IKT trusselbilde for Norge

Transkript

1 IKT trusselbilde for Norge Senter for informasjonssikring Oktober 2004

2 Forord Senter for informasjonssikring (SIS) har som en prioritert oppgave å presentere et helhetlig bilde av trusler mot IKT-systemer i Norge. Vi fokuserer på uønskede hendelser som kan påvirke konfidensialitet, integritet og tilgjengelighet. Vi har i våre analyser tatt hensyn til både utilsiktede og tilsiktede hendelser i tillegg til ekstreme hendelser som skyldes forhold utenfor virksomhetens kontroll ("acts of God"). Våre trusselbeskrivelser vil dog ikke omfatte de vanligste trusler mot fysisk sikkerhet (brann, vannskade etc.), disse anser vi tilstrekkelig omtalt andre steder. Trusselbildet er basert på de nasjonale og internasjonale kilder SIS har tilgang til, samt informasjon om hendelser som inntreffer. Det er derfor svært nyttig for SIS å bli informert om alle sikkerhetshendelser som virksomheter utsettes for. Dette vil øke kvaliteten i framtidige rapporter. Vi tar også svært gjerne imot kommentarer til rapporter vi utgir. Et trusselbilde vil være dynamisk. SIS vil derfor periodisk oppdatere trusselbildet i forhold til relevante faktorer. Dette omfatter forhold som endring i teknologi, endring i anvendelsesområder og den foreliggende samfunnsmessige trusselvurdering. Vi gjør også oppmerksom på at SIS hver måned utformer en månedsrapport over viktige hendelser og sårbarheter samt andre nyttige nyheter innen IKTsikkerhet. Rapporten er tilgjengelig på våre websider. SIS har et tilbud til alle brukere om å motta varsel om sårbarheter som vi blir oppmerksomme på. Mer informasjon om hvordan man kan melde seg på e- postvarslingen finnes på våre websider. Vi håper din virksomhet har nytte av vårt arbeid! Ove Olsen Daglig leder SIS Kontakt SIS: telefon: e-post: post(a)norsis.no web: 1

3 Innholdsfortegnelse Sammendrag 3 Trusselbeskrivelser 4 1 Phishing og scam 5 2 "Web bugs" og spionprogrammer ("spyware") 6 3 Identitetstyveri 7 4 Utilsiktet menneskelig feil 8 5 Utro tjenere 9 6 Misbruk av virksomhetens ressurser 10 7 Tap av mobile enheter 11 8 Single-point-of-failure 12 9 Tjenestenekting (Denial-of-Service DoS) Datainnbrudd Misbruk av trådløs kommunikasjon Sikkerhetshull i standard programvare Sikkerhetshull i spesialutviklet programvare Virus og ormer Ukritisk bruk av e-post Spam Hurtigmeldinger (IM) og pratekanaler 21 Trender 22 Referanser 24 2

