Digitale indbrud i offentlige organisationer og private virksomheder er blevet industrialiseret. Værdifulde data bliver stjålet og produktionen kan blive sat i stå. Der kræves store summer i løsepenge for at få stoppet et angreb og få de stjålne data leveret tilbage. I Danmark har ejendomsmægleren EDC mistet persondata for 700.000 kunder, der nu risikerer identitetstyveri.
I DEN IDYLLISKE Ardéch-provins i Sydfrankrig kan man køre fra landsby til landsby i bjergene eller sejle i kano på floderne og uforstyrret drømme sig tilbage til tiden fra før verden gik af lave. De lokale, der lever her, kører åbenlyst i et andet gear. Området er ikke velhavende, men er blandt andet kendt for sine abrikoser og valnødder, der i høsten kan købes på åbne markeder i enhver tænkelig variation. Den største risiko ved at tage på ferie her er, at man får lyst til at blive.
En tidlig forårsmorgen i marts 2024 fik to lokale mænd på 20 og 23 år besøg af politiet, der beslaglagde deres computere og sigtede dem for at at have medvirket til et spektakulært cyberangreb på France Travail, den nationale franske arbejdsformidling, der også administrerer dagpengesystemet.
Samtidig med deres anholdelse blev en af deres venner på 21 år anholdt i Bourgogne-regionen 140 km sydøst for Paris, og hans computer blev også beslaglagt.
Cyberangrebet på France Travail blev opdaget den 6. februar 2024, men der gik over en måned, før det blev meldt til politiet.
På det tidspunkt stod det klart, at angrebet havde givet hackerne adgang til persondata for over 43 millioner franske borgere, der enten har eller på et eller andet tidspunkt igennem de seneste 20 år har haft forbindelse med arbejdsformidlingen. Navne, cpr-numre, bruger-ID, email, postadresse og telefonnumre blev eksponeret.
Angrebet har vakt opsigt i Frankrig, og nogle it-sikkerhedsfolk har hæftet sig ved, at France Travail har haft alle disse personoplysninger liggende frit fremme i organisationens it-systemer, hvor alle medarbejdere har haft adgang til dem.
Desuden kommer angrebet efter, at France Travail i sommeren 2023 mistede persondata for over 10 millioner borgere ved et lignende indbrud i deres it-systemer.
En foreløbig undersøgelse tyder på, at det seneste angreb er sket ved, at hackerne har udgivet sig for at være en menig ansat, og på den måde har fået logget sig ind på en almindelig arbejdscomputer i organisationen, hvorfra der har været fri og uhindret adgang til … alt.
En anden mulighed er, at hackerne har benyttet sig af et af de sikkerhedshuller, der fandtes på France Travails hjemmeside, og som en såkaldt “etisk hacker” havde identificeret og rapporteret til France Travail i ugerne inden angrebet, men uden at få noget svar på sin henvendelse, og uden at sikkerhedshullerne blev lukket.
Den franske arbejdsformidling er blot en blandt mange offentlige institutioner i Frankrig, der er blevet udsat for cyberangreb i de første måneder af 2024, og den franske regering advarer nu om, at man står over for en bølge af angreb rettet mod offentlige kontorer og ministerier.
Den franske regerings advarsler kommer samtidig med, at regeringen i Schweiz i marts 2024 offentliggjorde hovedtræk af et cyberangreb, der ramte store dele af den offentlige sektor, herunder politi, militær og regeringskontorer.
Angrebet blev gennemført allerede i foråret 2023, men først nu har de schweiziske myndigheder efter et langvarigt oprydningsarbejde fået skabt overblik over situationen.
Det har vist sig, at hackerne har stjålet 1,3 millioner filer, heriblandt klassificerede regeringsdokumenter samt lister med passwords og persondata fra regeringskontorerne. Hovedparten af filerne vedrører forskellige offentlige instanser som retsvæsen, politiet, militæret og civilforsvaret. Desuden har centraladministrationens it-ledelse mistet teknisk dokumentation og systembeskrivelser for dele af den offentlige sektors it-installationer.
I Storbritannien har en tværpolitisk parlamentarisk kommission i december 2023 fremlagt resultaterne af en analyse af it-sikkerheden i virksomheder og offentlige organisationer, og konklusionen er, at det kun er held, der indtil nu har forhindret, at store dele af landets kritiske infrastruktur er blevet lagt ned af cyberangreb. Kommissionen opfordrer derfor til, at ansvaret for it-sikkerhed bliver flyttet til en ny afdeling med direkte reference til premierministeren. Den britiske regering siger i en kommentar til rapporten, at anbefalingerne ligger i tråd med det it-sikkerhedsprogram, som regeringen allerede har fremlagt, og som har et budget på 2,6 milliarder £, svarende til ca. 22 milliarder kr.
