Trusselsvurdering Cyberangreb mod leverandører

Relaterede dokumenter
Trusselsvurdering. Cybertruslen mod søfartssektoren

Undersøgelsesrapport: Forsøg på kompromittering af netværks- udstyr

Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer

Cybertruslen mod Danmark

Trusselsvurdering: Cybertruslen mod telesektoren

CFCS Beretning Center for Cybersikkerhed.

Trusselsvurdering. Cybertruslen mod land- og lufttransport

Cybertruslen. Cyberangreb

Trusselsvurdering. Cybertruslen mod energisektoren

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

Center for Cybersikkerheds beretning Center for Cybersikkerheds beretning 2014

Trusselsvurdering. Cybertruslen fra bevidste og ubevidste insidere

Trusselsvurdering. Cybertruslen mod Danmark

Trusselsvurderi g: Cybertrusle od fi a ssektore. Hovedvurdering

Undersøgelsesrapport. Målrettede forsøg på hacking af den danske energisektor

Trusselsvurdering. Cybertruslen mod sundhedssektoren

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Center for Cybersikkerhed: Truslen i cyberspace. Hovedvurdering

Trusselsvurdering. Cybertruslen mod Danmark

Cybertruslen mod et fjernvarmeværk

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Ny lov for Center for Cybersikkerhed. En analyse blandt IDAs it-politiske panel

Center for Cybersikkerhed: Truslen i cyberspace

IT- SIKKERHED. Omfanget og konsekvensen af IT-kriminalitet

Trusselsvurdering. Cybertruslen mod telesektoren i Danmark

H AC K ING OG D ATASIKKERHED I SU N DHEDSVÆSENET

IT-Sikkerhed - en klods om benet eller sund fornuft? Lars Ole Pedersen OZ5VO Et dialog foredrag

Undersøgelsesrapport. Én aktør, mange angreb

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

> DKCERT og Danskernes informationssikkerhed

Sikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded

Version 1.0 Dato Godkendt af Flemming Laigaard Antal sider 9

Bilag 1.Talepapir ved samråd i KOU den 8. oktober

Privatlivspolitik (ekstern persondatapolitik)

Strategisk informationssikkerhed

Privatlivspolitik (ekstern persondatapolitik)

Internetdagen 2016 NIS-direktivet. Afdelingschef Thomas Kristmar

Trusselsvurdering. Cybertruslen mod Danmark

Center for Cybersikkerheds Beretning 2016

EN REVOLUTIONERENDE CYBER SECURITY LØSNING

CYBERFORSIKRING OFFENTLIG KONFERENCE

Trusselsvurdering. DDoS-angreb stiger i antal og størrelse

Privatlivspolitik. Privatlivspolitik. for. Faurlund ApS. vedr. behandling af persondata. Version 1.0 Dato Antal sider 12.

Hackertruslen mod Danmark. En analyse blandt IDAs it-professionelle

1 Hvad skal man gøre, når man er blevet hacket - eller har mistanke om, at man er hacket?

STYRKEN I DET ENKLE. Business Suite

Privatlivspolitik (ekstern persondatapolitik)

Viden om phishing. Den tid det tager at fuldføre: 3 5 minutter (cirka) Information Security and Risk Management (ISRM) McKesson Europe AG

Retsudvalget REU Alm.del Bilag 353 Offentligt. Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift

Evaluering af GovCERT-loven

Privatlivspolitik ekstern persondatapolitik

Hvad er persondata? Vi indsamler persondata på flere måder. Vi indsamler og bruger dine persondata til bestemte formål

Nationale cybersikkerhedsinitiativer. Peter Munch Jensen, sektionsleder

Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift

O Guide til it-sikkerhed

ANBEFALINGER TIL ELSELSKABER OM FOREBYGGELSE OG HÅNDTERING AF IT-SIKKERHEDSHÆNDELSER

Privatlivspolitik (ekstern persondatapolitik)

DI ITEK-gennemgang: National strategi for cyber- og informationssikkerhed

Privatlivspolitik (ekstern persondatapolitik)

Reducér risikoen for falske mails

Forslag til Lov om net- og informationssikkerhed 1

guide til it-sikkerhed

Rapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed

CYBER RISIKOAFDÆKNING

Den nemme måde til sikkerhed og enkelhed

Sådan får du styr på de digitale risici

Forslag. Lov om Center for Cybersikkerhed

Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank

Forslag. Lov om Center for Cybersikkerhed

FOKUS PÅ IT-SIKKERHED! GODE RÅDE OM RANSOMWARE OG FOREBYGGELSER

IoT-sikkerhed. Trusler og løsninger i produktionsapparatet og intelligente produkter

