IKT trusselbilde for Norge

Transkript

1 IKT trusselbilde for Norge Senter for informasjonssikring (SIS) SINTEF, 7465 Trondheim Tlf: (+47) Fax: (+47) E-post: Web: Sist oppdatert: 6. oktober 2003

2 Innledning Bakgrunn Senter for informasjonssikring (SIS) har som en prioritert oppgave å presentere et helhetlig bilde av trusler mot IKT-systemer i Norge. Vi tar utgangspunkt i uønskede hendelser som kan påvirke konfidensialitet, integritet og tilgjengelighet. Dette vil også omfatte andre sikkerhetselementer som krav til sporbarhet og ikkebenekting. Vi har i våre analyser tatt hensyn til både utilsiktede og tilsiktede hendelser i tillegg til ekstreme hendelser som skyldes forhold utenfor en virksomhets kontroll. Truslene er beskrevet i ikke-prioritert rekkefølge. Kilder Trusselbildet er basert på de kilder SIS har tilgang til, samt informasjon om hendelser som inntreffer. Det er derfor svært nyttig for SIS å bli informert om alle sikkerhetshendelser som virksomheter utsettes for. Dette vil øke nøyaktigheten i framtidige rapporter. Vi tar også svært gjerne imot kommentarer til de rapporter vi utgir. Ajourføring Et trusselbilde vil være dynamisk. SIS vil derfor periodisk oppdatere trusselbildet i forhold til relevante faktorer. Dette omfatter forhold som endring i teknologi, endring i anvendelsesområder og den foreliggende samfunnsmessige trusselvurdering. Kontakt SIS: Tlf: E-post: post@norsis.no Web: 2

3 Innholdsfortegnelse 1 SAMMENDRAG 4 2 SPAM 5 3 E-POST 7 4 VIRUS OG ORMER 9 5 TJENESTENEKTING 12 6 SINGLE-POINT-OF-FAILURE 14 7 UTILSIKTEDE MENNESKELIGE FEIL 16 8 UTRO TJENER 18 9 MISBRUK AV VIRKSOMHETENS RESSURSER TYVERI AV MOBILE ENHETER IDENTITETSTYVERI DATAINNBRUDD MISBRUK AV TRÅDLØS KOMMUNIKASJON 26 3

4 1 Sammendrag Gjennom oppslag i media får innbruddsforsøk via Internett stor oppmerksomhet. Vår erfaring er imidlertid at den største trussel mot IKT-systemer kommer innenfra. De fleste hendelser skyldes utilsiktede handlinger som gjerne oppfattes som feil og uhell, og som i de fleste tilfeller kan tilskrives menneskelig svikt. Samtidig viser tall fra "Datakriminalitet i 2001 en mørketallsundersøkelse", som ble utført av Næringslivets sikkerhetsorganisasjon (NSO) og Økokrim i 2001, at hver tredje gjerningsmann er en av virksomhetens egne ansatte. Dette underbygger kravet om at virksomhetene må satse betydelig mer på intern opplæring og holdningsbygging. Menneskelig svikt eller feilvurdering har også sammenheng med flere av de trusler som er omtalt i rapporten. Vi ser en økning når det gjelder tyveri av bærbar PC eller andre mobile enheter. Dette representerer stor sårbarhet dersom informasjonen som er lagret på disse ikke er tilfredsstillende sikret. Vi omtaler misbruk av virksomhetens ressurser som en trussel og erfarer at dette ofte skyldes dårlige holdninger blant de ansatte eller uklare retningslinjer for hva som er tillatt og ikke tillatt bruk. Stor utbredelse i bruk av Internett i Norge har gjort oss sårbare som følge av flere trusler. En av disse er at selve tilgangen til Internett svikter, enten som følge av feil hos leverandør eller i verste fall at leverandøren innstiller sin virksomhet (for eksempel ved konkurs). En annen effekt av utbredt bruk av Internett, er økt og hurtigere spredning av ondsinnet kode eller mer bevisst tjenestenektingsangrep. Vi har registrert en markert avkorting av tiden fra en sårbarhet blir kjent til angrep gjennomføres. I tillegg har vi sett at angrepene har blitt mer effektive ved at det på kort tid kan gjøres stor skade. Dette reduserer muligheten for å begrense skade selv ved rask varsling og reaksjon. Stadig mer informasjon om hver og en av oss er tilgjengelig elektronisk, noe som innebærer at identitetstyveri blir en stadig større trussel. Målet med identitetstyveri kan være ren økonomisk vinning, eller å oppnå uberettiget tilgang til en virksomhets systemer ved bruk av en av de ansattes identitet. Bruk av trådløse nett øker, og vi ser en økende andel angrep mot denne type infrastruktur både for interne og eksterne nett. Den sterke økning i bruk av e-post har også økt hyppigheten av truslene knyttet til misbruk av dette medium. I den siste tiden har spesielt "spam" (uønsket e- post) blitt et problem for mange virksomheter, og for mange vil spam i nær framtid utgjøre omlag halvparten av all mottatt e-post. I tillegg vil SIS rette oppmerksomheten mot mange virksomheters ukritiske bruk av e-post over Internett. E- post sendes vanligvis ukryptert, noe som medfører at uvedkommende kan skaffe seg innsyn og faktisk også endre innhold i meldingen. 4

5 Et typisk trekk ved mange av de trusler som SIS har dokumentert, er at de har vært kjent en viss tid. I mange tilfeller har mottiltak i form av oppgradering av programvare foreligget i lang tid. Likevel hører vi at virksomheter blir utsatt for vellykkede angrep. Dette faktum bør gi grunnlag for relevante tiltak i mange virksomheter. SIS ser at virksomheter i Norge har en utfordring ved inngåelse av avtaler om kjøp av IKT-tjenester. Slike avtaler bør bygge på en risikovurdering av tjenesten og inkludere informasjon om hvordan sikkerhet skal håndteres og hvem som har ansvar for å håndtere dette. 2 Spam 2.1 Problembeskrivelse Spam er meldinger eller uønsket søppelpost som kommer fra ukjente avsendere med et kommersielt og/eller støtende budskap. Det er ikke all uønsket e-post som er spam. Ofte har brukere akseptert å få tilsendt e-post når man registreres på forskjellige nettsteder. Problemet med spam er at senderen av en slik e-post har liten kostnad og når et stort publikum. Det er langt mindre kostnad tilknyttet e-postreklame sammenlignet med reklame i papirform, og det er kostnadseffektivt hvis bare en håndfull av mottakerne svarer. Kostnaden med å rydde opp spam er flyttet over fra avsenderen til mottakeren av reklamen. Spam er en kostbar plage å håndtere for virksomheter, Internet Service Providers (ISP-er) og sluttbrukere. 2.2 Sårbarhet Det er noen hovedfaktorer som gjør at bekjemping av spam i beste fall er vanskelig. For det første er det enkelt å få tak i e-post adresser i stort omfang fra nettsteder og salgsinformasjon. Disse adressene blir brukt til å sende ut e-post i stort omfang (bulk). Dernest er det enkelt å forfalske header-informasjon i en e-post. Denne headerinformasjonen består av hvem som skrev e-posten, hvem den skal til, dato og tidsstempel etc. Det er enkelt å forfalske slik informasjon, for eksempel kan "Fra"- feltet fylles ut med falsk e-postadresse. Sist er det generelt manglende sikring av e-postservere. Disse maskinene burde alltid avstå fra å akseptere ugyldige e-postadresser. Konfigurasjon og vedlikehold av e-postservere er meget viktig for å redusere graden av sårbarhet. 5

