Jump to content
Harald Brombach (digi.no)

Universitet valgte å betale løsepenger etter å ha blitt slått ut av kryptovirus

Recommended Posts

Dette er et ganske bra eksempel på hvorfor ansette trenger en solid opplæring i sikkerhet, spesielt når de driver en så stor virksomhet. Phishing bør ikke fortsatt kunne skje ved store, etablerte virksomheter.

Jeg hater også det at de betaler for å låse opp filene deres, da det garantert resulterer i flere angrep i fremtiden, men igjen er det jo bevist at vi mennesker vil helst ha noe med en gang, i stedet for at det skal lønne seg over tid.

Whatever.

  • Like 1

Share this post


Link to post
Annonse

Phishing er en ting, men Spear Phishing kan hvem som helst gå på. Hvis du mottar en PDF fra sjefen din navngitt "Rapport om GDPR og backup i norske bedrifter" der han sier "Gjelder dette oss også? Se spesielt siste avsnitt på side 16. " kommer ikke du til å laste ned PDF-fila i Windows Sandbox, lese deg opp på om det er noen aktive hull i PDF-verktøyet eller Windows Sandbox for tiden akkurat, og deretter åpne det i trygge omgivelser et kvarter senere, gitt at ingen slike finnes. Du åpner bare den PDF-en. Iallefall gjør de fleste det dersom de faktisk tror eposten kommer fra sjefen.

  • Like 2

Share this post


Link to post

Dette er finansiering av kriminalitet!

Ledelsen bør ilegges saftige bøter!

Det er tull å gi bøter til en bedrift. Det er alltid menneskene bak som bør ansvarliggjøres.

Å gi saftige bøter til en skole/universitet går ut over uskyldige studenter, mens menneskene som utfører kriminaliteten går fri.

Share this post


Link to post

Det er virkelighetsfjernt å tro at dette kan unngås med mer opplæring og kompetanseheving. Dette skjer selv i de største bedrifter, med de mest kompetente ansatte. Gode phishing-forsøk er nettopp konstruert for å ramme de mest kompetente, fordi det er hos dem det er mest å hente av informasjon.

Denne uken spres det titusenvis av phishing-eposter til ansatte i bedrifter i Norge, mange vil bli lurt til å gi fra seg passord. Store, seriøse bedrifter er allerede rammet. Jeg fikk selv en slik epost i går, formulert på feilfritt norsk, med reell avsender og en reell link til et dokument i sharepoint-området til en stor, seriøs norsk aktør. Det vil garantert være noen som venter på et dokument akkurat fra denne avsenderen, som uten å blunke vil åpne dokumentet, og oppgi passord for å kunne lese innholdet som vedkommende trenger for å overholde tidsfrister. Dette er bare teoretisk mulig å gardere seg imot. I den reelle verden, i det reelle arbeidslivet, må det påregnes at passord kommer på avveie og sikkerhetsbrister skjer.

Det som kjennetegner en ansvarlig IT-strategi, er ikke bare gode rutiner for å unngå å bli rammet. Det må selvsagt også være på plass, men den ansvarlige skjønner i tillegg at feil kan og vil skje, og har en god strategi for å agere hensiktsmessig når det skjer. Altfor mange som blir rammet i dag, dysser saken ned, unngår offentlighet for alt i verden, bare rydder opp internt i stillhet. Man slukker brannen hos seg selv, men lar den fortsette hos de andre. Den ansvarlige tenker annerledes: Nå gjelder det å stoppe brannen hos oss, samtidig advare alle den har spredt seg til via oss, samt sørge for at den som spredte brannen til oss, blir gjort kjent med dette og får nødvendig bistand.

Virus og cyberkrim sprer seg fordi aktørene som blir rammet, ikke opptrer ansvarlig. Hvis hver aktør i kjeden gjør sitt, så stoppes spredningen.

  • Like 4

Share this post


Link to post

Det har vel kanskje aldri vært lettere eller bedre tider for kriminelle. De lever herrens glade dager som hackere og tjener penger som gress. Dette vil finansiere nye innbrudd, noen andre vil få svi fordi dette universitetet tok et dårlig valg. Du klarer ikke sikre deg 100% mot hacking eller phishing, men du kan ha en god backup på viktige data. Mye data tåler du også helt fint å miste. Blir hele greien kryptert, bruk heller et par millioner på IT-konsulenter som hjelper deg å få alt reinstallert og sikret igjen, ikke finansier kriminelle.

Share this post


Link to post
OlaML skrev (3 timer siden):

Blir hele greien kryptert, bruk heller et par millioner på IT-konsulenter som hjelper deg å få alt reinstallert og sikret igjen, ikke finansier kriminelle.

