Artikel top billede

It-sikkerhed bliver aldrig det samme igen: Her er de gode råd til dig og din chef

Reportage: Total kontrol over dine virksomhedsdata ser ud til at være en saga blot i cloud-æraen. Tag med til et sikkerhedscenter i Israel, hvor det hypede begreb 'sikkerhed i flere lag' bliver skåret ud i spiselige strimler.

Taxaen svinger ind i et søvnigt industrikvarter i den nordlige del af den israelske storby Tel Aviv.

Den skarpe morgensol luner de få personer på gaden, palmerne langs vejkanten og en enkelt kat, der smyger sig opad husmuren.

Umiddelbart er det ikke lige til at se, at en af verdens største it-sikkerhedsselskabers anti-svindelafdelinger holder til her, hvor teknikere, nørder og højt specialiserede undercover-agenter døgnet rundt jagter hårdføre it-kriminelle over hele kloden.

Men der står RSA på døren. Så det er altså her, at en af hjørnestenene i it-giganten EMC's sikkerhedsafdeling har til huse, efter sikkerhedsselskabet stiftet af Ron Rivest, Adi Shamir og Len Adleman i 2006 blev solgt til den amerikanske storage-virksomhed for mere end 12 milliarder kroner.

Ved nærmere bekendtskab med receptionen viser det sig, at der er et lille hav af sikkerhedsventiler.

Vagter, kameraer og indgangssluser med krav om sikkerhedskort vidner alt sammen om, at dette vel ikke er et hvilket som helst kontor i Tel Aviv.

Senere finder jeg ud af, at mit billede og oplysninger om mit job som dansk journalist er sendt rundt til alle medarbejdere i selskabet. Bare så de på forhånd ved, hvem jeg er, og hvad jeg laver i bygningen.

Shalom - så er vi i gang.

Most wanted: Superhackeren Slavik  
Oppe på første sal byder chef for RSA's israelske anti-svindelafdeling, Daniel Cohen, velkommen. 

Der er kaffe og snacks på bordet, og projektoren viser en del plancher om, hvorfor nettet er et farligt sted at bevæge sig på i 2015.

(U)sikkerhedsbillederne bliver i dag malet af de økonomiske hackere, de politisk motiverede hacktivister og naturligvis også af statsmagter, der udspionerer hinanden og flere andre nationer mere eller mindre målrettet.

De får snart en masse nye arbejdsredskaber, når milliardvis af chips, computere og generelle dingenoter kobler sig på hypernettet med det lidet mundrette navn Internet of Things.

Daniel Cohen snakker om sorte markeder, der for længst er blevet bling-bling, og hvor Evgeniy Mikhailovich Bogachev har været storleverandør igennem længere tid.

I sikkerhedskredse er han blandt andet kendt som Slavik. En FBI Most Wanted-superhacker og hjernen bag open source- malware-familien Zeus. Den familie tegner ifølge Daniel Cohen sig i dag for 80 procent af alverdens malware.

Israel et naturligt valg for sikkerhed

På vejen herhen i taxaen har jeg tænkt på, hvorfor mon den amerikanske it-gigant har valgt at have et så vigtigt sikkerhedskontor i Israel, der er presset mod de nordlige grænser til Syrien og Libanon.

Samtidig har det aflange land haft årtier lange konflikter med palæstinenserne på Vestbreden og sydpå mod Gazastriben. I følge min guide i Jerusalem skal der kun en gnist til, før der går ild i hele Mellemøsten. 

Over frokosten giver israeleren og den sekulære jøde Daniel Cohen sit personlige bud på, hvorfor Israel er et ret naturligt valg til at placere et sikkerhedscenter i:

"Vi er et folk, der har været forfulgt i tusinder år, og derfor er vi, og har altid været, på tæerne. Det, synes jeg, egentlig er et godt udgangspunkt for at være i sikkerhedsbranchen," forklarer han venligt og opfordrer til flere spørgsmål af både politisk og religiøs karakter.

Det viser sig at blive en god, krydret frokost. 

Mist kontrollen og spænd hjelmen

Efter maden går Daniel Cohen i gang med at tegne og fortælle.

Han vil gerne skitsere de vigtigste sikkerhedsområder, som alle virksomheder med en online-tilstedeværelse i hans optik står over for i dag - og nogle år fremover.

Først flyver han dog lige op til det helt store helikopterperspektiv efter 20 år med henholdsvis mainframe- og pc-æraerne. 

"Vi er nu i cloud-perioden med mobile enheder, hvor alt er en service. Du kan ikke længere kontrollere data 100 procent. Det er en illusion, at du kan hegne alt ind," siger David Cohen.

Og så bliver det første og meget overordnede sikkerhedsområde skitseret som GRC.

Ultrakort omhandler den kasse virksomhedens sikkerhedsstrategi på topleder-niveau i forhold til eksempelvis risikovurdering og de overordnede lovgivningskrav.

Derefter tegner Daniel Cohen endnu firkant under GRC-kassen, inden han afbryder sig selv.

"Jeg ved, det er lidt af en floskel med flere lag af sikkerhed, men det er ikke desto mindre en sandhed, som selskaberne er ved at få øje på. Virksomhederne skal med flere lag være i stand til at reagere fornuftigt, hvis der opstår en besynderlig adfærd omkring deres netværk og data," siger han.