6 2.3 Scenarier med konsekvenser Spam har flere forskjellige former: Hoaxes 1 og kjedebrev om for eksempel falske advarsler om virus og ormer. Post, sammenlignet med reklamer og brosjyrer som kommer uoppfordret i postkassen, fra folk som forsøker å tjene til livets opphold. Uønsket e-post med ofte ugyldig avsender. Innholdet kan være av støtende art. Spam-meldinger tar ofte tid å rydde, og problemet medfører ekstra bruk av ressurser fra firmaet og ISP-ens side til lagring og overføring av e-post. Et uheldig utfall av slike hyppige oppryddingsprosesser, er at viktig og ekte e-post også kan bli slettet. 2.4 Tiltak for å redusere sårbarhet En virksomhet bør behandle spam med forsiktighet. Blokkèr fri videreformidling av e-post. Blokkering av spam er også et effektivt tiltak for bekjemping av virus. Mottakere blokkerer e-post med ikke-registrerte Internett-adresser for levering. Vær kritisk når du blir bedt om å oppgi din e-postadresse på ulike nettsteder. Bruk ulike e-postadresser til ulike hensikter, skill mellom netthandel, jobb, venner. Benytt et anti-spamprogram for å få hjelp med problemet, og husk at det er viktig at anti-spamprogrammet oppdateres fortløpende. Diskusjonen om ISP-er sine aktiviteter for å bekjempe spam-volumet bør tilskyndes. Det er estimert at spam-problemet bruker en større del av ressursene til ISP-er i Norge enn virus- og tjenestenektingsangrep. Skriv e-postadressen på web i tekstformat, for eksempel bør ola@nordmann.no skrives som ola at nordmann dot no, eller lag et bilde av adressen. Slik minsker du sjansen for at din adresse blir samlet inn og havner i adresselista til spam-utsendere. Meld fra til anti-spamtjenester, som oftest såkalte abuse-grupper. 2.5 Trend Undersøkelser viser at i Norge er over 50 % av all e-post er spam, og at problemet vil fortsette å øke. Så lenge det er lovlig med slik e-postbruk og det er kostnadseffektivt for avsenderne, vil de finne måter å overliste spam-filtre på. 1 Hoaxes: falske advarsler om virus, spres som regel via e-post. 6

7 3 E-post 3.1 Problembeskrivelse E-post har erstattet store deler av korrespondansen som tidligere gikk i papirform. I næringslivet har det blitt det dominerende kommunikasjonsmediet med kunder og partnere. Man gir tilbud og inngår avtaler uten å signere en papirkontrakt i tillegg. E-post sendes i utgangspunktet ukryptert. Det betyr at innholdet i enhver e-post kan plukkes opp ved avlytting på nettet mellom avsender og mottaker, såkalt "sniffing". Sagt på en annen måte, så er e-post like sikkert som postkort. Sannsynligheten for at den kommer fram er høy, men det er også mulig at den har blitt lest av flere underveis. 3.2 Sårbarhet Få virksomheter kontrollerer e-post som sendes til og fra de ansatte, selv om den inkluderer informasjon knyttet til virksomhetens virke. Juridiske dokumenter som tilbud, avtaler, kontrakter og andre typer informasjon som involverer økonomiske bindinger, utveksles per e-post uten at papirkopier sendes i tillegg som sikring. Dessuten godtar rettsvesenet elektroniske dokumenter som juridisk bindende. Denne typen kommunikasjon blir som regel ikke loggført og arkivert, noe som betyr at store deler av saksbehandlingen foregår i det skjulte og ikke så lett kan spores. Det er urovekkende at mye bedriftssensitiv informasjon sendes over en så usikker kommunikasjonslinje som e-post. Feil mottakeradresse kan føre til at slik informasjon kommer på avveie og ute av kontroll for de som eier den. I tillegg til å skrive inn feil mottakeradresse, er det også fort gjort å legge ved feil dokument, slik at mottaker får informasjon som ikke var ment for vedkommende. 3.3 Scenarier med konsekvenser En medarbeider slutter og e-postkassen slettes. All informasjon går dermed tapt, inkludert saksbehandlingsdokumenter, avtaler og annen bedriftskritisk informasjon som ikke finnes i noe arkiv. En person kan bevisst registrere domenenavn som ligner på kjente virksomheters navn i den hensikt å motta informasjon som egentlig skal til den kjente virksomheten. Det har forekommet saker hvor den tilfeldige mottakeren har utpresset avsender og/eller rettmessig mottaker økonomisk for å holde slik informasjonen unna offentligheten. En ukryptert e-post med et anbud vedlagt sendes mellom to virksomheter, mens en konkurrent avlytter linjen og får tak i anbudet. Denne kan da justere sitt anbud i henhold til dette og få tilslag. 7

8 3.4 Tiltak for å redusere sårbarhet Virksomheter må forholde seg til at e-post er det mest brukte kommunikasjonsmediet og dermed minst like viktig som papirpost. Et par mulige tiltak er: - Automatisk logging av all innkommende og utgående e-post - Automatisk lagring av all e-post, hvor de ansatte selv kan velge hvilke e- poster som ikke skal lagres. Dette er såkalt negativ kontroll. Noen metoder er omstridte fordi e-post kan være privat og ikke skal overvåkes av virksomheten, i så fall må de ansatte informeres og eventuelt samtykke. Dessuten er ikke all e-post arkivverdig. Virksomheter bør registrere både.no og.com og eventuelle andre domener hvor navnet inngår, i tillegg til domenenavn som lett kan forveksles med virksomhetens navn. Enhver virksomhet bør ha tydelige retningslinjer for hvordan bedriftssensitiv informasjon skal sendes, men også retningslinjer for hvordan man generelt kan minke risikoen forbundet med e-post Deretter er det noen tiltak som enhver kan benytte: Visuell kontroll; man bør alltid lese over hvilke mottakeradresser som er skrevet inn og hvilke dokumenter som er vedlagt. Ved utveksling av dokumenter på e-post, bør dokumentformater uten makroer benyttes. Et eksempel er å sende pdf- framfor word-dokumenter. Man kan velge å motta kvittering om at e-posten har kommet fram til mottakeren. Alle brukere bør ha mulighet til å generere en kvalifisert elektronisk signatur. PKI bør derfor implementeres i mye større skala enn hva som er gjort i dag. Bruk av PGP 2 -nøkkel anbefales slik at man kan kryptere og signere e-post elektronisk. På den måten kan mottaker lett kontrollere om avsender faktisk er den han/hun utgir seg for å være. Alle e-postbrukere må være klar over at e-post i seg selv ikke er en sikker kommunikasjonsform og derfor være bevisste i forhold til hva slags informasjon de sender elektronisk. 3.5 Trend I dag er alle medarbeidere i en virksomhet involvert i skriftlig kommunikasjon med kunder og øvrige kontakter. En stor del av forklaringen ligger nettopp i den voldsomme økningen i bruk av e-post framfor papirpost. Denne utviklingen vil fortsette framover, og behovet for ryddige rutiner rundt logging og arkivering av e-post vil bare øke. 2 PGP: Pretty Good Privacy, system for å kryptere innholdet i og signere en e-post. 8

