M Networks

7. Myter og virkelighed om hackerangreb [del 2 af 2]

M Networks Season 1 Episode 7

Use Left/Right to seek, Home/End to jump to start or end. Hold shift to jump forward or backward.

0:00 | 15:25

Du er blevet hacket – men hvor lang tid tager det egentlig at komme på fode igen? Og hvad koster det?

I denne episode fortæller Rune Bak Jensen, CEO og IT-arkitekt hos M-Networks, om selve recovery-forløbet. Hvorfor man ofte er oppe at køre med 60 % af sine systemer på 10-15 dage – mens de sidste 40 % kan trække ud i uger, fordi de er komplekse og udokumenterede. Hvorfor man aldrig må bygge systemet op igen med de samme huller som før. Og hvorfor en stor del af regningen reelt er en investering: Et system, der bliver taklet ordentligt, kommer stærkere ud på den anden side.

Rune deler også et enkelt, men vigtigt princip: Start altid stort, og nedgrader bagefter – så du ikke overser, hvor galt det i virkeligheden står til.

Denne podcast udgives af M Networks, IT-leverandør og Microsoft-partner i Nordsjælland. Vil du høre mere eller tage en snak om jeres IT, kan du besøge mnetworks.dk, skrive til info@mnetworks.dk eller ringe på 70 10 70 05.

