10 MÅDER hvorpå it-afdelingen muliggør cyberkriminalitet

Transkript

1 Whitepaper 10 MÅDER hvorpå it-afdelingen muliggør cyberkriminalitet Be Ready for What s Next.

2 10 måder, hvorpå it-afdelingen muliggør cyberkriminalitet Vi håber, at du har læst hvidbogen Vi erklærer krig ved endpointet fra Kaspersky Lab. Hvis du ikke har læst hvidbogen, bør du downloade og læse den (findes i ressourceafsnittet), før du fortsætter. Vi erklærer krig ved endpointet fokuserer på det egentlige mål for cyberkriminelle i dag - endpointet, dvs. medarbejderen. Denne hvidbog fokuserer på, hvordan it-afdelingen uden at vide det muliggør cyberkriminalitet ved at give de kriminelle adgang til systemer og data som følge af en række misforståelser og falske antagelser. Slutbrugernes krav om internetadgang og alle de kommunikationskanaler, det tilbyder, er større end nogensinde. Virksomhedernes efterspørgsel på disse kommunikationskanaler er også stigende. Medarbejdernes mobilitet og virksomhedens data udgør en stadig større udfordring, og det er en enorm opgave at holde trit med en eksplosivt stigende trussel fra cyberkriminalitet. Derfor er mange itafdelinger uden at kende og forstå problemet blevet medskyldige i cyberkriminalitet. I dette dokument beskriver vi de forskellige måder, virksomhedernes it-afdelinger muliggør cyberkriminalitet i vores miljøer, og vi angiver nogle retningslinjer for, hvordan vi kan forhindre denne farlige og destruktive adfærd. I dette dokument beskriver vi 10 måder, it-afdelingerne muliggør cyberkriminalitet, og vi angiver måder, den kan stoppes på, med udgangspunkt i forskning foretaget af tredjemand og analyser foretaget af eksperter fra Kaspersky Lab. Hvordan klarer din virksomhed sig i forhold til disse alt for almindelige faldgruber? 3

3 Mulighed 1 Man antager, at dataene ligger i datacentret Tænk over, at de fleste virksomhedsledere har én kopi af deres på deres smartphone (iphone, BlackBerry etc.) endnu en kopi på deres laptop og en tredje kopi på virksomhedens -server. Dette eksempel viser tydeligt, at der ligger dobbelt så mange data uden for datacentret som inde i det. Læg dertil utallige usb-nøgler, cd er, backup-bånd, internetbaserede løsninger og dataudvekslinger med forretningspartnere, og tallet bliver lynhurtigt højere end det, vi normalt regner med. Vi ved godt, at dataene ikke er lukket inde, men it-afdelingerne behandler dem, som om det var tilfældet. Hvorfor skulle vi ellers bruge uforholdsmæssig store mængder tid og penge på at styrke datacentrets perimeter med teknologi som godkendelse, adgangsstyring, firewalls, forebyggelse af indbrud i netværket mm.? Dermed siger vi ikke, at disse teknologier ikke er vigtige. Det er de helt uden tvivl. Men vi er nødt til at fokusere på, hvor vores data ligger i dag - nemlig ude ved endpointet. Data lever ikke i lukkede enheder. De bevæger sig frit omkring uden for datacentret. Forskning foretaget af IDC viser faktisk, at stationære computere/laptops udgør det største problem i forbindelse med forebyggelse af datatab. Endpointene udgør en større risiko for datatab. Data fra IDC viser også, at bevægelighed er den vigtigste faktor, som driver nye investeringer i sikkerhed, hvilket tyder på, at flere organisationer er blevet opmærksomme på og strammer op om sikkerheden uden for datacentrets perimeter. 4