9 Stadig flere verktøy for sikring av e-post blir tilgjengelig, for eksempel er det mulig for enhver bruker å skaffe seg sin egen PGP-nøkkel. PKI har hittil ikke vært særlig utbredt fordi de løsningene som er implementert skalerer ikke godt nok. Skalerbare PKI-løsninger finnes i dag og rulles i økende grad ut innen både offentlig og privat sektor. 4 Virus og ormer Problembeskrivelse Elektronisk distribusjon gjør det mulig å sende dokumenter til mottakere over hele verden på en mer effektiv måte. Samtidig gjør elektronisk distribusjon det enkelt for personer som ikke er fysisk i nærheten av hverandre å samarbeide om utvikling av dokumenter på en helt annen måte enn tidligere. Konsulentselskapet Radicati Group rapporterte 2. oktober 2003 at en gjennomsnittlig ansatt i 2003 sender og/eller mottar tilsammen 100 e-postmeldinger, per dag. Disse meldingene utgjør ca 9.6 Mbyte. Det faktum at datamaskiner over hele verden er knyttet sammen gjør det også mulig å effektivt distribuere programmer som utfører ondsinnede handlinger. Slike programmer kan for eksempel skjules i e-post eller som makrovirus i dokumenter på en slik måte at verken avsender eller mottaker oppdager at de er blitt rammet. Vi skiller i prinsippet mellom forskjellige typer ondsinnet programvare. Et virus er et program som hekter seg på et annet program og utføres samtidig med dette programmet. Når viruset utføres, lager det en eller flere kopier av seg selv som infiserer andre programmer eller datafiler. En orm er, i motsetning til et virus, et frittstående program. Virus og ormer har til felles at de lager kopier av seg selv når de kjører. En trojansk hest er et program med skjult funksjonalitet. Tilsynelatende kan det være et nyttig program, men i tillegg til det som er synlig for brukeren, utfører den trojanske hesten andre kommandoer. En trojansk hest lager ikke kopier av seg selv. De fleste ondsinnede programmer som skaper problemer for vanlige brukere (for eksempel "Sobig"), er i prinsippet ormer, men det er likevel vanlig å bruke "virus" som en fellesbetegnelse på alle typer selvreplikerende (ondsinnede) programmer. Denne praksisen vil også bli benyttet i denne rapporten. 9

10 4.2 Sårbarhet E-postvirus Programvare som håndterer e-post, har ofte mye funksjonalitet og mulighet til å automatisk starte forskjelllige typer programmer etter hva slags format e-posten har og hvilke filer som er vedlagt. Denne funksjonaliteten gjør det enkelt å utveksle dokumenter som benytter et spesielt program, for eksempel en teksteditor eller et regneark. Ondsinnet kode som ligger i e-posten eller i et vedlegg kan dermed bli utført automatisk uten at brukeren vet om det. Bevisstheten om virus har økt, og mange brukere er skeptiske til e-post fra ukjente avsendere eller med uvanlige titler. Det er imidlertid enkelt å forfalske avsenderadresser, og e-post med virus har ofte uskyldige overskrifter, som for eksempel kan være hentet fra innboksen på en infisert maskin Makrovirus I mange applikasjoner, for eksempel Microsoft Word og Excel, er det mulig å lagre en serie kommandoer slik at hele serien kan utføres ved et enkelt tastetrykk. En slik samling av kommandoer kalles en makro. Makroer lagres sammen med en fil og kjøres når filen blir åpnet i applikasjonen. Mange applikasjoner har egne programmeringssprå, makrospråk, som kan benyttes til å lage svært kraftige makroer, men som dessverre også kan benyttes til å lage ondsinnet kode. Makrovirus har vært blant de mest utbredte virustypene for Windows-plattformen Spredning Virus sprer seg ved hjelp av mange forskjellige teknikker. De viktigste er: Via e-post. Til tross for all oppmerksomheten om virus er dette fremdeles den mest utbredte metoden. E-postmeldingen inneholder et vedlegg som ser ut til å være et bilde, gjerne pornografisk, eller et nyttig program, for eksempel et antivirusprogram, som brukeren klikker på. Noen virus benytter sin egen SMTP-klient for å være mer effektive og unngå eventuelle mottiltak i e-postprogramvaren. Viruset bruker deretter adresseboka til brukeren som utgangspunkt for å sende kopier av seg selv. "Klez", "Sobig" og "Swen" benytter alle spredning via e-post. Via fildelingsprogrammer; som for eksempel Kazaa og Gnutella. Viruset kopierer seg selv til katalogen med delte filer under et tilforlatelig navn. Andre brukere laster ned filen og blir infisert. ("Swen") Via "chat"-programmer; IRC og lignende. Viruset sender infiserte filer til andre deltagere i IRC-kanaler som en bruker med en infisert maskin deltar i. "Selvspredning" via lokalnettverk. Viruset kopierer seg selv til filer med "interessante" navn som brukere vil være tilbøyelige til å klikke på eller til oppstartskatalogen, slik at maskiner blir infisert ved omstart. 10

11 Til vilkårlige IP-adresser. Noen av de mest alvorlige virusangrepene er basert på sikkerhetshull i operativsystemer ("Blaster") eller databaseprogrammer ("Slammer"). Viruset sprer seg til IP-adresser som er generert ved hjelp av en eller annen algoritme. 4.3 Scenarier med konsekvenser Det finnes virus i svært mange kategorier, fra "uskyldige" morsomheter til ondsinnede varianter som kan gjøre stor og uopprettelig skade på IKT-systemer. Noen vanlige varianter: Viruset installerer "bakdører" på brukerens maskin. Dette er programmer som gir en utenforstående mulighet til å logge inn på maskinen og overta kontrollen over den for å bruke den for eksempel til å sende ut spam eller delta i DDoS- ("distributed denial of service") angrep. "Sobig.F" er for tiden det mest kjente eksemplet. Registrerer/stjeler passord og sender dem til eksterne mottakere. ("Lirva") Sender kopier av filer som er lagret på maskinen til uvedkommende. ("Klez") Installerer bakdører i systemet, slik at uautoriserte brukere kan få tilgang. ("Deloader") 4.4 Tiltak for å redusere sårbarhet Opplæring av brukere: Vedlegg til e-post fra ukjente avsendere bør i utgangspunktet ikke åpnes. I det minste bør man lagre vedlegget og sjekke det med en virusscanner først. Vær tilsvarende forsiktig med e-post som kommer fra en kjent avsender, men som virker uvanlig, for eksempel med tittel på andre språk eller med spesielle vedlegg. Ta helst kontakt med avsender før du åpner e-post eller vedlegg. Hvis du mottar en advarsel om nye virus fra noen andre enn din systemansvarlige eller noen du har inngått avtale med, for eksempel et antivirusfirma, ikke send den videre. Det er overveiende sannsynlig at den er falsk. Vedlegg blir ofte vist som ikoner i e-postprogrammet. Stol ikke på disse; det som ser ut som et ufarlig bilde, kan være et kamuflert kjørbart program. Det samme gjelder vedlegg med "doble" suffikser, for eksempel filnavn.gif.bat. Det er svært vanlig at Windows-maskiner er konfigurert til ikke å vise suffikser. I så fall vil filen over bare vises som filnavn.gif, og se ut som en uskyldig bildefil. Sikkerhetsmekanismer er ofte skrudd av i nyinstallert e-postprogramvare. Slike funksjoner må aktiveres, for eksempel bør man skru av automatisk åpning av vedlegg og automatisk e-postvisning. Disse kommandoene bør ligge i en sentral konfigurasjonsfil som vanlige brukere ikke har tilgang til eller kan overstyre. 11

