avkorting av tiden fra en sårbarhet blir kjent til angrep gjennomføres. I tillegg har vi sett at angrepene har blitt mer effektive ved at det på kort tid kan gjøres stor skade. Dette reduserer muligheten for å begrense skade selv ved rask varsling og reaksjon. Bruk av trådløse nett øker, og vi ser en økende andel angrep mot denne type infrastruktur både for interne og eksterne nett. Den sterke økning i bruk av e-post har også økt hyppigheten av truslene knyttet til misbruk av dette medium. I den siste tiden har spesielt "spam" (uønsket e- post) framstått som et problem for mange virksomheter, og for noen virksomheter vil spam i nær framtid utgjøre omlag halvparten av all mottatt e-post. I tillegg vil SIS rette oppmerksomheten mot mange virksomheters ukritiske bruk av e-post over Internett. E-post sendes vanligvis ukryptert, noe som medfører at uvedkommende kan skaffe seg innsyn og faktisk også endre innhold i meldingen. Et typisk trekk ved mange av de trusler som SIS har dokumentert, er at de har vært kjent en viss tid. I mange tilfeller har mottiltak i form av oppgradering av programvare foreligget i lang tid. Likevel hører vi at virksomheter blir utsatt for vellykkede angrep. Dette faktum bør gi grunnlag for relevante tiltak i mange virksomheter. 4

5 2 Tilsiktede innbrudd 2.1 Problembeskrivelse Det kreves ikke mye kunnskap for å utnytte kjente sårbarheter i datasystemer. På Internett er det lett å finne programmer man kan bruke til dette, og mange av disse programmene kan brukes uten spesielle endringer eller tilpasninger, altså kan hvem som helst benytte dem. Dette gjør det enkelt for de som synes dette er spennende å se hvor langt de kan drive det. Denne typen "crackere" kalles gjerne "script kiddies" og gjør det mest for gøy og spenning, ikke for vinnings skyld. Dessuten er det de mer avanserte crackerne, som er mer målbevisste med sine handlinger. Deres hensikter kan være å stjele konfidensiell informasjon fra virksomheten, sette virksomhetens systemer ut av drift eller utnytte virksomhetens ressurser i form av diskplass eller båndbredde. 2.2 Trusselscenarier Industrispionasje - en cracker bryter seg inn og legger inn en bakdør på systemet ved å benytte et såkalt "rootkit". Gjennom denne samlingen av verktøy kan crackeren også skjule sine aktiviteter. Bakdøren vil gi vedkommende adgang til systemet og dermed muligheter for å lese og stjele informasjon fra virksomheten. Uvedkommende bryter seg inn i virksomhetens nett og endrer nettsidene uautorisert slik at disse viser feilaktige opplysninger. Hovedsiden kan erstattes med en hilsen fra crackeren, eller små endringer kan legges inn, for eksempel et nytt telefonnummer, slik at crackeren kan motta telefoner som egentlig skulle til virksomheten. I tillegg til at informasjon dermed kommer på avveie, svekker slike hendelser virksomhetens rykte og troverdighet. Crackere oppnår tilgang til filserver(e) og benytter disse til å dele større mengder informasjon med andre. 2.3 Sårbarhet Script kiddies utnytter svært ofte svakheter og sårbarheter i programvare og systemer som har vært kjent en stund. Mange av de angrepsverktøyene som ligger åpent ute på nett, er nemlig beregnet på slike. Dermed er man sårbar om man ikke har tettet sikkerhetshullene i sine systemer med oppdateringer som har blitt gjort tilgjengelig. Virksomheter sitter ofte på informasjon som er ettertraktet av utenforstående. Crackere bruker ofte mer avanserte verktøy enn de som ligger åpent ute på nett, til å gjennomføre angrep. Slike innbrudd kan være vanskelig å avdekke, spesielt om det ikke er iverksatt overvåkingssystemer på systemet, men også om hele eller deler av driften er outsourcet. 5