4 Sammendrag Gjennom oppslag i media får innbruddsforsøk via Internett stor oppmerksomhet. Vår erfaring er imidlertid at den største trusselen mot IKT-systemer kommer innenfra. De fleste hendelser skyldes utilsiktede handlinger som gjerne oppfattes som feil og uhell, og som i de fleste tilfeller kan tilskrives menneskelig svikt. Samtidig viser tall fra Mørketallsundersøkelsen 2003 [1], som ble utført av Næringslivets sikkerhetsråd, Økokrim og SIS i 2004, at gjerningsperson like ofte kan være en av virksomhetens egne ansatte som en ekstern person. Dette underbygger kravet om at virksomhetene må satse betydelig mer på intern opplæring og holdningsbygging. Menneskelig svikt eller feilvurdering har også sammenheng med flere av de trusler som er omtalt i rapporten. Vi ser fortsatt et stort problem når det gjelder tyveri av mobile enheter, som oftest en konsekvens av ubetenksomhet når det gjelder å oppbevare dem på steder hvor de er utsatt for tyveri, eller ved å glemme dem igjen på ulike steder. Dette representerer en stor sårbarhet dersom informasjonen som er lagret på disse ikke er tilfredsstillende sikret. Vi omtaler misbruk av virksomhetens ressurser som en trussel, og erfarer at dette ofte skyldes dårlige holdninger blant de ansatte eller uklare retningslinjer for hva som er tillatt og ikke tillatt bruk. Norge er langt framme i verdenssammenheng på å ta i bruk ny teknologi. Dette har medført at bruken av Internett har fått stor utbredelse, noe som gjør oss sårbare for flere ulike typer trusler. En av disse er at selve tilgangen til Internett svikter, enten som følge av feil hos leverandør eller i verste fall at leverandøren innstiller sin virksomhet, for eksempel ved konkurs. Andre effekter av utbredt bruk av Internett, er økt og hurtigere spredning av ondsinnet kode og mer bevisste tjenestenektingsangrep, samtidig som det blir vanskeligere å oppdage at ens egen maskin er infisert. Såkalte "stille" virus og ormer gjør minst mulig utav seg, men gjør det mulig for en ekstern angriper å ta kontroll over maskinen og for eksempel benytte den i koordinerte tjenestenektingsangrep. Bruken av e-post er ikke nødvendigvis sterkt økende lenger, da "spam" (uønsket e-post) har blitt et enormt problem. For de som opplever store mengder spam, er ikke e-post lenger et hensiktsmessig kommunikasjonsmedium. Det tar lang tid å gå gjennom all e-posten, og det er fort gjort å slette rettmessig e-post. "Instant messaging" (IM), eller hurtigmeldinger, ser ut til å ta over stadig mer av den elektroniske kommunikasjonen, og da spesielt internt i virksomhetene. Det er imidlertid forbundet endel trusler også med dette mediet, som ikke er stort bedre enn e-post når det gjelder sikkerhet. SIS ønsker denne gangen å sette fokus på endel nye trusler i forhold til tidligere. I tillegg til hurtigmeldinger, omtales også sårbarheter og sikkerhetshull i programvare, både egenutviklet og standardprogrammer. "Phishing" og "scam" er omtalt, dette er metoder som kan knyttes til identitetstyveri og svindel, ved at man lures til å gi fra seg personopplysninger eller penger. "Web bugs" og "spyware" er programmer som kan samle informasjon om brukeren av en datamaskin. De kan være ondsinnede, men behøver ikke å være det. Uansett er de utenfor brukerens egen kontroll. 3

5 Trusselbeskrivelser I den følgende delen av rapporten finnes beskrivelser av de truslene SIS anser for å være mest aktuelle for tiden. Truslene er ikke prioritert, verken med hensyn til utbredelse, kostnad eller alvorlighet. Virksomheten må selv vurdere hvilke trusler som er relevante i forhold til hvilke verdier som skal beskyttes, hvor mye ressurser som er tilgjengelig og hvilke beskyttelsestiltak som allerede er på plass. Trusselrapporten kan med fordel brukes som støtte i virksomhetens arbeid med risikostyring. 4

6 1 Phishing og scam Phishing og scam er metoder som utnytter menneskers naivitet og godtroenhet for å lure til seg sensitive opplysninger eller penger. Sosial manipulering brukes om angrep som benytter sosiale evner til for eksempel å få tak i informasjon. Eksempler på angrepsmetoder er phishing og scam. Et typisk eksempel på scam er nigeriasvindlene som spres via e-post. Mottakere blir lokket med store pengesummer, men for å få disse må de betale inn et forskuddsbeløp og/eller oppgi kontoopplysninger. De lovede pengene ser de aldri noe til. Phishing ligner på scam, men bruker en litt annen innfallsvinkel. Angripere sender e-post som ser ut til å komme fra en anerkjent virksomhet, for eksempel et kredittkortselskap. I e-postene ber de ofte om kontoinformasjon eller annen personlig informasjon, og begrunner dette i at det har oppstått et problem. Mottagere blir bedt om å klikke på en lenke til et nettsted der denne informasjonen kan fylles ut. De som blir lurt, kan for eksempel oppleve å få tappet bankkontoene sine. Antall angrep som benytter phishing er økende. I USA er den gjennomsnittlige månedlige økningen i antall phishingforsøk på over 50 % [2]. Markedet er mindre i Norge, men tilfeller finnes også her [3]. Konsekvensen av phishing og scam kan variere alt etter hva som er målet med angrepet. Ofte er målet økonomisk gevinst, men phishing kan også benyttes til å skaffe tilgang til bedriftsintern informasjon. Du mottar e-post fra banken din der de ber deg om å gå til et spesielt nettsted for å fylle ut nødvendige opplysninger. Du følger lenken i e- posten, og fyller inn det du blir bedt om. Ikke lenge etterpå oppdager du at kontoen din er tømt. Du mottar e-post fra en nigeriansk jente som har arvet mange penger fra faren sin, men trenger hjelp til å investere dem i Europa. Du blir lovet store summer som belønning dersom du hjelper henne, men må bidra med et pengebeløp for at handelen skal kunne skje. Du sender pengene, men hører aldri mer fra jenta. Det er viktig å være kritisk til informasjon som kommer på e-post: Dersom noe synes for godt til å være sant, er det som oftest det... Sjekk med andre kilder dersom du er usikker. Vær skeptisk til kontaktinformasjon/lenker som kommer på e-post. Følg med på adresser til nettsteder. Falske nettsider kan se helt like ut som de legitime sidene. Se også SIS-veiledningen om å unngå sosial manipulering og phishing [4]. 5