12 Installer antivirus-programvare og hold den oppdatert. Sørg for automatisk virusscanning av all innkommende e-post. Oppdatering bør skje automatisk og uavhengig av brukerne. Sørg for å laste ned oppgraderinger og patcher til all programvare. Sikkerhetshull blir vanligvis tettet etter hvert, og publiserte sikkerhetshull er spesielt utsatt for angrep. Bruk helst automatisk programvareoppdatering, for eksempel Windows Update. Dersom beskyttelse mot virus er identifisert som en viktig del av virksomhetens sikkerhetspolicy, bør man vurdere hvilken e-postprogramvare det er hensiktsmessig å benytte. 4.5 Trend Ny og utvidet funksjonalitet gir nye sikkerhetshull og nye muligheter for ondsinnet programvare. Samtidig lever mange "gamle" virus i beste velgående, til tross for at anti-virusprogramvare lenge har kunnet identifisere og fjerne dem. Mange virksomheter rapporterer at de er mindre plaget med virus enn tidligere, noe som kan tyde på at de har fått etablert tilstrekkelige mottiltak. På den annen side vil mange virksomheter kunne bli mer utsatt for angrep fordi medarbeiderne i større grad arbeider fra hjemmet, og hjemmemaskinene er ikke underlagt samme sikkerhetsregime. Virustrafikken vil sannsynligvis øke. MessageLabs rapporterer om en jevn økning i antall infiserte e-postmeldinger; 5. oktober 2003 var ca 1 av 195 meldinger infisert med virus. Virus i e-post har fått svært mye omtale, og flere og flere er klar over at det er viktig å ta forholdsregler. Mye tyder på at peer-to-peer-programmer vil stå for en større del av virus-spredningen fremover. Dette gjelder Programmer for deling/utveksling av filer, spesielt musikk/mp3: Kazaa, Gnutella. Programmer for meldingsutveksling og "chat", for eksempel Windows Messenger. 5 Tjenestenekting 5.1 Problembeskrivelse Tjenestenekting er når en tjeneste er utilgjengelig over tid ved at angriper forhindrer at maskinen kan yte denne tjenesten. Tjenestenekting kan være et resultat av et angrep eller fra ikke-sikkerhetsrelaterte problemer. Uansett gir resultatet lang forsinkelse. 12

13 Tjenestenektingsangrep springer ofte ut fra komplekse og vanskelige problemer mht håndtering og oppsporing av kilden(e). Angrepsarten er ofte distribuert (angrepet er koordinert fra mange forskjellige maskiner, ikke én sentral node), hvilket gjør det vanskelig å skille mellom legitim oppkopling og et angrep. 5.2 Sårbarhet Konsekvensen av et tjenestenektingsangrep er avhengig av programvare, plattform, nettverksarkitektur og sikkerhetsmekanismer. En typisk hendelse er at et nettsted blir bombardert med trafikk slik at det ikke klarer å prosessere all informasjon som blir mottatt. Slike angrep er ofte rettet mot populære nettsteder, og resultatet er nedetid for en webside til en virksomhet. De største problemene er mangelfull oppdatering av oppsett, programvare og sikkerhetsmekanismer. Mange virksomheter glemmer å følge opp datasystemene og følge med på utviklingen av sine systemer. Dette åpner for kjente masseangrep og muliggjør spredning og lengre livstid for spesielt ormer. Derfor er det viktig å evaluere sine prosedyrer for patching 3 og oppdatering av systemene. 5.3 Scenarier med konsekvenser Angrepet forhindrer at en server får tilgang til nødvendige ressurser slik at den ikke kan fullføre en oppgave. Blokkering av kommunikasjonen fra serveren slik at informasjon ikke blir sendt. Distribuert angrep hvor et mål (ofte et nettsted) blir bombardert med trafikk og som konsekvens blir nettstedet utilgjengelig. Ondsinnet kode som hyppig lager kopier av seg selv og sprer seg til nye mål (ofte e-post som sendes til alle i en adresseliste). 5.4 Tiltak for å redusere sårbarhet Oppdaterte sikringsmekanismer, og oppfølging av patching, både av virksomhets- og hjemmemaskiner For å minimalisere effekten av distribuerte angrep (DDoS) er det nyttig å øke båndbredden for en tjeneste (for eksempel et nettsted). Dette innebærer å planlegge for et trafikkvolum som langt overskrider den normale trafikkmengden til tjenesten. Resultatet blir at det er vanskeligere å overlaste en tjeneste for å få et vellykket distribuert tjenestenektingsangrep. Implementere redundans i tjenesten. Identifiser om du har svakhetspunkt (single-points-of-failure) for en tjeneste og bruk backup-servere. En angriper 3 Patching er midlertidig reparasjon av programfeil. 13