Alvoren understreges af de mange cyberangreb, der allerede er blevet gennemført på en lang række private og offentlige virksomheder, herunder et vandforsyningsselskab nær Birmingham, der leverer drikkevand til over 1,7 millioner mennesker og British Library, der er et af verdens største forskningsbiblioteker, og som i marts 2024 endnu ikke havde genetableret almindelig drift efter et angreb mod bibliotekets centrale it-system i oktober 2023.
I Spanien har cyber-kriminelle gennemført stribevis af angreb, og i januar 2024 blev alle it-systemer i kommunen Calviá på Mallorca lukket ned i flere uger efter et angreb.
I Italien er offentlige myndigheder også blevet angrebet, herunder den nationale skatteforvaltning samt kritiske grene af den offentlige infrastruktur som vandværker og transport.
Eksemplerne kunne fortsættes i det uendelige, og en fællesnævner for alle disse cyberangreb er, at de er udført af forskellige, løst sammensatte netværk af cyberkriminelle, der helt elementært går efter penge. Grupperne gennemfører et indbrud, stjæler en masse vigtige filer, låser virksomhedens it-systemer, hvorefter de kræver løsepenge for at levere filerne tilbage og låse systemerne op igen. Det kaldes et ransom-angreb, og det software, som angriberne anvender til at bryde ind, stjæle filer og låse ofrenes it-systemer, kaldes ransomware.
Ny generation af angreb
Indtil for få år siden var ransom-angreb enten meget simple eller meget sofistikerede.
På den ene side var der småfisk, der udnyttede de ladeporte af sikkerhedshuller, der fandtes i de fleste Windows-versioner fra 1995 og ti-femten år frem, og som også fandtes i masser af det software, der kørte på Windows-maskinerne. Alle disse gabende sikkerhedshuller kunne med forholdsvis simple metoder udnyttes til at angribe og låse almindelige private menneskers computere og så kræve 100$ for at låse dem op igen.
På den anden side var der små grupper af meget kompetente it-folk, der udviklede avanceret software til at gennemføre omfattende ransom-angreb mod enkelte store virksomheder eller offentlige organisationer. I disse angreb kunne der være betydelige summer på spil, hvilket også afspejlede de store omkostninger, som angriberne havde til at gennemføre angrebet.
Småfiskenes angreb på almindelige private borgeres og små virksomheders computere kunne være irriterende, men de kunne som regel afværges med forholdsvis simple midler.
Samtidig var de stort anlagte og teknisk sofistikerede ransom-angreb så komplicerede at gennemføre, at det i sig selv satte grænser for, hvor langt disse angreb kunne sprede sig ud i samfundet, så alt i alt var ransom-angreb ikke noget stort og udbredt problem.
I dag ser verden helt anderledes ud.
Ransom-angreb gennemføres nu af løst organiserede netværk af mennesker med meget forskellige kompetencer. De forskellige netværk ledes hver især af en lille kernegruppe, der tegner forretningen. Kernegrupperne har ansvaret for at etablere den nødvendige tekniske infrastruktur i form af servere, kommunikationslinjer, betalingssystemer, hjemmesider på Dark Web, m.v., og de står for udviklingen af den avancerede software, der anvendes til at gennemføre angrebene. Men kernegrupperne gennemfører ikke selv angreb. I stedet indgår de i forskellige former for samarbejde med personer, der hver for sig måske kun har en marginal rolle i det samlede system, men som alligevel kan tjene en del penge ved at løse afgrænsede opgaver i forbindelse med et angreb.
Nogle af de typiske funktioner, der udføres af forskellige medlemmer af et netværk, kan være,
- at have viden om, at en virksomhed ligger inde med data, som det kunne være interessant at stjæle. Det svarer til at have viden om, hvor der står et pengeskab, som det kunne være interessant at brække op.
- at have viden om, hvordan en virksomheds sikkerhedssystemer er sat op, herunder om der findes avancerede backup rutiner, der kan vanskeliggøre et angreb.
- at have viden om, hvordan man lettest kan komme igennem de første forsvarsværker og logge sig ind på virksomhedens netværk f.eks. ved at have kendskab til, hvilken form for anti-virus eller login-system virksomheden anvender.
- at have gennemført et skjult angreb på virksomhedens første forsvarsværker eller på anden måde at have skaffet sig adgang til en konto på netværket, eller med andre ord, at være i besiddelse af et virksomt brugernavn og password, der giver adgang til virksomhedens netværk, og gerne til en konto med vidtgående rettigheder, som f.eks. en systemadministrator.
- at have forretningsmæssig viden om, hvilke data, som virksomheden vil lide størst tab ved at miste, og som det derfor er mest interessant at stjæle.
- at have forretningsmæssig viden om, hvor mange penge virksomheden vil have realistisk mulighed for at betale i løsesum, herunder viden om eventuelle forsikringspolicer, der er tegnet mod ransom-angreb, og hvor store forsikringssummerne er.
- at være godt trænet i at gennemføre det praktiske angreb på de første forsvarsværker i en virksomheds netværk.
