It-kriminaliteten vokser, og historier om ondsindede hackere og dataindbrud i private og offentlige virksomheder er hverdagskost. Derfor har vi bedt it-sikkerhedsspecialist Karsten Vandrup og netværks- og sikkerhedskonsulent Henrik Kramselund om at stille skarpt på trusselbilledet og sårbarheder i it-infrastrukturen.
Du kan desuden møde dem online, da de også i år er booket af PROSAs kursusafdeling til at holde webinarer. Det handler i foråret om styring af en moderne firewall-infrastruktur, netværksangreb og -forsvar samt statslige og private cyberkrige. Til dagligt underviser Karsten Vandrup og Henrik Kramselund i it-sikkerhed på henholdsvis Zealand i Næstved og KEA i København.
Hvilke cyber-trusler ser du som de mest truende i det kommende år?
Karsten Vandrup: Jeg synes, at ransomwareangreb de senere år er eksploderet i omfang, og det software, der bliver brugt, er mere og mere sofistikeret. Den nye trend er, at hackerne først stjæler en bunke data, gerne persondata, før de krypterer ofrets it-systemer. Hvis ofret så ikke vil betale løsesummen, så lækkes mere og mere af de stjålne data, indtil det bliver for alvorligt, og der betales.
Henrik Kramselund: De største trusler i 2022 er dem, vi ikke har identificeret. Vi så eksempelvis Log4J, som er en afhængighed i mange Java-systemer. Ligesom Heartbleed i sin tid, så ved vi ikke præcist, hvor vi er sårbare overfor de mange trusler. Samtidig mangler vi hænder til at undersøge det og reparere det, fordi vi kontinuerligt har overlappende sikkerhedshændelser. Plus alle de nuværende som ransomware, DDoS og CEO-fraud.
Hvordan kunne en it-sikkerhedsstrategi 2022 se ud, hvis du skal give et konkret bud på det – eller hvilke fokusområder skal den som minimum indeholde?
Karsten Vandrup: En sikkerhedsstrategi skal altid indeholde en grundig risikoanalyse, hvor trusler, sårbarheder og virksomhedens cyberforsvar vurderes, og hullerne findes. Det er vigtigt, at risikoanalysen jævnligt bliver revurderet i forhold til udviklingen i cyberkriminaliteten. Derudover bliver det i 2022 endnu vigtigere, at man kan beskytte sig mod ransomware angreb, for eksempel med 3-2-1 backup-løsninger.
Henrik Kramselund: Mit råd er at tænke langsigtet. Det betyder, at man skal tilbage til basics. Vi kender råd som CIS kontroller, backup, inventory-hardware og -software. Selv taler jeg meget for netværkssegmentering. Det vil også være en fantastisk idé at slukke flere systemer. Sluk nu de legacy-systemer, før det udvikler sig til en ekstremt dyr sag. Central logging vil også hjælpe jer, når I rammes af hændelser.
Hvordan vil du beskrive de farligste hackere og deres metoder?
Karsten Vandrup: De er skruppelløse. Problemet med cyberkriminalitet er, at det ofte er meget dygtige programmører, der udfører de tunge angreb eller laver softwaren, der gør det muligt.
Henrik Kramselund: De metoder, som hackerne bruger i dag, kan opsummeres som avancerede og automatiserede. De programmer, angreb og exploits, som benyttes mod os, er så svære at afkode, at en almindelig it-afdeling ikke har tid eller viden til at efterforske i dybden. Det betyder, at vi ofte er blinde for, hvad der reelt er sket. Samtidig er det automatiseret, så hvis bare én sprække står åben i kort tid, kan de ofte nå igennem og forårsage store skader på kort tid.
Hvor er it-infrastrukturen mest sårbar i en virksomhed?
Karsten Vandrup: Det mest sårbare i en virksomhed er desværre ofte ikke it-infrastrukturen, men medarbejderne. Selvom de gør deres bedste og kun arbejder i virksomhedens interesse, så bliver de desværre ofte snydt i phishing-angreb, hvor der bliver klikket på et link i en e-mail, modtages et opkald fra en fake support og så videre. Når det kommer til tekniske løsninger, så er det vigtigt at se på evnen til at genskabe systemerne efter for eksempel et ransomwareangreb og have en god disaster recovery-plan
Henrik Kramselund: De fleste sårbarheder er efter min mening ofte indefra og mellem systemer internt i virksomhederne. Vi har ofte haft en firewall, men næsten alt står internt imellem arbejdspladser. Servere, netværksudstyr og sågar serverkontrol (IPMI/KVM), strømstyring (UPS) og storage-netværk har ofte været tilgængelige fra alle pladser i virksomheden.
Hvilke simple skridt eller adfærdsregler kan man tage som medarbejder og virksomhed for at opnå øget it-sikkerhed og beskyttelse mod angreb her og nu?
