Det tager gennemsnitligt mere end 100 dage før en virksomhed opdager, at den er blevet hacket. Angrebene koster formuer og ødelægger både samfund og organisationer. For at blive klogere på udfordringerne og løsningerne, debatterede eksperter, den danske forsvarsminister og virksomheder cybersikkerhed på det virtuelle event Microsoft Security Day den 25. marts 2021.
Hackerne er smartere, truslen stigende og angrebene mere sofistikerede: Den digitale trussel er et grundvilkår for virksomheder i hele verden. Men findes der organisationer, som er umulige at hacke? Og er det muligt at mindske skaden ved angreb? De spørgsmål stillede Microsoft Danmark, da vi den 25. marts 2021 inviterede politikere, eksperter og ikke mindst udsatte virksomheder til at diskutere cybersikkerhed på Microsoft Security Day.
Knap 1500 havde tilmeldt sig eventet, hvor moderator, Nynne Bjerre Christensen, sammen med værten, Tanya Helene Christensen, Modern Work og Security lead, stod klar til at byde både publikum og speakers velkomne, da vi gik i luften direkte fra studiet i Lyngby, hvor Microsoft Danmark har sit hovedkontor.
”I dag skal vi tale om, hvordan vi i fælleskab bliver bedre til at forhindre den stadig stigende trussel og de sofistikerede cyberangreb”, sagde Tanya Helene Christensen, inden hun gav ordet videre til Ann Johnson, CVP Security, Compliance and Identity i Microsoft. På skærmen fra hjemmekontoret i USA beskrev hun, hvordan hjemmearbejde er kommet for at blive. Og hvordan den øgede digitalisering under corona-nedlukningen, har gjort verden yderligere sårbar over for cyberkriminalitet.
Ann Johnson forklarede også Microsoft-konceptet Zero Trust, som er baseret på 3 grundlæggende principper: Stol aldrig på nogen, kontroller altid og antag, at du som udgangspunkt vil blive hacket. Ann Johnson fortalte, at de fleste virksomheder ikke er så modstandsdygtige over for cyberangreb, som de tror eller kunne være.
”Det skyldes, at de ikke har øvet, hvad de skal gøre, når de bliver hacket”, fastslog Ann Johnson. Derfor anbefalede hun, at virksomhedernes chefer, fuldtidsansatte og konsulenter tager stilling til de 3 grundprincipper, så de er forberedt, hvis der opstår et angreb.
”Uddan dit team i multi-faktor-autentificering. Og lær dem, hvordan de genkender og anmelder forsøg på phishing (red. falske e-mails eller sms’er)”, opfordrede Ann Johnson.
Ann Johnsons indlæg til Microsoft Security Day
Tryghed er en god forretning
Jonas Halldin, som er partner inden for Cyber Security i EY, var også inviteret. Han gik på scenen med budskabet om, at sikkerhed ikke kun skal ses som et nødvendigt tiltag, der kan reducere angreb, men også bør betragtes som en god forretningsmulighed. Fokus på sikkerhed er med til at skabe et stærkt brand og kan udgøre en konkurrencefordel forklarede han.
”Vi ser hele tiden nye angreb rundt om i verden. Det er med til at skabe øget fokus fra både aktionærerne, industrien og regeringernes side. Og nu under covid-19 er interessen for it-sikkerhed eksploderet”, sagde Jonas Halldin.
Dyrt betalte erfaringer: ISS blev angrebet
De næste oplægsholdere på scenen var Nicolai Storm Lund, Head of IT Operations, SD & Security og Martin Petersen, Head of Information Security fra ISS. De delte for første gang deres historie siden angrebet på den danske servicegigant.
I februar 2020 blev ISS udsat for et cyberangreb. Der var tale om et malware-angreb, som ramte koncernens it-systemer. Efterfølgende måtte ISS som en del af deres procedure lukke ned for samtlige it-systemer for at isolere angrebet.
”Mange ved, at førstehjælp har fire faser: Stop ulykken, tilse tilskadekomne, ring efter hjælp og yd dernæst førstehjælp. Når ulykken handler om mennesker, ved man for det meste, hvad der er sket, hvem der er kommet til skade – og hvor man ringer efter hjælp. Sådan er det bare ikke, når der sker ulykker med IT-systemer. Så, hvad gør man?”, spurgte Nicolai Storm Lund og overlod ordet til sin kollega Martin Petersen.
”Du er nødt til at finde ud af, hvad der sket. Hvad er hackerne ude efter? Hvordan er de kommet ind? Hvilken skade har de forårsaget? Gik de efter kronjuvelerne?”, sagde han og tilføjede, at først når det er på plads, kan virksomheden finde ud af, hvad der kan gøres. Og den proces er både tidskrævende og dyr.
”Hvis du går for hurtigt frem, og endnu ikke har svar på alle spørgsmålene, risikerer du at bekæmpe angrebet forkert. Vær derfor ydmyg i forhold til egne kompetencer og søg hjælp, hvis der er brug for det. Vi kan ikke alle sammen være malware-eksperter”, sagde Martin Petersen og understregede, hvor stressende og ubehagelig situationen var.
”Ingen virksomheder eller angreb er ens, men vi har alligevel samlet nogle generelle pointer og erfaringer til jer”, sluttede Nicolai Storm Lund.
”I skal skabe synlighed og have de rette værktøjer klar både på Pc’er, telefoner og servere. I skal have en kommunikationsplan klar – det er alt for smertefuldt og tidskrævende at uddelegere opgaver midt i en krise. Og gør dit beredskabsteam klar på forhånd. Styringen skal være klar. Hvem gør hvad, og hvem har mandat til at træffe beslutninger”.