- at have forstand på at gennemføre hovedangrebet med at stjæle filer og låse virksomhedens it-systemer med anvendelse af gruppens egenudviklede og avancerede ransomware.
- at have erfaring med at gennemføre forhandlinger med virksomheder om udbetaling af en løsesum efter et gennemført angreb,
og mange flere specialiserede funktioner.
Kernegrupperne søger efter de forskellige kategorier af specialister på samme måde, som almindelige virksomheder søger efter medarbejdere, nemlig ved at annoncere på nettet og ved at sprede budskabet i forskellige fora, hvor de relevante personer kan forventes at færdes.
Rekrutteringen til ransom-angreb via hjemmesider og fora på Dark Web fungerer samtidig som et udstillingsvindue, hvor kernegrupperne reklamerer for deres løsninger og tilbyder dem til interesserede.
Organiseringen af et angreb på en virksomhed kan herefter for eksempel se ud som skitseret her.
- En person henvender sig til kernegruppen med viden om, at en bestemt virksomhed ligger inde med værdifulde og tilgængelige data.
- Kernegruppen benytter sit netværk til at annoncere efter personer, der har, eller som kan skaffe et aktivt login med brugernavn og password til virksomheden eller som har informationer om, hvordan virksomhedens sikkerhedssystem er opbygget.
- Samtidig søger kernegruppen efter personer, der har forretningsmæssig viden om virksomhedens økonomi, forsikringsforhold, m.v.
- Når den nødvendige viden er indsamlet, kan kernegruppen “udbyde” projektet til interesserede personer, der har de nødvendige tekniske kvalifikationer til at planlægge og gennemføre selve angrebet.
- Når angrebet er gennemført, bliver et medlem af netværket sat til at føre forhandlingerne med virksomheden om betaling af løsepenge.
- Hvis virksomheden betaler – som regel i bitcoin – sørger kernegruppens finansafdeling for at hvidvaske pengene, der derefter bliver fordelt til de forskellige medvirkende efter en i forvejen aftalt fordelingsnøgle. Som regel beholder kernegruppen 10-20 pct. af den samlede løsesum.
I de fleste tilfælde har ingen af de medvirkende i et angreb kendskab til, hvem de andre medvirkende i projektet er. Alle opererer med skjult identitet på krypterede internetforbindelser, og i praksis kan de enkelte deltagere i et konkret angreb bo eller opholde sig hvor som helst i verden.
De forskellige “specialister” kan medvirke i projekter for flere kernegrupper, og kernegrupperne er selv en dynamisk størrelse, der ofte går i opløsning, men som efterfølgende kan dukke op igen i en ny sammenhæng og med et nyt navn.
De mange forskellige specialister tjener penge på at stille deres særlige viden og færdigheder til rådighed i forbindelse med gennemførelsen af konkrete angreb, og de er helt afhængige af, at kernegruppen, der modtager løsesummen, lever op til de indgåede aftaler om deling af byttet.
Der er eksempler på, at en kernegruppe efter udbetaling af en stor løsesum har beholdt det hele selv, så deltagelse i disse projekter er i høj grad en tillidssag.
Kernegrupperne gør derfor meget ud af at opretholde et godt omdømme blandt specialisterne. Som Bob Dylan skriver et sted: “To live outside the law you must be honest”.
Det er hele denne forholdsvis nye form for fleksibelt samarbejde mellem mange forskellige og indbyrdes uafhængige aktører om at gennemføre ransom-angreb, der har ført til en voldsom stigning i antallet af angreb.
Samtidig har den mere effektive organisering gjort det muligt at gennemføre større og mere avancerede angreb, og på den måde er der også blevet opnået større løsesummer fra de virksomheder, der er blevet angrebet. Det stigende udbytte har motiveret flere til at deltage i nye angreb, og så ruller snebolden.
Desuden har denne form for økonomisk kriminalitet vist sig at være forholdsvis ufarlig at deltage i for de specialister, der bidrager med den viden – herunder insider-viden – der er en afgørende forudsætning for at kunne tilrettelægge og gennemføre et angreb.
Det er forholdsvis simpelt at skjule sin identitet på nettet ved hjælp af kryptering, og i langt de fleste tilfælde opgiver politiet på forhånd at efterforske ransom-angreb, simpelthen fordi en efterforskning hurtigt drukner i et stort sort hul af falske spor, uigennemskuelige sammenhænge og digitale forsvindingsnumre.
Set i det lys er anholdelserne af de unge mænd i Frankrig i forbindelse med angrebet på France Travail højst usædvanlige, men det franske cyber-politi kan tænkes at have været under et betydeligt pres for at gennemføre anholdelser efter, at den statslige organisation var blevet ydmyget med tab af millioner af persondata for anden gang inden for et år. Men om de gennemførte anholdelser vil føre til en mærkbar opbremsning af cyberangreb i Frankrig er nok tvivlsomt.
