HACKERANGREP MOT DEN NORSKE REGJERINGEN – JULI 2023
Mens du og jeg var på ferie i juli ble IT-eksperter som jobber for staten bedt om å komme tilbake til jobb for å håndtere et dataangrep mot 12 norske departementer. Det ble funnet en «zero day» sårbarhet i «Ivanti Endpoint Manager Mobile» - en tredjeparts IKT-tjeneste som er brukt av mange statlige ansatte.
I følge Kevin Beaumont, engelsk datasikkerhetsekspert, er sikkerhetshullet (CVE-2023-35078) nå tettet, men det er mulig at sensitive opplysninger kom på avveie. I så fall kan opplysningene fortsatt utnyttes til å bl.a. legge inn ny admin-bruker i systemet, endre sys-config, endre (eller slette) konfigurasjon av mobilenheter, eller søke gjennom organisasjonens Active Directory.
Hva om et slik angrep hadde skjedd hos alle norske banker?
FINANSSEKTOREN, IKT-LEVERANDØRER OG DORA
DORA er en ny EU-forskrift som står for «Digital Operational Resilience Act». Den trer i kraft 17.01.2025. DORA vil gjelde for de fleste aktører innenfor finansnæringen, herunder finansforetak, forsikringsforetak, infrastrukturforetak, verdipapirforetak og kapitalforvaltere, samt andre tilknyttede tjenester som kryptotjenesteleverandører, folkefinansieringstilbydere og tredjepartsleverandører.
Målet med DORA er å styrke finanssektorens digitale operasjonelle motstandskraft. Forskriften skal sikre at finansielle enheter er i stand til å motstå en hendelse, og fortsette å operere, selv i tilfelle et dataangrep. Tilgjengeligheten og integriteten til finansielle tjenester er kjernen i reguleringen.
I en undersøkelse utført av SecurityScorecard av 240 store europeiske finansinstitusjoner svarte 78% av selskapene at de hadde opplevd et hackerangrep gjennom en tredjepartsleverandør. Blant disse hendelsene var det ofte én sårbarhet, funnet hos en felles IKT-leverandør, som hadde spredt seg videre til mange forskjellige bedrifter. Det er tydelig at hackere har lært at de kan treffe veldig mange viktige mål ved å gå etter én IKT-leverandør. MOVEit og ivanti-hendelsene er to eksempler på denne taktikken.
DORA vil kreve at tredjepartsleverandører av IKT-tjenester, slik som ivanti, rapporterer regelmessig til EU-myndighetene. Tredjepartsaktører vil nå ha mer ansvar for rapportering, mens deres kunder i finansnæringen vil ha mindre.
5 STEG FOR Å OPPNÅ DORA-SAMSVAR MED SECURITYSCORECARD
1. Få oversikt over tredjepartsrisiko
DORA vil kreve at tredjepartrisiko blir en del av den samlede IKT-risikoen for å sikre at tredjepartsleverandører også tar ansvar skulle det være et hackerangrep. Derfor er det viktig å ha et verktøy som kontinuerlig overvåker sikkerhetshelse og varsler om sårbarheter hos tredjepartsleverandører.
| SecurityScorecard Third Party Risk Management, med sin kontinuerlige, 360°-oversikt over hele leverandørkjeden, bidrar til å tilfredstille dette kravet. |
2. Ha rapporteringsverktøy klart
Under DORA er finansinstitusjoner pålagt å rapportere IKT-relaterte hendelser til myndigheter. Følgende detaljer skal rapporteres: antall brukere som er berørt; mengden av tapt data; den geografiske spredningen; den økonomiske effekten; og mer. Denne planen bør også inneholde en detaljert beskrivelse av hvordan et nettangrep vil bli håndtert, og hvordan driften vil bli gjenopprettet hvis et slikt brudd inntreffer.
| SecurityScorecard sin rapporteringsplattform kan hjelpe til med å oppdage, analysere og rapportere hendelser. Som tilleggstjeneste kan du få direkte tilgang til SecurityScorecard IT-eksperter som hjelper deg med hendelsesrespons. |
3. Kom i gang med kontinuerlig overvåking
Kontinuerlig overvåking av datasikkerhetsbildet vil sikre at organisasjonen din er informert om potensielle risikoer slik at den raskt kan løse eventuelle problemer som oppstår. Dette inkluderer regelmessig overvåking og evaluering av sikkerhetssituasjonen til tredjepartsleverandørene dine for å identifisere eventuelle endringer eller sårbarheter som kan påvirke din organisasjons samlede risikobilde.
