Sikkerhed: Minimal indsats mod datakriminalitet

Når det gælder beskyttelse af data, kan private virksomheder og offentlige organisationer inddeles i to kategorier: 1) Dem der ved, at de er blevet hacket, og 2) Dem der ikke ved, at de blevet hacket.

Ifølge sikkerhedseksperter findes der ingen tredje kategori.

Fra den 21. august til den 5. september var British Airways en kategori 2-virksomhed, der ikke havde nogen anelse om, at hackere havde skaffet sig adgang til at stjæle detaljerede informationer om flyselskabets kunder.

Da British Airways den 6. september opdagede indbruddet, viste det sig, at det var lykkedes for hackere at gennemføre et af de mest ødelæggende dataindbrud til dato.

”Hvis der fandtes en landevej rundt om Jorden, kunne man køre i bil tværs over kloden på 21 dage. Men det tager i gennemsnit 196 dage for en virksomhed at opdage et dataindbrud.”
Data Breaches. The threat is real – IBM Security, Juli 2018

Ikke alene havde hackerne stjålet data med navne, kreditkortnumre og udløbsdatoer samt e-mailadresser vedrørende alle de ca. 380.000 kunder, der i perioden havde benyttet flyselskabets webshop til at købe eller ombooke billetter.

Det var også lykkedes for tyvene at stjæle data med de CVV-koder, der findes på bagsiden af kreditkortene, og som udgør et kritisk element i beskyttelsen af kreditkort.

Så snart angrebet var blevet offentliggjort af British Airways, lukkede flere britiske banker omgående for alle kreditkort, der var omfattet af indbruddet, og gik i gang med at udstede nye kort til kunderne.

Kreditkortselskaberne har fastlagt regler om, at CVV-koder af sikkerhedsmæssige grunde aldrig må gemmes på virksomhedernes servere i forbindelse med betalinger på nettet, og British Airways har endnu ikke oplyst, hvordan det kunne lade sig gøre for hackere at stjæle CVV-koderne.

En mulig forklaring kan være, at hackerne har benyttet en forholdsvis ny metode, hvor angrebet bliver rettet direkte mod hukommelsen (eller RAM’en) i virksomhedens servere.

Metoden indebærer, at der ikke placeres nogen “virus” i form af filer eller programmer på virksomhedens harddiske. De normale sikkerhedssystemer er beregnet til at overvåge filer på harddiskene, men når der ikke findes nogen “virus”-fil, kan sikkerhedssystemet ikke opdage angrebet.

Når hackerne placerer koden direkte i servernes RAM ser angrebet ud som almindelige servicerutiner i driftsmiljøet, og hackerne kan på den måde uforstyrret aflæse alle transaktioner, der sker på serverne og på de tilknyttede netværk.

”Alle uden undtagelse er inficeret. The bad guys er inde overalt.”
Kris Lovejoy, Sikkerhedschef i IBM til Financial Times, 10-04-2015

Denne form for “fileless” hacking er oprindeligt blevet udviklet af statslige militære cyber-enheder til brug for skjulte angreb på kraftværker, vandværker og andre kritiske installationer.

Men metoden har nu bredt sig ud i det kriminelle miljø, og sikkerhedseksperter anslår, at omkring halvdelen af alle angreb på banker og andre finansielle institutioner idag gennemføres med avanceret “fileless” teknologi.

I USA har myndighederne i nogle delstater reageret på denne udvikling ved at opstille nye krav til virksomhederne om beskyttelse af persondata.

I New York trådte der i begyndelsen af september en ny regulering i kraft, der pålægger alle finansielle virksomheder et gennemføre en fuldstændig kryptering af alle data, der bliver gemt på harddiske. Desuden skal der gennemføres kryptering af alle data, der transporteres over enhver form for netværk.

Det betyder, at al håndtering af persondata eller andre data, der knytter sig til personer, som for eksempel kreditkortoplysninger, altid skal foregå med krypterede data.

Hackere skal derfor fremover ikke alene skaffe sig adgang til data. De skal også på en eller anden måde finde ud af at stjæle bankens krypteringsnøgler.

En end-to-end kryptering af alle former for persondata vil være et effektivt værn mod hackere. Men i praksis er det vanskeligt – og dermed kostbart – for de finansielle virksomheder at gennemføre en så omfattende kryptering.

Men nu er New York gået foran i kravene til de finansielle virksomheder, og det vil herefter formentlig kun være et spørgsmål om tid, før andre af verdens finansielle knudepunker følger op med en tilsvarende regulering.

Initiativet fra New York kan samtidig ses som et konkret udtryk for, at myndighederne satser på, at hacking skal bekæmpes gennem forebyggelse, snarere end ved at finde og retsforfølge hackerne.

I USA er databeskyttelse et anliggende for de enkelte delstater, og i EU er kriminalitetsbekæmpelse i det store og hele overladt til de enkelte medlemslande.

De kriminelle hackergrupper opererer udelukkende i et globaliseret og virtuelt cyberspace, og deres risiko for at blive opsporet og retsforfulgt af forskellige nationale myndigheder er minimal.

Professionel hacking er blevet en low risk – high reward beskæftigelse, der har vist sig at kunne tiltrække både talent og kapital i stor stil.

Aktørerne i denne særlige kriminelle branche har tydeligt demonstreret, at de i dag råder over kompetencer og  teknologier, der kan måle sig med de bedste i den civile og militære sektor.

Man må derfor håbe, at de kriminelle grupper bliver ved med at fokusere på at stjæle data, der kan omsættes til penge, fremfor at bringe deres ressourcer i spil til at gennemføre angreb på vitale samfundsinstallationer som kraftværker, vandværker og trafikanlæg.

Gravelines Nuclear Power Station
Atomkraftværket i Gravelines, et af Frankrigs 58 atomkraftværker.

Introfoto: Udsnit af den mail, som British Airways sendte til alle berørte kunder dagen efter, at angrebet blev opdaget.

Mere på Pejlinger: SIKKERHED: BONDEFANGERI LEVER I BEDSTE VELGÅENDE

Henvisninger og baggrund: 21-09-2018