Kai Roer skriver i Finansavisen den 14. august om kultur som forsvarsverk i tilknytning til cyberangrep. Roer kommer med flere gode poenger i sin tekst. En god sikkerhetskultur er viktig for at virksomheter i dag skal være i stand til å beskytte sine systemer og data. En god sikkerhetskultur vil imidlertid ikke være tilstrekkelig som forsvarsverk alene. Tekniske systemer og organisatoriske prosedyrer er nødvendig for å understøtte en god sikkerhetskultur, slik at forsøk på cyberangrep blir detektert og stanset. Jeg vil imidlertid hevde at systemer og prosedyrer faktisk bare blir viktigere ettersom den menneskelige faktoren oftere blir utnyttet som veien inn til IT-systemet for en angriper.
En forutsetning som alle seriøse virksomheter i dag bør jobbe etter, er at ansatte vil kunne bli manipulert. Eksempelet som Roer selv viser til med penetrasjonstesten av oljefonssjef Nicolai Tangen, er illustrerende. Vedlegget i e-posten fra Tangens lokalavis Lillesandsposten, fikk selv oljefondssjefen til å senke guarden. Læringspunktet som vi alle bør ta med oss fra Oljefondets øvelse er at de fleste av oss kan bli lurt dersom aktøren bak angrepet skreddersyr innhold, budskap, form og farge. Dette fordrer igjen at virksomheten har tekniske systemer og organisatoriske prosedyrer på plass for å skadebegrense, detektere og å redusere de negative konsekvensene av slike handlinger. Nettopp fordi mennesker til tider vil kunne gjøre ukloke valg, feilhandlinger, ta snarveier og kan manipuleres, uansett hvor mye opplæring og sikkerhetskompetanse den enkelte måtte inneha.
Læringspunktet som vi alle bør ta med oss fra Oljefondets øvelse er at de fleste av oss kan bli lurt dersom aktøren bak angrepet skreddersyr innhold, budskap, form og farge
Når Roer skriver at mellom 80 og 90 prosent av alle vellykkede IT-angrep gjennomføres ved misbruk av ansatte så kan man samtidig stille seg spørsmålet om de virksomhetene som ikke blir rammet nettopp hadde sine tekniske systemer og organisatoriske prosedyrer i orden. Tiltakene kan med andre ord ha forhindret at negative konsekvenser inntraff til tross for at de ansatte, også her, har blitt utnyttet og manipulert.
Ett av de mest avanserte cyberangrepene som er kjent fra nyere tid, leverandørkjedeangrepet mot programvareprodusenten SolarWinds, ble oppdaget nettopp på grunn av tekniske tiltak, velutviklede organisatoriske prosedyrer og en oppegående medarbeider på servicedesken til sikkerhetsselskapet FireEye som fulgte samme de organisatoriske prosedyrene.
I desember 2020 fanget medarbeideren opp at en ukjent mobil enhet forsøkte å koble seg til virksomhetens nettverk med bruk av en annen ansatts legitime påloggingsinformasjon. FireEye hadde med andre ord implementert tekniske tiltak som bidro til kontroll på hvilke mobile enheter som logget seg på nettverkene deres.
I tillegg hadde selskapet implementert organisatoriske prosedyrer som tilsa at servicedesken skulle kontakte selskapets ansatte som forsøkte å koble nye og ukjente mobile enheter til virksomhetens nettverk, for å verifisere at tilkoblingen var legitim. Den ansatte avkreftet at det var hen som forsøkte å koble seg til, og alarmen gikk internt i selskapet.
Senere ble dette kjent som starten på det verdensomspennende leverandørkjedeangrepet. Selv om dette kun er ett enkelt eksempel, illustrerer det godt sammenhengen mellom systemer, prosedyrer og medarbeidernes adferd (kultur). FireEyes' adm. direktør, Kevin Mandia, uttalte i etterkant av hendelsen at den ansatte på servicedesken var ny og fulgte de organisatoriske prosedyrene til punkt og prikke. Han forventet imidlertid ikke at en mer erfaren medarbeider ville gjort det samme. Forutsetningen som FireEye tilsynelatende opererte under, var at den menneskelige faktoren kan og vil bli utnyttet.
Ansatte vil motta phishing og andre former for sosial manipulering, og noen av disse forsøkene kan være målrettet mot personer av betydning for virksomheten. Slik eksempelet med oljefondssjef Nicolai Tangen godt illustrerer. Derfor trenger man en sikkerhet i dybden tankegang, hvor angriperen må forsere både tekniske, organisatoriske og menneskelige tiltak for å tilegne seg de nødvendige rettighetene for å gjennomføre en vellykket cyberoperasjon eller et angrep med løsepengevirus.
Man trenger sikkerhet i dybden, hvor angriperen må forsere både tekniske, organisatoriske og menneskelige tiltak for å tilegne seg de nødvendige rettighetene for å gjennomføre en vellykket cyberoperasjon
Alle de tre faktorene, tekniske systemer, organisatoriske prosedyrer og en god sikkerhetskultur, er nødvendige for en balansert og helhetlig sikkerhet og sikring. Dersom forutsetningen man opererer under er at de fleste ansatte vil kunne komme i en situasjon hvor de blir manipulert eller trykker på en målrettet phishing e-post – en sårbarhet som vanskelig kan reduseres til null – så må rettighetene som angriperen tilegner seg reduseres til et minimum. Og virksomhetens evne til å detektere angriperen må optimaliseres gjennom systemer og prosedyrer som sikrer at avvikene oppdages.
Kort oppsummert kan man si at en god sikkerhetskultur og adferd på individnivå ikke kan erstatte tekniske systemer og prosedyrer på virksomhetsnivå og vice versa. De må komplettere hverandre.
Simen Bakke
Selvstendig senior informasjonssikkerhetsrådgiver