6 Selv om systemene er oppdatert og overvåket, er de ansatte ofte et svakt punkt. Svært mange crackere benytter såkalt "social engineering" i sitt arbeid, hvilket vil si å erverve kunnskap om virksomheten gjennom å få ansatte selv til å avsløre mye informasjon. Slik informasjon kan være passord, hvilke datasystemer som kjøres, hvor sentrale servere er plassert og andre opplysninger som kan hjelpe utenforstående å gjennomføre et angrep. 2.4 Tiltak for å redusere sårbarhet Jevnlige scanninger og kontroller av egne systemer vil kunne avdekke hvilke sikkerhetshull som eksisterer og som dermed kan utnyttes av inntrengere. Programmer som ikke benyttes eller er nødvendige for forretningsvirksomheten, bør fjernes. Tilsvarende tjenester, for eksempel FTP-tjenere, webtjenere og fildeling, bør skrus av slik at de ikke er tilgjengelige. Patching. Det viktigste tiltaket er å sørge for at de kjente sikkerhetshullene er tettet. Overvåkning og filtrering. Ved bruk av et system for inntrengningsdeteksjon (IDS) kan man i stor grad avsløre forsøk på cracking mot bedriftens systemer. Et IDS vil fungere enda bedre dersom en brannmur på forhånd filtrerer vekk store deler av den uønskede trafikken. På den måten blir belastningen mindre på overvåkningssystemet. Hver bruker bør også ha en personlig brannmur på sin egen maskin for å beskytte mot uønsket trafikk fra andre innenfor bedriftens brannmur og som en ekstra beskyttelse i tillegg til denne mot uønsket trafikk utenfra. Integritetskontroll. Slike systemer kan avdekke uautoriserte endringer i konfigurasjoner og systemfiler, noe som ofte kan inntreffe ved et crackingangrep. Et nettverk kan deles inn i soner, hvor de ulike sonene har ulikt nivå av beskyttelse. Bevisstgjøring av egne ansatte, for eksempel i form av holdningskampanjer. Dette vil kunne minske virksomhetens sårbarhet i forhold til "social engineering". Det er imidlertid viktig å huske på at litt sikkerhet hjelper mye. Dersom man kan begrense muligheten for at nettet kan scannes av andre, har man hindret mye. 2.5 Trend Stadig mer bedriftssensitiv informasjon lagres og overføres elektronisk. Dette gjør slik informasjon lettere tilgjengelig for uvedkommende. Social engineering benyttes i større grad nå enn tidligere, en utvikling som synes å fortsette. Etterhvert har det imidlertid blitt fokusert mye på at man skal være på vakt og blant annet holde passordet sitt hemmelig, derfor vil crackerne finne nye måter å erverve slik type kunnskap på. 6

7 Så lenge det gir status i enkelte miljøer å bryte seg inn på andres nettverk, vil denne formen for angrep aldri opphøre. For noen vil det alltid være tilfredsstillende å få andres oppmerksomhet på denne måten. Dette er derfor et problem man som systemeier må beskytte seg mot på best mulig måte. 7

8 3 Tjenestenekting: ormer 3.1 Problembeskrivelse Tjenestenektingsangrep utspringer fra komplekse og vanskelige problemer mht Internett-trafikk. Angrepsarten er ofte distribuert (angrepet er koordinert fra mange forskjellige maskiner, ikke én sentral node) og Internett vokser fremdeles. Dette innebærer at det også blir flere nye potensielle vertsmaskiner for ormer 1 tilføyd nettet. Det er ikke gitt at disse maskinene har bedre sikkerhet enn gjennomsnittet selv om de er nye på Internett. Dette vil si at de potensielle vertsmaskinene er ikke mindre sårbare enn de andre. 3.2 Trusselscenarier Distribuert angrep hvor et mål (ofte et nettsted) blir bombardert med trafikk Ondsinnet kode som hyppig lager kopier av seg selv og sprer seg til nye mål (ofte e-post som sendes til alle i en adresselisten) 3.3 Sårbarhet Konsekvensen av et tjenestenektings-angrep er avhengig av programvare, plattform, nettverksarkitektur og sikkerhetsmekanismer. En typisk hendelse er at et nettsted blir bombardert med trafikk slik at det ikke klarer å prosessere all informasjon som blir sendt. Slike angrep er ofte rettet mot populære nettsted, og resultatet er nedetid for en webside til en virksomhet. Et av de største problemene er mangelfull oppdatering av oppsett, programvare og sikkerhetsmekanismer. Mange virksomheter glemmer å følge opp datasystemene og følge med på utviklingen av sine systemer. Dette åpner for kjente masseangrep, muliggjør spredning og lengre livstid for ormene. Derfor er det viktig å evaluere dine prosedyrer for patching 2 og oppdatering av systemene. 3.4 Tiltak for å redusere sårbarhet Oppdaterte sikringsmekanismer, og oppfølging av patching, både av virksomhets- og hjemmemaskiner For å minimalisere effekten av distribuerte angrep (DDoS) er det nyttig å øke båndbredden for en tjeneste (f.eks. nettsted). Dette innebærer å planlegge for et trafikkvolum som langt overskrider den normale trafikkmengden til tjenesten. Resultatet blir at det er meget vanskelig å overlaste en tjeneste for å få et vellykket distribuert tjenestenektingsangrep. Implementere redundans i tjenesten. Identifiser om du har svakhetspunkt (single-points-of-failure) for en tjeneste og bruke backup servere. Angriper 1 Orm er et program som gjør skade og sprer seg selv videre. Virus er et program som gjør skade og ikke sprer seg selv videre. 2 Patching er midlertidig reparasjon av program feil. 8