Usikkert omfang – Kendte metoder
I 2016 vedtog EU-landene en omfattende lovgivning om beskyttelse af persondata, den såkaldte General Data Protection Regulation, eller GDPR.
Otte år senere ligger mange offentlige organisationer i EU-landene stadig åbne for angreb, og sag efter sag har afsløret en bemærkelsesværdig mangel på elementære sikkerhedsforanstaltninger.
Myndigheder i EU-landene har i de seneste år lækket millioner af persondata efter simple angreb, og resultatet har været bølger af identitetstyverier, der udnytter de lækkede persondata.
Foruden de kendte sager, så findes der utvivlsomt masser af sager, der aldrig kommer til offentlighedens kendskab, fordi de aldrig er blevet opdaget.
I august 2023 oplyste den britiske valgkommission, at organisationen havde mistet persondata for over 40 millioner vælgere. Persondata for alle borgere, der har deltaget i en valghandling i Storbritannien i perioden 2014 til 2022, var blevet lækket efter et cyberangreb. En undersøgelse viste, at angrebet var sket mindst 15 måneder før det blev opdaget. (Storbritannien har en lovgivning svarende til GDPR for at muliggøre dataudveksling mellem EU og UK).
Mange af de ransom-angreb, der gennemføres mod private virksomheder, kommer aldrig til offentlighedens kendskab, fordi virksomhederne ønsker at undgå dårlig omtale. Frem for at blive hængt ud overfor leverandører og kunder – der også kan være blevet eksponeret ved et angreb – vælger mange virksomheder at betale løsesummen og forsøger derefter at holde hele forløbet under radaren. Desuden bliver angreb mod private virksomheder ofte rettet mod produktionssystemer frem for administrative systemer, og det har medvirket til at flere virksomheder betaler løsesummen for at få produktionen bragt tilbage til almindelig drift. Afbrydelse af produktionen på en stor byggeplads, i et transportfirma, på en fabrik eller på et slagteri medfører omgående store økonomiske tab, og standsning af produktionen har næsten altid omfattende afledte konsekvenser for mange andre virksomheder i værdikæden.
Hele situationen med skjulte angreb, der enten aldrig eller først meget sent bliver opdaget, samt angreb, der kører under radaren, fordi virksomhederne betaler løsesummerne uden at fortælle nogen om det, medvirker til, at landskabet omkring cyberangreb er indhyllet i tæt tåge.
Myndigheder og private konsulenthuse, der gennemfører analyser af ransom-angreb, har derfor stærkt varierende vurderinger af, hvor mange angreb, der bliver gennemført, og hvor mange af ofrene, der vælger at betale, og hvor store løsesummer, der bliver betalt.
I mange tilfælde kommer oplysningerne om angreb direkte fra angriberne, der hænger virksomheder ud på nettet, hvis de ikke vil betale, eller som praler med de store løsesummer, som de har fået udbetalt fra virksomheder, der ellers påstår, at de ikke har betalt en løsesum.
IBM har i en rapport fra 2023 vurderet, at ransom-angreb på globalt plan koster virksomheder omkring 30 milliarder $ om året, men heri indgår omkostningerne til at rydde op efter angreb og genetablere normal drift.
FBI har i en rapport om omfanget af cyberkriminalitet i USA i 2023 vurderet, at amerikanske virksomheder kun betalte i alt omkring 60 millioner $ i løsepenge efter ransom-angreb. Det er mange penge – ca. 415 millioner kr. Men det er kun en brøkdel af de beløb i milliard $-klassen, der rapporteres fra konsulenthuse og sikkerhedsfirmaer, der arbejder for virksomheder, der har været ramt af ransom-angreb.
Måske siger disse meget store forskelle både med hensyn til omfanget af ransom-angreb og i vurderingen af udbetalingerne af løsepenge noget om, hvor mange angreb, der aldrig bliver rapporteret til hverken politiet eller offentligheden, og som derfor ikke indgår i FBI’s og andre myndigheders opgørelser.
Manglende overblik
Den usikkerhed, der knytter sig til omfanget af angreb, modsvares af en solid viden om, hvordan angreb bliver gennemført, og hvorfor de kan gennemføres.
Langt de fleste angreb udføres ved at stjæle et brugernavn og password til en eksisterende konto på virksomhedens netværk, og herfra kan angrebet spredes ud til hele organisationen, fordi it-installationerne i de fleste virksomheder og i offentlige organisationer er dårligt beskyttede.
Mange store virksomheder har i de senere år øget investeringerne i udviklingen af it-sikkerhed og har suppleret den daglige ledelse og bestyrelsen med personer, der har kompetence inden for it-sikkerhed.
For disse virksomheder kan det komme som en stor overraskelse pludselig at blive offer for et omfattende ransom-angreb, der kan lamme hele virksomhedens administration eller medføre kostbare afbrydelser i produktionen.
