Penger til patcher og sikkerhetsoppdateringer sitter unødvendig langt inne i norske bedrifter. Hvorfor? Fordi forretningssiden heller vil bruke pengene på nye funksjoner. Det er litt som å nymale et hus der grunnmuren allerede slår sprekker, sier IT-nestor Rolf Frydenberg.
– All programvare har feil. Det gjør det avgjørende å ha de nyeste verktøyene på plass for å hindre at uvedkommende sniker seg inn.
Det sier Rolf Frydenberg som er daglig leder i Manag-E. Med 43 års fartstid i IT-bransjen – fra før den het IT-bransjen! – har han vært ute en datanatt før. Han sier at uønsket atferd i IT-systemer gjerne deles inn i tre – med den passende forkortelsen CIA på engelsk.
Bokstavene står for Confidentiality, Integrity og Availability.
– Konfidensialitetsbrudd handler om at folk får tilgang som ikke skal ha det. Integritetsbrudd handler om at de som kommer inn, endrer dataene. Og tilgjengelighet handler om at du ikke får tilgang til dine egne data. Om du har sårbarheter i IT-systemet, har du blitt utsatt for én av disse. Eller alle tre.
Det er ikke lenger guttunger med fjon på haka som sitter i en mørk kjeller og hacker seg inn hos bedrifter for moro skyld. Hackere anno 2023 er profesjonelle aktører som bruker avanserte, automatiserte programmer for å avdekke og utnytte lukrative sikkerhetshull.
– Målet er enten å lage skikkelig ugagn. Eller kreve penger. Eller en herlig variant av de to.
Skal det et angrep til før folk får opp øynene for faren?
Det er ikke vanskelig å se poenget med å ha oppdaterte servere og nettverksenheter. Tvert imot! Men likevel er det noe bedrifter utsetter og utsetter, eller rett og slett ikke setter høyt nok opp på to do-listen. Og oppdateringsbehovet hoper seg opp over tid. Til slutt kan IT-avdelingen stå foran en veritabel oppdateringsbølge.
– Ja, det er riktig. Om du skal gjøre dette manuelt, tar det veldig mye mennesketid. Det er dyrt. Spesielt i et land som Norge der det både er mangel på IT-folk, og de har bedre ting å bruke tiden sin på. Det gjør at patching ikke prioriteres, sier Rolf Frydenberg.
Men hvorfor er det så vanskelig å få til noe som virker relativt enkelt?
– IT-midler prioriteres til applikasjoner til forretningssiden og ikke til drift. Vi gjorde en analyse av en stor norsk virksomhet. De hadde svakheter i IT-systemet sitt og vi skulle finne ut hvor problemene egentlig lå. Var det i programvaren? Nei, det handlet om hvem som skulle betale for IT. Når forretningssiden bruker penger, er det for å få mer funksjonalitet, som fronter kundene. Resultatet var at selskapet sto på en grunnmur av ikke-oppdatert programvare.
Mange tar ikke innover seg hvor kompliserte systemene de har faktisk er. Det gjør det lett å miste oversikten.
– Rolf Frydenberg, IT-nestor
– De hadde vært opptatt av fasaden?
– Det er et godt uttrykk! De prioriterte fasaden – og ingen klarte å slå gjennom og si: Dette kan falle sammen som et korthus når som helst. Jeg la fram analysen og sa: Dere må endre finansieringsmodellen for IT, så det er penger til å gjøre den nødvendige oppdateringen. Norske IT-ansvarlige må rope høyere! Et selskap er nødt til å bruke penger på grunnmuren. Og hvis det er sprekkdannelser i den, må det fikses. Det nytter ikke å male fasaden.
Rolf Frydenberg gestikulerer ivrig med hendene – før han smiler.
– Spørsmålet er: Hvem tror du er flinkest til å overbevise om pengebruk av en selger og en IT-driftssjef?
– Må det et angrep til før folk får opp øynene?
– Ja, eller at de har lest om andre selskaper som har opplevd et angrep. Mange tar ikke innover seg hvor kompliserte systemene de har faktisk er. Det er veldig mye fokus på digitalisering og softwareutvikling, men baksiden er at små bedrifter sitter i en situasjon med massevis av ulik programvare, servere og nettverksenheter. Det gjør det lett å miste oversikten.