4 Mulighed 2 Man anerkender ikke værdien af data på mobile enheder Din tid er kostbar. De utallige timer, vi bruger på at udarbejde rapporter og analysere data, så vi kan træffe gode forretningsmæssige beslutninger, de weekends vi bruger på at sende og læse og på at udarbejde præsentationer og udnytte forretningsmuligheder, hvor tiden spiller en afgørende rolle; alt dette medfører, at der ligger enorme mængder data på bærbare systemer. Alligevel overser itafdelingerne laptoppens betydning. Når en enhed bliver stjålet, så anmelder man kun værdien af den fysiske enhed til forsikringen, og alle de værdifulde data på enheden ignoreres. Derfor omhandler sikkerhedsløsninger på mobile enheder normalt enhedens værdi i stedet for dataenes værdi. I virkeligheden overstiger værdien af dataene som regel værdien af selve enheden, ofte flere hundrede gange. Brug af styrede malwareprogrammer, tyverisikring og fortrolighedsteknologi til mobile enheder er et godt udgangspunkt for beskyttelse af mobile data. Der er en tendens blandt virksomheder til at brugerne, først og fremmest på ledelsesniveau, selv kan vælge mærke og model, når de køber en mobil enhed, der skal anvendes til data, som er kritiske for virksomheden, f.eks. en laptop eller smartphone. Det stigende antal iphones, der understøttes af virksomheders netværk, er et førsteklasses eksempel. Desværre går de fleste erhvervsfolk og it-butikker mere op i pris og tid i forbindelse med udskiftning af enheden end værdien af de data, der ligger på enheden. Medarbejderne får den enhed, de ønsker, i stedet for en enhed som er optimeret til styrede malwareprogrammer, tyverisikring og fortrolighedsteknologi. Resultatet er, at der kommer stadig flere forskellige enheder, operativsystemer, udbydere, sikkerhedsprofiler og andre teknologier i virksomhedens netværk. For virksomheder med begrænsede sikkerhedsressourcer kan kravet om sikkerhed på tværs af platforme overstige supportkapaciteten. 5

5 Mulighed 3 Man behandler laptops og mobile enheder som aktiver i virksomheden, der aldrig anvendes til privat brug og tror, at virksomhedens data aldrig finder vej til systemer i hjemmet Vi kan ikke længere gå ud fra, at virksomhedens aktiver udelukkende bruges til virksomhedens formål. Laptoppen fungerer eksempelvis som det primære kommunikations- og transaktionsværktøj for mange rejsende erhvervsfolk. Dette omfatter brug af sociale netværk til kontakt med omgangskredsen og programmer som Skype til billig international telefoni. Denne forbrugerindflydelse på virksomhedens it-miljø har været stigende i årevis, og som nævnt ovenfor så er medarbejderne begyndt at forvente fleksibilitet og præferencer, når det gælder enheder, der styres af virksomheden. Mange medarbejdere bruger deres egne computere til at få adgang til data efter arbejdstid. Hvis disse enheder ikke er tilstrækkeligt sikret, er der øget risiko for brud på sikkerheden. Regler for brug og styret sikkerhedssoftware er afgørende, når det gælder sikring af data i størst muligt omfang. Dette kan omfatte udstyr ejet af medarbejderen. Mange virksomheder udvider deres investeringer i sikkerhedssoftware og licenser til også at omfatte medarbejderne for dermed at udvide beskyttelsen. Alle data, der er lagret inden for virksomhedens parameter på mobile enheder som smartphones, laptops eller netbooks, bør uden tvivl krypteres, da disse enheder nemt kan glemmes, blive væk eller stjæles. 6

6 Mulighed 4 Man behandler mobile enheder på samme måde som stationære computere For få år siden var virksomhedernes it-netværk defineret ved hjælp af en fast perimeter. Beskyttelsesteknologien adskilte tydeligt det, der var indenfor i netværket, og det, der var uden for, lidt som en voldgrav omkring en middelalderborg. Eksterne enheder blev betragtet som usikre, og enhederne inden for perimeteren var beskyttet af virksomhedens firewall, der kan sammenlignes med borgens mure. Virksomheder over hele verden ser i stigende grad fordele i, at mobile medarbejdere har udstyr, som kan anvendes, når de ikke er i virksomheden. Fremskridtet inden for mobil teknologi betyder, at virksomhedernes medarbejdere kan være konstant opkoblet og have fuld adgang til virksomhedens kritiske ressourcer som eksempelvis programmer, dokumenter og , uanset hvor i verden de befinder sig. Denne adgang omfatter også håndholdte enheder. Mobile medarbejdere har adgang til virksomhedens netværk og data fra lufthavne, hotelværelser og internetforbindelser på fly, og disse forbindelser er alle sammen ubeskyttede. Dermed der den almindelige arbejdsdag ikke længere begrænset til kl til Folk arbejder - opretter forbindelse til de seneste oplysninger, svarer kunder med det samme og håndterer mange andre daglige opgaver - døgnet rundt. Dette miljø har dog medført en ny sårbarhed for virksomhederne, der sandsynligvis vil blive offer for nye trusler (Mobile Security IDC.) En effektiv sikkerhedspolitik for en laptop er grundlæggende forskellig fra en sikkerhedspolitik for en stationær computer. Ofte kræves der ikke særlige teknologier som individuel firewall på stationære computere, der kun bruges på arbejdspladsen. For laptops afhænger løsningen af situationen. Når de forlader det relativt sikre netværk i virksomheden, skal den øgede sikkerhed slås til automatisk. Sikkerhedsforanstaltninger - aktivering af firewall, deaktivering af Bluetooth og trådløse forbindelser, der ikke er beskyttet af adgangskode, og øget sikkerhed for usb-enheder - bør aktiveres automatisk, hver gang en laptop fjernes fra virksomhedens netværk. 7

