2016-year-cyberthreat-info-sharing-showcase_image-5-i-3040

La oss sammen redusere mørketallene for sikkerhetshendelser

Politiet oppfordrer alle virksomheter til å anmelde når virksomheten utsettes for en cyberhendelse.

Om ikke betraktelig skade har skjedd, dropper derimot flere dette og mørketallene øker. Informasjon om denne typen hendelser er viktig for å klargjøre et situasjonsbilde i cyber-domenet. Nasjonalt Cyberkrimsenter (NC3) hos Kripos ønsker å gjøre noe med dette sammen med næringslivet.  La oss gjøre informasjonsdeling enklere.


Hvorfor burde du hjelpe til?

Kjære kunder, og alle andre. Politiet og myndighetene oppfordrer til anmeldelse dersom en digital sikkerhetshendelse har skjedd. Mange tenker at dette ikke er relevant, da de mener ingen skade har skjedd om normal drift gjenopptas og de sådan kommer "oppe og kjører igjen". Typiske argumenter er at ingen "skade" har skjedd rent teknisk, og man ser bort fra tiden man bruker på å gjenopprette, det blir ingen forsikringssak, samt at saken uansett blir henlagt. Data Equipment mener dette ikke er godt nok. Saken kan likevel ha verdi for politiet, myndighetene og deres samarbeidspartnere, selv om den skulle bli henlagt. Vi forstår også at det kan være tidkrevende å anmelde, og til tross for at man ser nytten avstår man gjerne fra dette.

Anbefalingen er å anmelde: https://www.digi.no/artikler/kripos-oppfordrer-flere-til-a-anmelde-datakriminalitet/379122, men føler du at hendelsen er "ute av verden" for deg, og du ikke vil anmelde. Les videre. 


Hva ønsker NC3, Kripos?

  • NC3, Kripos ønsker å senke terskelen for informasjonsdeling.
  • NC3, Kripos ønsker å motta mer informasjon, for å danne seg et klarere situasjonsbilde
  • Kripos ønsker informasjon om hendelser som har skjedd, men også hendelser som oppdages før skade har skjedd. På denne måten vil politiet ha mer kunnskap, og grunnlag for å fatte tiltak som vil gjøre alle sin hverdag tryggere.


En felles dugnad for alles beste

Dugnadsånd er et begrep som brukes regelmessig i disse korona-tider. Det vi snakker om i denne artikkelen er også dugnadsånd. Om alle gjør litt, vil alle få det mye bedre.

Dette gjelder også informasjon. Om alle deler mer informasjon, vil det gagne alle sikkerhetsmessig.


Eksempel

Her er et eksempel vi har jobbet med nå. Det er ganske lite informasjon for en sikkerhetsløsning å gjøre avgjørelse på, og går igjennom mange sikkerhetsløsninger som ikke er satt opp i henhold til produsentenes anbefalinger om godt oppsett. Vi har sett på brannmurløsninger, mailsikkerhetsløsninger, og endepunktsikkerhetsløsninger som ikke har stoppet dette, grunnet mangelfull konfigurasjon.

Brukeren får en mail med en link. Linken sier shapporo(.)com, men sender deg videre hit:

IMG_5537 2

 

Domenet som vises er .it, som tilsier at dette er Italia. En våken bruker ser dette før noen skade har skjedd. Det som dessverre ikke er uvanlig, er at siden er OK med tanke på https og sertifikater, og vil derfor ikke gi noen feilmeldinger til brukeren.

Når man klikker på linken, har de kriminelle tatt seg bryet med å lage en venteside. Et par skrivefeil, men i kampens hete legger man kanskje ikke merke til dette:

IMG_5536

Linken tar deg til en side som tilsynelatende ser ut som Sparebank1 sin nettbank. All tekst er på norsk, bortsett fra datoen, som er på engelsk:

IMG_5535

I feltene kan du skrive hva du vil. Dette ville ikke skjedd i en normal nettbank eller i BankID:

IMG_5539

Etter at du klikker "Fortsett", får du opp en side du skal fylle inn kode du har fått på SMS:

IMG_5537

   

Dette ser ikke ut til å være malware, men verktøy for å hente informasjon om brukere, som kan gjøre skade ved en senere anledning, og bør/må derfor stoppes.

Sett deg inn i Cyber Kill Chain for å bedre skjønner hvordan de kriminelle jobber.
 

Konklusjon

La oss alle bidra til en sikrere hverdag for alle sammen. La oss alle dele informasjon. Det trenger ikke være spesielt detaljert. Kontakt gjerne oss i Data Equipment om dere trenger hjelp med informasjonsuthenting, så kan vi gjøre informasjonen rikere før oversendelse.
 

For mer informasjon 

Gøran Tømte-WEB_150x150

Gøran Tømte
CISO, Data Equipment
Mobil: 930 40 018
E-post: goran@dataequipment.no

 

 

Ønsker du å bli kontaktet?