Patching skaper ikke verdier. Det beskytter dem.
Løsningen? Den er ifølge Rolf Frydenberg todelt. For det første må du ha skikkelig overblikk. For det andre må du automatisere avdekkingen og patchingen av sårbarheter. Og det er altså best å la være å sløse bort dyre IT-ansattes tid på en jobb maskiner gjør både bedre, billigere og raskere.
– Patching i seg selv skaper ikke verdier for en bedrift. Patching beskytter mot tap. Jo mer som kan automatiseres av patchingen, jo mer verdifulle ting kan menneskene foreta seg. La menneskene gjøre det som skaper verdier, og la automasjon beskytte verdiene.
For å forklare hvorfor automatisering er så effektivt, snakker Frydenberg om tv-serien “Mesternes mester”. I en reaksjonsøvelse blir motstanderne plassert foran fem lysstaver – som kan slukke raskt og uten forvarsel. Den som først griper staven uten lys, vinner utfordringen.
– Selv de raskeste av oss mennesker bruker ett sekund på å registrere at lyset går ut – til vi har grepet det med hånda. Automatisering kunne ha gjort dette på noen få hundredeler av et sekund!
Frydenberg sier at det finnes databaser fulle av patcher som er laget for å tette kjente sikkerhetshull. Der kan man gå inn, finne fram til riktig patch – og oppdatere systemet i bedriftens IT-system.
Patching i seg selv skaper ikke verdier for en bedrift. Patching beskytter mot tap. Da Hydro ble utsatt for løsepengevirus, måtte de bruke flere hundre millioner kroner på å bygge opp systemet sitt på nytt.
– Rolf Frydenberg, IT-nestor
Det store spørsmålet er om folk følger med på disse databasene.
– Svaret er dessverre nei, sier han. – Grunnen er at det rett og slett blir for mye manuelt arbeid å danne seg en oversikt. Du må for det første logge deg inn, og deretter må du ha kontroll på alle serverne og nettverksenhetene i bedriften. For eksempel på den Linux-maskinen som kjører borte i det innerste hjørnet. Og alle de andre. Ofte er det så tungvint at det rett og slett ikke prioriteres. Av samme grunn er det slik at gjennomsnittlig tid det tar fra en patch er tilgjengelig til de fleste har installert den – er hundre dager. Noen ganger mye lenger. Enkelte ganger snakker vi år.
– Det gir svindlere et temmelig stort spillerom?
– Hackerne har visst om sikkerhetshullet i alle disse hundre dagene. Minst! Det betyr at de har hatt massevis av muligheter for å utnytte seg av det. Hvis de ikke gjør noe verre enn å sørge for at systemet krasjer, er det ikke så farlig. Men i tilfelle de bruker løsepengevirus, mister du tilgangen til dataene dine. Hydro opplevde dette, og måtte bruke flere hundre millioner kroner på å bygge opp systemet sitt på nytt.
Rolf Frydenberg, daglig leder i Manag-E Nordic AS
“Vi trenger ikke automatisering, vi har kontroll”
I dag finnes det løsninger som både gir automatisk oversikt – og som samtidig sjekker databasene. Frydenberg sier at servere og nettverksenheter kan innstilles til å oppdateres automatisk, men det er ikke alltid det er den beste løsningen. For det kan gå ut over oppetiden, om systemet plutselig går i gang med en oppdatering. I slike tilfeller kan det være nødvendig å bruke en manuell kontroll på når systemene patches.
– Norske IT-sjefer som sier at de ikke trenger automatiserte løsninger for å patche og sørge for at IT-systemene er oppdaterte, er det like før jeg rapporterer til Datatilsynet, sier Rolf Frydenberg.
– Hvorfor?
– De lyver for seg selv. De tror de har en oversikt de ikke har. I dag har mange bedrifter mange servere, mens de kanskje bare hadde ti stykker da de startet. Mange har på en eller annen måte ikke tatt innover seg den utviklingen det representerer å gå fra 20 til 200 servere. Du kan kontrollere 20 manuelt, men du har ikke sjans med 200.