Der. Man starter ikke med at sige, at det er et lille problem, som vokser. i stedet for at rejse i miner Security Instant for at finde ud af det næste. Det viser at være maje. starter man klot og nedgraderer man. For det er bare at se halvend dag senere og siger. Det var føret kun 40 komprometeret filer og vi havde ikke ubudet gæst. I stedet for at sidde modsat og med nu og ser, det var faktisk ret. Og vi havde et lille fejl sidste onsdag. Og nu er helt lort ned sidan. Det her er en del af ledelsens role i en jejde. Har du ikke til første del, hører det først. Jeg hedder Rudel Jensen, og udover at være CEO i Hem Network, er jeg også IT Arkitekt, og har en lang baggrund med faglighed, sikkerhed og viden, som gør, at vi kan møde vores kunder og ønde fagligt. Et klasisk eksempel langt tager sådan noget her og record. Og der kan jo sige alt fra, at du har kribteret en folder. Som er indjeret af en bruger, der har klikket noget software, som har krybteret folder. Det tager jo 4 minuter, sådan rigtigt rekkobret. I forhold til et hærkerang, hvor man egentlig ubliget gæster i eller andet større omfang. er den første udfordring, og hvorfor det tager en del tid. Det er, at vi skal finde ud af, hvornår kom de ind. Er de her stadig, og hvad de føret rørt. Og skrækt særet er jo princippet, at alle dine kontrakter ligger der ganske rigtigt, men der er rettet inde kontakterne. Det er ikke typisk, at de tamper med data. Og vi skal finde ud af, hvad de har stjålet af dat. Og det er jo i forhold til, at der er to aspekter af et hærkerangreb. Et er jo selvfølgelig at nedlægge virksomheden for at nogle penge ud af det, og to er jo at præsere det med at lave et data. Og skal vi finde ud af, hvad der går ud af data. Det vil sige, atden man får set om, er det hurtigt gået to 3 dage. Såfølge, hvis det er lille virksomhed med 7 medarbejdere, er det nok lidt andet. Men mellem store virksomheder, der tager det hurtigt 3, 4, 5, 6 dage at finde ud af, hvor data er set gået hen, hår vi tablet data, og det vi kalder point of interior. Når det er sket, kan man også sige, at hvis du nu har eksempelvis 200 til bare data, 70-200-200 tilarbejde data, som i en eller anden form skal genbygges, kan du ikke genbygge det med de samme huller, som du havde før. For hvis du implementer de samme huller, du havde før, tænker man nok grundlæggende, får du ubud med gæst igen i hjørner. parallelt med du et eller andet sted identificerer, hvordan det skal du først, hvordan ting er kommet ind, hvad der har sket tekst, bliver du også nødt til at lave en recovery plan, som 100% holder helt styr på, at alle de huller, der nogle gange har været, og du får dem lukket. Og det kan betyde, at man skal til Tyskland og opgraderer fireworks. Det kan betyde, at du skal have folk til England eller til USA, eller hvor det nu skal være. Det kan være i Spanien, og gøre tekniskt stykke arbejde, fordi det ligesom er der ting er sket. Vores hypotese er, at det tager lang tid at hele systemet op at køre uanset hvad. Men det er jo der risikoanalysen er vigtigt at have at sige, hvor starter vi hinanden. Og sige, at det finder vi jo nok ud af jer, men vi skal starte med det samme et rigtigt og prioriterer indsatsen. det er jo derfor, virksomheden skal have en helt klar risikoanalyse af. Hvad præcis står øverst listen, og hvor starter vi. Vores hypotese er, at de fleste virksomheder forholdsvis hurtigt, selv for en relativt stor incident eller sevir incident, kommer op at køre igen med deres speciale systemer inden for nogle uger. Men har du komplekse AP-systemer med rigtig meget transaktionsudveksling med offentlige myndigheder, sepær registreringer, recepter, eller hvad du nu har med offentlige data, skal det her bringe sig syng igen. Og der er det relativt vigtigt, at man ikke sender de samme order ud til de samme kunder tolv gange eller kan man sige et business. Og der er en masse ting i det der, hvor man bare sige, at det taget at bringe det syng. vores erfaring er, at de første 10-15 dage, der kommer man forholdsvis hurtigt op at køre. Sel efter et relativt kritisk nedbrud, men du er kun op at køre med 60% af din systemer. Og de sidste 40 procent er det, der tager lang tid, det er det, der er udokumenteret. Det er muligvis er konplekt, eller det, ingen har fuldstændig kontrol eller styr. jeg meget typisk i en virksomhed, der måske har 100 applikationer og Itagdeling 40. er der 50 to i forhold til garantier. er den første garanti, du helt sikkert har, det er, at det bliver en hård periode. Den er størt vi. Det er står meget sende ved at sige. Og der er selvfølgelig pres på. Derudover er der faktisk ikke nogen garantier. Andet af det forberede arbejde, du har lavet den viden, du selvfølgelig besidder som IT-afdeling, din dokumentation og den viden, der ligger, den kan du selvfølgelig, og skal du kommer til, eller kommer du meget til at bruge. Derudover, er det et spørgsmål om at samlet de rigtige mennesker ind for