M Networks

6. Myter og virkelighed om hackerangreb [del 1 af 2]

M Networks Season 1 Episode 6

Use Left/Right to seek, Home/End to jump to start or end. Hold shift to jump forward or backward.

0:00 | 13:02

Det værste, når virksomheden er ramt, er måske ikke selve angrebet – men at du i begyndelsen slet ikke ved, hvor galt det står til.

I denne episode fortæller Rune Bak Jensen, CEO og IT-arkitekt hos M-Networks, om de første kritiske timer, hvor man kigger ind i en skov, tror der er sket meget lidt – og hvor virkeligheden ofte viser sig at være en helt anden. Han rydder også op i nogle af de seje myter om IT-sikkerhed: at de fleste har prøvet det, at man kan bygge eller købe sig fuldstændig sikker, og at man bare kan følge sin disaster recovery-plan, når uheldet er ude. For hackerne følger ikke din plan – de følger deres egen.

Et ærligt indblik i, hvorfor det næsten altid er værre, end det ser ud.

Denne podcast udgives af M Networks, IT-leverandør og Microsoft-partner i Nordsjælland. Vil du høre mere eller tage en snak om jeres IT, kan du besøge mnetworks.dk, skrive til info@mnetworks.dk eller ringe på 70 10 70 05.

Der. Kirkheden er, at når du står for sådan en desis recovery situation, at din data er krybseret. det allerværst ikke galt. Ufordrængere, at du står lige en skov. Skoven følget af træ. Det var des. Og du tænker med din store glæde, at det er utroligt lidt, der er sket. Men virkeligheden er ofte, det kan være meget værre. Det er du ikke at kunne overskue igennem 3-5 måneder af overblik over, får du ekstra hurtigt behov for at have et overblik over. Værket er desværre bare, at nogle gange ved du faktisk ikke, hvor kan. jeg første omgang der positiv 10 minuter senere, der bliver du bare positiv. Og i virkelig finder du af ret hurtigt i løbet af dagen, forhåbent. At det står faktisk ikke sket godt til. Det her er første del af lavelens role i en ærgis. Jeg hedder Ronek Jensen, og udover at være CEO i Hem Network, jeg også ETRK, og har jeg lang baggrund med faglighed, sikkerhed og viden, som gør at vi kan møde vores kunder i øjede. Fagligt. Prøv tænke, at du møder op mand i morgen, kommer ind kontoret og leder efter en fil. Filen er væk. Den krybteret. Der er noget, der ikke er, hvor det skal være, og der sidder du rent faktisk, typisk at du vær til væk måde. Du har forberedt en eller anden salds tal, du skal lave et eller grundlæggende såger, der er væk. Det er jo typisk der opdages første gang. Og kommer IT-afdelingen jo ind i spild senere hen af dagen forhåben inden for de første 10 minutter. Vi har set kunder, hvor reelt set de har haft ubendet gæster i lang tid, og deres filer har været længere tid. Og IT-afdelingen får det før sent typisk, fordi der en bruger der en smule bekymret for, om det er dem, der har lavet fejl. de sidder og holder lidt det. De godt nok fred af eftermiddag, hvor det her sker, men de siger ikke rigtig noget, rapporterer det demandet, f.eks. til frokost tid. Og det er der vigtige dage i weekenden er jo alt afgørende for i fredags var der måske tusind filer om mand om morgen er det måske alle filer. tilbage til noget awareness og kunsten med at bruger helt generelt får rapporteret tingene, og man som Ifdelingen ikke er taglige ved dem, når ting sker og er imodkommende. Nogle virksomheder er selvfølgelig velorganiseret, har meget godt styre det, men ikke trænet. Nogle virksomheder velorganiseret har godt styre det, og har trænet. Og rigtig mange virksomheder er en teori desværre, som de står meget tæt over for og kigger ind i, når det nu eventuelt sker. Og første spørgsmålet er, hvem ringer man fører til, hvem siger man hvad til, og hvad fanden skal man egentlig gøre. En af de issues, som nogen finder ud af, at det er ofte inden for den første tim. Der henvender de første brugser, den første afdelingsleder, den første teamleder. Hvor kører vi igen? Hvor skal vi hen? Hvor virker det? Hvorfor virker det ikke? Hvorfor dør det her ikke? Og faktisk inden for den første tim oplever man super hurtigt, der bare er totalt blæk. Og det fremmer absolut ikke en seks ugeborlig proces, eller hvad man nu skal i gang med. Og igen, man har videre lidt et overblik. Nu er der selvfølgelig mange forskellige typer af internet, men hvis nu man tager udgangspunkt i et ransomware attak eller en hacking situation, er det jo faktisk. Der er to ting, der arbejder mod hinanden. Hærkerne vil gerne have meget god tid til at være dig, og forberede sit arbejd. De er også grundigt, de dybt seriøse, de vil gerne lave godt stykke arbejde, det er også mennesker. Og den anden side vi selvfølgelig ikke opdags, og du samtidig jo muligt har haft ubudende gæster i lang tid. ofte kunne en situation være, at du dukker ind i morgen, du har nogle