Året Der Gik: Covid-19 Viste Vigtigheden Af Opmærksomme Medarbejdere

Det er svært at huske et 2020 før corona ramte Danmark. Og selvom denne blogpost ikke skal handle om Covid-19, så er pandemien ikke til at komme udenom – heller ikke i IT-sikkerhedssammenhænge. Covid-19 betød, at de fleste pludselig skulle arbejde hjemmefra. Det har tydeliggjort, at medarbejderes adfærd og opmærksomhed på IT-sikkerhed er en lige så vigtig del af en virksomheds sikkerhed, som firewalls og tekniske foranstaltninger. For når medarbejdere sidder derhjemme og arbejder, så sidder de ikke på virksomhedens sikre netværk, og de har ikke hjælp at hente hos naboen. Det er pludselig blevet ekstra vigtigt, at medarbejdere selv er opmærksomme på phishing, at få opdateret sin computer og meget mere.

Vi mærkede det på egen krop her i CyberPilot, hvor alle medarbejdere i foråret var sendt hjem. Det kræver tillid til medarbejdere at stole på, at alt er sikkert. Vi har i CyberPilot også kunne mærke på vores kunder, at hjemmearbejdet har været en udfordring, da der er blevet efterspurgt materiale om nogle af deres udfordringer ift. netop hjemmearbejde. Det resulterede bl.a. i et kursus om videomøder, da man under videomøder let kan komme til at dele fortrolige data, når man deler sin skærm. Vi lavede også et blogindlæg om, hvad man skal huske på, når man arbejder hjemmefra.

Covid-19 kom også til udtryk i de IT-kriminelles angreb. Der gik ikke lang tid fra Danmark lukkede ned, til man så phishing-mails, der forsøgte at udnytte situationen. IT-kriminelle gav sig bl.a. ud for at være fra Sundhedsstyrelsen, politiet og Nets i deres forsøg på at fange folk i fælden. Det har altså været ekstra vigtigt for medarbejdere at være opmærksom på faretegn, når de modtager phishing-mails i denne periode, da disse mails udnytter vores høje ønske om at være up-to-date og en god medborger ift. pandemien.

Alle disse emner, der er blevet vigtigere grundet covid-19, er heldigvis ikke kun relateret til pandemi-tiden. Det betyder, at en investering i disse problemstillinger ikke er en her-og-nu investering, men også en værdifuld investering over tid. Læring og viden hos medarbejdere kan også bruges fremadrettet på den anden side af covid. Det er ikke en midlertidig opgave at have fokus på medarbejderes opmærksomhed. Det er vigtigt at prioritere ens medarbejderes viden og opmærksomhed om GDPR og IT-sikkerhed. Hvis man gør det, reducerer man risikoen for sikkerhedsbrud, og ens medarbejdere bliver til ens bedste forsvar frem for største risiko. 

2020 har ikke kun stået på biologisk virus, men også i IT-forstand. Det blev desværre endnu et år, hvor vi igen kunne se store virksomheder blive ramt af forskellige cyberangreb.

Allerede i februar så vi det første store angreb, da servicevirksomheden ISS blev ramt. ISS blev ramt af et ransomware-angreb kaldet Ryuk. Hackerne fik bl.a. adgang til persondata på ca. 65.000 medarbejdere fra 23 lande. ISS valgte hurtigt at lukke alle deres IT-systemer og ikke betale løsesum. Det lykkedes dem at sikre, at hackerne ikke fik fat i kundedata og ikke tjente penge på angrebet. Angrebet har dog kostet ISS mellem 450 og 800 millioner kroner.

Den 19. april blev Danish Agro også ramt af et ransomware-angreb, der lammede hele koncernens IT-system. Danish Agro valgte ikke at betale løsesummen, som hackerne krævede. I stedet arbejde de på døgndrift i månedsvis og har i dag deres systemer oppe at køre igen. Angrebet kostede dem et to-cifret millionbeløb.

Ritzau blev den 24. november også ramt af et ransomware-angreb, der har lagt store dele af deres servere ned. Ligesom Danish Agro, så har Ritzau også nægtet at betale løsesummen. Da denne sag stadig er ret ny, ved vi ikke meget om angrebet.

Fælles for de tre hændelser er, at de alle er blevet ramt af et såkaldt ransomware-angreb. Ransomware låser ens systemer, hvorefter hackerne kræver en sum for at låse systemerne op igen. Ingen af de tre ovenstående virksomheder valgte at betale denne sum. Det er glædeligt, da hackere mister deres incitament for ransomware-angreb, hvis de ikke tjener nogen penge på det. At betale summen kan virke som den lette udvej, men man kan aldrig vide sig sikker på, at der ikke er blevet installeret bagdøre eller lignende, som hackerne fortsat kan udnytte, efter de har modtaget pengene.