Efterfølgende har analyser af nogle af de store ransom-angreb vist, at virksomhedernes it-sikkerhed har været en papirtiger, hvor det hele har set rigtigt ud i de skriftlige sikkerhedsmanualer, hvor organisationsdiagrammerne for alle sikkerhedskommiteerne har hængt pænt sammen, og hvor referaterne fra bestyrelsesmøderne har dokumenteret en vedvarende opmærksomhed over for it-sikkerheden i virksomheden, men hvor den praktiske virkelighed i de daglige arbejdsrutiner i organisationen ikke er fulgt med.
Situationen kan sammenlignes med de åbenlyse vanskeligheder, der ofte er forbundet med at gennemføre modernisering og fornyelser af it-installationerne i store virksomheder. Det hele kan være planlagt i detaljer, der kan være brugt formuer på forudgående analyser og brugeruddannelse, projektledelsens diagrammer fylder tavlerne i store “war rooms”, og når man endelig når frem til at trykke på knappen, bryder helvede løs, og hele organisationen kan herefter i årevis befinde sig i dette helvede uden, at det nogensinde kommer til at stå klart, hvad der gik galt.
Den nøgne og skræmmende sandhed er formentlig, at kompleksiteten i de fleste store virksomheders it-installationer har nået et punkt, hvor ingen længere har noget overblik over helheden, og hvor der kun findes en begrænset forståelse af, hvordan alle enkeltdelene hænger sammen, og hvordan de påvirker hinanden.
Uoverskuelige rettigheder
En analyse fra 2020 af sikkerheden i 58 store virksomheder i Frankrig, USA, England og Tyskland, viste, at tusinder af vigtige dokumenter og følsomme data var tilgængelige for alle ansatte på virksomhedernes netværk. I gennemsnit havde de ansatte adgang til 10.8 millioner optegnelser i form af dokumenter, regneark og databaser. Blandt de mindre virksomheder med mellem 500 og 1500 ansatte havde de ansatte i gennemsnit adgang til over en halv million filer, som de havde rettigheder til at læse, kopiere, flytte eller ændre. 20 pct. af disse filer indeholdt følsomme data om ansatte eller kunder.
Denne vidtstrakte adgang til data med følsomme virksomhedsoplysninger er i sig selv et problem, men et langt større problem er, at ingen i disse organisationer har taget stilling til eller har nogen realistisk mulighed for at kontrollere, hvem der har adgang til hvad.
Den vidtstrakte adgang til alverdens filer fra enhver computer på virksomhedens netværk er et resultat af mange års gradvis omstilling til et mere dynamisk arbejdsmiljø præget af løst sammensatte arbejdsgrupper, tværgående projekter og konstante organisationsændringer.
Under disse vilkår er der opstået et behov for en mere fleksibel deling af dokumenter og andre data på tværs af organisationen, og ofte med inddragelse af kunder, leverandører og andre samarbejdspartnere.
De gamle it-folk, der måtte have overlevet i et hjørne af en it-afdeling, og som havde forstand på “datadisciplin”, har under disse organisatoriske vilkår ikke haft nogen indflydelse.
Tværtimod er den dynamiske deling af viden og data på tværs af organisationen blevet set som et fremskridt, der medvirkede til vækst og kreativitet, og udviklingen blev afspejlet i nye versioner af det mest udbredte virksomhedssoftware som Microsoft Office 365 og Salesforce.
I disse systemer bliver brugerne direkte opfordret til at dele alverdens dokumenter og data med hinanden, og resultatet er blevet, at mange virksomheder i dag hverken har indsigt i eller kontrol over, hvem der deler hvad med hvem, og derfor heller ikke ved hvem, der har adgang til hvilke data.
Under disse vilkår vokser kompleksiteten i virksomhedernes datasikkerhed eksponentielt, og for mange virksomheder er de hårde kendsgerninger, at der ikke er så meget, man kan gøre ved det.
Strukturelle udfordringer
En stort anlagt analyse fra 2022, der omfattede i alt 10 milliarder fortegnelser eller såkaldte “objekter”, med et samlet omfang på 15 millioner gigabyte fordelt på 717 store virksomheder i USA og Europa viste, hvordan dynamisk deling af dokumenter og data medfører uoverskuelige sikkerhedsudfordringer for alle de medvirkende virksomheder.
Den gennemsnitlige virksomhed havde som følge af dynamisk, brugerstyret deling millioner af unikke rettigheder registreret i forskellige systemer samt tusinder af delinger i Microsoft Office 365, der eksponerede de delte dokumenter og data for alle brugere i organisationen.
Fordi brugerne i mange tilfælde har vanskeligt ved at gennemskue, hvem de kommer til at dele med, når de benytter “share” knapperne, havde den gennemsnitlige organisation 157.000 filer eksponeret mod internettet, og disse data var dermed tilgængelige for alle og enhver, også uden for organisationen.
