Vi er dårlig beskyttet mot de vanligste dataangrepene

HØY ANDEL: Av angrepene mot web-applikasjoner står injeksjonsangrep for cirka 60 prosent, ifølge NTT Com Securitys nye sikkerhetsrapport. (Illustrasjonsfoto: Istock)

Vi er dårlig beskyttet mot de vanligste dataangrepene

Angrep mot webtjenester er den vanligste trusselen på Internett i Norge.

Av alle angrep observert av NTT Com Security i 2014 var hvert femte rettet mot web-applikasjoner. 

De fleste av disse angrepene er injeksjonsbaserte, hvor målet er å hente ut kundedata og forretningsinformasjon – angrep nett-tjenester fortsatt er dårlig sikret mot. Dette melder NTT Com i en pressemelding. 

60 prosent

Av angrepene mot web-applikasjoner står injeksjonsangrep for cirka 60 prosent, ifølge NTT Com Securitys nye sikkerhetsrapport.  Konsekvensen av et vellykket injeksjonsangrep er tap av kundedata og annen forretningsinformasjon.

Informasjonen kommer frem i NTT Com Securitys Global Threat Intelligence Report for 2015, som baserer seg på analyser av seks milliarder angrep mot kunder av NTT Group Security-selskaper i 2014. Dataene er rapportert inn fra 16 sikkerhetssentre og syv forskningssentre verden over. De norske dataene baserer seg i hovedsak på hendelser registrert ved selskapets Security Operations Center i Arendal.

Populært mål

–Norske virksomheter flytter stadig mer av sin forretning over på Internett og det er da naturlig at flere angrep rettes mot den delen av infrastrukturen.  Injeksjonsbaserte sikkerhetshull har vært øverst på listen over de mest alvorlige web-sårbarhetene i 10-12 år. Det overrasker meg derfor ikke at web-løsninger er et populært mål for angripere, sier Tore Terjesen, direktør for Security Labs i NTT Com Security i Norden, i meldingen.

NTT Com Securitys penetrasjonstestere, som har som jobb å sjekke om virksomheters systemer lar seg utnytte, bekrefter også at de ofte finner injeksjonsbaserte sårbarheter.

Dårlig kunnskap

– Jeg vil tro det er flere årsaker til at dette fortsatt er et problem. Noe skyldes lite kunnskap blant de som bestiller løsningene. I anbudene stilles det selvfølgelig krav til funksjonalitet, men alt for lite på sikkerhet. Dermed nedprioriteres sikkerhet av leverandørene i anbudsbesvarelsene, siden en for høy pris kan medføre tap av kontrakten, sier Terjesen i meldingen. 

Han mener det andre problemet er for dårlig kunnskap om dette blant de som programmerer løsningene, og at gjenbruk av gammel programkode introduserer de samme svakhetene om og om igjen.

-– Det koker ned til sikkerhetsbransjens gamle mantra om at sikkerhetsbevisstheten må økes for å skape en bedring, både hos beslutningstakere, men også hos dem som utvikler programvaren, mener Terjesen. 

Sikkerhet