Nicolai Storm Lund og Martin Petersen fra ISS
Compliance og sikkerhed går hånd i hånd
Næste hold på scenen var Maria Damborg Hald, Director for Public Sector og Ole Kjeldsen, CTO og CISO, begge fra Microsoft. Deres budskab til seerne var, at sikkerhed og retningslinjer går hånd i hånd.
”Både trusler og regler ændrer sig hele tiden og derfor er det vigtigt, at vi ser på, hvordan vi udvikler vores sikkerhedssystem. Både så vi kender truslerne, men også så vi sikrer, at vi overholder de nødvendige regler, der skal være med til at forhindre et angreb”, sagde Maria Hald.
”Der er en række sikkerhedstiltag, som er nødvendige for at overholde retningslinjerne”, sagde han og understregede, at Microsoft i kraft af sin globale tilstedeværelse har en unik indsigt i, hvad der foregår, hvad truslen er, hvordan de it-kriminelle agerer og hvilke nye metoder de gør brug af.
”Denne indsigt benytter vi i de produkter og services, som I bruger. Men for at bruge sikkerhedsfunktionerne optimalt, modtager I også tonsvis af retningslinjer, som er nødvendige, fordi de er med til at øge sikkerheden”, forklarede Ole Kjeldsen.
Maria Hald og Ole Kjeldsen fra Microsoft
Forsvarsministeren: Cyberangreb er den største samfundstrussel
”Der er ingen tvivl om, at cyberangreb er den største trussel mod vores samfund. Og den verdensorden, vi kender”, sagde forsvarsminister Trine Bramsen, da hun gik på scenen og tilføjede, at der finder angreb sted hele tiden, som aldrig bliver opdaget.
”Pandemien har givet de kriminelle yderligere tid til at forbedre deres teknikker. De er begyndt at organisere sig og udvikle nye hacker-værktøjer, som de både sælger og lejer ud. De er blevet mere og mere professionelle”, sagde Trine Bramsen og understregede, at en del af hackerne arbejder for andre stater.
”De er beskyttet af regeringer, som bruger cyberangreb til at få mere magt. Det er et spørgsmål om nationens sikkerhed”, sagde hun og forsikrede, at regeringen arbejder målrettet på at øge sikkerheden herhjemme.
Findes den urørlige organisation?
En paneldebat afsluttede dagens program. Her debatterede eksperter i IT-sikkerhed, om den urørlige organisation overhovedet findes, og hvordan cybertruslen ser ud efter en global pandemi.
Med i debatten var Thomas Lund-Sørensen, chef for Center for Cyber Security, Ole Kjeldsen, CTO og CISO fra Microsoft Danmark, Gorm Grosen Christiansen, Security Advisor fra Globeteam og Lone J. D. Christensen, Certified ethical hacker og Senior Security Architect hos B&O.
Der kom hurtigt gang i debatten, da Thomas Lund-Sørensen, lagde ud med at understrege:
”Der findes ikke nogen virksomheder, som ikke kan blive hacket”, og han tilføjede, at alene det seneste år er udviklingen gået stærkt. Thomas Lund-Sørensen bakkede også ministeren op i udmeldingen om, at vi i stigende grad ser angreb fra andre stater.
”Digitaliseringen er alle steder omkring os. Det samme er de kriminelle”, sagde han.
Paneldebat
Pandemien skaber større risiko for angreb
Panelet var enige om, at pandemien har givet IT-kriminelle bedre vilkår, og at der er sket en stigning i covid-relaterede angreb.
”Set fra de kriminelles perspektiv, har pandemien skabt de perfekte omstændigheder for et angreb. Vi ser mange virksomheder, som hurtigt ændrer deres systemer for at støtte op og hjælpe til med bekæmpelsen af pandemien. Derfor er barriererne sænket i en periode”, sagde Gorm Grosen Christiansen.
En anden årsag til, at pandemien har gjort arbejdet nemmere for de kriminelle er, at mange arbejder hjemme fra usikre forbindelser.
”IT-kriminelle ved godt, at vi pludselig sidder og arbejder derhjemme på WPN-forbindelser, derfor vil de også øge deres angreb fra den kant”, sagde Lone J. D. Christensen og tilføjede:
”Derfor så vi også langt flere phishing-angreb, altså angreb via e-mails”.
Alle i panelet var enige om, at øget fokus, uddannelse af medarbejdere og teknologi alt sammen er med til at mindske risikoen for hackerangreb. Men en af de vigtigste forholdsregler er, at forvente at man bliver angrebet.
”Når du forventer et angreb, vil du stå klar med et forsvar”, forklarede Lone J. D. Christensen og blev bakket op af de andre panelister.
”Vi ved, at der sker fejl. Og vi ved, at vi vil blive angrebet. Vi har netop været ramt af et angreb hos Microsoft, også selvom vi praktiserer Zero Trust. Men netop forventningen om, at vi også ville blive ramt, var med til at gøre skaden mindre”, sagde Ole Kjeldsen.
Efter paneldebatten fik seerne mulighed for 45 minutters breakout-track, hvor Microsoft partnerne CSIS, VENZO, Avanade, Globeteam og APENTO stillede deres erfaring og viden til rådighed for dem, som ønskede en mere specifik og teknisk gennemgang af forskellige sikkerhedsløsninger.