Selv om testingen var gjort mot virksomheter innenfor kunnskapssektoren, er flere av svakhetene som ble utnyttet gjengangere også hos norske virksomheter generelt.
Riksrevisjonen publiserte i januar en rapport som oppsummerte funnene fra inntrengningstester mot tre forskningsinstitusjoner. For to av virksomhetene, fikk testerne full kontroll over IKT-infrastrukturen som benyttes av ansatte og studenter i sitt daglige arbeid. For den ene virksomheten ble kontrollen oppnådd allerede i løpet av første dag med testing, og det ble funnet flere veier som kunne gi slik kontroll. Full kontroll innebar rettigheter til administrasjon av alle brukerkontoer i virksomheten, både PC-er og servere. Rettighetene ga også mulighet til å endre, slette eller kryptere all informasjon.
For den tredje virksomheten, fikk testerne kontroll over de fleste ansatte sine PC-er, som ga muligheter til å hente ut eller manipulere informasjon lagret både lokalt på PC-er og på brukerens skylagringsløsning.
Sårbarhetene som utnyttes, er gjengangere hos norske virksomheter
Testerne oppnådde full kontroll i to av virksomhetene, blant annet fordi det ble benyttet svake passord, tildeling av for høye rettigheter til for mange brukerkontoer og svakheter i nettverksbeskyttelsen. I tillegg var det mangelfull sikkerhetsovervåkning.
Eksemplene illustrerer hvor stor skade en virksomhet kan utsettes for som resultat av sviktende kontroll på fundamentale områder. Ved full kontroll over virksomhetens IKT-infrastruktur, kan en angriper påføre virksomheten enorme skader via både sensitive data på avveie og nedetid på kritiske tjenester. For virksomheter uten en backup helt frakoblet produksjonsmiljøet, vil et slikt angrep kunne medføre «kroken på døren».
Høsten 2023 publiserte Nasjonal sikkerhetsmyndighet (NSM) rapporten «Ti sårbarheter i norske IKT-systemer», som presenterte de ti vanligste sårbarhetene observert under NSMs inntrengingstester:
- Svake passord
- Mulighet for å utføre passordgjettingsangrep
- Uendrede standardpassord
- Ubeskyttede passord og andre autentiseringsdata
- Gamle, inaktive administratorkontoer
- For høye rettigheter på og for bred bruk av administratorkontoer
- Sårbar og utdatert programvare og protokoller
- Ikke-støttede operativsystemversjoner
- Mangelfull nettverkssegmentering og trafikkstyring
- Mangelfull herding av informasjonssystemet
Vi ser her at flere av de sentrale sårbarhetene som ble utnyttet hos virksomhetene i kunnskapssektoren, også er gjengangere hos andre virksomheter NSM gjør testing mot. Spesielt sentralt er manglende sikring av brukerkontoer, blant annet svak passordkvalitet, for høy utdeling av privilegerte rettigheter og inaktive brukerkontoer med privilegerte rettigheter.
Dette er helt fundamentale sikkerhetsbarrierer som i kombinasjon med feilkonfigurasjoner eller manglende sikkerhetsovervåking, kan få katastrofale følger for en virksomhet.
Styret og ledelsens ansvar – også for teknisk grunnsikring
Vi ser stadig hos virksomheter at innsikten om eksisterende tekniske sårbarheter i IKT-infrastrukturen som tekniske ressurser har, ikke når tydelig nok frem til styret og ledelsen.
Det er til syvende og sist styret og ledelsens ansvar å sørge for at virksomheten har et etablert og fungerende ledelsessystem for informasjonssikkerhet, slik at eksisterende sårbarheter blir avdekket og tiltak identifisert. Videre er det også styrets og ledelsens ansvar å sørge for at besluttede tiltak faktisk gjennomføres og lukker utestående sårbarheter i IKT-infrastrukturen, også helt elementære sårbarheter som svake passord og for mye bruk av privilegerte rettigheter.
Det er også avgjørende at styret og ledelsen legger til rette for at IT-avdelingen og nøkkelstillinger som IT-sjef, CTO og CISO har nødvendige midler til å oppnå tilstrekkelig sikring av IKT-infrastrukturen.
Vår erfaring er at mange virksomheter har kommet godt i gang med etablering av overordnede retningslinjer og risikovurderinger relatert til informasjonssikkerheten, men at det fortsatt gjenstår mye arbeid med å identifisere og tette både tekniske og organisatoriske sårbarheter relatert til IKT-infrastrukturen.
Et godt utgangspunkt for å komme i gang vil være å gjennomføre en gap-analyse av tekniske og organisatoriske sikringstiltak relatert til IKT-infrastrukturen, sett opp mot rammeverk som NSMs grunnprinsipper for IKT-sikkerhet eller CIS Controls. Identifiserte avvik, satt i sammenheng med virksomhetens verdier og trusselaktører, vil være utgangspunktet for å vurdere risikoer. Fokuset bør ikke kun være på direkte eksponerbare sårbarheter i IKT-infrastrukturen, men også risikoen som manglende dybdeforsvar kan utsette virksomheten for. Etter at risikoer er vurdert og risikoreduserende tiltak er implementert, bør tiltakenes effekt testes, for eksempel i form av en penetrasjonstest eller beredskapsøvelse.
BDO har mye erfaring med gjennomføring av gap-analyser ved bruk av NSMs grunnprinsipper og CIS Controls, samt at vi også leverer penetrasjonstester og beredskapsøvelser. Ta kontakt om du ønsker en uforpliktende prat om hvordan vi kan bistå deg med å evaluere og forbedre din virksomhets IKT-sikkerhet.