Én ting er bedriftens servere, som det er vanskelig nok å ha oversikt over. Men bedrifter har også routere og switcher, som sender data gjennom nettverket. Dette er også datamaskiner, og de trenger også patcher. Dem er det enda vanskeligere å ha oversikt over. Selv om du har kjøpt mange like routere, for eksempel, med samme produktnummer, kan de ha små forskjeller, ulike versjoner av programvaren de kjører. Det kan være den luken hackerne trenger for å snike seg inn.
Det handler med andre ord om å adressere både nettverksutstyr og servere for å være helt sikker på at IT-systemet er ajour.
– Har du en brannmur med et sikkerhetshull, er det gjerne her hackerne begynner. Så kommer de videre, og så har de plutselig infisert alt. Hvis de for eksempel klarer å ta seg inn i programmet som styrer tilgangen til resten av nettverket. De fjerner gjerne alle mulige spor etter inntrengingen, så ingen ser at de er inne. Så venter programvaren enten på et eksternt signal eller er styrt med en tidsinnstilling, før de setter i gang.
– Og når de setter i gang, da er det for sent?
– Ja! Det er nettopp derfor du må få det patchet så fort det er en oppgradert patch å installere.
Falsk trygghet for småtasser
Det er kanskje lett å tenke at “de tar ikke meg”. Det blir som i eventyret: Norske små og mellomstore selskaper tenker kanskje at trollet venter til Den store Bukken Bruse kommer over brua og tar ham i stedet.
– Alle hackere drømmer om å loppe en bank for noen milliarder kroner. Det er mye bedre enn å angripe et lite markedsføringsbyrå, for eksempel. Vi snakker om potensielt veldig mye mer penger. Men …
– Det er en falsk trygghet?
– Ja, hackerne tar de små også. De går gjerne etter en viss andel av omsetningen. Hvor mye kan de kreve i løsepenger, uten at firmaet går konkurs? Hvis du har en omsetning på 100 millioner, ber de gjerne om 10 millioner. Du behøver ikke være blant Norges tusen største selskaper for å være sårbar.
Frydenberg sier at små firmaer også kan være en inngangsport til større firmaer, som har et samarbeid med dem og stoler på dem. – Det er derfor det snakkes så mye om zero trust. Altså at du ikke skal stole på noen du samarbeider med, men be dem dokumentere hvem de er. Men folk stoler for mye på andre. Den letteste måten å få skadevare inn i en bedrift, går gjennom en utro tjener på innsiden.
Norske IT-sjefer som sier at de ikke trenger automatiserte løsninger for å patche og sørge for at IT-systemene er oppdaterte, er det like før jeg rapporterer til Datatilsynet!
– Rolf Frydenberg, IT-nestor
– Men er dette den vanligste måten?
– Nei, det er den letteste. Den vanligste er at noen klikker på et vedlegg på mailen. Her behøver det ikke være snakk om social engineering, altså at noen rett og slett utgir seg for å være noen de ikke er. Det holder lenge med noe som kanskje ligner på en reklamemail med en link. Du trykker kanskje, og så skjer det tilsynelatende ikke noe. Da er det lett å tenke at det bare var noe feil med lenken.
– Men så enkelt er det ikke?
– Egentlig har du kanskje sluppet inn en bitteliten programsnutt som deretter går i gang med å laste ned mer og lete etter servere det kan infisere. Hensikten med en sånn liten programsnutt er én eneste ting: Å få til mer av det samme. Og dette skjer hele tiden.
Den gode nyheten er at hvis du har patchet servere og nettverksenheter, kommer ikke den skadelige programvaren seg videre. Den blir sittende på PC-en. Det er ikke verdens største problem.
– Én PC er ikke så verdifull. Det er bare å kaste den i søpla og kjøpe en ny, sier Rolf Frydenberg.
– Men hvis du ikke har patchet systemet, og viruset eller ransomware-en stopper økonomisystemet i bedriften, eller stopper produksjonen i en automatisert fabrikk … Da blir det veldig fort veldig mye penger per dag som går tapt.