None
Foto: iStock    
Teknologi

En ny type dataangrep

av Knut Lockert
15. mai 2017
Historiens mest omfattende dataangrep har siden fredag spredd seg over hele kloden. Skadene brer fortsatt om seg. Chris Culina fra konsulentselskapet BDO forteller deg hvordan du og din bedrift kan beskytte dere mot angrep – og begrense skaden når ulykken først er ute.

Knut Lockert

Daglig leder i Distriktsenergi og redaktør av Distriktsenergi.no. Knut er utdannet jurist og har lang erfaring fra bransjen. Blant annet har han jobbet i flere lederstillinger i Statnett og vært kommunikasjonsdirektør i Nord Pool.

Vi er opplært til ikke å åpne usikre vedlegg i mailboksen. Men dataangrepet som har herjet bedrifter og privatpersoner over hele verden siden fredag, kommer ikke via mailen, men via en sårbarhet i Microsofts fildelingsprotokoll.

 For å finne ut mer om viruset og hva man som bedrift kan gjøre for å minimere egen sårbarhet, tok Defo en prat med Chris Culina, sjef for computer emergency response team (CERT) i konsulentselskapet BDO.

– Rent funksjonelt er den aktuelle skadevaren «WannaCry», eller «viruset» klassisk ransomware: den krypterer filer på datamaskinen og tilgjengelige nettverksressurser, og krever løsepenger for å dekryptere dem igjen, forklarer Culina.

–  I tillegg har WannaCry funksjonalitet for å spre seg til andre maskiner (det vi kaller orm-funksjonalitet). Denne funksjonaliteten er årsaken til bredden i spredningen, og utnytter en sårbarhet i Windows. NoneChris Culina er sjef for CERT i konsulentsselskapet BDO. Foto: BDO    None

Løsepenger?

Bortsett fra Choice Hotels og billettsystemet i Eliteserien i fotball har viruset, ifølge Nasjonal sikkerhetsmyndighet, foreløpig ikke gjort stor skade i Norge. Likevel er det all grunn for norske selskaper til å være på vakt.

NSM startet søndag et arbeid overfor departementer, offentlige etater og eiere av kritisk infrastruktur for å varsle om eventuelle hull i deres brannmurer. Culina tror ikke problemet nødvendigvis løser seg så lenge man betaler det hackerne krever.

Løsepenger bør vi naturligvis ikke betale. Her er det to hovedgrunner. For det første finansierer det kriminell virksomhet, og for det andre er det ingen garanti at de løser opp systemet om de får betalt, sier Culina, og forklarer at de rammede bedriftene typisk har blitt bedt om å betale løsepenger i størrelsesorden 300 til 600 dollar per PC. Løsepengene justeres angivelig etter hvor sterk økonomi de ulike bedriftene har.

Det er også en risiko å la hackerne låse filene opp igjen, all den stund det krever at det må installeres et program for dekryptering. Her må man følgelig stole på kjeltringene, hvilket i seg selv naturligvis er en utfordring, fortsetter Culina.

Ikke trygt offline

Culina forklarer at kompromitterte datamaskiner vil vise løsepengekrav på skjermen. Dersom man har god nettverksovervåking vil man i tillegg kunne se kommunikasjon mellom de kompromitterte datamaskinene og trusselaktørens infrastruktur (kommando- og kontrollservere). 

Det er viktig å være klar over at det ikke kun er datamaskiner med tilgang til Internett som må oppdateres. En oppdatert arbeidsstasjon i kontornettverket vil kunne spre WannaCry til datamaskiner lenger inn i nettverket, som ikke nødvendigvis er direkte eksponert for trusselen via Internett, sier Culina.

Klare råd

Til medlemsbedrifter og lesere av Defo.no har Culina klare råd.

Dersom du ikke enda er rammet, bør du snarest installere Microsoft sine sikkerhetsoppdateringer, mer spesifikt oppdateringene i varselet kalt «MS17-010». Rask installasjon av sikkerhetsoppdateringer er Nasjonal sikkerhetsmyndighets fremste råd for hvordan man stopper dataangrep, sier Culina.

Hvis du imidlertid har blitt rammet av WannaCry, anbefaler Culina at du:

  1. Skaffer deg oversikt over situasjonen.
  2. Isolerer datamaskiner som har blitt kompromittert, slik at de ikke kan spre skadevaren videre til andre. 
  3. Isolerer Windows-datamaskiner av høy verdi, f.eks. filservere, backup eller maskiner som inngår i kritiske prosesser, slik at de ikke kan nås av kompromitterte datamaskiner.
  4. Begrenser tilgang til nettverkslagring for å hindre kryptering av fellesområder og liknende.
  5. Installerer sikkerhetsoppdateringer på alle Windows-maskiner som ikke er rammet.
  6. Starter på oppryddingen og re-installerer kompromitterte datamaskiner (Pass på at Windows er oppdatert! Husk å installere sikkerhetsoppdateringene!)

Vil du lese mer om IKT-sikkerhet og viktigheten av gode rutiner i energibransjen? Se her

 

 

 

 

 

15. mai 2017