starten af, fordi der er en garanti, at du kan næsten ikke lave det her hjem selv. Og det kan du selvfølgelig godt som I-Ta-afdeling, hvis du har den tid verden. Men lige her timet Moni, hvis ordnerne ikke kommer ud af døren, hvis det håber sig op ned ramperne med parler, der ikke kan komme ud grund af derkover. Og de ting kan man sige, at har du ikke den tid. en af garantierne er helt sikkert, at du laver tør for tid. Meget hårdt hele tiden. Og to, du kommer til at simpelthen planlægge hårdt, og sørger en ekstrem hård fremdrift og også forholdsvis meget mod i at tro det, og det selvfølgelig gjort. Den sidste garanti, det er, at dit system bliver bedre bagefter, hvis du takker det ordentligt. Fordi de problemer, dit system har haft, det bliver forhåbentlig også fjernet, fordi du genintroducerer ikke den samme bagdør, som der har brugt en gang. vores erfaring er også, at hvis et recovery forløb eksempelvis koster en halv million eller en million kroner. i store grad, vil 30% af det værende omkostning forbundet med det. Og 70%, det er faktisk en investering i at genladet systemet nogle nye præmiser en ordentlig måde. Relt set helt op til 80%. Det er det, vi kalder udskudt teknologikalt, som man bare ikke har fået brugt i tiden, men reelt set kommer et lidt uventet tidspunkt. Og man skal sige, at det er jo fredag, når vi starter, og op til ferie og op til jul og til sommerferie. Det ved du godt, at der er IT-afdelingen ferie, det næste garanti. Og de mennesker, du skal bruge de typisk også ferie, det her ressourseknaphed, det er det. Den første timer kan man sige. Der kalder vi fasen, der ved du slet ikke noget. De næste fire timer, der ved du slet ikke noget, men du ved en lille smule mere. De første 2-3 dage, der er du ved at et overblik, men virkeligheden er, det har du ikke nødvendigvis. Og når du efter en to-tre dage der henne af, begynder du at have en lille smule signatur af, hvor du er. virkeligheden er jo faktisk, man ved ikke ret meget. Fordi ofte er systemet store og komplekse, og de har jo ikke efterladt et manual, som du kan gribe ind i at sige, at sådan er vi hærket for øvrigt, og det er det, I skal gøre for at forhindre det. det er jo sådan en kamp. Og de har jo selvfølgelig ikke lyst til at sløre. vi plejer at sige, at man ved det faktisk ikke ret meget ret lang tid. Og jo mere man tror, man ved jo, hvad går det faktisk, fordi det er jo der, der dukker nye ting op. hvis udgangspunktet, at man ikke ved noget som helst og holder fast i det, og er ekstrem paranojer, og samler tingene ekstrem retvende ind. Og om der ligger kun en fil her, den ser nok ikke ramt generelt jo. Jeg er show compromise. Any time læger der en fil, er sert og samme sæt og vis. ja, det er en skov med mange træge. Og man ser ikke ret langt ind i den første 3, 4, 5 dage i virkeligheden. Måske her den første huge. Jeg de første forholdskler man selvfølgelig kan træffe det er at respektere i til. I tilhed har jo desværre den irriterende side, at det ofte besværligt gør brugens arbejde. Og det vil sige, at brugerne har jeg færg, og de har fornuftige paswort, deres computer kan ikke installere alle muligt ting på. Og det kan ikke bare et eller andet herøst vej forenede i Spanien eller Portugal eller ude Østen. Der er en masse sikkerhedsmæssigt basale ting, som skal være plads. Det gælder selvfølgelig også server, det gælder platfor, at de skal være konfigureret efter de rigtige principper. de mennesker, der sidder og laver et stykke arbejd, som laver et privilegeret arbejde, hvor de har adgang til noget, de kont skal beskyttes. De brugere skal ikke have almindelig koncer, man bland her sammen med administrativt koncer, skal man selvfølgelig tænke, at hvis nu mister et eller andet tekst, hvordan slipper man for at miste det hele. Og der ser vi tit, at folk ikke har tænkt igen ud for det, men løsninger tænke i stor grad ind ud for convenien. Fordi det er også besværligt, jeg skal logge igen. Og det har paspoet, det gemmer jeg skulle lige notepad, fordi det er for langt. den måde, at man selvfølgelig implementer en forsvarlige til sikkerhed, og det er ikke et kud flix. Det er en ongående proces, som princippet skal trænes og arbejdes med hver eneste mång. Og i dag synes vi ikke, det er noget, man bestiller ekstra, hvis man kører IT-projekt, men også godt have sikkerhed med. Vi tror meget i dag, at sikkerhed skal være en fuldstændig velintegreret del af dine ting. Præventivitet i forhold til at blive komprometeret yderligere, skal du have din redskabsplan. Du skal have noget erwarnings. Kommunikation, brugerne rapporteret. Det skal være et samtale emne, for det ikke et spørgsmål om, eller hvornår det er et spørgsmål om, at det sker, og der skal du ligesom identificere det. Jo mere det er gennemarbejdet, jo mere viden man har trukket fagligt. De mennesker, der sidder i-taffdingen ved, hvordan vi starter det her op. Der er ikke nogen i-avdingen, der tænker, at det fik vi lige