9 kan omdirigere sitt angrep til det nye systemet, men dette øker risikoen for å bli oppdaget og gjør det vanskeligere å gjennomføre et angrep. Generell god sikkerhet kan forhindre at maskinene dine blir brukt til slike angrep. Bakdører til system blir ofte installert på kompromitterte maskiner. Disse maskinene blir nye angrepsagenter for distribuerte angrep på andre eller egne mål. 3.5 Trend Det er en kontinuerlig økning av skanningsforsøk på Internett de siste årene. Sårbarheter i velkjente protokoller som f.eks. HTTPS har akselerert hyppigheten av angrepsforsøk på Internett. Denne trenden vil fortsette fremover så lenge det er mulighet for massespredning av ormer og annen ondsinnet kode. Massedistribusjon av hybridormer i familien til Nimda og Klez har økt i hyppighet i den senere tid. Et godt eksempel på dette er hybridormen Bugbear som angrep store deler av finanssektoren rundt om i verden. Denne trenden vil fortsette og frekvensen vil øke i takt med nye hybridormer og vertsmaskiner. Som et resultat vil vi forsette å se en overgang fra angrep på enkelt maskiner til angrep i stor målestokk på kritiske systemer. I tillegg ser vi en trend hvor tiden mellom en sårbarhet blir kjent til utnyttelse og angrep mot dette punktet blir mindre og mindre. Derfor vil driftingen og oppfølgning av systemene våre bli mer og mer kritisk. Tidsvinduet systemadministratoren har for å patche systemene vil bli mindre. 9

10 4 Virus i elektronisk post og makroer 4.1 Problembeskrivelse Elektronisk distribusjon av dokumenter (filer) gjør det mulig å sende dokumenter til mottagere over hele verden på en mer effektiv måte. Samtidig gjør elektronisk distribusjon det enkelt for personer som ikke er fysisk i nærheten av hverandre å samarbeide om utvikling av dokumenter på en helt annen måte enn tidligere. Imidlertid gjør e-post og elektroniske dokumenter det også mulig å distribuere programmer som utfører ondsinnede handlinger. Slike programmer kan skjules i e-post eller som makrovirus i dokumenter på en slik måte at verken avsender eller mottager oppdager at de er blitt rammet. 4.2 Trusselscenarier Det finnes virus i svært mange kategorier, fra «uskyldige» morsomheter til virkelig ondsinnede varianter som kan gjøre stor skade på IT-systemer. Noen vanlige varianter: Laster ned programkode fra en webside og kjører den på brukerens maskin. ("Sobig") Registrerer/stjeler passord og sender dem til eksterne mottagere. ("Lirva") Sender kopier av filer som er lagret på maskinen til uvedkommende. ("Klez") Installerer bakdører i systemet, slik at uautoriserte brukere kan få tilgang. ("CodeRed", "Deloader") 4.3 Sårbarhet E-postvirus Programvare som håndterer e-post har ofte mye funksjonalitet og mulighet til å automatisk starte forskjellige typer programmer etter hva slags format e-posten har og hvilke filer som er vedlagt. Denne funksjonaliteten gjør det enkelt å utveksle dokumenter som benytter et spesielt program, for eksempel en teksteditor eller et regneark. Ondsinnet kode som ligger i e-posten eller i et vedlegg kan dermed bli utført automatisk uten av brukeren vet om det. Det er dermed ikke tilstrekkelig med et "sikkert" e-postprogram; alle applikasjoner som kan startes av e-postprogrammet må også være sikre! Bevisstheten om virus har økt, og mange brukere er skeptiske til e-post fra ukjente avsendere eller med uvanlige titler. Det er imidlertid enkelt å forfalske avsenderadresser, og e-post med virus har ofte uskyldige overskrifter, som for eksempel kan være hentet fra innboksen på en infisert maskin Makrovirus I mange applikasjoner (Microsoft Word, Excel, osv) er det mulig å lagre en serie kommandoer slik at hele serien kan utføres ved et enkelt tastetrykk. En slik 10