Generelt havde alle brugere på virksomhedens netværk direkte adgang til over 10 pct. af virksomhedens data, og virksomhederne havde herudover i gennemsnit 33 brugerkonti med super-admin rettigheder med adgang til alt.
Mere end halvdelen af disse super-admin konti var kun beskyttet af simple brugernavne og passwords.
Virksomhederne, der medvirkede i undersøgelsen, repræsenterer store virksomheder på tværs af brancher, og de havde alle et aktivt og veludviklet it-sikkerhedsprogram. Men hvis nogle af disse virksomheder efter at have set resultatet af undersøgelsen skulle have fået lyst til at stramme op på sikkerheden – og at bringe de faktiske forhold i virksomheden på linje med den officielle sikkerhedspolitik – så ville de komme til at stå overfor en nærmest umulig opgave.
Undersøgelsen fokuserer i den sammenhæng på blot ét af de åbenlyse problemer, nemlig den brugerstyrede deling af foldere i Microsoft 365.
Her viste analysen, at den typiske organisation havde 97.638 delte foldere eksponeret mod alle brugere i organisationen, det vil sige, som alle havde mulighed for at tilgå.
Det har aldrig været hensigten, men det er bare blevet sådan med tiden, i mange tilfælde fordi brugerne ikke kan gennemskue, hvordan delingen sker i Microsoft Office 365.
I analysen har man forsøgt at beregne hvor lang tid det typisk vil tage at rydde op i rettighederne til folderne, det vil sige, først at slette alle rettigheder og derefter tildele rettigheder til de brugere, der rent faktisk har brug for at have adgang til de pågældende filer og data.
Beregningen viser, at det typisk vil tage 6.000 timers manuelt arbejde at rydde op i 1.000 foldere. Et årsværk er rundt regnet 2.000 timer, så det er tre årsværk for 1.000 foldere. For det gennemsnitlige antal af delte foldere i virksomhederne – nemlig knap 100.000 – bliver det derfor rundt regnet lig med en indsats på 300 årsværk at få ryddet op. For hver virksomhed. Og det er kun for de delte foldere i Microsoft Office 365. Dertil kommer millioner af uigennemskuelige delinger og parametre i Salesforce, and what have you. I gennemsnit havde hver af de undersøgte organisationer over 40 millioner unikke brugertilladelser svævede rundt i netværket.
Det er disse grundlæggende og strukturelle vilkår for virksomhedernes anvendelse af it-systemer, der gør det uhyre vanskeligt at realisere selv nok så gennemarbejdede og velfinansierede sikkerhedsprojekter.
It-sikkerhedsorganisationen kan have verdens bedste sikkerhedspolitik, der er nedskrevet og understøttet af workshops og faste komiteer og med repræsentation i direktionen og med kompetente folk i bestyrelsen, og hele dette sikkerhedsarbejde er utvivlsomt vigtigt. Men i praksis vil sikkerhedsorganisationen end ikke formå blot at få ryddet op i rettighederne til de delte foldere i Microsoft Office 365. (Og det er langt fra det største sikkerhedsproblem, som man står overfor).
Overfor disse faktiske forhold i jernindustrien er det forståeligt, hvis nogen skulle forfalde til defaitisme og lade fem og syv være lige, fordi det hele alligevel er gået op i hat og briller.
Men det ville være forkert. Der er meget, der kan gøres, og det starter selvfølgelig med at se dyret i øjnene.
Herefter vil de fleste kunne blive enige om, at der er behov for at tage skeen i den anden hånd, selvom det er bøvlet, og det første skridt på den rejse vil for langt de fleste virksomheder være at skifte stormkrogen til virksomhedens netværk ud med en almindelig hængelås.
Brugernavn og password er ikke nok
Næsten alle ransom-angreb starter med – og står og falder med – at få adgang til virksomhedens netværk.
Når man først er inde, så betyder de kaotiske sikkerhedsforhold på netværket, at det er alt for let for kompetente it-folk – som hackerne er – at komme rundt og finde de data, som man gerne vil stjæle, at få dem kopieret og få dem sendt ud af netværket til sine egne servere, hvorefter man kan fryse hele it-installationen ned med ransomware.
Men hvis man ikke kan komme ind på netværket, er der ikke så meget ransom-folket kan stille op, og det er derfor de betaler gode penge for virksomme login-oplysninger.
Der er også derfor, at nogle af de tilknyttede grupper har specialiseret sig i denne del af angrebet, og som har forfinet kunsten at lokke passwords ud af intetanende brugere på netværket.
Det sker under fancy betegnelser som phishing eller ligefrem spear phishing, og det består helt enkelt i at være god til narre folk.
Det kan ske i telefonen eller ved at få en bruger til at klikke på et link i en mail, hvor linket fører til en password-fælde, der ligner noget velkendt, som brugeren så forsøger at logge ind på. Og haps, så bliver brugernavn og password snuppet, uden at brugeren aner uråd.