bruger, der rapporterer dit systemer langsomt. De kan ikke komme til nogle filer, der er en del af deres drev, der virker underligt. Hvær et tidspunkt ved du ikke rigtig noget. Og begynder du som IT-mand, hvis det er en lille virksomhed eller en stor virksomhed, jo at sætte nogle kræfter i gang, og finder du sådan set ud af, at du ser noget. Og begynder det nok typisk at lave kort i mark folk. Og jeg har mange hare planer, men jeg tædet. Vores erfaring er ca. 50% af det der sker. Det er ikke noget, du har planagt. Det er noget der kommer og noget du oplever reald set som det var ikke min plan. Hvad skal jeg gøre det? Hvor det her. kommer der jo en information af idelingen om, at der er noget galt. Og det er jo ligesom, kan man sige det er jo Grand Zero eller Time Zero Zero, der starter det helt. Og hvis du anser, at jeg har været komprometet noget tid, og filerne er krypteret, og du selvfølgelig har den udfordring, at tingene nogle gange står dårligt til, er det stadig en periode, hvor IT-afdelingen jo render forholdsvis ikke forvirret nødvendigvis, men husikret rundt på, hvor galt er det her. Hvis man betrakter en virksomhed måske med masser af data fraskellige steder og mange forskellige systemer, er det utroligt svært at et overblik over, hvad er egentlig statuskro lige nu. Og man skal huske, der er hele tiden tidspræs, der er hele tiden en interessant analyse. Der er nogen, der har interesser i det her, du skal rapportere dine kunder. Du har ikke sendt skid ud af dør til dine kunder. Der er en masse, både liget, men også helt kommercielle aspekter, som du selvfølgelig er utroligt opmærksom på. Men spændingen stiger, vil jeg sige. Som dagen eller timerne går, hvor du begynder at et overblik. Og det er ikke ualdmindeligt, at du forsøger at dig et overblik, men virkeligheden er der godt at dage, før du har et totalt overblik. Selvfølgelig efter stor løsningen er. Den næste isu er jo også, at ubudende gæster vil jo gerne blive. Og en ubudden gæst vil jo selvfølgelig gerne blive i den form, at de kan komme ind igen. ofte er det også iset af, at de har stadigvæk, har vi gæster ombord. Er vi komprometeret? Er det nu nogen brugers, kontit de benytter af. Og lige pludselig at finde ud af, hvad egentlig reelt set findet af skadens omfang. Der er det ret nemt, når du kom ud til en nedbrændt industribygning. Lager er væk. Taget væk. Bygningen er væk. Det er sådan forholdsvis nemt at konstatere. Der kan man også sige, at i den her divise med IT-delen, det kan jeg jo tage frygtelig lang tid rent faktisk at finde ud af, hvor langt. Og der kommer den første fase jo det er identifikationen, og er du selvfølgelig ret hurtigt over i, hvad skal man gøre, når man står der. Men der er usikkerhed, skoven er forholdsvis træppelagt, vil jeg sige, og der er også tåge inde i skoven. Og nogle gange kan der helt op til tre eller fire dage, før man begynder at have et fulge billede. Og der er selvfølgelig Forensigt, der skal i gang, og der skal recovery og sikkerhed data, bækop, kommunikation og rigtig mange andre ting. Ofte starter det jo en IT-afdeling, og noget de ikke brænder for, er det kommunikation ud af vendt pressematerial, kun snakke kommer dele, og det er derfor netop en redskabsplan, som involverer mere. I gamle af er du, at den IT-nedbrudet jo altid IT eller sikkerhedsgew. Det er IT alene. Det her jo en virksomhedskrise. Det er jo ikke bare en krise ned IT-afdelingen, fordi det er jo også kommercielt. Det er levandøer, der kan sendes falske oplysninger ud huset, du ved jo rent faktisk ikke, hvor skidt det står til. Men i tagdelingen sidder der og tænker. For hver ligesom sten det vinder og ligger også noget. Næste sten, næste sten, og selvfølgelig nogle gange nogle gange er det også halskt, og nogle gange er det helt skidt. Når du kommer til dat og databeskyt, kan man jo sige, at det er her indspredskab selvfølgelig skal være plads. T alt heller i dag er der masser måder, hvor du kan beskytte dig med forskellige backup strategier. Og der er selvfølgelig også meget, der kan argumentere for henholdsvis den ene eller den anden. Men virkeligheden i dag med gængse bagup strategier med mutable storage, forskellige producenter. Boget ud i skyg hos dig selv for nogle forskellige recovery scarier. Er du selvfølgelig kan du stille digot. Men det er ikke en, at det lækker digitalt kan det næsten også forsvende. Inden for det her er der selvfølgelig nogle tyder. Og en af de værste er alle har prøve. Og de fleste har faktisk ikke prøvet. Vi hører en del kunder og arbejdsparn, jeg tror, at de har haft ransomware. Og der spørger ind til, hvor meget det er, at er blevet krypteret 26 filer en eller anden ser et tidspunkt. Det er ikke super meget med ransomware at talk eller