Der er flere sårbarheder i virksomhedernes forsvarsværker. Årsagen er bl.a. open source og øget brug af IoT, og lige om lidt lurer måske også hacking fra rummet. Sikkerhedsvirksomheden Fortinet tegner et billede af situationen og giver gode råd.
Stigende brug af open source åbner for flere sårbarheder i vores brug af software.
”Tankegangen bag open source er som sådan sympatisk og vi opererer selv både som bidragydere og brugere, men da det i stort omfang er drevet af entusiaster og græsrodsfolk, er der ikke så meget fokus på vedligeholdelse og opdatering, og det åbner selvsagt for sårbarheder,” siger Christian Rutrecht, der er sikkerhedsspecialist hos Fortinet og arbejder med rådgivning om sikkerhed. Et aktuelt eksempel er hændelsen med Log4Shell over nytåret, som satte cybersikkerhedsfolk på overarbejde for tredje jul i træk. Det var et hul i open source softwaren Log4j, som øjensynlig blev opdaget på næsten samme tid af aktører på både den rigtige og forkerte side af stregen. I en database over globale sårbarheder, hvor de enkelte opdagelser er rangeret på en skala fra 1 til 10, var der tale om 10’er, hvilket sjældent anvendes medmindre at sårbarheden er yderst kritisk.
”Trods en god fælles indsats fra de frivillige engagerede kræfter gik der lang tid før Apache Foundation formåede at få udviklet brugbare patches og der findes forsat sårbarheder løbende nu hvor både sikkerhedsfolk og de kriminelle er faldet ned i ”kaninhullet”, og platformen er udsat for Saurons Øje effekten,” fortæller Christian Rutrecht.
En løsning kan være, at patches bliver implementeret af flere led i kæden, men nye sårbarheder vil uvægerligt opstå i kæden og i log4j plug-in, når denne er fremme i søgelyset.
”Det skyldes, at open source miljøet er karakteriseret ved en kæde af platforme, der er i indbyrdes forbindelse og dermed opstår afhængigheder. Som virksomhed bør man vurdere leverandøres ry og certificeringer og ikke nødvendigvis vælge de billigste løsninger. Jeg siger ikke, at man skal fravælge brug af open source – vi skal huske på, at en moderne cloud infrastruktur ofte vil indeholde open source komponenter – men man er nødt til at risikovurdere og sekventere sårbarhederne,” påpeger Christian Rutrecht.
IoT bruger også open source
I disse år vinder Internet of Things kraftigt frem. Flere og flere enheder, der før stod off-line, er nu kommet on-line. Det kan være temperaturstyring, lysstyring, fjernsyn, alarmer, biler, produktionsudstyr etc. Listen fortsætter. Det er smart og giver bekvemmelighed, men åbner også døren for sårbarheder.
”IoT-løsningerne er typisk bygget op om open source, hvilket igen indebærer en risiko for kompromittering i kæden. Meget af det kan være baseret på Linux, som vi ser en stigende angrebs-
interesse for, og som kan have begrænset opdateringsmuligheder. Også her er løsningen at dokumentere sine processer, systemer og kryptere og sekventere data,” siger Christian Rutrecht.
Mangel på hænder
En af de store udfordringer på mandskabssiden er, at der generelt er stor udskiftning på nøglefunktionerne i virksomhederne i relation til sikkerhed.
”Vi mangler simpelthen hænder, og jeg tror at vi generelt skal se på et bredere rekrutteringsgrundlag til de ledige stillinger. Omskoling og diversitet kan være en vej frem og så tror jeg, at vi skal forsøge at understøtte sammenhængende økosystemer, der bl.a. kan hjælpe med øget brug af machine learning, som kan automatisere visse processer og på den måde spare manuel arbejdskraft,” foreslår Christian Rutrecht.
Når vi taler om rekruttering af de rigtige mennesker til det vigtige arbejde med sikkerhed, skal branchen måske i højere grad slå på arbejdets almennyttige karakter.
”Når du arbejder med cybersikkerhed forsvarer du din virksomhed og dens forretningskritiske data, men indirekte er du også med til at forsvare den større helhed, dit land, og det samfund, du er en del af. Der er altså et større formål med dit arbejde,” siger Christian Rutrecht.
Hacking fra rummet
Risiko for hack fra rummet lyder måske som noget fra en Hollywood-film, men det er faktisk ikke urealistisk. Adskillige aktører arbejder på at levere internet på en ny måde, hvor ”smarte” satellitter indgår. Det åbner for helt nye markeder, ikke mindst i den tredje verden og steder på kloden, der i dag har ringe internetdækning. Det menes, at en af aktørerne i dag har ca. 5.000 kommercielle satellitter i rummet. Over de kommende år vil det antal stige til 30.000 og med stadigt flere spillere på banen, vil der være risiko for en global sikkerhedshændelse af epidemiske dimensioner. Hvorfor forfølge denne udvikling til global opkobling?
Det er simpelt. Den nye virkelighed er at ”data is king”. Det betyder at både virksomheder og det offentlige får en mere distribueret infrastruktur, hvor udstyr som vi tidligere ikke ville forbinde via internettet skal forbindes til b.la. cloudtjenester til samling og udnyttelse af data for at optimere forretningstilgange. I takt med at vi får større krav til en dynamisk infrastruktur, stiller det højere krav til sikkerhed og kontrollen med infrastrukturen. Dette, kombineret med et stigende pres på de manglende hænder, kræver at vi omstiller os til at automatisere og arbejde med et digitalt økosystem som gør håndteringen og automatisering nemmere.
”Hackerne opruster og bliver mere og mere sofistikerede. Samtidig specialiserer de sig som i anden form for organiseret kriminalitet og med fangarme ud i det åbne samfund, hvor sarte sjæle kan lade sig friste af mulighed for industrispionage og ødelæggende angreb på en konkurrent. Det betyder, at alle kan blive ramt, og alle skal gøre mest mulig for at gardere sig,” slutter Christian Rutrecht.
