M Networks
M Networks er IT-leverandør og Microsoft-partner med base i Nordsjælland, der hjælper SMV'er med IT-drift, support, hosting, sikkerhed og cloud-løsninger.
I denne podcast deler vi de erfaringer, spørgsmål og udfordringer, vi møder i praksis.
Podcasten er til dig, der har hænderne på kogepladen i IT eller har ansvaret for beslutningerne. Vi holder det kort, konkret og brugbart.
Du får inspiration, sparring og praktiske råd, du kan tage med direkte tilbage i virksomheden.
M Networks
4. Når virksomheden bliver hacket [del 1 af 2]
Use Left/Right to seek, Home/End to jump to start or end. Hold shift to jump forward or backward.
Det er ikke et spørgsmål om hvis, men hvornår – og bliver din virksomhed ramt af et hackerangreb, så tæller hvert minut.
I denne episode fortæller Flemming Lind Rasmussen om, hvad der reelt sker, når en virksomhed bliver hacket. Fra den første besked på skærmen, hvor hackerne nærmest "service-minded" tilbyder dig en løsning, til den række af specialister, man pludselig har brug for omkring sig.
Flemming forklarer, hvorfor man ikke selv skal forhandle med veltrænede hackergrupper – og hvorfor man har brug for et stærkt incident response-team, der dækker alt fra teknisk genopbygning over forensic til forhandling. Vi taler også om det vigtigste af alt: tid. Har du dit beredskab på plads – så du ved, hvem du skal ringe til – kan du få hjælp inden for en time. Ellers kan der gå flere døgn, før du er i gang igen.
Denne podcast udgives af M Networks, IT-leverandør og Microsoft-partner i Nordsjælland. Vil du høre mere eller tage en snak om jeres IT, kan du besøge mnetworks.dk, skrive til info@mnetworks.dk eller ringe på 70 10 70 05.
Der man kommer til at se. Figer man det. Så eksponer man så for. Hælger man det andet. Så kan man låse lidt om sig selv. Og hvis det så kommer ud på et senere tidspunkt, så skal man begynde at have forklare lidt sin. Hvorfor man gjorde det på det tidspunkt. Det er nu åben og transparent for nu det ud med det samme sige, jeg har gjort et eller andet her. Der er ikke noget forkert i det. Vi kan alle sammen ryge den filme uanset hvor dygtig vi er. Jeg hedder Fægsen og arbejder på Stem Network. I min daglig dag hjælper jeg vores kunder og virksomheder og nye kunder med at få en mere robust og IT siker hverdag. Det er første del af afsnitten, når virksomheden bliver hæket. Der hvor vi kommer ind i processen, når folk er blevet angrebet af noget cyberang og en eller anden slags. Så er det jo fordi, at der har opstået noget panik hos det pågænde virksomhed, og de er meget usikre på, hvad det er, der foregår. Og så skal de bruge simpelthen noget hjælp. Og mange gange, når virksomheden ligesom bliver ramt af det her, så er det det første, de ser, det er jo en eller anden meddelelse på et eller andet system, hvor der ligger et besked for de her hasker, som har været inde. Og de er jo meget sagt service minder. Vi har haget dit system. Men vi vil selvfølgelig gerne hjælpe dig, fordi det er jo en del af deres forretningsmodel. De vil jo selvfølgelig gerne se noget IT-sikkerhed, fordi de har jo ligesom ved at have haget dem. Og ant skåleg gjort, at de er, eksponeret for en eller anden form for sårbarhed. Og den her soverhed kan de jo selvfølgelig godt hjælpe en med. Og der er, at man lige skal stoppe op og tænke sig om en gang og sige, hvem er det, vi har fat i. Og hvad er det, der sker, når man som virksomhed bliver ramt af et hærkerang. Og det kan være meget voldsomt. Fe ikke noget, man har trænet, det er ikke noget, man kender til, man ved ikke, hvad det er, der skal ske. Man har i sin daglig daget bredskabsplaner, man har business continuer planer, man har alle mulige former for planer og ting klart i det tilfælde, at man skulle blive ramt et hærkerang. Men man ved bare aldrig rigtigt, hvad det er, der sker den dag, det sker. Og bliver man ramt, der er stor sandsynlighed for, at alle kan blive ramt af det her. Så uanset hvor mange penge man har brugt på at bygge sit vede skaber op at styre uden omkring det her, så er der store chancer for, at man kan blive ramt. Og det, der har været ramt, det siger, at vi har også en fornelse af at lave en tro på, at man måske kan blive ramt igen. Ford man har været ramt en gang, så er