7 Mulighed 5 Brug af ubeskyttede sociale medier Sociale netværk er kommet for at blive. Dette er den nye teknologi man må have, og som dele af virksomheden har brug for for at kunne vokse. Når de anvendes korrekt, kan de gøre en stor forskel. For 10 år siden var it-afdelingerne udsat for pres for at tillade almindelig internetadgang. Derefter opstod kravet om i virksomheden og derefter Instant Messaging-programmer. Alle disse blev med tiden missionskritiske værktøjer. De sociale medier er blot den nye bølge, og vi er nødt til at være forberedt. Mange organisationer kæmper med at finde ud af, hvordan deres medarbejdere kan bruge Web 2.0-værktøjer, uden at sikkerheden og lovgivningens krav kompromitteres. Hvis sociale medier og Web 2.0-teknologierne anvendes på en sikker måde, kan virksomhederne opnå øget samarbejde og produktion og dermed øget indtjening. Der bør fokuseres på, hvordan organisationerne skal håndtere de sociale medier på en sikker måde, da det med få undtagelser vil være umuligt decideret at forbyde sociale medier. Det er vigtigt at udarbejde en formel politik for styring af adgangen samt administrationen af sociale medier. Hvis virksomheden eksempelvis beskytter sin perimeter mod malwareangreb, men ikke har tilstrækkelig kontrol over adgangen til sociale netværk, kan én medarbejders uforsigtighed medføre, at virksomhedens netværk inficeres med malware med store direkte eller indirekte økonomiske tab til følge. Sociale netværk udgør også en risiko for datalækage, hvis medarbejdere villigt deler information med tredjemand. Med undtagelse af enkelte stærkt kontrollerede akademiske miljøer vil det i sidste ende være umuligt at forbyde sociale medier. En mere praktisk metode går ud på at anvende teknologi, der overvåger trafikken omhyggeligt på tværs af de sociale mediers websteder og blokerer kendte skadelige websteder. 8

8 Mulighed 6 Fokus på beskyttelse sammenlignet med registrering og fjernelse Overvejelsen af omfattende sikkerhedsprogrammer omfatter mange muligheder. Disse grundlæggende muligheder er beskyttelse, registrering og fjernelse. Antivirusprodukter er ofte oversete og betragtes som handelsvarer, der fornys automatisk hvert år. Det betyder, at kvaliteten af registreringen og fjernelsen også bliver overset. Som vi har påvist, så udgør dette vigtige elementer i din sikkerhedsstrategi. Og der findes et stort udvalg af beskyttelse, ydelse, administration, anvendelsesmuligheder og support i branchen. Mange organisationer skifter fokus til nyere sikkerhedsteknologier som f.eks. DLP, kryptering etc. De er nyttige værktøjer, men det samlede antal malwareforekomster og infektioner er stadigvæk stigende. En undersøgelse foretaget af IDC viser, at 46 % af organisationer har haft en stigning i antallet af malwareforekomster, mens kun 16 % har haft et fald. Miljøet i små og mellemstore virksomheder ( medarbejdere) har oplevet den største forskel, da 44 % har oplevet en stigning i forekomsten af malware og kun 7 % har oplevet et fald. Det betyder, at der stadigvæk trænger malware ind gennem disse øgede forebyggende tiltag, hvilket viser, at der skal fokuseres mere på registrering og fjernelse. It-afdelingerne har investeret i beskyttelsesmekanismer ved gatewayen, men medarbejderne kan frit surfe på internettet uden relevante registreringsmekanismer, som sikrer, at de kriminelle registres og blokeres effektivt. Eftersom cyberkriminelle i dag retter deres angreb mod endpointet, så kræves der en stærk teknologi til registrering og fjernelse ved endpointet for at beskytte det mod malware, som cyberkriminelle har designet til at stjæle data, oplysninger og penge. 9