7 2 "Web bugs" og spionprogrammer ("spyware") Skjulte elementer i e-postmeldinger og websider ("web bugs") og programvare som er laget for overvåkning ("spyware") er svært utbredt og kan samle opplysninger om alt fra surfevaner på Internett til nettbankpassord. En lang rekke gratisprogrammer som kan lastes ned fra Internett inneholder spionprogrammer i tillegg til det averterte programmet. Spionprogrammene kan for eksempel lage brukerprofiler basert på hvilke nettsider brukeren besøker. Profilene kan senere sendes til en sentral database, eller tilpasse reklamen på nettsider. "Web bugs" er en samlebetegnelse for skjulte elementer i HTML-kode som gjør det mulig å samle informasjon om brukere. Elementene kan inngå i nettsteder eller i e-postmeldinger, og er vanskelige å oppdage for vanlige brukere. Web bugs kan blant annet samle informasjon om IP-adresser og tidspunkt for når en e-post blir åpnet eller en når webside blir besøkt [5]. Spionprogrammer kan endre konfigurasjonen til nettleseren, slik at brukeren alltid kommer til samme nettside ved oppstart, eller at alle søk går via en bestemt nettportal. Ved hjelp av en web bug i en spam-melding kan utsenderen få beskjed om hvilke mottagere som har åpnet meldingen og som dermed har gyldige e- postadresser. Mottageren er dermed sikret enda mer spam i innboksen. Ondsinnede spionprogrammer kan registrere personlige data, for eksempel navn, adresse, kontonummer og passord som brukeren oppgir når hun logger seg inn på for eksempel nettbank eller handler på nettet. Vær meget kritisk til hva slags programvare du laster ned og installerer. Installer og kjør jevnlig overvåkingsprogrammer ("Ad-aware", "Spybot" eller lignende) som avslører spionprogrammer som har blitt installert og kan blokkere nedlasting. Skru av HTML-visning i e-postprogramvare og bruk bare ren tekst. Dersom du (av en eller annen absurd årsak) behøver støtte for HTML i e-post, skru av lasting av eksterne bildefiler. Skru av støtte for informasjonskapsler ("cookies") og aktiv skripting i nettleseren. Dersom du bruker sider som er avhengige av cookies, slett dem hver gang du avslutter nettleserprogrammet. 6

