Elektronisk kriminalitet har udviklet sig til en millionforretning, hvor organiserede kriminelle bander arbejder målrettet med at udnytte sikkerhedsbrister hos private brugere og virksomheder. Den finansielle sektor tegnede sig for 93 pct. af alle databrud sidste år og hele 90 pct. af bruddene blev begået af grupper, som af myndighederne var kendt for at være involveret i organiseret kriminalitet, fortæller den årlige sikkerhedsrapport fra Verizon Business.
I rapporten fra sidste år konstateres det, at knap ni ud af 10 databrud kunne være undgået ved brug af basale sikkerhedsforanstaltninger. De fleste af de undersøgte brud krævede hverken svær eller dyr forebyggelse. I 2009-rapporten konkluderes det, at fejl og forsømmelser i højere grad var årsagen til brud end mangel på ressourcer.
For kriminelle er der mange penge at tjene ved at stjæle CPR-numre sammen med kreditkort-oplysninger. Angreb med det formål at skaffe sig CPR-numre rammer den typiske forbruger meget hårdere end almindelig underskrifts-forfalskning, hvor en forbrugeres kreditkort bliver misbrugt.
Verizon Business' undersøgelseseksperter fandt ud af, at svindel med personlige oplysninger såsom CPR-numre fører til, at penge bliver hævet direkte på forbrugerens konto - uanset om der er tale check-, opsparings- eller hævekonti - hvilket placerer en større byrde på forbrugerens skuldre om at bevise at transaktionerne er falske.
Den stadigt stigende pris på personlige data gør, at hackernes metoder til at gå efter disse data også bliver mere og mere innovative. De cyberkriminelle har genopfundet deres processer og udviklet nye værktøjer såsom memory-scraping malware.
I mange af sagerne om elektroniske indbrud fører sporene til det østeuropæiske område.
»Østeuropa er notorisk kendt inden for organiseret cyberkriminalitet og spillede en stor rolle i de databrud, der skete i 2008. Vi har en del bevismateriale, der viser, at organiserede kriminelle står bag de ondsindede aktiviteter fra Østeuropa. Dog skal det på den lyse side nævnes, at myndighederne foreløbigt har arresteret cyberkriminelle i 15 af sagerne fra 2008, og der er flere i vente,« siger Peter Tippett fra Verizon Business Security Solutions.
74 pct. af databruddene var forårsaget af eksterne kilder, mens 32 pct. kunne tilskrives forretningspartnere. Blot 20 pct. af tilfældene var forårsaget af insidere, altså f.eks. virksomhedens egne medarbejdere.
I 69 pct. af tilfældene blev indbruddet opdaget af en tredjepart og ikke af offeret selv. Evnen til at opdage dataindbrud, når de sker, er stadig en kæmpe barriere for de fleste virksomheder, konstateres det i rapporten.
Den finansielle sektor tegnede sig for 93 pct. af alle sagerne i 2008. Denne sektor har mere end fordoblet sin andel af de samlede angreb i løbet af et år. Derudover er detail- og hotel- og restaurantsbranchen blandt de hårdest ramte.
»Stigningen i databrud i den finansielle sektor afspejler det seneste års trend inden for cyberkriminalitet - særligt hvad angår tilegnelsen af CPR-numre, som kan sælges på det sorte marked. De finansielle virksomheder var særligt udvalgt af de kriminelle og blev ofre for nogle meget fast besluttede, meget sofistikerede og desværre meget succesfulde angreb i 2008,« siger Peter Tippett.
Foruden USA og Europa er der også registreret et stigende antal dataindbrud hos virksomheder i Brasilien, Indonesien, Filippinerne, Japan og Australien.
Rapporten anbefaler en række forholdvis simple forholdsregler, som kan beskytte mod langt de fleste angreb.
»Denne rapport viser tydeligt, at det handler ikke om udspekulerede og komplekse sikkerhedsforanstaltninger. Det handler i virkeligheden om at foretage helt basale ting som planlægning, implementering og monitorering af data," siger Peter Tippett.
Blandt anbefalingerne i rapporten er:
· Ændr default-brugeroplysninger. I 2008 brugte de kriminelle hyppigst default-brugeroplysninger som metode til databrud i virksomhederne. Derfor er det essentielt at ændre brugernavne og passwords regelmæssigt samt at sikre sig at forhandlere også gør det.
· Undgå at dele brugeroplysninger. Foruden ændrede default-brugeroplysninger bør virksomhederne også sikre at passwords er unikke og ikke deles mellem brugere eller på forskellige systemer. Dette var særligt problematisk for systemer administreret af tredjeparter.
· Revurdér brugerkonti. Mange års erfaring viser, at det betaler sig at revurdere brugerkonti regelmæssigt. Revurderingen bør bestå af en formaliseret proces, der kan bekræfte, at alle aktive konti er gyldige, nødvendige, rigtigt konfigureret og givet de rigtige rettigheder.
· Anvend applikationstests og koderevurderinger. SQL injection-angreb, cross-site scripting, bypassing af autentificering og udnyttelse af session variables var årsag til næsten halvdelen af de undersøgte databrudssager, der involverede hacking. Web- applikationstests har derfor aldrig været mere vigtige.
· Udfør omfattende patching. Al hacking og malware, som udnyttede sårbarheder til at kompromittere data, der var seks måneder gammel eller ældre. Det betyder ikke, at hurtig patching nødvendigvis er svaret, men at komplet og flittig patching er svaret.
· Sikr at HR benytter effektive afslutnings-procedurer. Brugeroplysningerne fra nyligt stoppede medarbejdere blev brugt til begå sikkerhedsbrud i en meget stor del af insidertilfældene i 2008. Virksomhederne bør sørge for at have omfattende medarbejder-afslutningsprocedurer for at nedlukke brugerkonti og fjerne alle adgangstilladelser.
· Aktivér applikationslogs og overvågning. Angrebene bevæger sig opad i computerstrukturen til applikationslaget. Virksomhederne bør have en standard log-evalueringspolitik, som kræver at virksomheden inspicerer data uden for netværket, operativsystemet og firewall-logs for at inkludere fjernadgangsservices, databaser og andre kritiske applikationer.
· Definér det 'suspekte' og 'anormale' (og led efter det). Det stigende antal af sofistikerede og målrettede angreb sker ofte hos virksomheder, som lagrer store mængder af data af høj værdi i det kriminelle miljø. Virksomhederne bør være forberedte på at forsvare sig mod og opdage disse målrettede angreb.
Premium
OpenAI har udviklet et særligt værktøj, der med 99,9 procents sikkerhed kan identificere tekst skabt med ChatGPT