man ikke i helle at kan slippe for det her, men man kan sagtens blive ramt en gang til. Når de så ringer til os, så har det behov for hjælp. Og den hjælp, vi kan hjælpe dem med det er for vores vedkommende. Det er at vi kan stille noget i skarpe folk til omkring det her. Men vi har også etværk, fordi man skal have et team ind omkring sådan en event, der kommer her. Man skal have et response team inden, som kan styre det her. Selvom man som virksomhed siger, at vi er dygtige, og vi er gode til det her, så skal man have nogen, der har siddet det her før. Har en dyb erfaring, fordi modparten kender du ikke. Du ved ikke, hvem det er, og de er sindssygt dygtige. Lad os sige det sådan. Der er ikke så meget at ræk om, de er ret skarbe til, at det laver. Så hvis man tror, man er god til at forhandle, så er du ikke god til at forhandle med herker. Så derfor skal du have nogle team ind, der kan hjælpe dig. Så vi sætter et internett respons team ind, som hjælper og støtter ledelsen i virksomheden med at kunne håndtere den her situation, fordi der er en ledelsesmæssig situation i det her. Det er at du skal kunne kommunikere omkring, hvad er det, der er sket, hvorfor det sket. Hvis man ved det, det ved man som regel ikke i starten. Så skal der tages en hav af beslutninger, og det skal tages op på ledelsesgangen. Og det er de nok ikke helt klar over, hvor mange beslutninger skal tages, fordi man er i et dilemma, og de der beslutninger, man skal tage, det er to under, skal vi gøre den ene eller den anden ting. Uanset hvad man gør, så føler man aldrig det rigtigt, man gør. Inte respons teamet bliver styret af en projektleder typisk, der sidder inde og styre det her. Han har så typisk, hvis virksomheden har egne IT-afdeling. Dem på den ene side, men de skal jo skånes for både virksomheden selv og sige, at nu virker systemerne ikke, hvorfor det nede, hvornår kommer det op. Men man skal også frigøre nogle ressourcer dernede, fordi det skal være dem, der skal være med til at bygge systemet op igen, sammen med en ekstern partner som f.eks. også. Udover det, så skal vi have nogen ind, som skal kigge på, hvad det er for en skade, der er sket. Hvordan er de her hacker kommet ind i dit netværk eller ind i dine systemer på en eller anden måde. Og det vil sige, at vi skal have en eller anden form for forensic på at undersøge det her. Der sidder nogle dataanalytikere, som er super skarpe til det her. Og de skal finde ud af, hvordan hvert tidspunkt helt præcis er hærkerne kommet ind i dit system, hvor har de har været henne, hvilken skade har de lavet på dit system, og hvad data har de taget med ud. Og det er meget vigtigt, at man analyseret sig frem til det her, fordi når man skal lave backup, så skal man være sikker på, at man ikke bærker op på noget, som er inficeret, men man skal finde et rigtigt tidspunkt, hvor man kan rekonstruere fra og så råle frem af igen. Så det er super vigtigt, at de også var arbejdsro, og det tager, når man skal traverser igennem rigtig meget data, så får de lov til at sidde der og hygge med det her. Men det, der allervigst, når man bliver ramt, det er tid. Og derfor skal man ikke sidde og gemme på det her. Man skal række ud, og man skal få aldrig nu, hvis man ikke er blevet ramt omkring det her, så skal man simpelthen få lavet sit. Man skal finde ud af, hvem er det, man skal ringe til. Det kan ikke noget, at man begynder på det, når man er ramt, fordi så løver din tid simpelthen alt fortigt. Så hvis du har ditskab i orden, så kan du faktisk få hjælp ind for en time. Men har du det ikke, så kan der gå op til 2 til 3 døgn, ind du får aftaler og alt muligt på plæs med en leverandør med forskelge ting. Og det er dybt gritisk i forhold til at blive retableret som virksomhed. Jeg øl, at man tør. Jamen så har modparten her så bold den på sin række. Så løber du bare lidt forvillet rundt. Ved at tøve, så udviser man også i forhold til hærkerne en form for, at man ikke rigtig parat, og man måske ikke kan tvinge, de der hærker til at afsløre nogle af de ting, som de har, og måske oftegøre nogle af de ting. Og det kan jo være ret kritisk, hvis der er GDP hert materiale, som de siger, at så lægger vi lidt af det her til medierne, og så får man en helt anden situation, som