8 3 Identitetstyveri Identitetstyveri er at en person utgir seg for å være en annen gjennom misbruk av personopplysninger. Hensikten er som oftest økonomisk vinning, enten gjennom bedrageri, tyveri, dokumentforfalskning eller andre ulovlige handlinger. Opplysninger som kredittkortnummer, navn og fødselsnummer legger vi igjen overalt. Det er lett å ukritisk oppgi sensitive opplysninger på nettet, også til noen man ikke nødvendigvis vet hvem er, samt at eventuell manglende kryptering åpner for at uvedkommende kan avlytte linjen og få tak i disse opplysningene. Noen av metodene som blir benyttet for å få tak i informasjon til å utføre identitetstyveri er: innbrudd på datasystemer hvor personopplysninger, eller informasjon som kan lede til slike, er lagret og gjennomleting av posten eller søppel hvor det både hos bedrifter og enkeltpersoner kan ligge mye interessant informasjon. I følge en rapport fra Federal Trade Comission (FTC) [6] ble 9,9 millioner amerikanere i 2002/2003 utsatt for forbrytelser der deres personopplysninger ble misbrukt. FTC anslår at virksomheter tapte 48 milliarder dollar og forbrukere 5 milliarder dollar, som følge av denne type kriminalitet. En svindler har samlet informasjon om Ola Nordmann og har fått utstedt legitimasjon med hans navn og sitt eget bilde. Svindleren bestiller deretter et kredittkort i Ola Nordmanns navn og bruker det som om det var hans eget. Regningene sendes til Ola Nordmann. Kortutstederen er den store taperen i denne typen saker. Den samme svindleren arbeider som spion for sitt hjemland, får jobb i Ola Nordmanns navn og kan bedrive industrispionasje under falskt navn. I Norge har finansinstitusjoner lov til å bruke en persons fødselsnummer for å kontrollere hans/hennes identitet. Det er dessuten ikke tillatt å gi kreditt uten å sjekke kjøpers identitet. Foretas det en kredittsjekk av kjøpers konto, skal kontoeier ha skriftlig beskjed i etterkant. På denne måten kan det raskt bli avslørt om noen har bestilt et kredittkort i en annens navn. I tillegg er det noen enkle tiltak enkeltpersoner selv kan gjøre for å beskytte seg: Vær forsiktig med å utlevere/legge igjen personopplysninger, både på papir (f.eks. kontoutskrift) og i elektronisk form (f.eks. netthandel). Makuler dokumenter eller kvitteringer som kan gi uvedkommende verdifulle opplysninger om de blir funnet. Ved handel på nettet, er det viktig å kontrollere at all informasjon er kryptert når den overføres. Dette kan enklest gjøres ved å se at det står " og ikke " i adressefeltet. 7

9 4 Utilsiktet menneskelig feil De fleste uønskede hendelser mot IKT-systemer skyldes utilsiktede handlinger forårsaket av virksomhetens egne ansatte eller tredjepart som jobber for virksomheten. Problemet øker gjerne i takt med systemenes kompleksitet og alder. Utilsiktede hendelser kan i teorien inntreffe hvor som helst. Det er derfor vanskelig å etablere varslingssystemer som kan fange opp disse hendelsene. Dette medfører at utilsiktede hendelser avdekkes senere enn tilsiktede handlinger, og dette gjør det mer komplisert å reparere skaden. I tillegg er nødrutiner og beredskapsplaner normalt etablert med tanke på forventede hendelser. Sikkerhet er i stor grad basert på at brukerne selv tar ansvar for å overholde regler ved bruk av systemet. Med økt antall brukere øker også sannsynligheten for at noen bryter reglene, enten med overlegg eller ved et uhell, og med økt omfang øker også konsekvensene. Små hendelser, for eksempel virusangrep, kan spre seg og bli et større problem fordi en unnlater å rapportere eller ikke kjenner rapporteringsveier eller relevante mottiltak. Installasjon av nye systemer med standardinnstillinger kan lede til at systemer installeres med kontoer og passord som inngår i standardoppsett. Leder gir medarbeider beskjed om å omgå regler for eksempel når det haster med en leveranse og man mener man ikke har tid til å følge vanlige rutiner. Medarbeider røper sensitiv informasjon til uvedkommende slik at informasjonen kan misbrukes. Kampanjer for økt sikkerhetsbevissthet blant de ansatte. Utforme klare regler og retningslinjer for hva som er tillatt og hva som ikke er tillatt for brukere av et system. Periodisk informasjon om og forbedring av rutiner. Prosesser som krever menneskelig inngripen, må være organisert og dokumentert med tanke på lavest mulig risiko. Det må etableres enkle og hensiktsmessige rapporteringsveier ved oppdagelse av brudd på informasjonssikkerhet. Ledere i virksomheten skal gå foran som gode eksempler og la risikostyring inngå i alle prosesser og lederfora. 8