Angrebene viser dog også, at det er en dyr affære at blive ramt af et cyberangreb. Det er derfor værd at investere i at forbedre ens forsvar. Man kan aldrig gardere sig 100% imod angreb, men man kan tage sine forholdsregler og gøre, hvad man kan. IT-sikkerhedsløsninger kan virke dyre, men det kan også blive rigtig dyrt ikke at have dem.

ISS, Danish Agro og Ritzau nægtede at betale hackerne. Anderledes gik det formentlig til, da Garmin blev ramt et ransomware-angreb den 23. juli. Garmin blev ramt af den såkaldte WastedLocker-ransomware, som er en type, der bliver målrettet mod specifikke virksomheder.

Selvom alle Garmins applikationer og systemer ikke kunne tilgås grundet WastedLocker, så kom Garmin på rekordtid på benene igen. Det tog ikke Garmin meget mere end en uge at få åbnet op for alle deres IT-systemer, hvorimod Danish Agro og ISS kæmpede i månedsvis. Det har fået mange medier til at spekulere i, om Garmin har betalt løsesummen for at modtage en dekrypteringsnøgle. Garmin har ikke selv hverken be– eller afkræftet dette. De har i det hele taget ikke været glade for at dele informationer om angrebet. Det er problematisk, da vidensdeling er vigtigt, hvis man skal reducere konsekvenser af cyberangreb og tage kloge forholdsregler til fremtiden.

Vi må desværre nok vænne os til en hverdag, hvor cyberangreb sker oftere og oftere. Det er derfor vigtigt, at vi er åbne omkring disse angreb og lære af hinanden. Vi skal gøre, hvad vi kan for at undgå at blive angrebet. Men vi skal også lære, hvordan vi skal agere, hvis uheldet er ude.

Året har også budt på vigtige vurderinger og domme, når det kommer til Datatilsynet og GDPR. I maj måned vurderede Datatilsynet, at BroBizz havde mangelfuld uddannelse og træning af medarbejdere på trods af, at BroBizz havde oplyst om, at de lavede ad hoc undervisning. Denne vurdering er vigtig, da den belyser, at det kræver en struktureret undervisning af medarbejdere at være compliant med persondataforordningen. Et kursus er altså ikke nok, man skal lave løbende undervisning. 

Herudover bød sommeren på en yderst vigtig EU-dom. Dommen var i den Schrems II sagen, hvor EU-domstolen afgjorde, at den såkaldte Privacy Shield ordning ikke længere var lovlig. Denne ordning blev brugt til at overføre data fra Europa til amerikanske virksomheder, hvilket ikke længere er muligt, da amerikanske virksomheder ikke kan garantere, at de lever op til GDPR-kravene. Hvad den egentlige betydning af dette bliver, ved vi stadig ikke her ved udgangen af 2020. EDPB kom d. 11 november med nye anbefalinger, om dette bliver det sidste i sagen, er dog ikke sikkert. 

I efteråret var en af de største nyheder, at Datatilsynet har omstruktureret deres organisation. Det betyder, at der nu gerne skulle blive endnu mere hjælp at hente for små- og mellemstore virksomheder. Vi mangler stadig at se, hvad det betyder i praksis, men målet for Datatilsynet er i hvert fald at tilbyde mere konkret GDPR-hjælp, der relaterer sig til specifikke brancher.

I CyberPilot har vi selv forsøgt at levere hjælp og overvejelser i løbet af året gennem vores podcast og blog. Det vil vi fortsætte med i 2021.

I CyberPilot har 2020, på trods af hjemmearbejde, været et år med fart på. Vi har afsluttet første sæson af den førnævnte podcast. Vi har ansat flere nye medarbejdere (i dag er vi 19 ansatte!), og vi har haft launch af vores internationale hjemmeside, hvor vores indhold både kan tilgås på norsk, hollandsk, tysk og engelsk. Målet med dette er, at vi gerne vil kunne levere undervisning i GDPR og IT-sikkerhed på flere sprog. Det åbner både op for det udenlandske marked, men gør det også muligt at levere awareness-træning til lige præcis de sprog jeres medarbejdere snakker.

Derudover har året stået på stigende interesse i vores andre produkter, hvor vi har arbejdet på at blive endnu skarpere. Vi har sendt simulerede phishing-angreb ud i verden, foretaget sårbarhedsscanninger og indsamlet og analyseret en masse logs igennem vores managed Log-management/SIEM-service. Dette er helt sikkert områder, som vil komme til at fylde endnu mere i 2021 og fremover.

Vi glæder os til at se, hvor 2021 bærer hen ad. Forhåbentligt rammer en vaccine verden, og det hele bliver lidt mere normalt igen. Derudover fortsætter IT-sikkerhed og GDPR-arbejdet, hvor vi skal blive endnu bedre til at undvige cyberangreb og beskytte personfølsomme data. Målet må være at skabe et tryggere 2021.