Slik stoppes de fleste dataangrepene

Ti tiltak stopper nesten 100 prosent, med noen forbehold. Tiltakene er kosteffektive og innebærer primært det å konfigurere operativsystemet og applikasjonene på en smartere og sikrere måte, uten at sluttbruker får redusert funksjonalitet.

Vi leser stadig om vellykkede it-angrep mot offentlige og private virksomheter. Oftest er det brukerne som lures ved at:

1. de besøker infiserte websider eller
2. mottar infiserte e-postvedlegg eller
3. infiserte minnepinner. Faktum er at de fleste av disse angrepene er relativt enkle å stoppe, teknisk sett.

NSM har i flere tiår utviklet tekniske sikkerhetstiltak for beskyttelse av nasjonens graderte systemer. Ut i fra denne erfaringen ser vi at man lett kan stanse de mest vanlige skadevareangrepene (ca 80-90 prosent) med fire tekniske tiltak. Målinger viser at disse tiltakene stopper langt flere angrep enn de mer populære sikkerhetstiltakene antivirus og brannmur. De fire tiltakene er:

1. Oppgrader programvaren. Nyere applikasjoner og operativsystemer har gjerne flere og bedre sikkerhetsfunksjoner enn det som er i eldre utgaver. Eksempelvis bør over ti år gammel programvare som Windows XP byttes ut snarest.
2. Vær rask med å installere sikkerhetsoppdateringer. Selv de beste produkter inneholder programmeringsfeil og sårbarheter som kan utnyttes av angripere. Virksomheten bør derfor etablere et sentralt styrt regime for sikkerhetsoppdatering av alle komponenter i systemet. Start gjerne med oppdateringene på sluttbrukernes datamaskiner. Disse blir lettere og oftere angrepet.
3. Ikke tildel sluttbrukere administrator-rettigheter. Det er helt unødvendig å la brukerne (og angriperne) ha skriverettigheter til systemområder på brukerens datamaskin. Administratorrettigheter er ikke nødvendig for å utføre ordinært kontorarbeid.
4. Blokkèr kjøring av ikke-autoriserte programmer. Dette går ut på å ha en «hvite-liste» av programmer som virksomheten har godkjent. Disse skal få lov å kjøre, mens ukjente programmer på minnepinner eller fra e-postvedlegg ikke kan kjøres av systemet. I sin enkleste form kan det innebære å liste opp de 2-3 fil-mapper som inneholder gyldig programvare.

Etter gjennomføringen av disse fire tiltakene kan ikke brukeren (og heller ikke angriperen) installere eller kjøre programmer som er ukjent for virksomheten, enten de er på minnepinner, fra tvilsomme e-postvedlegg, eller fra infiserte websider. Brukeren kan likevel fortsatt bruke minnepinner til datatransport (.doc, .ppt, .pdf mm.). Ordinære epostvedlegg vil også fremdeles gå fint.

NSM vil gjerne at norske virksomheter sikrer seg enda mer. Vi har derfor en liste med ti råd, dvs. ytterligere seks råd. De fleste av disse rådene innebærer ikke ny-innkjøp, men å «skru» operativsystemet og applikasjonene slik at angriperen ikke får særlig spillerom, uten at brukeren mister funksjonalitet. NSM har ikke observert internettrelatert dataangrep med skadevare som vil klare å passere summen av alle disse ti tiltakene. Ingen metode er helt vanntett, men i forhold til innsats gir disse sikkerhetstiltakene veldig bra beskyttelse.

Merk også at de ti tiltakene ikke gir 100 prosent sikkerhet mot alle typer angrep, som for eksempel tapping av brukerkommunikasjon over internett, tjenestenektangrep, eller angrep fra avanserte statlige aktører og angrep der angriperen har hatt fysisk tilgang til utstyret. Tiltakene forhindrer heller ikke at lettlurte brukere oppgir sensitive opplysninger på nett.

Nærmere beskrivelse av disse tiltakene finnes ved å gå til www.nsm.stat.no og søke på dokumentene «S-01», «S-02» og «U-01».

John Bothner, Nasjonal sikkerhetsmyndighet.