10 5 Utro tjenere Utro tjenere misbruker den tilliten de har som ansatt eller innleid i en virksomhet for å oppnå gevinst eller gjøre skade. Mørketallsundersøkelsen 2003 [1] viser at 50 % av identifiserte gjerningspersoner var egne ansatte. De ansatte i en virksomhet og innleide konsulenter etc. har stor kunnskap om virksomheten og har ofte tilgang til sensitiv informasjon gjennom arbeidet de utfører. Gjennom sin kunnskap og tilgang har de bedre muligheter for å skjule sine spor og kan påføre virksomheten stor skade, ofte større enn hva en ekstern angriper er i stand til å gjøre. En ansatt blir sagt opp og rekker å hente ut sensitiv informasjon før tilgangen til virksomhetens ressurser blir sperret. Vedkommende tar med seg informasjonen i sin nye jobb eller selger den til en konkurrent. Ansatte eller innleid personale legger inn mekanismer for å få tilgang til virksomhetens systemer etter å ha sluttet i jobben. En ansatt selger intern informasjon om virksomheten til konkurrenter for egen økonomisk vinning. En ansatt ønsker å ramme egen virksomhet og slipper løs ondsinnet kode (virus/ormer) fra en klient på det interne nettverket. Dersom virksomheten bare har forsvarsmekanismer ved grensene mot eksterne nett, blir ikke dette fanget opp og stoppet, og kan forårsake store problemer. Overvåking av intern kommunikasjon for å oppdage angrep innenfra. Enkeltmaskiner i virksomhetens interne nett må beskyttes, for eksempel med viruskontroll på alle klienter og personlige brannmurer. Rutiner i form av bestemmelser i ansettelseskontrakten eller lignende forhindrer at ansatte kan ta med seg sensitiv informasjon når de slutter. Rutiner for tilgangskontroll regulerer hvilke IT-ressurser egne ansatte og evt. innleide personer har tilgang til, basert på deres rolle i virksomheten. Bakgrunnssjekk av søkere ved nyansettelser kan hindre at personer som tidligere har vært involvert i kriminalitet blir ansatt i betrodde stillinger. Gjennomgang og grundig kontroll av egenutviklet programvare kan avsløre uønsket funksjonalitet, for eksempel "bakdører", som har blitt bygget inn av utro tjenere som har deltatt i utviklingen av programvaren. 9

11 6 Misbruk av virksomhetens ressurser Deler av virksomhetens ressurser benyttes til uautoriserte formål. Dette er mulig fordi brukerne har tilgang til store ressurser, mens retningslinjer for bruk, samt kontrollrutiner, mangler. Bruk av ressurser til uautoriserte formål kan svært ofte føre til reduserte ressurser til det virksomheten primært skal drive med, samt tilhørende redusert tilgjengelighet til IT-tjenester. Dette gjelder både båndbredde og lagringsplass. Dessuten utsettes virksomheten på denne måten for trusler som ikke er forbundet med den, og som derfor ikke inngår i noen risikovurdering. En annen sårbarhet ligger i at nedlasting og/eller distribusjon av f.eks. filmer og musikkfiler ofte foregår via fildelingsprogram. Flere virus, ormer og bakdører spres via slike programmer, og de vil kunne ramme virksomhetens systemer i tillegg til å spre seg videre til andres nettverk. Virksomheter er utsatt for slikt misbruk både fra interne brukere og utenforstående som bryter seg inn. Brukere laster ned store mengder film, musikk og/eller pornografisk materiale og distribuerer dette videre via virksomhetens servere. Brukere benytter virksomhetens dataressurser til egen privat forretningsvirksomhet. Kan føre til redusert tilgang på ressurser. Utenforstående gjør innbrudd på servere og kan gjennomføre ovennevnte scenarier i tillegg til å bruke virksomhetens servere til utsending av uønsket e-post/spam. Bedriften kan oppfattes som avsender. Når forhold av ovennevnte karakter avdekkes, kan virksomheten få negativ presseomtale. Dessuten kan hendelsene være brudd på lover og forskrifter med fare for påtale og straff også for virksomheten. Ansatte må informeres om hva de har lov til med hensyn til bruk av arbeidsgivers ressurser. Det er hver enkelt virksomhet sitt ansvar å sette rammene. Holdningsskapende tiltak vil gjøre det lettere å forstå hva som er rett og galt. Ansatte må skriftlig bekrefte at de er kjent med regelverket. Nødvendige kontroller må gjennomføres for å følge opp at retningslinjer etterleves. Slike kontroller omfatter overvåking av bruk av lagringsressurser samt nettrafikk innen de begrensninger som lovverket setter. 10