11 samling av kommandoer kalles en makro. Makroer lagres sammen med en fil og kjøres når filen blir åpnet i applikasjonen. Mange applikasjoner har egne programmeringsspråk (makrospråk) som kan benyttes til å lage svært kraftige makroer, men som dessverre også kan benyttes til å lage ondsinnet kode. Makrovirus har vært blant de mest utbredte virustypene for Windows-plattformen. 4.4 Tiltak for å redusere sårbarhet Opplæring av brukere: - Vedlegg til e-post fra ukjente avsendere bør i utgangspunktet ikke åpnes. I det minste bør man lagre vedlegget og sjekke det med en virusskanner først. - Vær tilsvarende forsiktig med e-post som kommer fra en kjent avsender, men som virker uvanlig, for eksempel med tittel på andre språk eller med spesielle vedlegg. Ta evt. kontakt med avsender før du åpner e-post eller vedlegg. - Hvis du mottar en advarsel om nye virus fra noen andre enn din systemansvarlige eller noen du har inngått avtale med, for eksempel et antivirus-firma, ikke send den videre. Det er overveiende sannsynlig at den er falsk. - Vedlegg blir ofte vist som ikoner i e-postprogrammet. Stol ikke på disse; det som ser ut som et ufarlig bilde, kan være et kamuflert kjørbart program. Det samme gjelder vedlegg med "doble" suffikser, for eksempel filnavn.gif.bat. Sikkerhetsmekanismer er ofte skrudd av i nyinstallert e-postprogramvare. Slike funksjoner må aktiveres, for eksempel bør man skru av automatisk åpning av vedlegg og automatisk forhåndsvisning av e-post. Disse kommandoene bør ligge i en sentral konfigurasjonsfil som vanlige brukere ikke har tilgang til eller kan overstyre. Installer antivirus-programvare og hold den oppdatert. Sørg for automatisk virus-skanning av all innkommende e-post. Oppdatering bør skje automatisk og uavhengig av brukerne. Oppgrader e-postprogramvare jevnlig. Sikkerhetshull blir vanligvis tettet etter hvert, og publiserte sikkerhetshull er spesielt utsatt for angrep. Bruk helst automatisk programoppdatering, for eksempel Windows Update. Dersom beskyttelse mot virus er identifisert som en viktig del av virksomhetens sikkerhetspolicy bør man vurdere hvilken e-postprogramvare det er hensiktsmessig å benytte. 4.5 Trend Ny og utvidet funksjonalitet gir nye sikkerhetshull og nye muligheter for ondsinnet programvare. Samtidig lever mange "gamle" virus i beste velgående, til tross for at antivirus-programvare lenge har kunnet identifisere og fjerne dem. 11

12 Mange virksomheter rapporterer at de er mindre plaget med virus enn tidligere, noe som kan tyde på at de har fått etablert tilstrekkelige mottiltak. På den annen side vil mange virksomheter kunne bli mer utsatt for angrep fordi medarbeiderne i større grad arbeider fra hjemmet, og hjemmemaskinene er ikke underlagt samme sikkerhetsregime. Virustrafikken vil sannsynligvis øke. MessageLabs ( rapporterer om en jevn økning i antall infiserte e-poster; i perioden mai juni 2003 var ca 1 av 220 meldinger infisert. 12