14 kan omdirigere sitt angrep til det nye systemet, men dette øker risikoen for å bli oppdaget og gjør det vanskeligere å gjennomføre et angrep. Generelt god sikkerhet kan forhindre at egne maskiner blir brukt til slike angrep. Bakdører til systemer blir ofte installert på kompromitterte maskiner. Disse maskinene blir nye angrepsagenter for distribuerte angrep på andre eller egne mål. 5.5 Trend Det er en kontinuerlig økning av scanningsforsøk på Internett de siste årene. Sårbarheter i velkjente protokoller som for eksempel HTTPS, har akselerert hyppigheten av angrepsforsøk på Internett. Denne trenden vil fortsette så lenge det er forholdsvis lett å utnytte kjente sårbarheter for å få uautorisert adgang til systemer. I tillegg har vi sett en økning av massespredning av spam, ormer og annen ondsinnet kode. Denne økningen har direkte innvirkning på tilgjengeligheten til tjenester for eksempel e-post. Det har vært en økning i Norge av angrep som resulterte i tjenestenekting. Vi vil også fortsette å se en overgang fra angrep på enkeltmaskiner til angrep i stor målestokk på kritiske systemer. Dessuten ser vi en trend hvor tiden fra en sårbarhet blir kjent til utnyttelse og angrep mot denne blir kortere og kortere. Derfor vil drifting og oppfølging av systemer bli mer og mer kritisk. Tidsvinduet systemadministratoren har for å patche systemene vil bli mindre. 6 Single-point-of-failure 6.1 Problembeskrivelse Kontinuerlig tilgang til Internett, som informasjonskilde og kommunikasjonsmedium, er stadig viktigere i det daglige arbeidet i norske virksomheter. Dersom disse tjenestene er utilgjengelige over lengre tid, og uten forvarsel, vil det for de fleste medføre tap av inntekter og økte kostnader. Stadig flere virksomheter har tilstedeværelse på web som en sentral del av sin drift, som tilbydere av informasjon og/eller tjenester på nett. For å ivareta tillit og troverdighet, er det viktig med en svært høy grad av tilgjengelighet og lav responstid for disse tjenestene. De færreste virksomheter drifter selv sin egen tilgang til Internett og web-baserte tjenester. De er dermed avhengige av at en ekstern tjenestetilbyder kan oppfylle deres krav til tilgjengelighet og oppetid for nettverksforbindelser og tjenester. De fleste virksomheter kjøper disse tjenestene fra en Internet Service Provider (ISP). 14

15 6.2 Sårbarhet De økte kravene til tilgjengelighet av informasjon og tjenester på Internett har utviklet seg over tid uten at dette er reflektert i krav til infrastrukturen som utgjør Internett og driftsavtalene med ISP-ene som har ansvaret for virksomhetens tilkobling til Internett. Nettverksstrukturen som utgjør Internett, er blitt til mer eller mindre tilfeldig etterhvert som bruken av nettet har økt, noe som reflekteres i mangelen på struktur og redundans i nettet. Avtaler med leverandører er ofte ikke blitt oppdatert etterhvert som kravene til tilgjengelighet er blitt større, noe som resulterer i at avtalene ikke reflekterer de reelle krav og forventninger til tjenestene. Svært få har avtaler som setter krav til redundans i infrastruktur for å sikre tilstedeværelse av tjenester også dersom en del av et nettverk angripes. Enda færre har avtaler med alternative ISP-er dersom hovedleverandøren ikke er i stand til å levere over lengre tid. ISP-ene er avhengige av å benytte hverandres nettverk for å kunne tilby fullgod tilgang til Internett. Det er summen av alle sammenkoblede nettverk som til sammen utgjør Internett. Dette medfører at dersom en ISP utsettes for et angrep som medfører at deres nett går ned, vil dette også kunne få konsekvenser for andre ISP-er og deres kunder. 6.3 Scenarier med konsekvenser En virksomhet kan miste sin tilgang til Internett og/eller få nedetid på sine webtjenester som følge av: Denial-of-service (DoS) angrep rettet mot sentrale enheter i ISP-ens infrastruktur. Angrep rettet direkte mot virksomhetens eget nett. Uforutsett nedetid som følge av tekniske problemer ved oppgradering av maskin-/programvare i ISP-ens infrastruktur. 6.4 Tiltak for å redusere sårbarhet Sette krav til ISP-ene i form av: Jevnlig risikovurdering av egne tjenester. Oppgradering av teknologi og rutiner for at et akseptabelt nivå av motstandsdyktighet i forhold til aktuelle trusler er ivaretatt. Dokumenterte beredskapsplaner og redundans i infrastruktur. Responstid ved IKT-sikkerhetsrelaterte hendelser. 6.5 Trend Stadig flere virksomheter setter ut sin IKT-drift til en ekstern leverandør. Hver slik leverandør er ansvarlig for drift av IKT-systemer for alle sine kunder dette medfører at et angrep rettet mot leverandøren kan slå ut alle kundene. 15

16 Det dukker opp stadig flere tjenestetilbydere, og det er liten kontroll med disse. Det kan være stor forskjell mellom leverandørene i form av hvilke ressurser og rutiner de har for håndtering av hendelser, og i hvor stor grad de har redundans i nettverk og maskinpark for å forebygge konsekvenser av hendelser. De nye systemene som utvikles, er nettbaserte i den forstand at de bygger på en antagelse om at det finnes en underliggende nettverksstruktur for kommunikasjon og tilgang til informasjon og tjenester. I praksis innebærer dette at ved bortfall av nettverksforbindelser er også systemene ubrukelige. Spesielt kritisk er dette for systemer som leverer informasjon og tjenester der tilgjengelighet kan være avgjørende for liv og helse og/eller medføre massive økonomiske tap. 7 Utilsiktede menneskelige feil 7.1 Problembeskrivelse Til tross for stort fokus på tilsiktede hendelser, er det et faktum at de fleste uønskede hendelser mot IKT-systemer skyldes utilsiktede handlinger gjerne med menneskelig årsak. Dette har også vært typisk for flere store sikkerhetshendelser i Norge som i mange tilfeller har medført store konsekvenser. 7.2 Sårbarhet Mennesker er som kjent ikke alltid logiske og forutsigbare. Det er derfor vanskelig å forutse og kontrollere menneskers oppførsel. Brukerne av IKT-systemer, og de som bygger, drifter og vedlikeholder systemene, er mennesker, og den menneskelige faktor er derfor noe man må ta hensyn til ved design av systemer og utforming av regler og rutiner for bruk. Det er nytteløst å bygge verdens sikreste system rent teknisk, dersom bruk av systemet er forbundet med så komplekse rutiner at det ender med et system som ingen klarer å bruke uten å kompromittere sikkerheten. Et typisk eksempel er at en velger å benytte enkle passord for å klare å huske dem eller skrive passordene på gule lapper som oppbevares ved siden av PC-en. 7.3 Scenarier med konsekvenser Små hendelser, for eksempel virusangrep, kan lett spre seg og bli et større problem enn nødvendig. Dette kan skje fordi en unnlater å rapportere eller ikke kjenner rapporteringsveier eller relevante mottiltak. Dersom en innser at en har gjort en feil, vil den interne kulturen i en virksomhet være avgjørende for hvor motivert en er til å rapportere. Nye systemer blir installert med standard innstillinger. Dette kan lede til at systemer installeres med kontoer med kjente passord som er en del av 16