12 7 Tap av mobile enheter Med stadig større lagringskapasitet er mobile enheter ideelle til oppbevaring av presentasjoner, kundeinformasjon, avtaler og kontrakter når man er på farten. Ved tap kan alt dette havne i hendene på uvedkommende. Mobile enheter er små og lette, og har etter hvert fått økt anvendelsesområde og plass til store mengder informasjon. De er derfor hendige å ta med på reiser og møter, noe som øker sannsynligheten for tap/tyveri. Mørketallsundersøkelsen 2003 viser at én av fire virksomheter er utsatt for tyveri av IT-utstyr, inkludert mobile enheter. Ved tap av slike enheter er det ikke nødvendigvis erstatningskostnaden for selve enheten som er den store byrden, men det at informasjonen kommer på avveier. Slik informasjon kan være e-post, tilbud, konstruksjoner og presentasjoner. Det at informasjonen kommer på gale hender kan også være mer reelt enn at informasjonen går tapt, iallfall når det gjelder PDA-er i de fleste tilfellene har man synkronisert PDA-en med PC-en, og har dermed en kopi av alt på PC-en på kontoret. Du sitter i drosjen på vei til et kundemøte. Idet du skal til å betale, ringer telefonen. Du tar den og prater mens du ordner med betalingen. I virvaret med mobiltelefon, kredittkort og lommebok, faller PDA-en ut av jakkelommen din og blir liggende i setet. Du merker ikke at det skjer og forlater drosjen. Den neste som setter seg inn i drosjen, finner PDA-en og tar den med seg. Du er i et møte hos en kunde, og når du og resten av forsamlingen går til lunsj, lar du PDA-en ligge igjen på bordet. Møterommet låses, men det er et rom som alle de ansatte har nøkkel til. En uvedkommende går inn, finner PDA-en og leser e-posten og avtaleboken din. Passord blir det ikke spurt etter; personen kan gjøre hva som helst med PDA-en. Ikke oppbevar mobil enhet uten tilsyn under møter, konferanser eller i bilen. Sikkerhetsmerking av PC dette reduserer omsetningsverdien. Adgangskontroll til kontor. Fysisk sikring av bærbar PC, f. eks. sikkerhetslenke. Unngå oppbevaring av forretningskritisk informasjon på mobile enheter. Kryptering av informasjonen også mulig på PDA-er og noen mobiltelefoner. Tilgangskontroll til PC sterke passord eller biometrisk autentisering. Sikkerhetskopi av informasjon. Se også SIS-veiledningen om policy for bruk av PDA [7]. 11

13 8 Single-point-of-failure Kontinuerlig tilgang til IT-systemer og Internett er viktig i det daglige arbeidet til norske virksomheter. Dersom tjenestene er utilgjengelige over lengre tid, og uten forvarsel, vil det for de fleste medføre tap av inntekter og økte kostnader. De økte kravene til tilgjengelighet av informasjon og tjenester på Internett har utviklet seg over tid, uten at dette er reflektert i krav til infrastruktur og driftsavtaler. Svært få har avtaler som setter krav til tilgjengelighet av tjenester også dersom en del av et nettverk angripes. Enda færre har avtaler med alternative internettleverandører (ISP-er) dersom hovedleverandøren ikke er i stand til å levere over lengre tid. Men det er ikke bare tilgang til Internett som er viktig. Liten redundans i egne IT-systemer kan også føre til tap og nedetid ved feil. Dersom det for eksempel ikke er tatt backup av viktige data kan dette gi alvorlige problemer for en virksomhet. Det samme gjelder dersom man ikke har alternative løsninger på plass når interne rutere eller servere feiler. Omlegging av IT-systemer kan også gi store problemer. Dersom IT-systemer eller Internett blir utilgjengelig, kan det bli vanskelig å utføre det daglige arbeidet. Kommunikasjon med kunder og samarbeidspartnere blir mer tungvint, og innhenting av informasjon kan bli vanskelig. Mørketallsundersøkelsen 2003 viser at to av tre virksomheter i Norge vil få vesentlige problemer etter en dag dersom de viktigste IT-systemene blir ute av drift. Det skal bygges ny vei, og gravearbeidet er godt i gang da gravemaskinen river opp en kabel som blir brukt for å tilby Internett-kommunikasjon. De alternative rutene blir overbelastet, og mange av de som bruker Internett opplever at ting går veldig tregt, eller at de ikke får tilgang i det hele tatt. Virksomheten skal legge om websystemene, men dette viser seg mer komplisert enn antatt, og nettsiden blir utilgjengelig i flere dager. En harddisk med viktig informasjon krasjer. Virksomheten har backup, men når det blir forsøkt hentet frem data fra denne viser det seg at de er av for dårlig kvalitet. Ved inngåelse av avtale med en ISP, og ved vurdering av egne IT-systemer, bør man sørge for: Å stille krav til jevnlig risikovurdering. Kontinuerlig oppgradering av teknologi og rutiner for å ivareta et akseptabelt nivå av motstandsdyktighet i forhold til aktuelle trusler. At det foreligger dokumenterte beredskapsplaner. At det er redundans i infrastruktur. 12