Såkaldt “social engineering“, hvor man på en eller anden måde lokker en bruger til at oplyse brugernavn og password, er en yndet og udbredt sport, der står for den overvejende del af kompromitterede brugerkonti til virksomhedernes netværk. Europol har i den forbindelse advaret om, at ChatGPT og lignende systemer vil kunne bruges til at gøre social engineering langt mere overbevisende, end det allerede er, og at hele processen vil kunne automatiseres med AI, og dermed øges i enormt omfang.
Adgangen til login-oplysninger i form af brugernavn og password er dér, hvor det hele starter, og hvis virksomheder og offentlige organisationer af enhver art indførte en mere sikker login-procedure, ville det meste ransom-uvæsen og andre former for cyberangreb blive stoppet.
Med forskellige former for flertrins login kan man sikre, at udenforstående ikke længere kan skaffe sig adgang til et netværk alene med et brugernavn og et password. For at kunne logge ind skal man også have en tredje ting, der i de fleste tilfælde er en password-beskyttet app på en telefon, hvor der genereres en sikkerhedskode, som skal indtastes, efter at man har tastet brugernavn og password. Uden denne ekstra kode, der er individuel for hver bruger, og som skifter hvert minut, bliver man ikke lukket ind på netværket.
Ifølge Jen Easterly, der er direktør for USA’s centrale cyber-sikkerhedstjeneste, CISA, vil denne form for ekstra sikkerhed omkring login på netværket stoppe 99 pct. af alle angreb.
Metoden kaldes MFA – Multi Factor Authentication – og det tilbydes allerede til private brugere på Amazon, Google, WordPress og mange andre steder.
Hvis det skal virke i en virksomhed, skal det indføres uden nogen som helst mulighed for undtagelser, og det skal bruges ved ethvert login på virksomhedens netværk, d.v.s. potentielt mange gange om dagen, og det er besværligt.
Men det er nødvendigt.
GDPR har vist sig at være tandløs
I Danmark vakte det opsigt, da en af landets store ejendomsmæglere, EDC, i november 2023 blev ramt af et ransom-angreb, der førte til læk af generelle persondata for over 700.000 mennesker samt tusinder af kopier af kundernes pas, kørekort og sundhedskort. Over 100.000 kunder fik også lækket CPR-numre og andre kritiske persondata, der var indeholdt i det materiale, der blev stjålet ved ransom-angrebet.
Lækket anses for at være det hidtil største i Danmark.
Alle disse persondata lå frit fremme på virksomhedens netværk blandt billeder fra firmafester og meget andet godt. Det krævede derfor blot adgang til EDC’s netværk med et almindeligt bruger-login for en menig medarbejder, før hackere havde adgang til de over 2.000 gigabyte data med kundernes persondata.
EDC – der står for Ejendomsmæglernes Data Centrum – er ikke amatører, og virksomheden har over 50 års erfaring med at udvikle og producere professionelle it-løsninger.
Det har været en indbringende forretning, og EDC samt det holdingselskab, der ejer EDC, har ifølge officielle regnskabsoplysninger opbygget en formue på flere hundrede millioner kroner, samtidig med at ejerne er blevet velhavende.
Virksomheden har i breve til kunderne og i udtalelser til pressen forklaret, at lækket skyldes en menneskelig fejl. Det har virksomheden beklaget, og man ønsker samtidig alle de berørte kunder held og lykke med konsekvenserne af lækket, der nu kan danne grundlag for titusinder af identitetstyverier.
Sagen er overdraget til Datatilsynet, der efter endt behandling vil tage stilling til, om der skal ske anmeldelse til politiet med krav om en bøde, hvorefter det hele vil blive afgjort ved en domstol.
Sagsbehandlingen og den efterfølgende retssag – hvis der bliver en – kan på baggrund af tidligere forløb forventes at vare i årevis.
Sagen illustrerer hvor tandløs GDPR-lovgivningen er.
Når ejerne af EDC skal vurdere, om de vil betale en løsesum for at forhindre, at personoplysninger for flere hundrede tusinde kunder bliver lækket på internettet, så indgår det formentlig i kalkulen, hvor meget virksomheden i givet fald ville skulle betale i bøde, hvis disse persondata blev lækket. Her siger al erfaring fra tidligere sager, at bøden kan forventes kun at udgøre en brøkdel af den løsesum, som virksomheden skulle betale for at forhindre en offentliggørelse af kundernes persondata.
Ud fra en økonomisk betragtning er det derfor efter al sandsynlighed langt billigere for EDC’s ejere at tage bøden end at betale hackerne for ikke at offentliggøre de lækkede persondata.
Muligvis er det denne økonomiske kalkule, der har ligget til grund for virksomhedsejernes beslutning om ikke at forsøge at forhindre offentliggørelse af kundernes persondata. Et sådant forsøg ville koste en løsesum, der kunne være langt større end en bøde, der måske – måske ikke – falder om fem, seks år.
