Gå til innhold

Universitet valgte å betale løsepenger etter å ha blitt slått ut av kryptovirus


Anbefalte innlegg

Videoannonse
Annonse

Dette er et ganske bra eksempel på hvorfor ansette trenger en solid opplæring i sikkerhet, spesielt når de driver en så stor virksomhet. Phishing bør ikke fortsatt kunne skje ved store, etablerte virksomheter.

Jeg hater også det at de betaler for å låse opp filene deres, da det garantert resulterer i flere angrep i fremtiden, men igjen er det jo bevist at vi mennesker vil helst ha noe med en gang, i stedet for at det skal lønne seg over tid.

Whatever.

  • Liker 1
Lenke til kommentar

Phishing er en ting, men Spear Phishing kan hvem som helst gå på. Hvis du mottar en PDF fra sjefen din navngitt "Rapport om GDPR og backup i norske bedrifter" der han sier "Gjelder dette oss også? Se spesielt siste avsnitt på side 16. " kommer ikke du til å laste ned PDF-fila i Windows Sandbox, lese deg opp på om det er noen aktive hull i PDF-verktøyet eller Windows Sandbox for tiden akkurat, og deretter åpne det i trygge omgivelser et kvarter senere, gitt at ingen slike finnes. Du åpner bare den PDF-en. Iallefall gjør de fleste det dersom de faktisk tror eposten kommer fra sjefen.

  • Liker 2
Lenke til kommentar
Gjest Slettet+9817234

Det er virkelighetsfjernt å tro at dette kan unngås med mer opplæring og kompetanseheving. Dette skjer selv i de største bedrifter, med de mest kompetente ansatte. Gode phishing-forsøk er nettopp konstruert for å ramme de mest kompetente, fordi det er hos dem det er mest å hente av informasjon.

Denne uken spres det titusenvis av phishing-eposter til ansatte i bedrifter i Norge, mange vil bli lurt til å gi fra seg passord. Store, seriøse bedrifter er allerede rammet. Jeg fikk selv en slik epost i går, formulert på feilfritt norsk, med reell avsender og en reell link til et dokument i sharepoint-området til en stor, seriøs norsk aktør. Det vil garantert være noen som venter på et dokument akkurat fra denne avsenderen, som uten å blunke vil åpne dokumentet, og oppgi passord for å kunne lese innholdet som vedkommende trenger for å overholde tidsfrister. Dette er bare teoretisk mulig å gardere seg imot. I den reelle verden, i det reelle arbeidslivet, må det påregnes at passord kommer på avveie og sikkerhetsbrister skjer.

Det som kjennetegner en ansvarlig IT-strategi, er ikke bare gode rutiner for å unngå å bli rammet. Det må selvsagt også være på plass, men den ansvarlige skjønner i tillegg at feil kan og vil skje, og har en god strategi for å agere hensiktsmessig når det skjer. Altfor mange som blir rammet i dag, dysser saken ned, unngår offentlighet for alt i verden, bare rydder opp internt i stillhet. Man slukker brannen hos seg selv, men lar den fortsette hos de andre. Den ansvarlige tenker annerledes: Nå gjelder det å stoppe brannen hos oss, samtidig advare alle den har spredt seg til via oss, samt sørge for at den som spredte brannen til oss, blir gjort kjent med dette og får nødvendig bistand.

Virus og cyberkrim sprer seg fordi aktørene som blir rammet, ikke opptrer ansvarlig. Hvis hver aktør i kjeden gjør sitt, så stoppes spredningen.

Lenke til kommentar

Det har vel kanskje aldri vært lettere eller bedre tider for kriminelle. De lever herrens glade dager som hackere og tjener penger som gress. Dette vil finansiere nye innbrudd, noen andre vil få svi fordi dette universitetet tok et dårlig valg. Du klarer ikke sikre deg 100% mot hacking eller phishing, men du kan ha en god backup på viktige data. Mye data tåler du også helt fint å miste. Blir hele greien kryptert, bruk heller et par millioner på IT-konsulenter som hjelper deg å få alt reinstallert og sikret igjen, ikke finansier kriminelle.

Lenke til kommentar
Gjest Slettet+9817234
OlaML skrev (3 timer siden):

Blir hele greien kryptert, bruk heller et par millioner på IT-konsulenter som hjelper deg å få alt reinstallert og sikret igjen, ikke finansier kriminelle.