17 standard oppsett. Disse kontoene kan brukes av uautoriserte til å få tilgang til systemet. En leder gir medarbeidere beskjed om å omgå regler for eksempel når det haster med en leveranse og man mener man ikke har tid til å følge vanlige rutiner. Dette kan medføre at medarbeiderne får inntrykk av at reglene ikke er så viktige, og velger å omgå dem på eget initiativ også i andre situasjoner. Medarbeidere røper sensitiv informasjon til uvedkommende slik at informasjonen misbrukes. I forbindelse med konferansen Infosecurity Europe 2003, ble det utført en undersøkelse blant passasjerer på vei til jobb på Waterloo stasjonen i London. Målet var å få passasjeren til å oppgi sitt passord til systemet på jobben deres. 90 % av de spurte var ved hjelp av noe overtalelse og enkle spørsmål villig til å avsløre passordet sitt (kilde: Tiltak for å redusere sårbarhet Holdningskampanjer, opplæring og kompetanseheving må jevnlig gjennomføres i virksomheter for å øke bevisstheten rundt IKT-sikkerhet blant de ansatte. Klare regler og retningslinjer for hva som er tillatt og hva som ikke er tillatt for brukere av et system må utformes og gjøres kjent. Prosesser som krever menneskelig inngripen, må være organisert og dokumentert med tanke på lav risiko. Det må etableres enkle og hensiktsmessige rapporteringsveier ved oppdagelse og håndtering av brudd på IKT-sikkerhet. Alle hendelser må dokumenteres og analyseres med tanke på årsak og hvilke tiltak som evt. må gjennomføres for å unngå at det skjer igjen. Ledere i virksomheten skal gå foran som gode eksempler. Risikostyring må inngå som en naturlig del i alle prosesser og lederfora. Dette er det mest synlige bevis på at virksomheten tar risiko på alvor, og er villig til å gjennomføre tiltak som reduserer risiko. 7.5 Trend IKT-systemer blir stadig større i kompleksitet, omfang og antall brukere. Sikkerhet er i stor grad basert på at brukerne selv tar ansvar for å overholde regler ved bruk av systemet. Med økt antall brukere øker også sannsynligheten for at noen bryter reglene, enten med overlegg eller ved et uhell, og med økt omfang øker også konsekvensene. Til tross for at stadig flere hendelser i Norge skyldes menneskelig svikt, ser man at de beskyttelsesmekanismer som etableres (i form av brannmur, systemer for inntrengningsdeteksjon etc), ikke fanger opp de menneskelige faktorene. Saksbehandling vil i enda større grad skyves over på kunden selv, for eksempel i nettbanker, noe som gir større rom for feil. 17

18 Mer og mer ansvar for å ivareta sikkerhet vil overføres til sluttbrukerne av IKTsystemer. Selv det designmessig sikreste system er avhengig av korrekt oppførsel fra menneskene som bruker det for å ivareta sikkerheten. 8 Utro tjener 8.1 Problembeskrivelse En utro tjener er en ansatt som misbruker virksomhetens tillit og tilgang til bedriftsinformasjon for å oppnå uberettiget egen gevinst eller forårsake skade. Ifølge Mørketallsundersøkelsen utført av NSO og Økokrim, er hver tredje gjerningsmann en av virksomhetens egne ansatte. 8.2 Sårbarhet I sikkerhetsarbeidet fokuserer man ofte på trusler som kommer utenfra og hvordan man kan beskytte seg mot disse. Som mørketallsundersøkelsen viser, er man også utsatt for en vesentlig trussel fra egne ansatte. Manglende fokus på dette og mangel på sikkerhetsbarrierer for å fange opp og detektere angrep fra egne ansatte, gjør at man er desto mer sårbar for denne trusselen. 8.3 Scenarier med konsekvenser En ansatt blir sagt opp og rekker å hente ut sensitive bedriftsinformasjon før tilgangen til virksomhetens ressurser blir sperret. Den tidligere ansatte tar med seg informasjonen i sin nye jobb eller selger den til en konkurrerende virksomhet. En ansatt ønsker å ramme egen virksomhet og slipper løs ondsinnet kode (virus/orm) fra en maskin på virksomhetens interne nettverk. Dersom virksomheten kun har forsvarsmekanismer ved grensene mot eksterne nett, blir ikke dette fanget opp og stoppet, men kan spre seg fritt på virksomhetens interne nett og forårsake store problemer. En tidligere ansatt har lagt inn mekanismer for å få adgang til virksomhetens systemer etter at han/hun har sluttet i jobben. 8.4 Tiltak for å redusere sårbarhet Overvåking av nettverkstrafikk/kommunikasjon på internt nettverk for å detektere angrep innenfra. Beskytte også enkeltmaskiner i virksomhetens nett viruskontroll på alle klienter, personlige brannmurer og overvåkning på klientnivå. Rutiner/reglement for å hindre at ansatte kan ta med seg bedriftssensitiv informasjon videre i en ny jobb. Dette kan være i form av bestemmelser 18

19 nedfelt i ansettelseskontrakt e.l. som gjør det mulig å forfølge brudd på reglementet med juridisk søksmål. Grundig bakgrunnssjekk av søkere ved nyansettelser for å unngå å ansette personer som tidligere har vært involvert i kriminalitet av uønsket karakter. Gjennomgang/kontroll av egenutviklet programvare for å detektere bakdører som kan være bygget inn av utro tjener som har deltatt i utviklingen av programmet. 8.5 Trend Arbeidstagere i Norge skifter stadig oftere jobb. En undersøkelse utført av Statistisk Sentralbyrå i 2001 viser at i aldersgruppen år ønsket 35 prosent å bytte jobb i inneværende år. Samlet for hele befolkningen var tallet 15 prosent. Generelt har arbeidstagere mindre lojalitetsfølelse overfor arbeidsgiver enn tidligere. Dette er en stor utfordring for virksomheter som primært forvalter intellektuell kapital og ikke-materielle verdier som det er vanskelig å forhindre at tidligere ansatte tar med seg videre i sin nye jobb. 9 Misbruk av virksomhetens ressurser 9.1 Problembeskrivelse I mange virksomheter har det utviklet seg en akseptert holdning om at de ressurser som er tilgjengelige fritt kan brukes når det ikke er lagt hindringer i veien for dette. Dette har medført at ressurser i dag benyttes til formål som ligger langt utenfor primær virksomhet. Dette er mulig fordi brukerne har tilgang til store ressurser, mens retningslinjer og kontrollrutiner mangler. Virksomheter er utsatt for slikt misbruk både fra interne brukere og utenforstående som bryter seg inn. Nye medarbeidere som kommer fra utdanningsmiljøene har vært vant til å bruke alle tilgjengelige ressurser på Internett, og tar gjerne med seg denne holdningen ved ansettelse. 9.2 Sårbarhet En sårbarhet ligger i at film- og musikkdistribusjon medfører bruk av fildelingsprogram. Disse kan inneholde ondsinnet kode og/eller introdusere bakdører som kan medføre stor skade på egne systemer i tillegg til mulig spredning. Bruk av ressurser til uautoriserte formål kan svært ofte føre til reduserte ressurser til primærvirksomhet med tilhørende redusert tilgjengelighet til virksomhetens IKT-tjenester. Den alvorligste konsekvensen er likevel at virksomheten mister effekt av investerte IKT-ressurser - for eksempel båndbredde og lagringsplass. Med- 19