9 Mulighed 7 Manglende opdyrkning af en opmærksomhedskultur Slutbrugernes opmærksomhed og uddannelse er afgørende i alle faser og på alle niveauer, når det gælder informationssikkerhed. Eksempelvis skal medarbejderne lære, hvordan de forsvarer sig mod skadelig kode, dvs. sikker surfing, beskyttelse mod spyware og scareware samt takt og tone for vedhæftede filer. Regler for adgangskoder skal gøres til lov og håndhæves. Regler for internetbrug skal kommunikeres tydeligt, overvåges og håndhæves. Opmærksomhed på trusler og virkningen af disse samt spredningsmetoder er med til at opretholde brugernes opmærksomhed og forhindrer, at de træffer dårlige beslutninger, som kan medføre en infektion af deres endpoint. Regelmæssige sikkerhedskampagner er vigtige, når det gælder at holde medarbejderne informerede og beskyttede. Det er naturligvis også meget vigtigt, at it-medarbejderne er veluddannede inden for de aktuelle trusler og vektorer, så de kan træffe informerede beslutninger om beskyttelse og forebyggelse. 10

10 Mulighed 8 Underrapportering af brud på sikkerheden Brud på sikkerheden i forbindelse med cyberkriminalitet er steget med over 23 %, men omkostningerne i forbindelse med denne type brud er mere end fordoblet, og det er kun toppen af isbjerget. Disse data, som stammer fra FBI, er misvisende, fordi virksomhederne generelt ikke anmelder brud på sikkerheden. Virksomhederne ønsker simpelthen ikke, at andre finder ud af, at de har været udsat for brud, da de frygter, at deres lager, værdi, varemærke og omdømme vil blive påvirket negativt. Denne impuls til at fortie er naturlig, men resultatet bliver et misvisende billede af væksten i truslerne på internettet. De få anmeldelser giver virksomhederne det falske indtryk, at truslen fra malware er minimal, og at væksten i cyberkriminalitet er oppustet. I virkeligheden er truslen steget med langt over 23 %, men FBI kan ikke sætte tal på på grund af de ikke-anmeldte brud, der sker hver dag. Virksomheder som din kunne have stor fordel af at få viden om de brud, der sker, hvordan de er begået, og hvordan man kan beskytte sig mod tilsvarende angreb. 11

11 Mulighed 9 Man overholder blot reglerne Overholdelse af regler og it-sikkerhed er ikke altid synonymt. Man sagtens overholde reglerne, uden at ens system er særlig sikkert. Mange virksomheder betragter malwarebeskyttelse som en formalitet. Jeg skal have det og vedligeholde det, og så behøver jeg ikke gøre mere. Overholdelse af regler er ofte ensbetydende med en top-down-metode. Initiativet består oftest af en standardskabelon. Virksomheden skal se på sine produkter og processer for at finde frem til, hvordan de kan tilpasse sig skabelonen. Omvendt er sikkerhed en bottom-up-metode, når det gøres korrekt. Uanset om du designer et softwareprodukt eller arkitekturen til virksomhedens nye netværk, så skal løsningen indeholde sikkerhedselementer. Når du eksempelvis designer produktarkitektur, så skal et godt første forsøg beskrive kommunikation, placering, versioner etc. men også de sikkerhedselementer, der skal bygges ind i applikationen fra begyndelsen. Sikkerhedselementerne skal revurderes og tilpasses gennem hele udviklingsprocessen. Overholdelse af regler kan give en illusion af sikkerhed for personer, der ikke forstår, hvor komplekst det er at sikre den digitale forretningsverden. Overholdelse af regler alene bør ikke være slutmålet. 12

12 Mulighed 10 Man antager, at alt er i orden Systemerne kan være skudsikre, men de bruges af mennesker. Ofte opstår problemerne som følge af den menneskelige faktor, en simpel fejl eller mangel på nødvendig viden og best practice. Virksomhedens medarbejdere bør uddannes i dataadministration, herunder hvordan de skal agere i specifikke situationer, hvordan de skal følge klare sikkerhedsregler og procedurer for hele virksomheden, hvordan de skal undgå malware ved at være opmærksomme og grundige, og hvordan de skal handle for at sikre data og forebygge yderligere tab, hvis der er konstateret malware i netværket. Overvej muligheden for et sikkerhedsproblem i din virksomhed. Alt er ikke i orden. Vi kan alle gøre mere for at sikre, at vores virksomheders kritiske data ikke kommer i de forkerte hænder. 12

13 Resumé Hver dag finder cyberkriminelle nye metoder til at infiltrere virksomheders endpoints med det ene formål at stjæle data og penge. Ifølge en rapport fra SANS.org med titlen The Top Cyber Security Risks mister virksomheder i tusindvis af dollars hver dag, mens de tror, at de er beskyttet. Vi kan alle gøre mere for at beskytte vores virksomhed så kritiske data ikke kommer i de forkerte hænder Kaspersky Lab Automatikvej Soeborg (866) smbsales@kaspersky.com m7wa