Contact us: +45 32 67 26 26
Dansk

Endnu En Dansk Virksomhed Ramt Af Ransomware - Hvordan Kan Det Undgås?

Mikael Korsholm Poulsen
By: Mikael Korsholm Poulsen IT-sikkerhed | 7 december

Bauhaus blev for nylig den næste i rækken af virksomheder, der har fået lagt deres system ned af IT-kriminelle. I denne blogpost vil vi prøve at kigge på, hvad vi kan lære af denne case, og hvordan din organisation kan minimere risikoen for at ende med at sidde i den samme situation.

Bauhaus hacket og ramt af ransomware

D. 21 juni skrev Bauhaus på deres hjemmeside, at de var blevet ofre for et ransomware-angreb, og at de derfor håbede, på forståelse og tålmodighed fra deres kunder imens, at de fik deres systemer på benene igen.

Hackerne bad – som sædvanlig i ransomware-sager – om en løsesum. Som udestående ved vi ikke om Bauhaus har valgt at betale, men vi ved, at direktør Mads Jørgensen har overvejet det. I skrivende stund, d. 3 august, ses anmodningen om kunders tålmodighed stadig på Bauhaus’s website og vi kan derfor gå ud fra, at de stadig arbejder på sagen.

At betale eller ikke at betale – det er spørgsmålet

I ransomware-cases diskuteres det ofte, hvorvidt man bare skal betale løsesummen, eller om man skal forsøge at vinde kontrollen over ens systemer tilbage. For mange store virksomheder koster det dem langt mere, at deres systemer er nede end den løsesum de kriminelle kræver.

Så hvorfor betaler man ikke bare? Det handler simpelthen om, at man ikke vil belønne de kriminelles opførsel, og at man ikke vil gøre det mere attraktivt at lave disse angreb. Udover dette ved vi også, at hvis man som organisation betaler, så bliver chancen større for, at man bliver ramt igen – man har jo vist, at man er villig til at punge ud. Det ser ud til, at Bauhaus har valgt at tage kampen op – og det kan man kun give dem ros for.

Hvad er ransomware?

Helt kort beskriver begrebet ransomware situationer, hvor IT-kriminelle får adgang til systemer og/eller data og tager disse som “gidsel”. Det vil sige, at de krypterer data eller blokerer virksomhedens adgang til dets systemer, og beder om en løsesum for at give denne kontrol tilbage til virksomheden. Denne løsesum betales oftest vha. kryptovaluta såsom Bitcoin, da det gør det svært at spore, hvem der modtager løsesummen.

En del af en større tendens

Bauhaus-angrebet minder på mange måder om andre ransomware-angreb, som vi har set over de sidste par år. I Danmark bliver man mindet om Mærsk-sagen fra 2018, som vurderes til at have kostet dem over én milliard kroner. Men faktisk behøver vi slet ikke så langt tilbage for at finde lignende sager. I Sverige har Coop i starten af juli midlertidigt måtte lukke 500 butikker, da deres amerikanske leverandør af betalingsservices, Kaseya, også har været udsat for et ransomware-angreb. Generelt kan vi se, at denne slags trusler er i stigning – f.eks. siger Rambøll at de dagligt oplever trusler.

Hvad kan vi lære af dette?

Indtil videre har Bauhaus forståeligt nok ikke fortalt åbent om, hvad der har forårsaget, at de kriminelle har kunnet få adgang til deres systemer, så det er ikke muligt at analysere præcis, hvor problemet har været.

Bauhaus har selv udtalt, at de følte, at de havde købt “Mercedes”-versionen af alt i deres systemer, men at de åbenbart havde brug for “Rolls Royce”-versionen. Vi kan altså endnu ikke drage de store konklusioner på, hvad Bauhaus kunne have gjort bedre – i stedet kan vi fokusere på, hvad vi ved, der kan gøre det sværere for kriminelle at få held med denne slags angreb.

Hvordan kan man undgå ransomware?

Når det kommer til at håndtere ransomware kan man sige, at der helt basalt er to ting, man kan arbejde på:

  • At gøre det mindre sandsynligt at IT-kriminelle kan få adgang til ens systemer

  • At mindske konsekvenserne, hvis uheldet er ude

Til at håndtere disse udfordringer giver Martin Løbel i en artikel på ComputerWorld tre gode råd:

  1. Arbejd på at gøre medarbejdernes adfærd ift. IT-sikkerhed mere sikker

  2. Reducer, hvor meget adgang medarbejderne har til systemerne

  3.  Hav planer for hvordan du kan genoprette dine backups – og test det

Medarbejdernes adfærd skal gøres ”IT-sikker”

Jeres medarbejderes adfærd er afgørende, da langt størstedelen af alle brud sker ved, at en medarbejder lokkes til at klikke på et link eller besøge en hjemmeside. Herigennem får de kriminelle adgang til medarbejderens PC og derved organisationens systemer. Chancen for at dette sker kan mindskes betydeligt ved at undervise dine medarbejdere samt teste jeres beredskab vha. simulerede angreb igennem f.eks. phishing-træning. Det er her vigtigt, at man holder øje med om træningen har en effekt, eller om man skal gøre noget anderledes.