Forslag. Lov om Center for Cybersikkerhed

It-sikkerhed. Udfordringer og perspektiver

It-sikkerhed i danske virksomheder

Privatlivspolitik (ekstern persondatapolitik)

Beretning til Statsrevisorerne om adgangen til it-systemer, der understøtter samfundsvigtige opgaver. Oktober 2015

Hackingens 5 faser. Kim Elgaard, Solution Engineer, Dubex A/S. 21. marts 2017

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192)

Cybercrime Survey 2018

Komplet dækning til din virksomhed

Privatlivspolitik (ekstern persondatapolitik)

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

Efterretningsmæssig Risikovurdering En aktuel vurdering af forhold i udlandet af betydning for Danmarks sikkerhed

Situationsbillede af sikkerhedstilstanden på den danske del af internettet. Marts 2014

Trusselsvurdering for pirateri ved Afrika februar 2017

Kl Indledning v. Lone Strøm, Rigsrevisor

PRIVATLIVSPOLITIK. Dato for udfyldelse : [15/5-2018] Godkendt af : [Jesper Lundsgaard Hansen] PRIVATLIVSPOLITIK. ZIGNA APS I Version 1.

#RenewYourBusiness. Cybersecurity. Er du sikker på, du er sikker?

Høring over bekendtgørelser om net- og informationssikkerhed

U d k a s t. Forslag til Lov om ændring af lov om Center for Cybersikkerhed

PRIVATLIVSPOLITIK MONTAGEBUREAUET APS S AF PRIVATLIVSPOLITIK

Undersøgelsesrapport. Outsourcing hvem har ansvaret?

December Cyberforsvar der virker. Cyberforsvar, der virker

Privatlivspolitik (ekstern persondatapolitik)

Cyberforsvar der virker

/2017. November Rigsrevisionens beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata

Cyber- og informationssikkerhedsstrategi. energisektorerne

Cyber- og informationssikkerhedsstrategi. energisektorerne

Transkript:

Trusselsvurdering Cyberangreb mod leverandører

Trusselsvurdering: Cyberangreb mod leverandører Fremmede stater og kriminelle angriber ofte deres mål gennem forsyningskæden ved at kompromittere leverandører. Denne trusselsvurdering kan bruges af virksomheder og myndigheder til at sætte fokus på cybertruslen mod forsyningskæden. Hovedvurdering Forsvarets Efterretningstjeneste Kastellet 30 2100 København Ø Tlf.: 33 32 55 80 E-mail: cfcs@cfcs.dk www.cfcs.dk 1. udgave oktober 2019 Nogle leverandører er attraktive mål for hackere, fordi de kan give adgang til mange mål og data på én gang. Der er hackergrupper med kapacitet til og intention om at angribe leverandører, som udbyder centrale services og infrastruktur til virksomheder og myndigheder i Danmark. CFCS vurderer, at angrebsmetoden både benyttes af fremmede stater og cyberkriminelle. Analyse Cyberangreb mod leverandører af centrale services til danske virksomheder og myndigheder udgør en cybertrussel, herunder mod samfundsvigtige sektorer. Cyberangreb mod forsyningskæden er en angrebsmetode, hvor hackere angriber en organisation for at benytte denne som springbræt til at kompromittere organisationens kunder. Dermed kan hackerne udnytte en organisation til at få adgang til informationer eller systemer, der tilhører hackernes egentlige mål. Cyberangreb kan motiveres af forskellige ting, såsom bl.a. spionage eller økonomisk vinding. Leverandører Leverandører i denne trusselsvurdering er enhver organisation, der leverer itservices, software eller hardware. Det kan også være organisationer, der opbevarer data for kunder eller har adgang til kunders data. Leverandører outsourcer også opgaver videre til underleverandører. Der skelnes i trusselsvurderingen ikke mellem leverandører og underleverandører. Side 1 af 5