20 arbeidere som er opptatt med denne type aktivitet, bidrar i liten grad til verdiskapning for virksomheten. 9.3 Scenarier med konsekvenser Brukere laster ned store mengder film og musikk og distribuerer dette videre via virksomhetens servere. Konsekvensen er gjerne redusert tilgang til nettkapasitet og lagringsplass. I tillegg kan virksomheten komme under etterforskning for lovbrudd. Brukere laster ned pornografisk materiale for lagring og/eller distribusjon. Samme konsekvens som over; alvorlige lovbrudd. Brukere benytter virksomhetens dataressurser til egen privat forretningsvirksomhet. Kan føre til redusert tilgang på ressurser. Utenforstående gjør innbrudd på servere og kan gjennomføre alle ovennevnte scenarier i tillegg til å bruke virksomhetens servere til utsending av uønsket e- post/spam. Bedriften kan oppfattes som avsender, med de negative følgene dette kan få. Når forhold av ovennevnte karakter avdekkes, vil virksomheten sannsynligvis få negativ presseomtale. Dette kan også medføre brudd på lover og forskrifter med fare for påtale og straff også for virksomheten. 9.4 Tiltak for å redusere sårbarhet. Virksomheten må informere ansatte om hva de har lov til med hensyn til bruk av arbeidsgivers ressurser. Hver enkelt virksomhet må sette rammene. Holdningsskapende tiltak vil gjøre det lettere å forstå hva som er rett og galt. Ansatte må skriftlig bekrefte at de er kjent med regelverket. Virksomheten må gjennomføre nødvendige kontroller for å følge opp at retningslinjer etterleves. Slike kontroller omfatter overvåking av bruk av lagringsressurser samt nettrafikk innen de begrensninger som lovverket setter. 9.5 Trend Tilgangen til underholdningstilbud på Internett øker stadig. Hurtigere kommunikasjonslinjer og større lagringsplass på arbeidsstasjoner og servere gir større muligheter til nedlasting og deling. Vi ser også en utvikling hvor flere bruker samme PC på kontoret, på reise og for tilkopling fra hjemmet. I hjemmet kan også andre i familien bruke denne maskinen. Dette kan skape uklare grenser for hva som er virksomhetens ressurser og hva som er den ansattes personlige ressurser. 20

21 10 Tyveri av mobile enheter 10.1 Problembeskrivelse Det forsvinner årlig flere tusen mobile enheter som inneholder informasjon. Dette skyldes i de fleste tilfeller tyveri, men for mobiltelefon og PDA er det også vanlig at en rett og slett mister enheten. Bruken av bærbare PC-er, mobiltelefoner og PDA-er har økt merkbart den senere tid. Dette kan tilskrives flere forhold, men er nok mest et resultat av vår mobile hverdag. Mange virksomheter gir sine ansatte mulighet til fjernoppkopling mot arbeidsplassen, og dette fører til at bærbar PC blir valgt som arbeidsredskap både på kontoret og på reise. Mange selskaper har utstrakt reiseaktivitet både i inn- og utland, og PC er et naturlig verktøy å ta med. Utstrakt bruk av mobiltelefon gjør at tilkopling ikke er avhengig av faste tilholdssteder Sårbarhet Selv om denne type enheter inneholder avanserte funksjoner, vil det for en virksomhet være overkommelig tap dersom en kun vurderer gjenanskaffelseskostnad. Dersom en har relevant forsikring, vil evt. tap begrenses av denne. Sårbarheten vil heller knyttes til tap og innsyn i informasjon som var lagret på den enheten som er tapt. Grunnen til at en bruker en mobil enhet, er jo nettopp at en ønsker å bringe denne med seg i forskjellige arbeidssituasjoner og for å bruke informasjon lagret på enheten. Dette kan være tilbud, konstruksjoner, presentasjoner etc. Sannsynligheten for tap av viktig informasjon er høy. I tillegg kan PC og PDA inneholde viktige personopplysninger som dermed kan komme på avveie. Brukes PC til oppkopling til nettbank, kan evt. software-sertifikat, kredittkortinformasjon o.l. komme i uvedkommendes hender Scenarier med konsekvenser Eksempel på hendelser hvor bærbar PC (eller annen mobil enhet) stjeles: Tyveri fra kontor, privathjem, hotell, konferansesal, møterom, garderober, bil o.l. Tyveri fra flyplass ved at den reisende blir oppholdt i forbindelse med sikkerhetssjekk mens veske med bærbar PC går gjennom kontrollen hvor tyvens partner raskt fjerner denne. PDA eller mobiltelefon glemmes i taxi, fly, tog etc. For alle tilfeller er konsekvensen tap av materiell verdi samt den informasjon som er lagret. Enda viktigere er dog at dette åpner for innsyn i informasjonen fra uvedkommende. 21

22 10.4 Tiltak for å redusere sårbarhet. Tiltak for å hindre tyveri og det materielle tap: Ikke oppbevar mobil enhet uten tilsyn for eksempel på hotell (resepsjonen har stor safe), i bilen, på konferanser etc. Det finnes eksempler på innbrudd i biler ved kjøpesentra, i barnehage, skole etc. En lar gjerne PC ligge igjen i bilen. Sikkerhetsmerking av PC reduserer omsetningsverdien. God adgangskontroll til kontor og bevisstgjøring av medarbeidere til å følge med. Sikre PC på kontoret med sikkerhetslenke. Ikke la mobil enhet ligge på ulåst kontor ved lengre fravær. Tiltak for å redusere uheldige virkninger av tyveri: Kryptering av datainnholdet på disken. God tilgangskontroll til PC med bruk av passord eller biometrisk godkjenning. Backup av data Trend Det kjøpes nå flere bærbare PC-er enn stasjonære. Bruk av hjemmekontor og oppkopling mot arbeidsplass fra hjemmet og/eller på reise vil bli mer vanlig framover. Dette vil kriminelle utnytte ved å søke etter datautstyr ved innbrudd i privatboliger. Det er viktig å bemerke at PC som er disponert av virksomhetsledere, gjerne "omsettes" til en høyere verdi enn det bare maskinvaren er verdt. Mobile enheter vil få større funksjonalitet og lagringskapasitet. Ved tap av enhet vil dette føre til at større informasjonsmengder kan gå tapt. Mer funksjonalitet i mobiltelefoner og PDA gjør at disse enhetene vil være med oss overalt, og dette øker sannsynligheten for tap/tyveri. Mer informasjon vil overføres mellom mobile enheter, noe som også medfører økt fare for avlytting. 11 Identitetstyveri 11.1 Problembeskrivelse Identitetstyveri er når en person utgir seg for å være en annen gjennom misbruk av personopplysninger. Hensikten er som oftest økonomisk vinning, enten gjennom bedrageri, tyveri, dokumentforfalskning eller andre ulovlige handlinger Sårbarhet De fleste personer opererer med mange typer identiteter, spesielt nå som det digitale aspektet har gjort seg gjeldende. Man autentiserer seg med brukernavn 22