Omvendt kunne man have forventet, at EDC’s ejere ville have forsøgt at betale løsesummen for at få deres data retur, og derpå at få lukket hele sagen ned i stilhed, hvis dét alternativ havde set ud til at være klart billigere end den bøde, der ellers ville kunne forventes at falde.
EDC’s ejere ville ikke være alene om at lægge den type økonomiske kalkuler til grund for deres beslutninger, hvis det er, hvad der er sket. Det samme kunne man forvente fra de fleste virksomheder, hvor der nu engang er et stift fokus på bundlinjen, og det er formentlig også derfor, at der udtrykkeligt i GDPR-lovgivningen står, at bøderne skal være så tilpas store, at de har “afskrækkende” virkning.
Men i praksis har bøderne for brud på GDPR været minimale, og de har derfor været alt andet end afskrækkende. Bødestørrelserne har ikke engang været motiverende for at investere i hverken sikkerhed eller omdømme, fordi der går flere år, før der falder en afgørelse efter et brud på datasikkerheden.
Derfor ser vi fortsat omfattende sløseri med persondata, og som konsekvens får vi de efterfølgende bølger af identitetstyverier, der kan have alvorlige konsekvenser for de mennesker, der bliver ramt.
Sløseriet med persondata er fuldstændig gratis, hvis virksomheden, som det ser ud til at være sket i dette tilfælde, værdisætter hensynet til kunderne til nul.
I USA er der faldet bøder på millioner af dollars for den slags tab af persondata, og desuden tilbyder mange virksomheder, der mister store mængder persondata ved ransom-angreb, at afholde omkostningerne til at tegne forsikringer mod identitetstyveri for alle berørte kunder.
I den hjemlige sag har EDC’s kunder fået en sang fra de varme lande og et pøj, pøj.
Set i sammenhæng med, at EDC er en top-professionel it-virksomhed, hvor dataforvaltning kan siges at være en kernekompetence, så sætter EDC hermed en meget lav bar for, hvordan tab af persondata håndteres i Danmark, og det vil utvivlsomt have en afsmittende effekt på, hvordan andre virksomheder, der ikke har de samme dybe it-kompetencer som EDC, vælger at forholde sig til lignende sager, ud fra devisen, at hvis det er den standard, som de bedste i klassen lægger for dagen, så kan vi også gøre det samme.
EDC har fra starten forsøgt at få hele sagen til at handle om alt andet end EDC’s sløseri med data. I stedet er EDC gået ud med en historie om, at “hårdkogte kriminelle” fra Rusland, der støtter krigen mod Ukraine, har angrebet en sagesløs dansk virksomhed som EDC, og har forsøgt at presse dem til at betale millioner, der skulle bruges til at finansiere Ruslands krigsmaskine, men at EDC stålsat har sagt nej til dette forsøg på afpresning. I et interview på DR sagde virksomhedens talsmand: “Det er så vidt vi ved en russisk gruppe, der medfinansierer krigsaktiviteter. Det vil vi ikke støtte op om, og det tænker vi heller ikke, vores kunder vil”.
Det centrale i denne udtalelse er “så vidt vi ved”.
I virkeligheden kan hackerne lige så godt være fra Odense eller Barcelona eller bo i en bjerglandsby i Ardéch, men ved at fremstille det, som EDC gør, får man behændigt insinueret, at kritik af EDC’s håndtering af sagen er det samme som at udtrykke støtte til Ruslands krig mod Ukraine, hvilket p.t. rangerer som det mest foragtelige kætteri, man kan gøre sig skyldig i.
Det spørgsmål, som EDC ikke har svaret på, er, hvorfor virksomheden mon blev hacket?
Hacker-grupper opererer ikke ved at bryde ind i virksomheder på må og få for at se sig om på netværket efter et eller andet at stjæle. De forsøger at bryde ind i virksomheder, hvor de med ret stor sikkerhed ved, at der er noget at komme efter, og at det er til at få fat på.
Det er derfor næppe sådan, at en hackergruppe ved et tilfælde er brudt ind hos EDC, og pludselig er faldet over 2.000 gigabyte frit tilgængelige og læsbare data med personoplysninger, kopier af pas, kørekort, cpr-numre, navne og adresser, mailadresser og telefonnumre og meget andet godt om tusinder og atter tusinder af EDC’s kunder.
Det er langt snarere sådan, at indbruddet hos EDC er sket med det enkle formål, at stjæle netop disse data, som lå frit fremme på netværket.
Eller sagt på en anden måde, hvis EDC havde passet ordentligt på sine kundedata, så var virksomheden nok ikke blevet hacket, for så ville der ikke have været noget at komme efter.
Og så ville titusinder af EDC’s kunder ikke nu og i flere år fremover befinde sig i konstant fare for at blive udsat for identitetstyveri.
HENVISNINGER OG BAGGRUND: 14-04-2024
Pejlinger 