Billede af Risiko-analyse skabelon

Reducer, hvor meget adgang medarbejderne har til systemerne

At reducere mængden af adgang gør, at selv hvis en medarbejder skulle falde i fælden, så får den kriminelle kun adgang til nogle af virksomhedens systemer – ikke dem alle. Her er det ekstra vigtigt, at der ikke er nogen, som har adgang til både hovedsystemet og backuppen, da den kriminelle så kan afskære adgangen til begge. Hvis denne regel overholdes, vil man, hvis uheldet er ude, kunne gendanne sit system fra sin backup og derved undgå at skulle forhandle med de kriminelle. Denne regel gælder for alle i organisationen, også den IT-ansvarlige, da ingen af os er helt immune overfor de IT-kriminelles fælder.

Hav en plan for genopretningen af jeres system

Til sidst er det vigtigt at have en plan for, hvordan man kan gendanne sit system ud fra backups. Det kræver dokumentation af, hvordan systemet er sat op og backups af systemer og deres opsætninger. Dette kan virke som en stor opgave, men den er alt bøvlet værd, da den reducerer risikoen ved eventuelle angreb. Her er en vigtig pointe også, at det ikke er nok at have en plan – den skal også testes løbende. Det er altså en god idé at have en fast rutine, hvor man, f.eks. hver halve år, gendanner sit system fra backups, så man er forberedt, hvis man en dag skulle blive udsat for ransomware.

Datatilsynets 11 råd

Disse tre overordnede råd passer godt sammen med 11 råd, som Datatilsynet har fremlagt om, hvordan man forebygger ransomware. De 11 råd ses herunder:

  1. Beskyt dine systemer og netværk med en firewall

  2. Patch dine programmer

  3. Forklar medarbejderne om forbrydernes indgangsvinkler (Vær forsigtig med links og vedhæftede filer)

  4. Begræns mulighederne for at eksekvere scripts og kode på brugernes maskiner

  5. Sæt filtre på modtagne mails

  6. Overvej, om du har brug for netværksovervågning

  7. Sørg for at have dokumentation af, hvordan dit system er sat op

  8. Sørg for at tage backup – også af systemkonfigurationer, nødvendige opsætninger mv.

  9. Sørg for, at din backup opbevares i et andet miljø end dit normale netværk

  10. Tjek dine backups jævnligt

  11. Afprøv jævnligt, om du kan reetablere fra backup til fuld drift

Firewalls, opdaterede programmer og flere tiltag

Er der noget i disse råd, som vi ikke allerede har snakket om? Det er der. Råd 1, 2, 4 og 5 er alle tekniske tiltag, som du kan gøre i din virksomhed for at styrke IT-sikkerheden. Råd 2 om at opdatere sine programmer kan du dog ikke som alene IT-person ordne – her skal du bruge dine medarbejderes hjælp, da det er dem, der skal sige ja, når der popper en opdatering op på deres computer.

Netværksovervågning - Hvad er det?

Vi ser også i råd 6, at man skal overveje at indføre “netværksovervågning”, men hvad er det lige for noget? Det handler helt kort om at have et system, en slags logbog, hvor du kan se, hvad der er sket på dit netværk, hvornår det er sket og hvem der har gjort det. Med et sådant system kan man sætte alarmer op, så at man får en advarsel, når der sker noget mistænkeligt på netværket. Disse systemer kan dog godt være en smule dyre og tunge at implementere, og det er derfor at Datatilsynet anbefaler, at man vurderer, hvorvidt at man har behov for dette tiltag. Du kan læse mere om SIEM og log management systemer her.

I disse råd ses også vigtigheden af at have god dokumentation, gode backups og at teste det jævnligt. Datatilsynet bruger i hvert fald råd 7, 8, 9, 10 og 11 på dette emne, så de må også se det som et helt centralt emne.

Opsummering

Angrebet på Bauhaus bliver altså endnu et eksempel på den stigende forekomst af ransome-ware-angreb. Forståeligt nok holder Bauhaus stadig kortene tæt på kroppen, så vi kan endnu ikke lære af hvordan de specifikt har opbygget deres systemer, men vi kan i stedet se på de generelle anbefalinger ift. at håndtere ransomware. Opsummeret er de:

  • Gør dine medarbejderes adfærd mere IT-sikker

  • Begræns hvem der har adgang til hvilke systemer

  • Lav en plan for hvordan I kan genoprette jeres systemer

  •  Overvej at opsætte netværksovervågning

  • Hold jeres hovedsystem og backups adskilt

Jeg håber, at du lærte lidt mere om ransomware og hvordan du kan minimere risikoen for at din organisation bliver ramt. Hvis du har spørgsmål, er du altid velkommen til at give os et kald eller sende en mail.