Wannacry i mai, Petya i juni, hva nå før juli?

Ca 1 måned etter Wannacry fikk i går et brutalt møte med Petrwrap/Petya, og NSM har rett i at vi i Norge slapp greit unna (så langt vi vet i dag). Det betyr ikke at vi god nok kontroll og kompetanse på sikkerhet i Norge, selv om det ser ut til at vi er godt rustet med kjappe oppdateringer sammenlignet med andre land. Enkelt selskaper er rammet, inkl store som burde klart å beskytte seg mot dette, og spesielt Ukraina med flyplass, nasjonalbanken, betalingsterminaler, minibanker, telekom og tbane.

Vi forventer at nye angrep vil komme, antagelig med nye versjoner av denne, helt andre former for ransomware og annet.

Nok en gang må vi vente å se, og nok en gang må vi regne med at dette vil skje igjen. Så hva gjør vi mens vi venter?

  • Verifisere at alt utstyr er oppdatert, høres kanskje kjedelig og uviktig ut, men det er noe av det viktigste vi kan gjøre for å beskytte oss mot slike angrep.
  • Etablere og verifisere at vi har tilstrekkelig backup av data vi ikke har råd til eller ønsker å miste, og sjekke at det er mulig å gjenopprette fra backupen.
  • Sørg for at alle bedriftens systemer oppdateres fortløpende.
  • Gjennomgå egne rutiner og bruk av teknologi gjøre nødvendige tilpasninger slik at sikkerhet ikke er avhengig av at alle ansatte gjør alt riktig. Sikkerhet basert på adferdg må erstattes (så mye som mulig med) sikkerhet basert på teknologi og systematikk, feks at utstyr brukes med vanlige brukerrettigheter, ikke administrator-rettigheter.
  • Sjekk at virksomheten har en identifisert rolle (person eller team) som sørger for regelmessige oppdatering av systemer, oppfølging av sikkerhet etc. Alle må vite hvem som har ansvaret.
  • Anmeld det til politiet, det er stor sannsynlighet for at det ikke hjelper noe som helst, men vi trenger å synliggjøre omfanget og behov for etterforskning og oppfølging.

Som samfunn trenger vi også:

  • Legge bak oss ideen som forfektes av mange om at data automagisk er sikret mot uvedkommendes innsyn, tap, uautoriserte endringer etc fordi de behandles i Norge. (Den ideen, spesielt som stråmann, er i seg selv en betydelig sikkerhetsrisiko.)
  • Sette sikkerhet på agendaen i ledelse og styrerom.
  • Sikre nødvendig kompetanse i alle ledd i alle sektorer.
  • Identifisere risiko og tiltak i tråd med de forskjelliges rolle, mandat og målsetninger.
  • Innføre og verifisere at forståelse for teknologi og it-sikkerhet er del av hele utdanningsløpet inklusiv i alle profesjonsutdanninger.
  • Tilpasse ledelse og organisasjonsutvikling tilpasset både teknologien vi bruker og hva andre i verden (les organiserte kriminelle og andre lands myndigheter) bruker teknologien og utnytter risiko til.
  • Tilpasse myndighetsutøvelse både teknologien vi bruker og hva andre i verden (les organiserte kriminelle og andre lands myndigheter) bruker teknologien og utnytter risiko til.
  • Vi må etablere en tydeligere og mer opplyst debatt om hvilke verktøy og tilganger forskjellige myndigheter skal ha. Wannacry og Petrwrap/Petya er mest sannsynlig basert på spesiallagde verktøy for å utnytte kjente sikkerhetshull NSA “mistet”.

Det er mye vi må gjøre fremover, mye handler om langsiktig kompetanse mye handler om ressurser og fokus i anskaffelser og andre store linjer. Det handler også om å sikre at hver enkelt av kan lykkes med det vi selv må ta ansvar for, feks passord som ble aktualisert tidligere år.

(denne er også publisert hos IKT-Norge: https://www.ikt-norge.no/kommentar/wannacry-i-mai-petya-i-juni-hva-na-for-juli/)