Jeg skal love deg at universitetet ikke hadde kommet langt med 2 millioner til IT-konsulenter som alternativ til å betale løsepenger. Det ble betalt løsepenger fordi det lønner seg, ikke bare såvidt, men lønnsomheten er fullstendig uten sammenligning. Å gjenopprette fra backup er en langsom prosess som kan ta uker og måneder for en stor virksomhet, og da har du ingen garantier for at alt kommer på plass. En stor produksjonsvirksomhet kan tape hundrevis av millioner i inntekter i perioden, samtidig som regningene må betales som før, og med mulig økonomisk ansvar for ringvirkninger hos underleverandører og kunder. Konsekvensene kan bli formidable. I praksis kan valget stå mellom å betale løsepenger, eller gå konkurs.

Den fundamentalistiske ideen om å gjøre det kriminelt å utbetale løsepenger, som gis spalteplass i en annen artikkel her, kan sammenlignes med å kriminalisere selvforsvar.

Lenke til kommentar
17 hours ago, NoobMaster said:

Dette er et ganske bra eksempel på hvorfor ansette trenger en solid opplæring i sikkerhet, spesielt når de driver en så stor virksomhet. Phishing bør ikke fortsatt kunne skje ved store, etablerte virksomheter.

Internasjonale erfaringstall viser at sjølv med opplæring, så er det svært vanskelig å oppnå at færre enn 10% blir lurt. Å nå 5% blir sett på som ekstremt bra. Opplæring er og blir kun blir eit av fleire tiltak mot phishing.

Lenke til kommentar

En form for opplæringsplan virker å bli mer vanlig, selv om det gjerne går raskere i noen miljø enn andre. Men kriseplan for når man blir truffet av noe slikt som i artikkelen her, virker fortsatt å være langt mer sjeldent. Altfor mange snakker om "dersom vi blir angrepet" istedet for "når vi blir angrepet". 

At et universitet ikke har bedre rutiner her, er ganske skremmende. Har sett det samme med sykehus, det er kanskje enda verre.

  • Liker 1
Lenke til kommentar
18 minutes ago, Pop said:

Men kriseplan for når man blir truffet av noe slikt som i artikkelen her, virker fortsatt å være langt mer sjeldent. Altfor mange snakker om "dersom vi blir angrepet" istedet for "når vi blir angrepet". 

Eventuelt å konfigurera systemene slik at ein tilfeldig infisert brukar ikkje kan ta ned heile systemet...

Lenke til kommentar

Som andre har påpekt, man må nok forvente at slike angrep skjer. Ansatte burde selvsagt gis opplæring og de må opptre med varsomhet. På den andre siden, når alt kommer til alt er dette et IT problem. Ansvaret ligger hos IT-avdelingen og ledelsen. Man må forstå trusselbilde og ha gode rutiner for å håndtere angrep. At noen lot seg lure av en phishing email er uheldig, at det får så enorme konsekvenser er utilgivelig. Inkompetente ledere og driftsansvarlig. 

At de velger å betale er fult forståelig. De sparer de sikkert mye penger og tid på. Hvem bryr seg om det vil gi de kriminelle vann på mølla. 

Endret av Flin
Lenke til kommentar
1 minute ago, digimator said:

Eventuelt å konfigurera systemene slik at ein tilfeldig infisert brukar ikkje kan ta ned heile systemet...

Tipper det var et klassisk filshare hvor alle brukere har samme skrive- og leserettigheter og enhver mappet nettverksenhet er tilgjengelig ved oppstart.

Vi hadde tilsvarende hendelse her hvor kryptoviruset fikk jobbe noen timer og rakk et par hundre tusen filer. Klient isolert og backup returnerte det meste i løpet av dagen. Interessant at brukeren klagde ikke på egne vurderinger overhodet, men at backupen var for tregt tilbake på filområdene.

Lenke til kommentar
4 minutes ago, Flin said:

Som andre har påpekt, man må nok forvente at slike angrep skjer. Ansatte burde selvsagt gis opplæring og de må opptre med varsomhet. På den andre siden, når alt kommer til alt er dette et IT problem. Ansvaret ligger hos IT-avdelingen og ledelsen. Man må forstå trusselbilde og ha gode rutiner for å håndtere angrep. At noen lot seg lure av en phishing email er uheldig, at det får så enorme konsekvenser er utilgivelig. Inkompetente ledere og driftsansvarlig. 

At de velger å betale er fult forståelig. De sparer de sikkert mye penger og tid på. Hvem bryr seg om det vil gi de kriminelle vann på mølla. 

Du motsier deg selv når du slår fast at dette var et it-problem og samtidig kaller ledelse og it-avdeling for de ansvarlige. 

Stort sett er det altfor stor avstand mellom it og ledelse. Problemet er sammensatt. Det dreier seg om teknisk sikring, organisatorisk sikring, organisasjonskultur, holdninger, planverk og rutiner. 