14 9 Tjenestenekting (Denial-of-Service DoS) Tilgjengelige systemer er avgjørende for mange virksomheter. Uforutsett nedetid, for eksempel strømbrudd eller diskkrasj, kan komme av et målrettet angrep eller ramme tilfeldig. Uansett kan det resultere i store tap. Tjenestenekting oppstår når en tjeneste er utilgjengelig over lengre tid, og dette ikke er en del av planlagt nedetid (f.eks. vedlikehold) for tjenesten. For mange nettbaserte tjenester er kapasiteten beregnet ut fra forventet bruk, og ikke skalert til å håndtere de ekstreme trafikkmengdene som et tjenestenektingsangrep forårsaker. Den første varianten av ormen Mydoom, som ble oppdaget i januar 2004, var programmert til å gjennomføre et distribuert DoS-angrep mot UNIXselskapet SCOs nettsider 1. februar. Ormen spredte seg med enorm hastighet via e-post og fildelingsnettverk, og lyktes med angrepet. Selskapets nettsider ble utilgjengelige, og de måtte endre nettadresse for å bli tilgjengelige på nettet igjen. Dette er et eksempel på at virus og ormer kan benyttes til å utføre målrettede tjenestenektingsangrep, og hvor det kan være veldig vanskelig å spore opp de(n) skyldige. I juni 2004 ble tjenesteleverandøren Akamai utsatt for et målrettet, distribuert DoS-angrep. Dette rammet store kunder som Microsoft, Yahoo og Google slik at brukere verden over ikke kom inn på deres nettsider. Dette er et eksempel på et målrettet tjenestenektingsangrep mot en utpekt tjeneste ved at flere tusen maskiner bombarderer tjenestemaskinen (målet) med trafikk samtidig. Såkalte "botnet" med flere tusen maskiner blir rutinemessig benyttet av bl.a. russisk mafia til DoS-angrep på utvalgte mål. Tjenestenekting kan også være en bieffekt av andre typer angrep. For eksempel kan spam og virus medføre så store mengder trafikk mot en e- postserver at det oppstår store forsinkelser eller at serveren går ned, slik at e-posttjenesten blir utilgjengelig. For å minimalisere effekten av tjenestenektingsangrep, er det nyttig å øke båndbredden for en tjeneste, f.eks. et nettsted. Det innebærer å planlegge for et trafikkvolum som langt overskrider den forventede trafikkmengden til tjenesten. Det blir dermed vanskeligere å overlaste en tjeneste. Oppdaterte sikringsmekanismer og oppfølging av patching, både av virksomhets- og hjemmemaskiner, vil begrense skaden av virus/ormer. Eventuelle svakhetspunkter (single-points-of-failure) for en tjeneste bør sikres med redundans gjennom backup-servere. En angriper kan omdirigere sitt angrep til det nye systemet, men dette øker risikoen for å bli oppdaget og gjør det vanskeligere å lykkes med et angrep. Ha rutiner for å flytte nettsider og andre tjenester til andre IP-adresser dersom et angrep skulle ramme systemet. 13