13 5 Misbruk av virksomhetens ressurser 5.1 Problembeskrivelse Det har i mange virksomheter utviklet seg en akseptert holdning om at de ressurser som er tilgjengelige fritt kan brukes når det ikke er lagt hindringer i veien for dette. Dette har medført at store ressurser i dag benyttes til formål som ligger langt utenfor primær virksomhet. Dette er mulig fordi brukerne har tilgang til store ressurser, mens retningslinjer og kontrollrutiner mangler. Virksomheter er utsatt for slikt misbruk både fra interne brukere og utenforstående som bryter seg inn. Nye medarbeidere som kommer fra utdanningsmiljøene har vært vant til å bruke alle tilgjengelige ressurser på Internett, og denne holdning drar en gjerne med seg. 5.2 Trusselscenarier Eksempler på slikt misbruk: Brukere laster ned store mengder film og musikk og distribuerer dette videre via virksomhetens servere. Brukere laster ned pornografisk materiale for lagring og/eller distribusjon. Brukere benytter virksomhetens dataressurser til egen privat forretningsvirksomhet. Utenforstående gjør innbrudd på servere og kan gjennomføre alle ovennevnte scenarier i tillegg til å bruke virksomhetens servere til utsending av uønsket e- post/spam. Forhold av ovennevnte karakter avdekkes og virksomheten får negativ presseomtale. Dette kan også medføre brudd på lover og forskrifter med fare for påtale og straff. 5.3 Sårbarhet En sårbarhet ligger i at film- og musikkdistribusjon medfører bruk av fildelingsprogram. Disse kan inneholde ondsinnet kode og/eller introdusere bakdører som igjen kan medføre stor skade på egne systemer i tillegg til mulig spredning. Bruk av ressurser til uautoriserte formål, kan svært ofte føre til reduserte ressurser til primærvirksomhet med tilhørende redusert tilgjengelighet til virksomhetens IT-tjenester. Den alvorligste konsekvensen er likevel at virksomheten mister effekt av tilgjengelige IKT-ressurser - f.eks. båndbredde, lagringsplass m.m. I tillegg vil en miste effektivitet fra medarbeidere. 5.4 Tiltak for å redusere sårbarhet. Virksomheter må informere ansatte om hva de har lov til med hensyn til bruk av arbeidsgivers ressurser. Det er hver enkelt virksomhet sitt ansvar å sette rammene. Holdningsskapende tiltak vil gjøre det lettere å forstå hva som er rett og galt. 13

14 Ansatte må skriftlig bekrefte at de er kjent med regelverket. Virksomheten må gjennomføre nødvendige kontroller for å følge opp at retningslinjer etterleves. Slike kontroller omfatter overvåking av bruk av lagringsressurser samt nettrafikk innen de begrensninger som lovverket setter. 5.5 Trend Tilgangen til underholdningstilbud på Internett øker stadig. Hurtigere kommunikasjonslinjer og større lagringsplass på arbeidsstasjoner og servere gir større muligheter til nedlasting og deling. Vi ser også en utvikling hvor flere bruker samme PC på kontoret og hjemmefra. I hjemmet kan også andre i familien bruke denne maskinen. Dette kan skape uklare grenser for hva som er virksomhetens ressurser og hva som er den ansattes. 14

15 6 Menneskelig svikt 6.1 Problembeskrivelse Mange IT-sikkerhetsrelaterte hendelser skyldes menneskelig svikt. Det fokuseres ofte på tilsiktede hendelser, for eksempel utro tjenere, men vel så hyppig forekommer utilsiktede hendelser som skyldes uhell eller unnlatenhet. Det har den siste tiden vært flere eksempler på hendelser som har skyldtes menneskelig feil og som har fått store konsekvenser. 6.2 Trusselscenarier Menneskelig svikt kan ha store konsekvenser: Små hendelser, for eksempel virusangrep, kan spre seg og bli et større problem enn nødvendig. Dette kan skje fordi det ikke oppdages på et tidlig nok stadium, eller fordi det ikke finnes klare retningslinjer for rapportering dersom en bruker oppdager noe slikt og/eller ikke rutiner for hvordan dette skal håndteres og hvem som har ansvar og myndighet til å iverksette mottiltak. Ukritisk bruk og installasjon av systemer for eksempel at man alltid installerer alle nye systemer med standard innstillinger. Dette kan lede til at systemer installeres med kontoer med kjente passord som er en del av standard oppsett. Disse kontoene kan brukes av uautoriserte til å få tilgang til systemet. Ledersvikt noen ganger kan ledere gi sine medarbeider beskjed om å omgå regler for eksempel når det haster med en leveranse og man mener man ikke har tid til å følge vanlige rutiner. Dette kan medføre at medarbeiderne får inntrykk av at reglene ikke er så viktige, og velger å omgå dem på eget initiativ også i andre situasjoner. Sikkerhet i IT-systemer er i stor grad basert på at brukerene overholder visse regler. I forbindelse med konferansen Infosecurity Europe 2003, ble det utført en undersøkelse blant passasjerer på vei til jobb på Waterloo stasjonen i London. Målet var å få passasjeren til å oppgi sitt passord til systemet på jobben deres. 90% av de spurte var ved hjelp av noe overtalelse og enkle spørsmål villig til å avsløre passordet sitt. (kilde: Sårbarhet Mennesker er, i motsetning til maskiner, ikke alltid logiske og forutsigbare. Det er derfor vanskelig å forutse og kontrollere menneskers oppførsel. Brukerne av ITsystemer, og de som bygger, drifter og vedlikeholder systemene, er mennesker og den menneskelige faktor er derfor noe man må ta hensyn til ved design av systemer og utforming av regler og rutiner for bruk. Det er nytteløst å bygge verdens sikreste system rent teknisk, dersom bruk av systemet er forbundet med så komplekse rutiner at ender med et system ingen klarer å bruke uten å kompromittere sikkerheten for eksempel ved å benytte enkle passord for å 15