Karsten Vandrup: Awareness er det mest effektive, set i lyset af de trusler, der dominerer nu. Jo bedre medarbejderne er til at gennemskue, hvad der er phishing, og hvad der er seriøst, samt jo bedre de kender til virksomhedens it-sikkerhedspolitik, jo sværere er det for ondsindede at få snydt nogen til at lukke dem ind.
Henrik Kramselund: Der er ingen simple skridt desværre. Det vigtigste, vi kan gøre, er at risikovurdere og blive passende paranoide. Risikovurdering vil hjælpe med at identificere forretningskritiske områder, data og systemer som SKAL fungere. Den passende paranoia skal sikre, at disse ikke nemt kan overtages. Selvom vi stoler på medarbejderne, er det ikke nødvendigt, at de allesammen kan tilgå alle data altid. Måske KAN vi blokere adgangen til nogle systemer og data, fordi de kun reelt skal bruges af få medarbejdere.
Hvilke tre jobprofiler indenfor it-sikkerhed er de mest eftertragtede i 2022?
Karsten Vandrup: Der er pt. mangel på alle profiler indenfor it-sikkerhed, pen-testere, netværkseksperter og folk, der struktureret kan implementere og drive et effektivt ISMS (Information Security Management System). De mest attraktive lige nu er profiler, der både har en teknisk viden om it-sikkerhed, og som også kan formidle på ledelsesniveau. Dem er der desværre meget få af, men det er vigtigt at få ledelsen i virksomhederne i tale. Og sikre at virksomheder starter med opmærksomhed og prioritering af sikkerheden i ledelsen.
Henrik Kramselund: Pen-testere er altid i høj kurs, og flere virksomheder efterspørger penetration testing og sikkerhedsscanninger. Det er en svær rolle at uddanne sig til, fordi det ofte handler om erfaring, og fordi den kræver, at man kan skrive rapporter – hvad en del dygtige, tekniske hoveder ikke altid elsker. Security Engineer, altså en generel profil, der kan dække mange niveauer og opgaver, er eftertragtede i Danmark, fordi man generelt har små it-afdelinger og it-sikkerhedsafdelinger. CISO-rollen bliver også efterspurgt, fordi der er mange ledelser, som får øjnene op for sager med tabte millionbeløb. Det bliver vigtigere at kunne skabe overblik over sikkerheden og gøre noget ved den.
Hvad er de vigtigste kernekompetencer, hvis man vil uddanne eller efteruddanne sig til it-sikkerhedsekspert?
Karsten Vandrup: Det er en fordel, hvis man har en it-baggrund, for eksempel som datamatiker eller it-teknolog. Et godt kendskab til it-systemer og programmering er en fordel, når man skal specialisere sig i it-sikkerhed.
Henrik Kramselund: Den vigtigste kompetence er interesse og et ønske om at forstå de emner, man støder på. Man behøver ikke at være teknisk ekspert, men man skal kunne sætte sig ind i betydningen for forretningen. Det betyder, at mange, som forstår organisationer og kan formulere sig, vil kunne udfylde en masse roller indenfor it-sikkerhed. Hvis man vil være ekspert, vil det være nødvendigt først at have et generelt overblik over, hvad it-sikkerhed er, og dernæst udvælge et område, man ønsker at være ekspert indenfor. Hvis man vil være dybt teknisk it-sikkerhedsekspert indenfor et område, eksempelvis Microsoft Active Directory, så skal man have en god forståelse af teknologien først. Tilsvarende hvis man er webudvikler, vil det være nemmere at blive pen-tester med speciale i hacking af webapplikationer.
Hvor lang tid tager det at uddanne sig til it-sikkerhedsekspert?
Karsten Vandrup: Der er flere forskellige uddannelser af forskellig længde, men en seriøs vej kunne være top-up uddannelsen PBA i it-sikkerhed. Det er en professionsbacheloruddannelse, som kan tages på 1,5 år ovenpå en datamatiker- eller it-teknologuddannelse. Den udbydes på Erhvervsakademierne i Aalborg, Aarhus, Odense, Næstved og København. Det er en rigtig stærk uddannelse, hvis man vil være it-sikkerhedsekspert.
Henrik Kramselund: Et minimumsforløb for at komme i gang med it-sikkerhed ville nok være 6-12 måneder. I løbet af det første år vil jeg også anbefale at etablere et netværk og skabe kontakt til personer, som arbejder indenfor det område, man har udset sig. Når man har de basale termer på plads, vil man kunne begynde at tage type-opgaver og gentagne opgaver med en veldefineret procedure. Det kunne være firewall-ændringer ud fra skabeloner og godkendt af andre. De fleste tekniske uddannelser vil have et adgangskrav om viden svarende til en kortere it-uddannelse, som datamatiker. Hvis man ønsker at tage en efteruddannelse, kan man tage det som aftenundervisning, eksempelvis på KEA Kompetence, hvor jeg underviser. Her kan man også blive vurderet med en realkompetencevurdering, hvis man har samme viden, som de formelle adgangskrav stiller, men opnået på anden vis. Alt efter hvad niveau, man ønsker at være på, så er det en evig kamp at holde sig opdateret indenfor it-sikkerhed.