Månedens udvalgte: Cybersikkerhed i lyset af COVID-19

17. september 2020 - COVID-19 har medført store konsekvenser landet og verden over. Jacob Herbst vil i månedens udvalgte sætte fokus på de umiddelbare følger, COVID-19-pandemien har medført, samt kigge ind i kortsigtede og langsigtede konsekvenser og ændringer, pandemien har haft på cybersikkerheden.

COVID-19-pandemien har udløst en omfattende global humanitær og økonomisk krise. Desuden har pandemien været en kæmpe udfordring for organisationer og virksomheder, som i lyntempo har været tvunget til at tilpasse den daglige drift og forretning til en helt ny virkelighed med nedlukninger, afbrudte forsyningskæder og en generel meget stor usikkerhed. For at klare sig gennem krisen har virksomhederne været nødt til at foretage meget store ændringer i deres forretning, og mange virksomheder kan berette, at projekter som normalt ville tage år at gennemføre, blev gennemført på ganske få måneder.

Digitale værktøjer har været vigtige for at fastholde aktiviteten i virksomheder og organisationer, og digitalisering spiller en vigtig rolle i den transformation, som COVID-19-pandemien har gennemtvunget. Forudsætningen for at kunne bruge digitale værktøjer og digitalisering, er et ordentligt sikkerhedsniveau, der sikrer en ordentlig robusthed og beskyttelse af kritiske data.

COVID-19 – Kortsigtet

Umiddelbart efter at COVID-19-pandemien begyndte at få opmærksomhed i diverse medier som en potentiel global risiko, var de kriminelle lynhurtige til at udnytte den usikkerhed og nysgerrighed, som pandemien gav anledning til. Dette skete blandt andet ved, at vi meget hurtigt begyndte at se en lang række phishing- og malware-angreb med et ”Corona-tema” i en forventning om, at brugerne er tilpas nysgerrige til at reagere på disse beskeder. Denne form for angreb er blevet udnyttet både fra kriminelle og statsaktører i forsøg på at skaffe sig adgang til virksomhedernes netværk. En anden tendens var kriminelle svindlere, der åbnede falske webshops, hvor de solgte ikkeeksisterende værnemidler. Et tydeligt tegn på disse aktiviteter var oprettelsen af domæner til ondsindet brug, hvor en opgørelse viste, at der blev oprettet over 90.000 nye domæner med et Corona-inspireret navn i perioden 1. januar til 1. april 2020.

En anden umiddelbar konsekvens af COVID-19-nedlukningerne i samfundet var, at en lang række medarbejdere meget pludselig skulle til at begynde at arbejde hjemmefra. Mange virksomheder og organisationer, særligt blandt andet i Danmark, var heldigvis vant til hjemmearbejde og havde allerede de tekniske løsninger på plads – ligesom medarbejderne havde den nødvendige træning. Vi så dog også en række virksomheder, der lidt i panik var nødt til at etablere mulighed for fjernarbejde, hvilket ofte skete med de forhåndenværende remedier f.eks. blev fjernadgang etableret med simple huller i firewall’en og uden brug af VPN og stærke brugervalideringer. Enkelte virksomheder valgte blandt andet at eksponere fjernskrivebord (RDP) direkte på Internettet, hvilket vi gentagende gange har set misbrugt til hackerangreb og kompromitteringer. Globale scanninger efter sårbarheder i denne periode viste således, at der kom væsentligt flere gængelige og potentielt sårbare systemer på Internettet. Samtidig kunne man også se, at antallet af scanninger fra ondsindede aktører steg, hvilket er et udtryk for, at der aktivt ledes efter disse tilgængelige og sårbare systemer.

Ligeledes blev medarbejdere, der ikke var vant til hjemmearbejde, hovedkulds kastet ud i nye arbejdsgange og brug af nye værktøjer som f.eks. videokonference. Igen observerede vi, at angriberne var lynhurtige til at udnytte denne ændring, og blandt andet oplevede vi falske invitationer til videomøder, hvor linket i stedet var til ondsindede domæner, der efterlignede Zoom, Microsoft Teams eller Google Hangouts og spredte forskellige former for malware. Særligt videokonferenceplatformen Zoom blev udsat for en række angreb med efterfølgende kritik af deres manglende sikkerhed.

COVID-19 har også medført en række nye geopolitiske spændinger, der blandt andre har involveret Kina, Rusland og USA. Disse spændinger er blandt andet kommet til udtryk ved, at regeringsstøttede grupper (efterretningstjenester) har udnyttet COVID-19 til cyberangreb, propaganda og misinformation med afsæt i Corona. Ligeledes har der internationalt været meldt om en markant øget aktivitet for at kompromittere medicinal- og sundhedsorganisationer formentlig for at skaffe viden om aktuel Corona-forskning i udviklingen af vacciner, som er blevet et nyt område, hvor der konkurreres. Således har der blandt andet være meldt om en række cyberangreb på WHO (World Health Organization).

For langt hovedparten af alle normale danske virksomheder og organisationer har COVID-19-pandemien ikke givet anledning til ændringer i trusselsbilledet, og den mængde af angreb, vi har observeret, er ikke steget. Men den væsentlige ændring er, at trusselaktørerne nu udnytter COVID-19.

Konsekvenser på længere sigt

Det er naturligvis stadig for tidligt at forudse alle de langsigtede forandringer, som COVID-19-pandemien vil medføre indenfor cybersikkerhedsområdet, men der er dog allerede en række områder, hvor vi kan se tendenser til nogle grundlæggende forandringer.