15 10 Datainnbrudd Datainnbrudd innebærer å skaffe seg uautorisert tilgang til dataressurser. Bakgrunnen kan være alt fra personlig ærgjerrighet til hærverk eller ren industrispionasje, men maskinressurser og sensitive data er alltid i faresonen. De aller fleste IT-systemer er plaget med et større eller mindre antall sikkerhetshull som inntrengere kan benytte for å bryte seg inn. Svært mange systemer er ikke oppdatert mot kjente sårbarheter, eller de er konfigurert på en utilfredsstillende måte, slik at innbrudd er mulig. På Internett er det lett å finne mange ulike programmer som utnytter kjente sårbarheter og gjør det mulig å bryte seg inn i IT-systemer. Selv om systemet er oppdatert og riktig satt opp, kan en dyktig angriper utnytte nye sårbarheter som ikke er utbedret eller som oppstår ved daglig bruk av systemet, for eksempel dårlige passord eller brukere som laster ned ondsinnet programvare. Ansatte i en virksomhet har bedre muligheter enn eksterne, og en stor andel av de datainnbrudd som blir oppdaget er gjort av egne ansatte. Mange inntrengere benytter seg av "sosial manipulering", dvs. at de prøver å skaffe seg kunnskap om en virksomhet ved å få ansatte til å avsløre nødvendig informasjon. Slik informasjon kan være hvilke datasystemer som kjøres, hvor sentrale servere er plassert, passord etc. En inntrenger bryter seg inn på et IT-system og installerer en "bakdør". Bakdøren gir vedkommende adgang til systemet og dermed muligheter for å lese og stjele informasjon fra virksomheten. Uvedkommende endrer nettsidene til en virksomhet slik at de viser feilaktige opplysninger ("defacing"). Inntrengere skaffer seg tilgang til filtjenere og benytter disse til å spre ulovlig eller opphavsrettslig beskyttet materiale. Jevnlige søk etter sårbarheter og kontroller av egne systemer kan avdekke sikkerhetshull som inntrengere kan utnytte. Sørg for å bli orientert om kjente sårbarheter i programvare og installer sikkerhetsoppdateringer av programvare ("patching"). Overvåkning og filtrering av trafikk ved hjelp av systemer for inntrengingsdeteksjon (IDS) og brannmurer kan avdekke forsøk på innbrudd. Integritetskontroll av viktige konfigurasjons- og systemfiler kan avdekke uautoriserte endringer som kan tyde på innbrudd De ansatte i virksomhetens må gjøres kjent med og få opplæring i sikkerhetsrutiner, for eksempel retningslinjer for valg av passord og regler for installering og kjøring av programvare. 14

16 11 Misbruk av trådløs kommunikasjon Sikkerhet får ofte ikke nok fokus når man setter opp trådløse nett. Mange trådløse nett er helt åpne, slik at enhver som befinner seg i nærheten med en PC og WLAN-kort både kan avlytte trafikken og koble seg til nettet. I følge Mørketallsundersøkelsen 2003 har hver tredje norske virksomhet tatt i bruk trådløse nett. Slike nett er praktiske og gir brukere større friheter, men de trenger ekstra sikkerhetsmekanismer sammenlignet med kabelbaserte nett. Med et kabelbasert nettverk uten Internett-tilknytning er det nødvendig med fysisk tilgang til selve nettet for å få tilgang til maskiner og nettrafikk. Med Internett-tilknytning er man utsatt for inntrengere utenfra, men de er henvist til å gå via spesielle kontaktpunkter som kan sikres spesielt. Gjennom trådløse nettverk kan en inntrenger imidlertid få tilgang til nett uten å gå via slike kontaktpunkter. I et trådløst nettverk som ikke er beskyttet går trafikken i klartekst og kan lett avlyttes. Utenforstående kan også enkelt få tilgang til nettet. Likevel viser Mørketallsundersøkelsen 2003 at over 30 % ikke sikrer dataene i slike nett. Svært mange bedriftsnettverk er godt beskyttet mot angrep utenfra, mens man ofte møter svært få begrensninger dersom man først har fått tilgang til nettet. Dårlig sikrede trådløse nett kan dermed øke risikoen for andre angrep. En konkurrent avlytter det usikrede trådløse nettet i virksomheten, og klarer på den måten å skaffe seg informasjon som gir konkuransefortrinn. Uvedkommende avlytter det trådløse nettet, og klarer å snappe opp en e- post fra en ny kunde. Avlytteren svarer så på denne e-posten som om han var rettmessig mottaker, og firmaet mister kunden på grunn av dårlig behandling. Uvedkommende benytter nettet til å spre spam og ulovlig og/eller opphavsrettslig beskyttet materiale. Bedriften blir holdt ansvarlig. Sørg for at sikkerhetsfunksjonene er skrudd på. Alt utstyr som støtter IEEE standardene skal i hvert fall støtte WEP (Wired Equivalence Protocol). Det er alvorlige svakheter i denne protokollen, og sikkerhetsmekanismene kan forseres ved hjelp av programvare som er tilgjenglig på Internett. Likevel vil WEP motvirke angrep fra "tilfeldige" hackere. For å forsvare et trådløst nett mot angrep fra dedikerte inntrengere bør man ta i bruk den utvidete sikkerhetsfunksjonaliteten som er spesifisert i "Wi-Fi Protected Access" (WPA). Se også SIS-veiledningen "Sikring av trådløse nettverk" [8]. 15