Leverandører er attraktive mål for hackere Angrebsmetoden er effektiv, fordi kompromittering af en leverandør på én gang kan give adgang til mange mål, til indhentning af leverandørens kundedata eller adgang til væsentlige dele af en sektors infrastruktur. Leverandører har ofte uhindret adgang til mange af deres kunders netværk og data. Ved blot at kompromittere én leverandør kan en aktør potentielt få mulighed for at bevæge sig uhindret på tværs af adskillige kunders netværk og data. Aktører forsøger også at kompromittere leverandører på tværs af landegrænser. Det kan f.eks. være, at der er en lavere cybersikkerhed i en leverandørs underafdeling i et givent land, som gør det lettere at kompromittere leverandørens øvrige systemer. Hvis ikke leverandørens netværk er segmenterede på tværs af afdelinger, kan det give en aktør mulighed for at bevæge sig horisontalt i netværk på tværs af landegrænser. Flere store internationale leverandører er gennem de seneste år blevet kompromitteret eller forsøgt kompromitteret. Nogle af disse leverandører udbyder også deres tjenester til myndigheder og virksomheder i Danmark. Ifølge åbne kilder blev elektronikgiganten ASUS hacket i løbet af 2018. ASUS officielle software, ASUS Live Update tool, blev inficeret med malware. Det betød at brugere, som opdaterede programmet, downloadede en kompromitteret udgave af ASUS software, der kunne give hackerne adgang til computerne. Cyberangreb mod norske Visma Den norske softwareleverandør Visma offentliggjorde i februar 2019, at den var blevet kompromitteret. Ifølge åbne kilder var formålet at få adgang til Vismas kunders data. Visma er en større international leverandør, som blandt andet leverer cloudsoftware til virksomheders regnskab og forretning. Selskabet har også afdelinger i Danmark. Enkelte statsstøttede hackergrupper har de seneste år specifikt rettet deres opmærksomhed mod leverandører, der tilbyder cloud-løsninger og datalagertjenester til kunder i hele verden. Ved at kompromittere disse leverandører har aktørerne haft fjernadgang direkte ind i kundernes netværk, hvorfra de har kunnet stjæle informationer. Fordi hackerne misbrugte leverandørernes betroede netværk og brugte legitime brugernavne og kodeord, har det været vanskeligt for ofret at skelne mellem legitim og illegitim aktivitet. I visse tilfælde har aktørerne også haft adgang til de kundedata, der lå på leverandørernes egne servere. Side 2 af 5

Andre statsstøttede hackergrupper er specifikt gået efter større vestlige advokat- og rådgivningsfirmaer for derved at få adgang til relevante og ofte følsomme oplysninger fra virksomhederne selv og deres kunder. Revisionsfirmaer kan også være mål, da de ligeledes besidder følsomme informationer om deres kunder. Cyberangreb mod cloud-leverandører Flere cloud-leverandører har ifølge åbne kilder været mål for et omfattende cyberangreb i en kampagne, som er døbt Cloud Hopper. Kampagnen var, ifølge åbne kilder, rettet mod nogle af de største internationale leverandører, herunder sandsynligvis deres kunder. Der er også set cyberangreb mod computerproducenter og softwareleverandører, hvor leverandørernes softwareopdateringer blev inficeret med malware, som kunderne efterfølgende downloadede. NotPetya-angrebet, der bl.a. ramte Mærsk i juni 2017, er et af de mest kendte eksempler på et sådan angreb på en software leverandør. Cyberangreb mod ukrainsk leverandør Leverandører i Ukraine er tidligere blevet udnyttet i cyberangreb, der også har berørt danske virksomheder. NotPetya-angrebet havde sit udspring hos en kompromitteret ukrainsk softwarevirksomhed, som har udviklet softwaren M.E.Doc. Hackere leverede malware til virksomheder gennem en softwareopdatering til M.E.Doc. Malwaren var en såkaldt orm, der efterfølgende hurtigt spredte sig til øvrige dele af de berørte virksomheders itinfrastruktur samt til andre virksomheder. Der kan være tilfælde, hvor en leverandør ikke længere er i stand til at udsende sikkerhedsopdateringer. Det pågældende produkt vil over tid udgøre et stadig stigende sikkerhedsproblem. Som eksempel har det amerikanske Bureau of Industry and Security (BIS) i maj 2019 udsendt en liste over selskaber, som amerikanske virksomheder, efter en given dato, ikke må eksportere til uden en særlig tilladelse. Kinesiske Huawei er blandt andet nævnt på listen. Hvis forbuddet effektueres, kan det betyde, at Huawei på kort sigt ikke vil være i stand til at levere nye produkter og sikkerhedsopdateringer, som indeholder hardwaredele eller software fra amerikanske selskaber. Danske organisationer benytter i høj grad leverandører Mange virksomheder og myndigheder i Danmark benytter leverandører til digitale tjenester eller services, som de outsourcer til. Det er typisk cloud-løsninger, datalagertjenester og it-serviceydelser. Mange af leverandørerne, som der outsources til, er udenlandske globale udbydere. Outsourcing kan på mange måder give god mening ud fra et forretningsmæssigt synspunkt, da det kan optimere flere arbejdsgange, og virksomheden eller myndigheden kan fokusere sine ressourcer. Side 3 af 5