Jeg skal love deg at universitetet ikke hadde kommet langt med 2 millioner til IT-konsulenter som alternativ til å betale løsepenger. Det ble betalt løsepenger fordi det lønner seg, ikke bare såvidt, men lønnsomheten er fullstendig uten sammenligning. Å gjenopprette fra backup er en langsom prosess som kan ta uker og måneder for en stor virksomhet, og da har du ingen garantier for at alt kommer på plass. En stor produksjonsvirksomhet kan tape hundrevis av millioner i inntekter i perioden, samtidig som regningene må betales som før, og med mulig økonomisk ansvar for ringvirkninger hos underleverandører og kunder. Konsekvensene kan bli formidable. I praksis kan valget stå mellom å betale løsepenger, eller gå konkurs.

Den fundamentalistiske ideen om å gjøre det kriminelt å utbetale løsepenger, som gis spalteplass i en annen artikkel her, kan sammenlignes med å kriminalisere selvforsvar.

  • Innsiktsfullt 1

Share this post


Link to post
17 hours ago, NoobMaster said:

Dette er et ganske bra eksempel på hvorfor ansette trenger en solid opplæring i sikkerhet, spesielt når de driver en så stor virksomhet. Phishing bør ikke fortsatt kunne skje ved store, etablerte virksomheter.

Internasjonale erfaringstall viser at sjølv med opplæring, så er det svært vanskelig å oppnå at færre enn 10% blir lurt. Å nå 5% blir sett på som ekstremt bra. Opplæring er og blir kun blir eit av fleire tiltak mot phishing.

Share this post


Link to post

En form for opplæringsplan virker å bli mer vanlig, selv om det gjerne går raskere i noen miljø enn andre. Men kriseplan for når man blir truffet av noe slikt som i artikkelen her, virker fortsatt å være langt mer sjeldent. Altfor mange snakker om "dersom vi blir angrepet" istedet for "når vi blir angrepet". 

At et universitet ikke har bedre rutiner her, er ganske skremmende. Har sett det samme med sykehus, det er kanskje enda verre.

  • Like 1

Share this post


Link to post
18 minutes ago, Pop said:

Men kriseplan for når man blir truffet av noe slikt som i artikkelen her, virker fortsatt å være langt mer sjeldent. Altfor mange snakker om "dersom vi blir angrepet" istedet for "når vi blir angrepet". 

Eventuelt å konfigurera systemene slik at ein tilfeldig infisert brukar ikkje kan ta ned heile systemet...

Share this post


Link to post

Som andre har påpekt, man må nok forvente at slike angrep skjer. Ansatte burde selvsagt gis opplæring og de må opptre med varsomhet. På den andre siden, når alt kommer til alt er dette et IT problem. Ansvaret ligger hos IT-avdelingen og ledelsen. Man må forstå trusselbilde og ha gode rutiner for å håndtere angrep. At noen lot seg lure av en phishing email er uheldig, at det får så enorme konsekvenser er utilgivelig. Inkompetente ledere og driftsansvarlig. 

At de velger å betale er fult forståelig. De sparer de sikkert mye penger og tid på. Hvem bryr seg om det vil gi de kriminelle vann på mølla. 

Edited by Flin

Share this post


Link to post
9 hours ago, Miri said:

...

Senest her om dagen fekk sjefen sjølv i bedrifta her ein mail frå ein av våre eigne kunder, som han nyleg hadde vore på tlf med. Hadde det ikkje vore for at "PDF" fila (ei bilde wrappa med ei lenke til ekstern nettside) så snodig ut i mailen hadde han nok gått fem på.

Share this post


Link to post
1 minute ago, digimator said:

Eventuelt å konfigurera systemene slik at ein tilfeldig infisert brukar ikkje kan ta ned heile systemet...

Tipper det var et klassisk filshare hvor alle brukere har samme skrive- og leserettigheter og enhver mappet nettverksenhet er tilgjengelig ved oppstart.

Vi hadde tilsvarende hendelse her hvor kryptoviruset fikk jobbe noen timer og rakk et par hundre tusen filer. Klient isolert og backup returnerte det meste i løpet av dagen. Interessant at brukeren klagde ikke på egne vurderinger overhodet, men at backupen var for tregt tilbake på filområdene.

Share this post


Link to post
4 minutes ago, Flin said:

Som andre har påpekt, man må nok forvente at slike angrep skjer. Ansatte burde selvsagt gis opplæring og de må opptre med varsomhet. På den andre siden, når alt kommer til alt er dette et IT problem. Ansvaret ligger hos IT-avdelingen og ledelsen. Man må forstå trusselbilde og ha gode rutiner for å håndtere angrep. At noen lot seg lure av en phishing email er uheldig, at det får så enorme konsekvenser er utilgivelig. Inkompetente ledere og driftsansvarlig. 