I firkant nummer to skriver han 'Management', og der bliver henvist til et spil vaskeægte buzzword-bingo, hvor første række bliver fyldt med 'big data', machine learning' og 'data science'.

Filosofien med management-laget er, at hvis man som virksomhed alligevel ikke kan forhindre at blive angrebet, så kan man i det mindste monitorere netværket og få kendskab til den normale trafik, før man kan opdage og afværge den unormale i tide.

Spørg bare Rigspolitiet, der var næsten et helt år om at opdage, at der var sat et hackerangreb ind, hvor der var stjålet fire millioner datasæt om danskerne. 

Lær dine maskiner at hyle højt

At få maskinerne til at gøre det hårde arbejde kan ske via indsamling og analyse af data af blandt andet de ansattes netværksadfærd (big data). Herefter kan man lære sine sikkerhedssystemer at genkende uautoriseret netværksadgang (machine learning).

Eksempelvis bliver en række netværksalarmer typisk sat til at hyle, hvis en bruger logger ind fra to vidt forskellige geografiske steder, men ofte er der tale om falske alarmer.

Det skyldes, at i en international virksomhed som RSA kan en person eksempelvis logge på virksomhedens netværk med en pc fra Kina og få minutter senere kan logge på fra en smartphoneserver i USA.

Hvis personen bruger en amerikansk teleudbyder og rent faktisk befinder sig i Kina med sin pc, så er det måske ikke nødvendigt at bruge efterforskningsressourcer på at undersøge dette ellers umiddelbart besynderlige login-mønster.

Derfor opfordrer RSA til, at virksomheder opsætter regler omkring blandt andet tidspunkter, devices og geografiske steder for login. Og naturligvis også kontekstanalyse - det vil sige, genkendelse af normal brugeradfærd for individer og grupper. 

Efter et stort hackerangreb mod RSA i 2011 har virksomheden taget sin egen medicin med en data science-tilgang til alarmer.

Det har betydet, at sikkerhedsselskabet er gået fra at have op mod 500 ugentlige alarmer til i dag at få fem alarmer om ugen, som til gengæld kan efterforskes grundigt.

Flere trusler i cloud-æraen

Management-laget skal ifølge Daniel Cohen som minimum kunne håndtere fem områder, som kan tricke alarmer.

De næste to kasser handler om medarbejdernes identiteter og deres computerenheder/devices.

"En virksomhed kan ikke længere kontrollere data, når medarbejderne dukker op med deres egne smartphones og hundredvis af forskellige online-identiter til Facebook, Twitter og så videre. Det var nemmere dengang, at alle data var på selskabets lokale servere," forklarer Daniel Cohen.

RSA opfordrer derfor alle til at kunne håndtere identiteter på to niveauer: Hvem prøver at logge på, og har de tilladelse til de efterspurgte systemer i forhold til selskabets sikkerhedspolitik.

Devices skal samtidig kontrolleres for malware, virusser og andet skidt for hele tiden at sikre sig, at medarbejdernes mere eller mindre private enheder ikke er blevet kompromitterede i phishing-kampagner eller via andre forsøg på social engineering.

Derefter er det selve bruger-autentifikationen, som virksomheden skal have styr på. Er et brugernavn og password eksempelvis nok, eller skal man diske op med NemID-login eller sågar afkrævning af iris-scanninger?

"Vi ser flere eksempler på, at to-faktor-autentifikation ikke længere er nok," siger Daniel Cohen og peger på, at fingeraftryk kunne være et godt sted at starte på et biometrisk tredje lag.

"I 99 procent af de tilfælde, hvor fingeraftryk bliver stjålet, kan hackerne ikke bruge det til noget," hævder han.

Tror på vendepunkt i 2015

Daniel Cohen fremhæver desuden, at transaktionen af data er et væsentligt område.

For data skal i et rollebaseret miljø kun kunne udleveres til personer, hvor det er relevant.

Selve dataopbevaringen i sagens natur også helt essentiel. 

I en cloud-tid er den slags i høj grad outsourcet til eksterne leverandører. Og du skal derfor som minimum have styr på de sikkerhedsmuligheder, som din outsourcing-leverandør i skyen tilbyder dig.

"Jeg tror virkelig på, at 2015 bliver vendepunktet i det evindelige katten-efter-musen-spil, som virksomheder er udfordret med på sikkerhedsområdet. Der vil eksempelvis blive sværere at stjæle folks identiteter, fordi der bliver strammet op alle steder," siger Daniel Cohen. 

Vi er på hans kontor, hvor han viser mig en liste over de mest angrebne lande i EU.

Danmark ligger på en 20-plads. Holland er nummer et, hvis man ser bort fra, at et land som Storbritannien ikke figurerer på lige netop denne liste.  

Daniel Cohen fortæller, at arbejdet med at holde folks netværk så rent som muligt, er den afgørende motivation for ham til at stå op om morgenen.

Jeg nikker anerkendende, giver hånden til farvel og smutter ned på gaden og eftermiddagssolen.

Den er knap så skarp og ikke så varm lige nu som tidligere, efter en dag hvor jeg har set en plan for, hvordan man kan dæmme effektivt op for de næsten uundgåelige hackerangreb. 

Måske brænder den igen i morgen.

Dansk CSC-hacker forlanger 745.000 kroner i erstatning


Dansk firma: Fik hacket Apple ID og modtog for 650.000 kroner iPhone 6