16 klare å huske de eller skrive passordene ned på gule lapper som oppbevares ved siden av pc en. 6.4 Tiltak for å redusere sårbarhet For å minimere risikoen for brudd på IT-sikkerhet som følge av menneskelig svikt, bør man ha: Holdningskampanjer, opplæring og kompetanseheving i virksomheter for å øke bevisstheten rundt IT-sikkerhet blant de ansatte. Klare regler og retningslinjer for hva som er tillatt og hva som ikke er tillatt for brukere av et system. Enkle, oversiktlige og synlige rapporteringsveier ved oppdagelse av brudd på IT-sikkerhet og tilsvarende rutiner og organisering for håndtering av hendelser. Hendelser må håndteres ikke bare teknisk men også organisatorisk, og man bør ha rutiner for å trekke lærdom av hendelser, slik at man unngår at det samme inntreffer igjen. Redusere mulig konsekvens av enkeltmenneskets feil. Ledere i virksomheten som går foran som et godt eksempel. Alle bedrifter og organisasjoner bør med jevne mellomrom utføre en risikoanalyse av egen virksomhet for å ha et bevisst forhold til gjeldende trusler og sårbarheter samt hvilke konsekvenser disse kan få. 6.5 Trend IT-systemer blir stadig større i kompleksitet, omfang og antall brukere. Sikkerhet er i stor grad basert på at brukerne selv tar ansvar for å overholder regler ved bruk av systemet. Med økt antall brukere øker også sannsynligheten for at noen bryter reglene, enten med overlegg eller ved et uhell, og med økt omfang øker også konsekvensene. Stadig flere hendelser i Norge skyldes menneskelig svikt. Samtidig ser man at de beskyttelsesmekanismer som etableres (i form av brannmur, systemer for inntrengningsdeteksjon etc) ikke fanger opp de menneskelige faktorene. Saksbehandling skyves i stadig større grad over på kunden selv, for eksempel i nettbanker, noe som gir større rom for feil. Mer og mer ansvar for å ivareta sikkerhet overføres til sluttbrukerne av ITsystemer. Selv det designmessig sikreste system er avhengig av korrekt oppførsel fra menneskene som bruker det for å ivareta sikkerheten. 16