Anvendelse af en anerkendt ekstern outsourcing-leverandør vil ofte også give sikkerhedsmæssige fordele i kraft af de store leverandørers stadig stigende professionelle indsats for at modgå både simple og mere avancerede cybertrusler. Det kan dog også give sikkerhedsmæssige udfordringer, hvis man ikke stiller relevante sikkerhedskrav og opnår tilstrækkelig indsigt i og kontrol med løsningen. Ved outsourcing overlader man reelt beskyttelsen af data og it-systemer til leverandøren, selvom ansvaret for et tilstrækkeligt sikkerhedsniveau forbliver i virksomheden eller myndigheden. Outsourcing af services til leverandører øger koncentrationsrisikoen fra cybertruslen, da aktører kan kompromittere mange ofre eller væsentlig infrastruktur på én gang ved at kompromittere en leverandør, såfremt der ikke er etableret relevante og dækkende sikkerhedsforanstaltninger. Kompromitteringer i forsyningskæden er svære at opdage Det kan være vanskeligt at opdage kompromitteringer eller få indsigt i forsøg på kompromittering i forsyningskæden, fordi det ikke er virksomhederne eller myndighederne, som bliver kompromitteret men derimod deres leverandør. Cyberkriminelle angriber leverandører i Business Email Compromise (BEC) Cyberkriminelle har angrebet forsyningskæden ved at kompromittere leverandørers e-mail-konti. Aktørerne udnytter f.eks. de kompromitterede e-mail-konti til at opsnappe fakturaer og forfalske kontooplysninger på fakturaerne, som efterfølgende sendes til leverandørens kunder. Netop fordi kunden forventer at modtage en faktura for den service, som leverandøren har ydet, kan det være meget vanskeligt at opdage forfalskningen. Af samme årsag kan det være svært for virksomheder og myndigheder at risikostyre cybertruslen mod forsyningskæden. Når en service outsources til en leverandør, outsources cybersikkerhed og adgang til data også. Leverandørens niveau for cybersikkerhed, omfang af beredskab m.m. bliver automatisk til en delmængde af virksomhedens eller myndighedens eget i forhold til at beskytte sig mod cybertrusler. Det kan være en udfordring for virksomheder og myndigheder at få tilstrækkeligt indblik, kontrol og indflydelse i disse procedurer hos leverandører. Leverandører outsourcer også opgaver videre til underleverandører. Det kan gøre risikostyringen af cybertruslen endnu vanskeligere. Vejledning om leverandørstyring CFCS har udgivet vejledningen Informationssikkerhed i leverandørforhold, som indeholder en række forslag til, hvordan styringen af forholdet mellem organisationer og leverandører kan varetages. Vejledningen kan læses på CFCS hjemmeside. Side 4 af 5

Trusselsniveauer Forsvarets Efterretningstjeneste bruger følgende trusselsniveauer. INGEN LAV MIDDEL HØJ MEGET HØJ Der er ingen indikationer på en trussel. Der er ikke erkendt kapacitet eller hensigt. Angreb/skadevoldende aktivitet er usandsynlig. Der er en potentiel trussel. Der er en begrænset kapacitet og/eller hensigt. Angreb/skadevoldende aktivitet er mindre sandsynlig. Der er en generel trussel. Der er kapacitet og/eller hensigt og mulig planlægning. Angreb/skadevoldende aktivitet er mulig. Der er en erkendt trussel. Der er kapacitet, hensigt og planlægning. Angreb/skadevoldende aktivitet er sandsynlig. Der er en specifik trussel. Der er kapacitet, hensigt, planlægning og mulig iværksættelse. Angreb/skadevoldende aktivitet er meget sandsynlig. Side 5 af 5

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback