Hacking avslører svakheter i IT-sikkerheten

Jan Petter Torgersrud den 6. februar 2017

En demonstrasjon av IoT - Internet of Things.

En IT-leverandør som tar IT-sikkerheten på alvor benytter samme fremgangsmåte som hackerne for å avdekke sårbarheter og sikkerhetshull og sikre verdiene i bedriften din.

IT-miljøene i norske virksomheter er i kontinuerlig endring. Maskinvare og programvare legges til, oppgraderes og endres fortløpende. Det oppstår stadig nye sikkerhetshull, og derfor må virksomhetene foreta jevnlige helsesjekker, sårbarhetsanalyser eller penetrasjonstester for å ivareta den digitale sikkerheten.

I en penetrasjonstest, eller PEN-test, leter spesialistene seg frem til første mulige inngang til virksomhetens systemer. Metoden er den samme som hackere vil benytte for å skaffe seg tilgang til systemer og informasjon.

Denne testen avdekker hvilke forretningsprosesser og data som er usikret, og den vil gi viktig informasjon om hvor sårbar virksomheten er for ondsinnede angrep. Da får du en pekepinn på hvor utsatt bedriftens verdier og informasjon er for å havne på feile hender.   

Store konsekvenser

Denne metoden påviser mange sikkerhetshull, og konsekvensene av digitale innbrudd er store:

  • Bilforhandlere kan risikere at noen bestiller og får levert en helt ny bil gratis.
  • Et kraftselskap kan risikere at noen slår ut strømmen i en hel by.
  • Et sykehus kan oppleve at medisinsk utstyr blir ødelagt.
  • Minibanker kan tømmes.

Den digitale sårbarheten i samfunnet er omfattende, og den blir større etter som stadig flere enheter kobles til nettet (ref: sikkerhet relatert til Internet of Things). Konkrete eksempler er adgangskontrollsystemer, produksjonsutstyr og husholdningsapparater. 

Nye utfordringer for kraftbransjen

Kraftbransjen står foran en omfattende digitalisering av strømforsyningen, med utrulling av «smarte strømmålere» (AMS) til alle norske hjem. Innen 2019 skal alle strømkunder motta målere som foruten automatisk avlesing av strømforbruket, også kan benyttes til å styre strømbruken i boligen. Dette skaper også sikkerhetsutfordringer, da det er fare for at datakriminelle hacker seg inn i disse målerne gjennom usikrede innganger. 

Her settes det ut tusenvis av enheter som hver og en utgjør en potensiell inngang. Dersom kraftprodusentenes produksjons- og driftsnett er koblet sammen, kan hackere stjele strøm, overvåke når folk reiser bort på ferie eller kutte strømmen til en hel by. Internt i kraftselskapet kan de forstyrre produksjonsanlegg, stoppe strømproduksjon eller åpne damanlegg og skape store ødeleggelser. 

Bransjen er klar over sikkerhetsutfordringene, og flere aktører tar grep for å få bukt med dette samtidig som målerne rulles ut og det smarte strømnettet etableres.

Gamle farer

Andre sikkerhetsutfordringer er knyttet til gamle enheter som står koblet på nettet. En kopimaskin eller en røntgenmaskin på sykehuset kan ha stått koblet til nett i årevis uten at det tas grep for å sikre adgangen mot ondsinnede angrep. Operativsystemet Microsoft XP blir ikke lenger supportert eller tettet for sikkerhetshull, men brukes fortsatt i enkelte minibanker.

Hvis du er usikker på om dine systemer er sikre nok til å holde uvedkommende ute, vil det være en trygg investering å samarbeide med en spesialist om å gjennomføre penetrasjonstester for å avdekke eventuelle sikkerhetshull og tette dem.  Ønsker du å høre mer om dette? Ta kontakt med oss for høre hvordan vi kan hjelpe.

Penetrasjonstest:

  • Kontrollert innbrudd for å få tilgang til data
  • Sjekker kun dører til man finner den første som er åpen
  • Kompromitterer systemer for å øke tilgangen, ikke for å kompromittere systemet
  • Kan skape store driftsforstyrrelser
  • Kan benytte seg av «skitne triks» (sosial manipulasjon, USB drop, keyloggers)
  • Krever større grad av kompetanse

Sårbarhetsanalyse:

  • Kartlegge eksponering/finne sårbarheter (inkl. Internet of Things-relaterte sårbarheter)
  • Sjekke at alle potensielle innganger er «låst»
  • Lite forstyrrende for driften
  • Lavthengende frukter
  • Avdekker sjeldent følgefeil
  • Bør utføres hvert kvartal eller oftere
  • Bredt utvalg av verktøy
  • Lett å automatisere

Tags: Sikkerhet

Kontakt oss: Ønsker du å ta en prat med oss?