| SecurityScorecards rapporteringsplattform muliggjør kontinuerlig overvåking av datasikkerheten ved å bruke automatisert trusseldeteksjon. Dette stemmer overens med DORAs krav til løpende risikovurdering og hendelsesrapportering. |
4. Kom i gang med kartlegging av risikobildet
Organisasjoner må utvikle og implementere et helhetlig rammeverk for IKT-risikostyring som en del av deres samlede risiko-styringssystem. Å ha en plattform som kan hjelpe til å utvikle, implementere og overvåke risikobildet vil tilfredsstille dette regulatoriske kravet, mens sikkerhetsvurderinger vil gi en kvantitativ, datadrevet vurdering av organisasjonens datasikkerhetsstilling.
| Enterprise Cyber Risk Administrasjonsløsningen fra SecurityScorecard kan hjelpe deg til å stoppe et dataangrep før det skjer. Få en datadrevet vurdering av en hvilke som helst organisasjons datahelse for å bedre håndtere risiko, og overholde DORAs krav til IKT-risikostyring. |
5. Kjør regelmessig tester av bedriftens motstandsdyktighet
DORA krever regelmessig testing av datamiljøets motstandsdyktighet. Testene kan inkludere sårbarhetsanalyser, penetrasjonstester, red-teaming, og mer. Ved å jobbe proaktivt blir det lettere å identifisere, og redusere, potensielle risikoer, samtidig som man sikrer kontinuitet i bedriften i tilfelle et dataangrep.
| SecurityScorecard bruker trusselintelligens som kan identifisere og håndtere potentielle risikofaktorer – noe som støtter DORAs krav når det gjelder testing av resiliens og rapportering av hendelser. |
ANDRE NYTTIGE TIPS FOR DORA
Få styret om bord!
DORA legger ansvaret for datasikkerhet på styrets skuldre. Et selskaps styre må sikre at disse protokollene, retningslinjene og verktøyene håndheves. Unngå bøter og skadet omdømme ved å sørge for at ledelsen er informert og forstår viktigheten av DORA.
Samarbeid med andre!
Datasikkerhet er ikke lenger bare et IKT-problem. Inkluder juridiske, "compliance", risikostyring og andre eksperter fra starten av, for å sikre at bedriften oppfyller DORA-kravene på best mulig måte.
Ikke vent med å komme i gang!
Bedrifter bør begynne å planlegge nå for hvordan de skal tilpasse seg det nye regelverket. De fleste firmaer som faller under DORAs omfang har, uten tvil, noen av disse retningslinjene og protokollene på plass, men dette er en mulighet til å forbedre datasikkerheten og bli enda mer motstandsdyktig.
MER OM SECURITYSCORECARD
SecurityScorecard-plattformen gir en vurdering av domener på 10 sikkerhetskategorier (nettverkssikkerhet, DNS-helse, patching, frekvens, cubit score, endepunktsikkerhet, IP-omdømme, web applikasjonssikkerhet, hackerprat, stjålet legitimasjon og sosial manipulering) for å få en indikator på en institusjons cybersikkerhetsprofil.
SecurityScorecard intelligens er et resultat av daglige skanninger av hele internett for å kartlegge cybersikkerhetsrisikoeksponering og bringe åpenhet til en organisasjons cyber-hygiene. SecurityScorecard gjør dette uten å gå bak eventuelle brannmurer, og samler kun inn offentlig tilgjengelig data. SecurityScorecard gir et "utenfor-inn"-perspektiv på en organisasjons sikkerhetsstilling - noe som gir organisasjoner muligheten til å se hva en hacker vil se. Dermed genererer verktøyet innsikt om sårbarheter, aktive utnyttelser, og avanserte cybertrusler som skjer i en spesifikk organisasjons IT-miljø.
SecurityScorecard kunder bruker plattformen ikke bare for å identifisere svakheter i egen datasikkerhet, men også til å ha bedre oversikt over tredjeparts datasikkerhet.
SecurityScorecard genererer sikkerhetsvurderinger ved bruk av offentlig tilgjengelig informasjon, rangert og kombinert med historiske data, for å produsere en objektiv sikkerhetsscore. Det som er viktig å fremheve er at denne poengsummen, og analysen bak den, endres dynamisk i takt med endringer i organisasjons eksponering for risiko: dersom en organisasjons sikkerhetshelse forverres, vil poengsummen gå ned.
En høy vurdering gjør ikke organisasjonen immun mot datarisiko, men en dårlig vurdering tilsvarer økt sannsynlighet for dataangrep. Dette er ikke overraskende, siden en dårlig score reflekterer at en organisasjon ikke har investert tilstrekkelig i forsvaret mot ondsinnede aktører.
