- Hack deg selv!

Målrettede angrep, mot bedriftsledere og medarbeidere i nøkkelstillinger er en stadig økende trussel, både i Norge og ellers rundt om i verden.

John Arild Johansen, sikkerhetssjef i Buypass, mener norske virksomheter er dårlige til å møte truslene, på tross av at de er klare over utfordringene.

Det svakeste leddet

- Det som er interessant er at norske virksomheter holder investeringene på samme nivå som før, samtidig som truslene øker. Det liker jeg dårlig, sier Johansen.

Han oppfordrer norske virksomheter til å ikke glemme hvor lett det kan være å komme seg på innsiden av bedriftens it-systemer ved å angripe endepunktet, nemlig brukeren.

Klassiske eksempler som målrettet fiskepost, riktignok av den profesjonelle typen og ikke Google-translate varianten, kan lett gli igjennom både it-sikkerhets- og menneskelige filtre.

- Du får en epost som du tror er fra noen du kjenner. Så er det en lenke du klikker på som kobler deg opp mot en C&C [Command & Control] server som da kan ligge og sniffe på deg. Det er trussel nummer én, mener Johansen.

Når man i tillegg lemper lett-tilgjengelige og offentlige kilder til informasjon som sosiale meidier og den store mobilitetstrenden på toppen, er det god grunn til å ikke glemme å investere i sikkerhetstiltak og forebygging.

- Alt henger sammen, og ingenting er enkelt lenger. Det er mye man er nødt til å følge med på. Vi som har jobbet i bransjen noen år sier jo at det må smelle før det skjer noe, påpeker Johansen.

Hack deg selv!

Johansen er tilhenger av proaktive tiltak for it-sikkerhet. Blant det han brenner for er «hack deg selv», at virksomhetene foretar penetrasjonstester og utfordrer it-sikkerheten på andre måter i egne rekker og på egne systemer.

- En teori er jo at hackere er en guttegjeng som skyter litt fra hoften. Men de beste er veldig proffe, og bruker mesteparten av tiden på informasjonsinnhenting. De finner teknisk informasjon og nøkkelpersoner, og bruker lang tid på å kartlegge og finne svakheter, forteller Johansen.

Slike sikkerhetstester kan ta utgangspunkt i teknologisk sikkerhet eller i «menneskefaktoren», og kan bidra til å skape en sikkerhetskultur som igjen kan øke nivået i bedriften. Forutsetningen er selvsagt at selvhackingen er trygt forankret i ledelsen. Slike tester koster tross alt noen kroner, og ledelsen må være klar over hva som foregår. Spesielt dersom virksomheten ønsker å teste ut den menneskelige faktoren.

- Da er du proaktiv, og avhengig av utfallet, kan resultatene for eksempel brukes i markedsføring. Man kan også bruke resultatene internt for å øke bevissthet rundt sikkerhet, mener Johansen.

Men det er også en mulighet for at medarbeiderne kan føle at sikkerhetstesten har vært intrisuv, og det kan skape litt uro i organisasjonen. Ett av de beste verktøyene i en svarthatts verktøykasse er tross alt de ansatte selv, som kan bli manipulert til å gi fra seg informasjon om systemer og brukere, eller i verste fall bli lurt til å gi fra seg detaljer som tilgangsinformasjon, eksempelvis brukernavn og passord. Og det å bli fersket i å dele slik informasjon, når man tross alt burde vite bedre, kan være veldig flaut.

En slik test være gunstig, så lenge det utføres på en ikke-intrusiv og riktig måte, for resultatet er oftest høyere bevissthet rundt sikkerhet.

- Det er viktig å finne ut av hvordan man kan få folk til å oppføre seg bra, og ikke dele ut informasjon, påpeker Johansen.

Når sikkerhetstesten er over, er det også viktig at man står klar til å tolka og anvende resultatene på en fornuftig måte. Det vil også koste noen kroner, men kan betale seg på flere måter for den som er villig til å ta steget.

- Ligger du på høyere sikkerhetsnivå enn andre i samme bransje, så vil svarthattene gå videre til neste. Et upatchet system ute på nett antyder dessuten at det kan være det samme internt. De er jo proffe, og det er ikke tilfeldig. Angrep er arbeid som tar lang tid, og gjøres nøysomt, avslutter Johansen.