17 7 Tap av nettilgang - single-point-of-failure 7.1 Problembeskrivelse Kontinuerlig tilgang til Internett, som informasjonskilde og kommunikasjonsmedium, er stadig viktigere i det daglige arbeidet i norske virksomheter. Dersom disse tjenestene er utilgjengelige over lengre tid, og uten forvarsel, vil det for de fleste medføre tap av inntekter og økte kostnader. Stadig flere virksomheter har tilstedeværelse på web som en sentral del av sin drift som tilbydere av informasjon og/eller tjenester på nett. For å ivareta tillit og troverdighet, er det viktig med en svært høy grad av tilgjengelighet, og lav responstid, for disse tjenestene. De færreste virksomheter drifter selv sin egen tilgang til Internett og web-baserte tjenester. De er dermed avhengige av at en ekstern tjenestetilbyder kan oppfylle deres krav til tilgjengelighet og oppetid for nettverksforbindelser og tjenester. De fleste virksomheter kjøper disse tjenestene fra en Internet Service Provider (ISP). 7.2 Trusselscenarier En virksomhet kan miste sin tilgang til Internett og/eller få nedetid på sine webtjenester som følge av: Denial-of-service (DoS) angrep rettet mot sentrale enheter i ISP-ens infrastruktur. Angrep rettet direkte mot virksomhetens eget nett. Menneskelig feil for eksempel uforutsett nedetid som følge av tekniske problemer ved oppgradering av maskin-/programvare i ISP-ens infrastruktur. 7.3 Sårbarhet De økte kravene til tilgjengelighet av informasjon og tjenester på Internett har utviklet seg over tid uten at dette er reflektert i krav til infrastrukturen som utgjør Internett og driftsavtalene med ISP-ene som har ansvaret for virksomhetens tilkobling til Internett. Nettverksstrukturen som utgjør Internett er blitt til mer eller mindre tilfeldig etterhvert som bruken av nettet har økt, noe som reflekteres i mangelen på struktur og redundans i nettet. De fleste virksomheter har også satt ut driften av sine nettbaserte tjenester til eksterne leverandører, og disse avtalene er ofte ikke blitt oppdatert etterhvert som kravene til tilgjengelighet er blitt større, noe som resulterer i at avtalene ikke reflekterer de reelle krav og forventninger til tjenestene. Svært få har avtaler som setter krav til redundans i infrastruktur for å sikre tilstedeværelse av tjenester også dersom en del av et nettverk angripes. Enda færre har avtaler med alternative ISP-er dersom hovedleverandøren ikke er i stand til å levere over lengre tid. 17

18 ISP-ene er avhengige av å benytte hverandres nettverk for å kunne tilby fullgod tilgang til Internett. Det er summen av alle sammenkoblede nettverk som til sammen utgjør Internett. Dette medfører at dersom en ISP utsettes for et angrep som medfører at deres nett går ned, vil dette også kunne få konsekvenser for andre ISP-er og deres kunder. 7.4 Tiltak for å redusere sårbarhet Sette krav til ISP-ene i form av: Jevnlig risikovurdering av egne tjenester. Oppgradering av teknologi og rutiner for å ivareta et akseptabelt nivå av motstandsdyktighet i forhold til aktuelle trusler. Dokumenterte beredskapsplaner og redundans i infrastruktur. Responstid ved IT-sikkerhetsrelaterte hendelser. 7.5 Trend Stadig flere virksomheter setter ut sin IT-drift til en ekstern leverandør (outsourcing). Hver leverandør er ansvarlig for drift av IT-systemer for alle sine kunder dette medfører at et angrep rettet mot leverandøren kan slå ut alle kundene. I takt med at stadig flere virksomheter benytter outsourcing, dukker det opp flere og flere leverandører som tilbyr denne tjenesten og det er liten kontroll med disse. Det kan være stor forskjell mellom leverandørene i form av hvilke ressurser og rutiner de har for håndtering av hendelser, og i hvor stor grad de har redundans i nettverk og maskinpark for å forebygge konsekvens av hendelser. En stor del av nye systemer som utvikles er nettbaserte i den betydning at de bygger på en antagelse om konstant tilstedeværelse av underliggende nettverksstruktur for kommunikasjon og tilgang til informasjon og tjenester. I praksis innebærer dette at ved bortfall av nettverksforbindelser er også systemene ubrukelige. Spesielt kritisk er dette for systemer som leverer informasjon og tjenester der tilgjengelighet kan være avgjørende for liv og helse og/eller utilgjengelighet kan medføre massive økonomiske tap. 18