Digitalisering stiller nye krav til sikkerhed

COVID-19-pandemien har tvunget mange virksomheder og organisationer til at omfavne digitale løsninger, og den digitaliseringsproces, der længe og langsomt har været i gang i mange virksomheder og organisationer, er blevet accelereret. Dette skyldes blandt andet, at virksomhederne har været tvunget til andre arbejdsgange med hjemmearbejde og videomøder, men også at meget kundeinteraktion er blevet digitaliseret.

Samtidig ser vi også, at der er behov for meget mere fleksibilitet og agilitet i den måde, it-løsningerne bliver udviklet og etableret på, hvilket blandt andet er baggrunden for en stigende anvendelse af software-as-a-service, cloud-infrastruktur og hele DevOps-paradigmet, hvor drift og udvikling smelter sammen. Mange af disse løsninger er samtidig rettet mod andre brugere end kun virksomhedens egne ansatte, hvorfor de ofte er alment tilgængelige fra Internettet.

Alle disse forhold medfører en øget afhængighed af den digitale infrastruktur hvorved konsekvenserne, hvis noget skulle gå galt, bliver endnu større, at løsningerne bliver baseret på andre cloud-baserede paradigmer hvilket kræver en cloud-baseret tilgang til sikkerhed samt løsninger, der ofte er væsentlig mere alment tilgængelige – også for potentielle angribere.

Økonomiske kriser skaber flere cyberkriminelle

COVID-19-pandemien medfører desværre også alvorlige økonomiske problemer på en global skala. Dette betyder også, at mange personer i lande, der er berygtet for at stå bag cyberkriminalitet, formentlig vil miste deres job og muligheder for at forsørge deres familier. Nogle af disse personer vil derfor måske søge over i forskellige former for kriminalitet, herunder cyberkriminalitet.

På denne baggrund forventer vi på mellemlang sigt at opleve en stigende aktivitet fra cyberkriminelle med et økonomisk motiv, hvilket alt andet lige vil øge sandsynligheden for at blive ramt af kriminelle angreb.

Geopolitisk spænding

Et af resultaterne af COVID-19-pandemien er som nævnt forøgende geopolitisk spænding mellem en række lande. Mange af disse spændinger var der også før COVID-19, men det er vores observation, at de er blevet forøget. Dette betyder, at vi på sigt forventer flere ressourcer til efterretningstjenesternes cyberaktiviteter og dermed flere politisk motiverede angreb eller spionage. Generelt ser vi i disse år regeringer, der øger deres cyberangreb og denne udvikling forventes accelereret.

CSO, CTO og medlem af diverse cybersikkerhedsråd

Jacob Herbst er uddannet civilingeniør fra DTU i 1996 og har siden hjulpet en lang række virksomheder, myndigheder og organisationer med cyber- og informationssikkerhed ud fra en praktisk og pragmatisk tilgang. I 1997 startede han Dubex sammen med Gorm Mandsberg og Klaus Kongsted, og i dag har Dubex udviklet sig til Danmarks største dedikerede cyber- og informationssikkerhedsfirma med en bred portefølje af løsninger og services. I det daglige er Jacob Chief Technology Officer og Chief Security Officer i Dubex og har fokus på hvilke strategier og tilgange, man som virksomhed skal vælge for opretholde et passende sikkerhedsniveau.

Jacob er medlem af det nationale Cybersikkerhedsråd, som blandt andet er med til at rådgive den danske regering om, hvordan vi udvikler den nationale cyber- og informationssikkerhedsstrategi. Han er medlem af Virksomhedsrådet for it-sikkerhed, som arbejder med styrkelse af cyber- og informationssikkerhed specielt i små og mellemstore virksomheder. Desuden deltager Jacob i et samarbejde med blandt andet Industriens Fond og Bestyrelsesforeningen omkring styrkelse af de Strategiske Cyberkompetencer hos ledelser og bestyrelser i danske virksomheder.

Jacob er også bestyrelsesmedlem i DAU (Dansk Automationsselskab), som arbejder for at fremme betingelserne for automation og Industri 4.0 i Danmark. DAU har over 150 medlemsvirksomheder, som støtter op om videndeling og giver inspiration til nye automation-løsninger. Jacob er blandt andet ansvarlig for at facilitere DAU’s Industrielle it-sikkerhedsnetværk.

På det seneste har Jacob også været med i den ekspertgruppe, der rådgiver regeringen omkring sikkerheden i den danske mobil-app Smitte|Stop der anvendes til COVID-19-smitteopsporing.

Endeligt optræder Jacob ofte som sikkerhedsekspert på diverse konferencer samt i en lang række nyhedsmedier blandt andet Version2, DR og TV2.

Jacob har mange års erfaring med cyber- og informationssikkerhed og holder sig løbende opdateret på trusselsbilledet i hele verden. Derfor vil han hver måned bidrage med indsigter, historier, og relevante indlæg i månedens udvalgte.

Læs mere

Cyberkriminelle bruger COVID-19 som redskab

COVID-19-pandemien bliver udnyttet i stor stil til at begå cyberkriminalitet. Det relevante og meget omdiskuterede emne trækker stort fokus, og ikke nok med at angrebsfladen er blevet langt større, så danner temaet grundlag for et helt nyt værktøj, der benyttes i stor stil af hackerne.

Se video: Smishing – COVID-19 som lokkemad

Falske SMS’er med ondsindede links er ikke et sjældent syn. De cyberkriminelle bruger særligt i denne tid COVID-19-pandemien som redskab, når de vil forsøge at få folk til at klikke.