Det hjelper ikke med en super it-avdeling om ledelsen aldri bryr seg om bekymringer for sikkerhet, avvik, varsler, endrede trusselbilder. Og det hjelper ikke at ledelsen er på, dersom it-avdelingen ikke ser hva som er god nok sikring, krisehåndtering og kompetanseheving.

Lenke til kommentar
9 minutes ago, Pop said:

Tipper det var et klassisk filshare hvor alle brukere har samme skrive- og leserettigheter og enhver mappet nettverksenhet er tilgjengelig ved oppstart.

Dersom eit infisert filshare tar ned eit heilt universitet, så er det noe veldig rart. Elles så er jo drivemapping det første ein må avskaffa for å unngå at kryptovirus sprer seg.

Lenke til kommentar
1 minute ago, digimator said:

Dersom eit infisert filshare tar ned eit heilt universitet, så er det noe veldig rart. Elles så er jo drivemapping det første ein må avskaffa for å unngå at kryptovirus sprer seg.

Bare tenk på hva som er et universitets viktigste vare. Informasjon. Dessverre har jeg sett lønnsavdelinger med det meste av lønnshåndtering på filshare. Excel-ark for det meste. Fjern dem og neste lønningsdag blir en lystig affære. 

Men altså, jeg kjenner ikke denne saken i detalj, jeg antar utifra den lille infoen som kommer frem. Hvis et kryptovirus i tillegg har kunnet ta ned dns, domenekontroller osv er det mer fristende å si at "da er det ikke synd på dem"....

Lenke til kommentar

Motsier meg selv? Nei nå får du gi deg. Ledelsen av et hvert foretak har ytterste ansvar for alt som foregår i bedriften. Når jeg sier at det er et problem med IT-avdelingen og ledelsen så indikerer jeg jo nettop at det er et sammensatt problem. Hvis ledelsen ikke prioritert IT så er det naturligvis problematisk. Samtidig er det mange IT-avdelinger som ikke er perfekte, personlig har jeg lang erfaring med inkompetanse hos IT. 

IT har ansvaret for å drifte systemene, holde de sikre og ha gode rutiner for å håndtere angrep. Ledelsen har ansvaret for å sørge for at dette skjer og bevilge nok midler. Hvor problemet ligger i dette eksempelet vet jeg ikke, men det er ikke hos brukeren som mottok eposten. Hvis jeg hadde vært leder av en bedrift, nettop utsatt for noe sånt, og IT hadde fortalt meg at måten vi unngår det i fremtiden på er å trene ansatte til gjenkjenne falske eposter, ja da hadde hele avdelingen fått avskjed. Iallefall de på toppen. 

Lenke til kommentar

Ja og det er et IT problem. Ansvaret for det problemet ligger hos IT-avdelingen og ledelsen. Det er ingen selvmotsigelse der.

La oss si at du har bytta bremser på bilen din, men mitt på motorvegen finner du ut at bremsene ikke fungerer lenger. Det er et teknisk problem som skulle vært løst av mekanikeren, men du har samtidig ansvar for å påse at jobben ble gjort. Du har også ansvar for å velge en mekaniker som har kompetanse til å reparere bremser. Så kan man krangle om hvem som har mest skyld i akkurat dette tilfellet, men det vil variere fra sak til sak. Det endrer ikke det faktum problemet er bremsene og at både bileier og mekaniker har et ansvar for å sørge for at de fungerer.

Hvis IT-avdelingen ikke makter å sikresystemene må man se på hvorfor de ikke klarer det. Det er ikke bare penger som er et problem, ofte er det kompetanse som mangler. Min tanke gang er at IT problemer skylles aldri brukeren, men systemer som er satt opp på en dårlig måte. Man kan ikke forvente noe som helst av brukeren og hvis man gjøre det så gjør man en dårlig jobb som sikkerhets og IT ansvarlig. Feil vil skje, noen vil gjøre noe dumt. Systemene er der for å forhindre at dette skjer, når det skjer må man ha gode rutiner. 

 

  • Liker 1
Lenke til kommentar

Bli med i samtalen

Du kan publisere innhold nå og registrere deg senere. Hvis du har en konto, logg inn nå for å poste med kontoen din.

Gjest
Skriv svar til emnet...

×   Du har limt inn tekst med formatering.   Lim inn uten formatering i stedet

  Du kan kun bruke opp til 75 smilefjes.

×   Lenken din har blitt bygget inn på siden automatisk.   Vis som en ordinær lenke i stedet

×   Tidligere tekst har blitt gjenopprettet.   Tøm tekstverktøy

×   Du kan ikke lime inn bilder direkte. Last opp eller legg inn bilder fra URL.

Laster...
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...