selv. Går roke og det her med, at vi har ikke mange krypterede filer det går nok. De er jo ikke. De der dårlig konklusioner, hvor man får haset konklusioner, fordi man ikke gider det her problem, dem skal man allerede fra starten af at diskuteret. skal man klart have en kommunikationsstrategi plads, hvem gør hvad, når det opstår, man ikke skal til at diskutere, hvem skal gøre hvad i hvilken situation. Det skal være skrevet ned, selvfølgelig ikke digitalt. Det skal også ligge i papirform, kan man sige. kommunikationen, en basal desaster recovery plan, som selvfølgelig skal afspejle virksomhedens størrelse og kompleksitet. Og skal man have fokus hele økonomidelen og siger, at hvis det her sker. Hvordan taber virksomheden færre penge, og det gør jo sikre de systemer, der genererer virksomhedens grob. En virksomhed har jo forskellige systemer. det er de klassificeret sig, at vi sagt de her fem essentielle systemer. Det er dem, vi skal op og stå først. Og er det fuldstændig ligegeld med afgeknaturen og hårens trivs og udviklingsfald systemet glemt det for en periode. Det her jo ikke en lille krise. Det er en enorm stor krise. En anden ting præventivt. Det er jo at være sikre på, at man identificerer krisens størrelse og ampetet. Eller problemet. Og der laver man sådan en princip om, at man starter ikke modsat med at sige, at det er et lille problem, som vokser. Vi siger, at i har et kæmpe problem, hvis nedgraderer. For at sikre, at man ikke overser vigtige ting deren, og det skal jo også stå en desaster recovery plan. i stedet for at rejse et miner security incident for at finde ud af, at næste onsdag, at det viser sig at være major, starter man gråft og nedgraderer man. Og det er ret halvandere og siger, det var føret kun 40 kompromiserede filer, og vi havde ikke ubudet gæst, i stedet for at sidde modsat om uge og siger, at det var faktisk rigtig skidt. Og vi havde et lille fejl sidste onsdag, og nu er helt lortet lagt ned siden. Og det tænker jeg nok, at det mest essentiel. Og kunne man selvfølgelig bruge meget tid til at snakke om Desaster Recovery planer, business continuity planer, risikoanalyser, hvordan bygger man de her ting. Og tror jeg meget problematik. At gøre det pragmatisk, brugbart og virkelig. Og mest af alt afprøv det at finde ud af, at det virker. Og tror jeg ikke på, at man kan lave en plan, som dækker det hele. Jeg tror, man kan lave en 70 procent 30 procent af tiden. Og skal jeg er det der, man starter. Og man sige skæld med de trivede og udviklingskale, at der ikke blev loket i her andet måde. Det går. Tal kan man sige, at mange virksomheder jo faktisk ikke oplever. Og det er jo positivt, og det er også et udtryk for, at det er også en forretning. Helker baseret. Hvis det ikke er politisk inspiret, er det økonomisk inspireret. Og hvis der ikke er økonomi forjen, er der ikke grund til at bruge. Det er jo også kontrovent forretning som mange andre. De bruger tusind timer en eller anden ulykke, og hvis de kan fået 400 kroner ud af det, tænker jeg ikke, at det er en god kost benefit. Men man kan sige, mange virksomheder oplever det ikke. Vi oplever det jo af den grund som IT-leverandør, at kunder jo ringer til os, enten den nye kunder, som står i problemet igennem nogle af vores arbejdspartner, eller en kunde, som af en eller anden ubehagel, har fået fedtet sig ind i eller andet. man kan sige, at vi ser det jo mange aspekter. Og signaturerne de her ting er ikke ens. Og vi plejer at sige, at der er alt for det, vi kalder cyberkriminalitet og bionage. Og der tænker jeg op imod nogle ekstremt dygtige mennesker. Og den anden side ser vi også, at det jo også mennesker, der glemmer deres værktøjskasser serverne og deres egentreringslister og nogle ting. Og det er sgu nok også bare syg. Og vi også en sag, vi havde over en sommerferie, at der var nogen ned hos dem og en syn også kig ferie. Fordi der havde de også glemt at koordinere nogle dårlige indsatser op til det her, kunne vi ligesom udlede af den data, vi kan følge. Men vi ser jo mange after. Tal helft, er det jo ikke noget, at alle virksomheder opdager. Eller det faktisk være opdager nogle af dem oplever det heller ikke. Men man skal ikke regne ved at slippe for at opleve det. Man skal forberede sig på, at det kan ske. Og tage det seriøst. Vi har selvfølgelig klag i vores erfaring som jo bredd teknisk, har vi selvfølgelig cases, som vi er ude og hjælpe med. Vi ser, at hele den vidensbaserede base, vi har på, at både prøvet det før, både koordinere det her, sørge for det spiller, og sørge for at håndtere kunden, teknikken, ny arkitektur, sikkerhedsmodeller og alt dem relativt kort tid, vi plejer at sige, vi skal gennemføre et andet året projekt 6 uge. Det er jo meget at have en opskrive for, hvad der for nogle intener at tilkredigt. Det er selvfølgelig vores røgning og vores faglig er med til at bidrage, når uhaldig skærme. Jeg har lytt til en podcast for Impork. Tak fordi du læser med.