At de velger å betale er fult forståelig. De sparer de sikkert mye penger og tid på. Hvem bryr seg om det vil gi de kriminelle vann på mølla. 

Du motsier deg selv når du slår fast at dette var et it-problem og samtidig kaller ledelse og it-avdeling for de ansvarlige. 

Stort sett er det altfor stor avstand mellom it og ledelse. Problemet er sammensatt. Det dreier seg om teknisk sikring, organisatorisk sikring, organisasjonskultur, holdninger, planverk og rutiner. 

Det hjelper ikke med en super it-avdeling om ledelsen aldri bryr seg om bekymringer for sikkerhet, avvik, varsler, endrede trusselbilder. Og det hjelper ikke at ledelsen er på, dersom it-avdelingen ikke ser hva som er god nok sikring, krisehåndtering og kompetanseheving.

Share this post


Link to post
9 minutes ago, Pop said:

Tipper det var et klassisk filshare hvor alle brukere har samme skrive- og leserettigheter og enhver mappet nettverksenhet er tilgjengelig ved oppstart.

Dersom eit infisert filshare tar ned eit heilt universitet, så er det noe veldig rart. Elles så er jo drivemapping det første ein må avskaffa for å unngå at kryptovirus sprer seg.

Share this post


Link to post
1 minute ago, digimator said:

Dersom eit infisert filshare tar ned eit heilt universitet, så er det noe veldig rart. Elles så er jo drivemapping det første ein må avskaffa for å unngå at kryptovirus sprer seg.

Bare tenk på hva som er et universitets viktigste vare. Informasjon. Dessverre har jeg sett lønnsavdelinger med det meste av lønnshåndtering på filshare. Excel-ark for det meste. Fjern dem og neste lønningsdag blir en lystig affære. 

Men altså, jeg kjenner ikke denne saken i detalj, jeg antar utifra den lille infoen som kommer frem. Hvis et kryptovirus i tillegg har kunnet ta ned dns, domenekontroller osv er det mer fristende å si at "da er det ikke synd på dem"....

Share this post


Link to post

Motsier meg selv? Nei nå får du gi deg. Ledelsen av et hvert foretak har ytterste ansvar for alt som foregår i bedriften. Når jeg sier at det er et problem med IT-avdelingen og ledelsen så indikerer jeg jo nettop at det er et sammensatt problem. Hvis ledelsen ikke prioritert IT så er det naturligvis problematisk. Samtidig er det mange IT-avdelinger som ikke er perfekte, personlig har jeg lang erfaring med inkompetanse hos IT. 

IT har ansvaret for å drifte systemene, holde de sikre og ha gode rutiner for å håndtere angrep. Ledelsen har ansvaret for å sørge for at dette skjer og bevilge nok midler. Hvor problemet ligger i dette eksempelet vet jeg ikke, men det er ikke hos brukeren som mottok eposten. Hvis jeg hadde vært leder av en bedrift, nettop utsatt for noe sånt, og IT hadde fortalt meg at måten vi unngår det i fremtiden på er å trene ansatte til gjenkjenne falske eposter, ja da hadde hele avdelingen fått avskjed. Iallefall de på toppen. 

Share this post


Link to post

Ja og det er et IT problem. Ansvaret for det problemet ligger hos IT-avdelingen og ledelsen. Det er ingen selvmotsigelse der.

La oss si at du har bytta bremser på bilen din, men mitt på motorvegen finner du ut at bremsene ikke fungerer lenger. Det er et teknisk problem som skulle vært løst av mekanikeren, men du har samtidig ansvar for å påse at jobben ble gjort. Du har også ansvar for å velge en mekaniker som har kompetanse til å reparere bremser. Så kan man krangle om hvem som har mest skyld i akkurat dette tilfellet, men det vil variere fra sak til sak. Det endrer ikke det faktum problemet er bremsene og at både bileier og mekaniker har et ansvar for å sørge for at de fungerer.

Hvis IT-avdelingen ikke makter å sikresystemene må man se på hvorfor de ikke klarer det. Det er ikke bare penger som er et problem, ofte er det kompetanse som mangler. Min tanke gang er at IT problemer skylles aldri brukeren, men systemer som er satt opp på en dårlig måte. Man kan ikke forvente noe som helst av brukeren og hvis man gjøre det så gjør man en dårlig jobb som sikkerhets og IT ansvarlig. Feil vil skje, noen vil gjøre noe dumt. Systemene er der for å forhindre at dette skjer, når det skjer må man ha gode rutiner. 

 

  • Like 1

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...