19 8 Ukritisk bruk av e-post 8.1 Problembeskrivelse Det er få begrensninger på hva det er mulig å sende via e-post. Både korte beskjeder, lengre personlige hilsener og ulike typer dokumenter utveksles elektronisk. Den etterhvert så utstrakte bruken av e-post har i stor grad effektivisert kommunikasjon og gjort folk mer tilgjengelige. E-post sendes i utgangspunktet ukryptert. Det betyr at innholdet i enhver e-post kan plukkes opp ved avlytting på nettet mellom avsender og mottaker, såkalt sniffing. Sagt på en annen måte, så er e-post like sikkert som postkort. Sannsynligheten for at den kommer fram er høy, men det er også mulig at den har blitt lest av flere underveis. Brukere flest har stor tillit til e-post som kommunikasjonsmiddel. De er lite kritiske til hva de sender via e-post og tenker til daglig ikke over hvor usikker denne kommunikasjonsformen er. 8.2 Trusselscenarier En e-post med et fortrolig dokument sendes til donald_duck@andeby.no isteden for donald.duck@andeby.no, som kan være en helt annen person. Forskjellen er symbolet som skiller for- og etternavn. En e-post med bedriftssensitiv informasjon sendes til mikke@andeby.com isteden for mikke@andeby.no, som kan være en person i en annen virksomhet med samme navn. En ukryptert e-post med et anbud vedlagt sendes mellom to bedrifter, mens en konkurrent avlytter linjen og får tak i anbudet. Denne kan da justere sitt anbud i henhold til dette og få tilslag. 8.3 Sårbarhet En vanlig antakelse er at all e-post kommer raskt fram, og man forventer stort sett umiddelbar respons. Svært ofte stemmer dette, men man kan ikke ta det for gitt. Det kan være problemer med nettet, man kan ha skrevet feil mottakeradresse, eller andre årsaker kan ligge til grunn for at e-posten ikke kommer fram som den skal. Feil mottakeradresse kan føre til at bedriftssensitiv informasjon kommer på avveie og ute av kontroll for de som eier den. I tillegg til å skrive inn feil mottakeradresse, er det også fort gjort å legge ved feil dokument, slik at mottaker får informasjon som ikke var ment for vedkommende. Det finnes privatpersoner som bevisst registrerer domenenavn som ligner på kjente virksomheters navn i den hensikt å motta informasjon som egentlig skal til den kjente virksomheten eller for å selge domenenavnet dyrt til denne virksomheten. Det har forekommet 19

20 saker hvor den tilfeldige mottakeren har utpresset avsender og/eller rettmessig mottaker økonomisk for å holde slik informasjonen unna offentligheten. Så lenge man ikke bruker kvalifisert elektronisk signatur, er det ingen garanti for at en e-post kommer fra den som står oppført som avsender. Det medfører også at rettmessig avsender har full mulighet til å nekte at han/hun sendte en gitt e- post. Juridiske dokumenter utveksles per e-post uten at papirkopier sendes i tillegg som sikring. Slike dokumenter kan være tilbud, avtaler, kontrakter eller andre typer informasjon som involverer økonomiske bindinger. Rettsvesenet godtar elektroniske dokumenter som juridisk bindende, det er derfor urovekkende at slike sendes over en så usikker kommunikasjonslinje som e-post. 8.4 Tiltak for å redusere sårbarhet Det viktigste er at alle e-postbrukere er klar over at e-post i seg selv ikke er en sikker kommunikasjonsform og derfor er bevisste i forhold til hva slags informasjon de sender elektronisk. Deretter er det noen tiltak som vil bedre sikkerheten rundt bruk av e-post: Visuell kontroll; man bør alltid lese over hvilke mottakeradresser som er skrevet inn og hvilke dokumenter som er vedlagt. Virksomheter bør registrere både.no og.com og eventuelle andre domener hvor navnet inngår, i tillegg til domenenavn som lett kan forveksles med virksomhetens navn. Enhver virksomhet bør ha tydelige retningslinjer for hvordan bedriftssensitiv informasjon skal sendes, men også retningslinjer for hvordan man generelt kan minke risikoen forbundet med e-post Alle brukere bør ha mulighet til å generere en kvalifisert elektronisk signatur. PKI bør derfor implementeres i mye større skala enn hva som er gjort i dag. Bruk av PGP 3 -nøkkel anbefales slik at man kan kryptere og signere e-post elektronisk. På den måten kan mottaker lett kontrollere om avsender faktisk er den han/hun utgir seg for å være. 8.5 Trend Stadig flere verktøy for sikring av e-post blir tilgjengelig, for eksempel er det mulig for enhver bruker å skaffe seg sin egen PGP-nøkkel. PKI har hittil ikke vært særlig utbredt fordi de løsningene som er implementert skalerer ikke godt nok. Skalerbare PKI-løsninger finnes i dag og rulles i økende grad ut innen både offentlig og privat sektor. 3 PGP: Pretty Good Privacy, system for å kryptere innholdet i og signere en e-post. 20