man heller ikke vil have, fordi så er man ude af kontrol. Så derfor skal man relativt hurtigt reagere på det her og få sat et team af hjælper op omkring det her. Nu nævner jeg indtil den respons teamet før, så skal vi også have et team af forensik folk, som er gode til det her. Så det er to hjælper, man skal have det. Så skal du have nogen, der kan forhandle for dig, fordi selvom man er god til at forhandle, så er du ikke gode til at forhandle med sådan nogle hakkergrupper. Og herkergrupperne er jo, og det må vi bare være ærlig, det er jo statsstyrede organisationer, som der hedder, har enormt store ressourcer til at kunne sidde og køre omkring det her. Så der skal vi have nogen, som kender det her game, har erfaring med det, og dem, som vi har, og som vi samarbejder med, de har jo plus 300 cases, som de kan dykke ned i være med til at styre det her forløb, der skal være. Og de kommer så til at række ud til de her hacker på vegne af, og begynde at styre den her proces. Fordi får man ikke styre den her proces forhånd, så begynder de simpelthen at blive orolig på den anden side, og så begynder de at lægge dine data. Og det vil du for alt i verden ikke have. Man kan også sige, at hvis man ikke har de her aftaler på plads, så skal de jo forhandles på plads. Og hvis du sidder her og er haget, og du har en virksomhed, som ikke er et drift mere lige pludselig, det bliver bare noget rode, fordi du er simpelthen bare bag ud på poin. Så sørg nu for at få det der bedskab på plads med, hvem kan man ringe til, når man bliver ramt af et herangreb. Typisk når vi har en kunde, som ringer ind, så er det jo et eller andet, måske også lidt flove over at skulle ringe og sige, at vi nok er blevet komprometeret. Vi er nok blevet haget på en eller anden måde. Der er meget erkær for stort set alle kunder med, at de prøver at det med det bedste at holde styre på deres system og så videre. Men næsten uanset hvad man kan gøre, så er der mulighed for, at man kan blive haget. Så i stedet for, at man slår sig selv i hovedet, så kan man vælge at have en åben tilgang til det. Det vil sige, at man er transparent, at nu er vi blevet hagket, og vi har gjort sådan og sådan, så kan man jo få hjælp af andre, som har været i tilsvarende situationer, og så kan man være lidt åben. Ulempen ved det er jo også, at man kan føle, at man bliver eksponeret, det vil sige, at man udviser en form for sårbarhed, som kan være ret hård og ligesom at håndtere. Den anden mulighed, som en del virksomhed at gøre, fordi vi kan se, at der er meget stort skygget i det her. Det er, at de lukker sig inde om sig selv, prøver selv at få løst de her ting på bedst mulig måde, enten ved at betale en løsøg for at få nogle detrypingskoder, eller få noget hjælp og så pludselig eller fuldstændig holde det lukket for omverden og lukke det ned, så man ikke hører omkring det her. Så det er nogle af de her skismærer, så vi ser, når kunderne ringer tiler. Nu er vi virkelig på den, at vi skal have noget hjælp. Det er meget svært at give en helt klar ret på, hvad der er det rigtig tilgang til det her. Det er et dilemma, man kommer til at sidde i. Så eksponer man noget soverhed. Hælger man det andet. Så kan man lukke så lidt om sig selv. Og hvis det så kommer ud på et senere tidspunkt, så skal man begynde at bort forklare lidt sine handling omfor man gjorde det på det tidspunkt. Jeg tror ikke, der er nogseliste. Jeg tror, man skal mærke efter i sig selv, hvad det er for, nogation det er. Hvordan er vi i markedet? Og på den en eller anden måde. Men man har jo selvfølgelig, når man bliver ramt af et angreb, så har man jo en pligt til at oplyse til data synet, og det skal man jo gøre på ledsniveau, at man rapporteret, at man er ramt omkring det her. Og der er selvfølgelig noget frolighed omkring det her. Men man har jo oplysningspligt, og det er vigtigt, at man husker at få gjort det også, og få sat sitab op som virksomhed. Ledelsen har jo en kommunikationsopgave både internt i virksomhed til medarbejderen, hvad må medarbejderne sige i forhold til samarbejdspartner. En anden opgave, de også har, det er jo, at hvis de er fx børnseret selskab, så har de jo nogle forpligtelser omkring det. Selvfølgelig også, at man læser før til datalsynet og til