et hærker angreb at gøre. Heldigvis er det de få, som får udlagt hele deres virksomhed. Der er en del, der ikke snakker om det. Det er næste myten af alt er åben omkring vores erfaring af det her typisk ikke super åben omkring. I forhold til en af de nok de værste myter. Det er jo, at der nok ikke er sket meget. Og det vil sige, at det umiddelbare er, at server og kører, og tingene fungerer nogenlunde fornuftigt. Men virkeligheden er, at det er nok meget værden, det ser ud. den er meget hårdt acceleration i starten, hvor man siger, at man prøver at henslå det. Sørger for, at man berollig af sin ledelse, prøver at det ikke super hårdt angrebet. Og i virkeligheden finder man ret hurtigt ud af, at virksomheden er super hårdt angrebet. Og det er jo et helt andet stå sted. er det ikke to dages recovery, er det seks uges recovery, eller fire uges recovery, 2475. Såfølgelig forudsat det er en lidt større virksomhed. En anden myte er, at man kan bygge det sig til passet altid. Og det er jo lidt en afgance myte, at selvfølgelig er vi dygtigere end en rusisk hasker, selvfølgelig har vi styre vores chæt. Og der oplever vi også, at dem, der tror, at de har mest styr det, ofte har nogle gange mindst styr det. Og den der fast tryghed af, at du ikke sikrer dig, eller du undersøger din egen viden, men teoret set tror jeg alt for meget på, at den det, du har lavet er rigtigt. En tredje myte, eller man kan sige en fjerde myte, det at man kan købe sig til sikkerhed i produkter. Og der oplever vi også mange, når vi snakker sikkerhed, spørger vi dem dine produkter. Jeg har dyre produkter. Jeg har købt af brandet, løsninger, firewalls, fildre og alt andet. Og ser vi bagefter, at de faktisk dårligt konfiguret. kombinationen af gode produkter, ordentlig konfiguration med sikkerhed for øje og grundlighed. Og grundlighed er jo noget med også at handle faglig viden, om hvordan tingene skal sættes rigtigt sammen. Og der ser vi også tit, der mangler en del ting ud af skunderne. Jeg tror, at den sidste myte, det er, at det ikke går ondt en virksomhed. Det gør ondt en virksomhed, fordi hvis de har en IT-ding med fem mand, og de i forvejen har travlt. de der 6 uger, der har de også brug for at hjælpe, der får de rigtigt travlt. Og tænker jeg den sidste myte, måske den værste, det er, hvis man har en god disaster recovery plan. Jamen føler man bare den. Men virkeligheden af herkerne følger ikke din disaster recovery plan. De følger jo deres egen plan, som skal at undgå, at din disaster recovery plan virker. erfaringen er ofte, at det, der er bedst i en god disaster recovery plan, det er, at den har de grundlæggende kulkative dele, de grundlæggende risikoanalyser, og styre på, hvilken systemer vi har, hvordan vi vil recover dem. Og skal man have samlet nogle kloge hådler til at praktisere det her, fordi virkeligheden er, at de forudsætninger, du tit har i din disaster recovery plan, at vores backup er intakt, eller vores server er intakt, er ikke sikkert, det er den virkelighed. Samtidig er der etsie af, at du skal jo køre noget for Rensic, im, du kan ikke slukke dit miljø og recover med det samme, at du ikke finde ud, når de er kommet ind. Og der er jo selvfølgelig en balance i, at både får lukket for døren, og samtidig også kunne recover sit system samtidig. Og der har vi et udtryk, at der håndværende såg præk. Og det er at bruge det der nogle gange herbede og den måde at recoveret kunsning hurtigt som det. Det være lyderne. Et klasisk eksempel, der opstår u i virksomheden. Og det er den mand af morgen Time Cerve. Der er ikke nogen, der ved, hvor skild det står til. Men vi ved jo allerede, at hvis systemerne afglugle bare en halv time, eller nogle af systemer, er brugerne der. Hvorfor kører det ikke? Hvorfor virker det ikke? Vi kan ikke sætte over, vi kan ikke produce og noget andet. Og der kan man jo sige: at det er ekstremt vigtigt at huske den her kommunikativ del i det. Og det er jo det desejer, vi koble at gerne skulle sikre dig, at du har den del allerede skrevet ned, hvem gør hvad. Vores helt klare erfaring er, at det er en super ufedig situation at være i som IT-mand derude, hvis det her ikke er velbeskrevet, og der er lagt op til en struktur eller teamwork, at den simpel over, at han kan komt alene. For mens han både sidder med pinset og skoven, og ved at finde ud af, hvad der er sket, skal han have super bruger nakken og tre sure sjældent. vores opgave er typisk at hjælpe en virksomhed, men det er også vigtigt for mig selv, der har hjulpet med at sige, hvis det sker, er komikation. Det er i direktøren eller nog andre. Og får jeg 100% fra eneste ting, det er bedst til. Det er teknik og løst det her problemet. Du har lyttet til en podcast fra. Tak fordi du lørte med.