Professionel hacker: Alt for let at hacke de mindre virksomheder
Unge it-kriminelle hiver ifølge Dennis Ellebæk fra it-sikkerhedsfirmaet Prueba Cybersecurity nemt daglønninger på 40-50.000 skattefri kroner i land via snyd og bedrag ved computeren. Cyberkriminalitet er en lyssky branche i stadig vækst. En computer og en internetforbindelse er alt, hvad der kræves for at komme i gang. Investeringen er hurtigt tjent hjem, og risikoen for at blive opdaget er lav. Ofrene er både private borgere, det offentlige og virksomheder. Men mens de større virksomheder garderer sig bedst muligt med egne sikkerhedsansatte eller køber sig til bistand udefra, har små og mellemstore virksomheder sjældent det store fokus på it-sikkerhed.
– Man har tendens til at koncentrere sig om det, man er bedst til, nemlig kerneforretningen, som er malerhåndværket for malermestrenes vedkommende. Data og sikkerhed er usexet at beskæftige sig med, synes mange, men man er nødt til at have fokus på området, ellers bliver man et alt for nemt offer for it-kriminalitet, siger Dennis Ellebæk.
Men hvordan får hackerne så adgang til virksomhedens computer. Her er flere muligheder, fortæller Dennis Ellebæk:
– Det kan ske via et link i en mail, man får tilsendt. Måske ved at manipulere offeret til at foretage en bestemt handling. F.eks. ved at ringe og udgive sig for at være en ny kunde, som skal have malet et hus. ”Kunden” sender så lige et link til en tegning over det hus, som han beder om et malertilbud på. I telefonen lyder ”kunden” flink, paraderne er derfor nede, og han bliver via linket lukket ind med noget skidt på mailen.
– Eller man fanger en faktura fra en leverandør til et firma, man fifler med bankoplysningerne i fakturaen, så pengene dirigeres ind på ens egen konto. Nigeriabrevene hopper ingen længere på, så de kriminelle finder på nye udspekulerede metoder. De sælger kundeemner til hinanden, og det er typisk virksomheder, som ikke har så meget styr på sikkerheden.
Antivirus er ikke nok
Som såkaldt etisk hacker ved Dennis Ellebæk, hvad han taler om. Han og hans team lever af at hacke sig ind i virksomheders it-systemer, men til forskel fra de kriminelle er Prueba hyret til at hacke sig ind og stjæle persondata, penge og forretningshemmeligheder. Formålet er at teste virksomheder nes it-sikkerhed på en række parametre.
Men mindre kan gøre det, forsikrer Dennis Ellebæk. Han anbefaler små og mellemstore virksomheder, som primært selv står for sikkerhedsarbejdet, en række overvejelser.
– Find allerførst ud af, hvilke kronjuveler i form af data I har liggende på computeren. Det kan f.eks. være tilbud afgivet til kunder, notater om igangværende projekter, fakturaer, overblik over hvad der er faktureret, og hvad der ikke er og elektroniske timeregistreringer af medarbejdernes arbejdstid. Bliver computeren hacket, kan værdifulde oplysninger gå tabt til stor skade for virksomheden. At gøre noget ved det, når skaden først er sket, kan være meget dyrt. Forebyggelse er bedre. I mange mindre virksomheder er den største udfordring ofte at erkende, at der er et problem.
Dennis Ellebæk siger videre, at meget it-udstyr ikke er sikkerhedsmæssigt godt nok, der er huller, som kriminelle kan komme igennem.
- Der er en tendens til at tro, at har man bare fået købt antivirus, er man sikret. Det er bare ikke nok, man er ofte nødt til at tænke på flere ting, når det kommer til it-sikkerhed. Det er vigtigt at holde sine it-relaterede systemer opdaterede, således de altid er på de nyeste versioner. Det kan også være, at man har købt alt det rigtige, men så på grund af uvidenhed ikke lige har sat flueben et helt afgørende sted. Svarende til at købe en hængelås, men man glemmer at sætte den på døren, siger Dennis Ellebæk.
Beredskabsplan
Men hvordan forhindrer man som virksomhed i første omgang overhovedet hackerne i at få adgang, lyder et nærliggende spørgsmål. Til det svarer Dennis Ellebæk:
- For det første ved hjælp af en fornuftig elektronisk sikkerhed, som man sørger for at holde opdateret. Dernæst skal man huske den menneskelige del ved at have fokus på, hvilke handlinger man foretager sig, og hvem man lukker ind. Husk også at tale med de ansatte om sikkerhed, så alle har en basisviden om at bruge produkterne. Jeg anbefaler derudover, at man adskiller personlig og professionel brug. De sjove sider kan være hackernes indgang til det professionelle. Endelig skal man også sørge for at have styr på adgangskoderne. De skal være stærke, og man skal lade være med at bruge den samme kode flere steder.
I maj måned trådte den nye EU-persondataforordning i kraft. Den betyder, at offentlige virksomheder, organisationer og private virksomheder, der har med borgernes personlige oplysninger at gøre, har pligt til at passe godt på dem. F.eks. oplysninger om navne, adresser og mails, som vil være at finde i elektroniske kundekartoteker.
- Passer man ikke godt nok på dem, så de havner i de forkerte hænder, kan der vanke forholdsvis store bøder. Også derfor bør man sørge for en god it-sikkerhed, mener Dennis Ellebæk, der også peger på, at det for virksomheder har værdi, at man har en klar strategi for it-sikkerheden:
Man får identificeret risici, og hvad man kan gøre ved dem. Den dag, der sker noget, så har man en brugbar værktøjskasse og en plan for, hvad man gør i situationen. Det er f.eks. en plan over, hvilke tiltag der skal ske, og hvem der har ansvar for de enkelte dele – altså en såkaldt beredskabsplan.