andre myndigheder. Nu er de blevet hærket og kometeret på en eller anden måde. At holde dem orienteret omkring det her. Det er klart, når de laver indberetning fra starten af, så ved de sandsynligvis ikke helt præcis, hvad det er, der sket og hvor meget data, der har taget, men det finder man ud af undervejs. Så der er en hel masse ting, man skal kunne håndtere det her som ledelse. Der er også et andet spørgsmål, man også skal gøre op med sig selv. Det er du råd til det her? Har du penge til det her? Har du som virksomhed råd til at kunne klare det her? Og der kan man jo set sådan og lave et lille lidt regnstyk og sige, at vores årsomsætning, den der så meget dividende med antal af dage, så har man i hvert fald et tal der, og så har man en løngift til et antal medarbejdere. Så for mange virksomheder, som har måske en omsætning på 30 millioner kroner og har 30 ansatte, jamen så koster det dem måske omkring 150-180.000 kr. i døgnet og have sådan et angreb her, plus at de skal betale nogle hjælper, som kommer ind omkring det her. Så kan de også være ramt, at de bliver ramt måske nogen bøde eller bod i forhold til deres samarbejdspartner, fordi de ikke kan levere på den eller anden årsag. Og så kan man jo bare regne frem, at så inden for en 8 dage, så har du brugt 2,5 millioner kroner. Har du de penge? Kan du skæffe de penge? Så det er vigtigt også at få det økonomiske aspekt med i det her, fordi det koster rigtig rigtig mange penge. Så kan man jo kigge på, at hvad tilbyder haværgen på den anden side, fordi de har jo også en forretningsmodel. De vil gerne sælge dig nogle dekrybteringskoder. Tror du på det? Er du i stand til at kunne betale 50.000 dollar eller en millioner dollar, eller hvad det nu kan være talet, de kommer frem med, det ved man jo ikke. Og det er jo også det, en forhandling kommer til at gå på med de her forhandlingspartner, som vi kræftig anbefaler, man har med i lubet her, fordi de har erfaring. Og når man så kommer til betaling, hvis man vælger det, så skal det betales i kryptovalut, og man går ikke lige ned i sin lokale bank og siger, at jeg skal bruge en million kroner i kryptovalut, så tror jeg ikke, at man har en lang snak dernede. Men det er et problem også at gøre det. Men det ved de her forhandlingspartner, vi har inde, hvordan man løber de her på helt leggvis, hvordan man kommer rundt om sådan et problemstilling. Så der er rigtig mange etiske og moralske ting, man som ledelse skal håndtere os, hvordan gør vi det her? Vil vi overhovedet betale, og vil vi som virksomhed, etisk og moralsk går ind og betale for at understøtte en kriminel virksomhed. Erfaringen siger også, at hvis dine data er blevet krypteret, så er virksomhederne ikke så villige til at betale, løsesum for at få daterne ud, men er data direkt blevet stjålet, altset her f.eks. personnummer og andre personlige oplysninger, så er virksomhederne mere tilbøjelige til at betale en løsesum til herkerne for at få deres data tilbage. Men det er klart, og det er også den erfaring, vores forhandlingsfold har, at de kender en del af de her grupper, der er derude, og ved, hvorfor nogen, man kan stå på, og hvorfor nogen, man ikke kan stå på. Fordi de har jo selvfølgelig en forretningsmodel. Og hvis der rykker i branchen, at de ikke er til at stole på, så ølægger de lidt deres forretningsmodel, i hvert fald i forhold til at få udbetalt noget løs og en eller anden måde. Og hvem kan så blive ramt af det her? Og det kan alle virksomheder, store som små. Og jeg vil sige, at hvis vi kigger på de store virksomheder, så har de et langt større netværk og parathed i forhold til de ting. De har større budgetter, de har bedre mulighed for at kunne betale event de omkostninger, der vil være. Men det er klart, at det er virkelig virkelig dyrt. Kommer vi ind i SMB marked, så vil der være rigtig mange virksomheder, som vil være virkelig hårdt klemt af det her, fordi det er noget, der virkelig kommer til at lave om på deres hverdag. Helkant. Og vi kan jo se, at der er sådan nogle virksomheder, som ikke kommer tilbage. Sompelt forsvinder, fordi de simpelthen ikke har økonomi til at kunne genet. Det var første del afsketet, når virksomheden bliver. Der hvor du at læge til. Jeg har læket til en podcast for.