23 og passord på ulike nettsteder som for eksempel nettbanker, pratekanaler og nettbutikker. Man sender e-post, bruker mobiltelefon og betaler med kredittkort. Med dette legger vi igjen spor overalt, både hjemme i Norge og i utlandet. Opplysninger som kredittkortnummer, navn, fødselsdato og -nummer, og mors pikenavn kan lett settes sammen og deretter misbrukes. Det er fort gjort å ukritisk fylle ut alle felter og klikke "OK" på et nettsted som spør etter slik informasjon. Dermed har man oppgitt sensitive opplysninger til noen man ikke nødvendigvis vet hvem er, og eventuell manglende kryptering gjør at også uvedkommende kan avlytte linjen og få tak i disse opplysningene. Noen av metodene som blir benyttet ved identitetstyveri: Falske stillingsannonser. Man oppgir mye verdifull informasjon om seg selv i en jobbsøknad. Innbrudd på datasystemer hvor personopplysninger, eller informasjon som kan lede til slike, er lagret. Gjennomleting av papirsøppel (såkalt dumpster diving) hvor det både fra virksomheter og enkeltpersoner kan ligge mye interessant informasjon. Logging/sniffing av en persons tastetrykk og bevegelser på Internett Scenarier med konsekvenser En svindler har samlet informasjon om Ola Nordmann og har fått utstedt legitimasjon med hans navn og sitt eget bilde. Svindleren bestiller deretter et visakort i Ola Nordmanns navn og bruker det som om det var hans eget. Ola Nordmann får etter en stund regning for bruken av dette visakortet, og oppdager svindelen. Banken er den store taperen, fordi de har utstedt et visakort basert på falske personopplysninger. Den samme svindleren arbeider som spion for sitt hjemland, får jobb i Ola Nordmanns navn, og kan bedrive industrispionasje. Virksomheten har ikke ansatt den personen de tror de har ansatt, og kan oppleve store økonomiske tap og sensitiv informasjon på avveie. En ansatt har mistet sitt ID-/adgangskort, og uvedkommende finner dette kortet. Denne kan påstå at han har mistet passordet sitt til systemet, og få oppgitt den ansattes passord. Deretter har den uvedkommende fri tilgang til virksomhetens IKT-systemer med alle rettighetene som den ansatte har Tiltak for å redusere sårbarhet I Norge har finansinstitusjoner lov til å bruke en persons fødselsnummer for å kontrollere hans/hennes identitet. Dessuten er det ikke tillatt å gi kreditt uten å sjekke kjøpers identitet. Foretas det en kredittsjekk av kjøpers konto, skal kontoeier ha skriftlig beskjed i etterkant. Likevel er man aldri helt trygg, men det er noen enkle tiltak enkeltpersoner selv kan gjøre for å beskytte seg: 23

24 Vær varsom og vern om personlige dokumenter som blir brukt til identifisering. Dette kan være fødselsattest, pass eller bankkort. Vær forsiktig med å utlevere/legge igjen personopplysninger, både på papir (for eksempel kontoutskrift) og i elektronisk form (for eksempel netthandel). Makulér dokumenter eller kvitteringer som kan gi uvedkommende verdifulle opplysninger om de blir funnet. Ved handel på nettet er det viktig å kontrollere at all informasjon er kryptert når den overføres. Dette kan enklest gjøres ved å se at har " og ikke " i adressefeltet Trend Internasjonalt er identitetstyveri et økende problem. I Norge er det foreløpig ikke veldig stort i omfang, men det øker stadig, og legger hele tiden et press på ulike institusjoner for å finne sikrere måter å kontrollere folks identitet på. 12 Datainnbrudd 12.1 Problembeskrivelse Det kreves ikke mye kunnskap for å utnytte kjente sårbarheter i datasystemer. På Internett er det lett å finne programmer man kan bruke til dette, og mange av disse programmene kan brukes uten spesielle endringer eller tilpasninger, altså kan hvem som helst benytte dem. Dette gjør det enkelt for de som synes dette er spennende å se hvor langt de kan drive det. Denne typen "crackere" kalles gjerne "script kiddies" og gjør det mest for gøy og spenning, ikke for vinnings skyld. I tillegg er det de mer avanserte crackerne som er mer målbevisste med sine handlinger. Deres hensikter kan være å stjele konfidensiell informasjon fra virksomheten, sette virksomhetens systemer ut av drift eller utnytte virksomhetens ressurser i form av diskplass eller båndbredde Sårbarhet Script kiddies utnytter svært ofte svakheter og sårbarheter i programvare og systemer, som har vært kjent en stund. Mange av de angrepsverktøyene som ligger åpent ute på nett, er nemlig beregnet på slike. Dermed er man sårbar om man ikke har tettet sikkerhetshullene i sine systemer med oppdateringer som har blitt gjort tilgjengelig. Virksomheter sitter ofte på informasjon som er ettertraktet av utenforstående. Crackere bruker ofte mer avanserte verktøy enn de som ligger åpent ute på nett 24

25 til å gjennomføre angrep. Slike innbrudd kan være vanskelig å avdekke, spesielt om det ikke er iverksatt overvåkingssystemer på systemet, men også om hele eller deler av driften er satt ut til en ekstern leverandør. Selv om systemene er oppdatert og overvåket, er de ansatte ofte et svakt punkt. Svært mange crackere benytter såkalt "social engineering" i sitt arbeid, hvilket vil si å få ansatte selv til å avsløre mye informasjon. Slik informasjon kan være passord, hvilke datasystemer som kjøres, hvor sentrale servere er plassert og andre opplysninger som kan hjelpe utenforstående å gjennomføre et angrep Scenarier med konsekvenser Industrispionasje - en cracker bryter seg inn og legger inn en bakdør på systemet ved å benytte et såkalt "rootkit". Gjennom denne samlingen av verktøy kan crackeren også skjule sine aktiviteter. Bakdøren vil gi vedkommende adgang til systemet og dermed muligheter for å lese og stjele informasjon fra virksomheten. Uvedkommende bryter seg inn i virksomhetens nett og endrer nettsidene slik at disse viser feilaktige opplysninger. Hovedsiden kan erstattes med en hilsen fra crackeren, eller små endringer kan legges inn, for eksempel et nytt telefonnummer, slik at crackeren kan motta telefoner som egentlig skulle til virksomheten. I tillegg til at informasjon dermed kommer på avveie, svekker slike hendelser virksomhetens rykte og troverdighet. Crackere oppnår tilgang til filserver(e) og benytter disse til å dele større mengder informasjon med andre Tiltak for å redusere sårbarhet Jevnlige sårbarhetsscanninger og kontroller av egne systemer vil kunne avdekke hvilke sikkerhetshull som eksisterer og som dermed kan utnyttes av inntrengere. Programmer som ikke benyttes eller ikke er nødvendige for forretningsvirksomheten, bør fjernes. Tilsvarende tjenester, for eksempel FTP-servere, webservere og fildeling, bør skrus av slik at de ikke er tilgjengelige. Patching. Det viktigste tiltaket er å sørge for at de kjente sikkerhetshullene er tettet. Overvåking og filtrering. Ved bruk av et system for inntrengningsdeteksjon (IDS) kan man i stor grad avsløre forsøk på cracking mot virksomhetens systemer. Et IDS vil fungere enda bedre dersom en brannmur på forhånd filtrerer vekk store deler av den uønskede trafikken. På den måten blir belastningen mindre på overvåkningssystemet. Hver bruker bør også ha en personlig brannmur på sin egen maskin for å beskytte mot uønsket trafikk fra andre innenfor virksomhetens brannmur og som en ekstra beskyttelse i tillegg til denne mot uønsket trafikk utenfra. 25