Artiklen bragt i Trygs magasin Agenda
Vi kender det alle sammen. De irriterende spammails, som vi hver dag modtager i vores inbox i større eller mindre omfang. Efterhånden har vi lært, at vi skal passe på med, hvad vi klikker på. Alligevel lykkes det dagligt it-kriminelle grupper at friste medarbejdere i virksomheder verden over til at klikke på et link eller åbne et dokument, der ikke er, hvad det giver sig ud for.
Der skal blot et enkelt klik fra en enkelt medarbejder til, så har de kriminelle potentielt adgang til systemer, data og informationer, som de kan sælge videre, mens virksomheden risikerer at miste formuer og få ødelagt sit omdømme.
Problemets omfang er enormt. Hver dag afsendes der globalt et sted mellem 100 og 200 milliarder mails. For hver 400 mails er mindst en et forsøg på phishing, mens næsten én ud af 300 mails indeholder virus, ifølge it-sikkerhedsfirmaet Symantec. Og så er phishing-mails kun én blandt mange metoder, som de kriminelle benytter sig af.
Når medarbejdere surfer på nettet, risikerer de for eksempel at havne på websites, der er inficeret med virus, som angriber virksomhedens computere. Ligesom medarbejderne, når de tjekker mails på deres smartphones eller kommunikerer på sociale medier, også risikerer at blive ofre for it-kriminelle, der med stadigt mere sofistikerede metoder prøver at få adgang til fortrolige oplysninger.
Det nye forretningsmiljø
Den teknologiske revolution i de seneste årtier har forandret den måde, erhvervslivet fungerer på. Dagens forretningsmiljø er et tæt forgrenet netværk af medarbejdere, samarbejdspartnere, kunder, leverandører, myndigheder, som alle kommunikerer med hinanden i et åbent miljø og især via internettet. Antallet af servere, computere, tablets, telefoner og andet udstyr, der opkobles til internettet stiger hastigt og forventes at være flerdoblet inden for få år.
Det konstante flow af informationer er, som revisionsfirmaet PwC udtrykker det, ”hjerteblodet i vores business økosystem”. Mens det for de cyberkriminelle nærmest må betegnes som et økosystem af muligheder for kriminalitet – fra tyveri, bedrageri og skader på aktiver til afpresning, industrispionage og terror.
I takt med at økosystemet udbygges, opstår der stadig flere kanaler og platforme, som de kriminelle kan udnytte. Nogle gange skyder de med spredehagl – for eksempel ved at sende phishing-mails til titusindvis af email-adresser, mens de andre gange går målrettet efter udvalgte virksomheder eller informationer.
EU-Kommissionen skønner, at flere end én million mennesker verden over hver dag er ofre for it-kriminalitet, og de samlede omkostninger kan ifølge Europol være helt op til 750 milliarder euro om året.
Mangfoldige trusler
Alle typer af brancher og virksomheder er i farezonen, men særligt fremstillingsvirksomheder, den finansielle sektor, informations- og servicevirksomheder er under angreb. Hertil kommer hele detailhandelsleddet, hvor de kriminelle især går efter kundernes kreditkort- og bankoplysninger.
Både større og mindre virksomheder er i de kriminelles søgelys. Ifølge Symantec var halvdelen af alle angreb i 2012 rettet mod større virksomheder med over 2.500 ansatte, mens den anden halvdel rettede sig mod mindre virksomheder. I forhold til året før var der især tale om en vækst i antallet af angreb mod virksomheder med under 250 ansatte, og de mindre virksomheder er ofte mere sårbare end de større, ligesom de kan bruges som et springbræt til angreb mod større virksomheder – for eksempel samarbejdspartnere.
Truslerne mod virksomhederne er mangfoldige. Hacking og malware er nogle af de mest brugte metoder. Ifølge en undersøgelse fra it-virksomheden Verizon involverede 52 procent af alle angreb i 2012 en eller anden form for hacking, mens der i 40 pct. af tilfældene blev anvendt malware. Den stigende brug af smartphones og andre mobile enheder udvider den platform, som de kriminelle har til rådighed. Eksempelvis steg antallet af mobil malware fra 2011 til 2012 med hele 58 pct. ifølge Symantec.
Økonomisk gevinst
De grupper eller individer, der står bag angrebene, omfatter alt fra professionelle hackere, der lever af at sælge informationer videre, til politisk motiverede aktivister, nuværende eller tidligere medarbejdere, konkurrenter og fremmede stater.
92 procent af angrebene i 2012 fra folk uden for virksomheden, understreger Verizon. 30 pct. af de eksterne angreb kom fra Kina, 28 pct. fra Rumænien og 18 pct. fra USA. Lidt over halvdelen af angriberne var organiserede kriminelle, mens omkring en femtedel havde en eller anden form for tilknytning til en stat – først og fremmest Kina. I sager om industrispionage involverede hele 96 pct. af angrebene parter, der var baseret i Kina.
Hovedparten af angriberne går efter en eller anden form for økonomisk gevinst, og i det moderne it-økosystem er det muligt for de kriminelle at opnå en stor fortjeneste med en meget begrænset investering.
Mange af de data, som virksomheder gemmer om deres produkter, finansielle forhold, strategier, kunder og andre forretningshemmeligheder kan sælges videre på det internationale marked. Kreditkortoplysninger handles i dag offentligt på internettet for helt ned til én euro per styk, mens andre og mere værdifulde data afsættes på det sorte marked.
En anden strategi
Virksomhederne forsøger på mange forskellige måder at beskytte sig mod angreb. I det moderne, åbne forretningsmiljø er det imidlertid nærmest umuligt at holde angriberne ude ved hjælp af traditionelle metoder som antivirus-programmer og firewalls.
Populært sagt findes der kun to typer af virksomheder – dem der er blevet angrebet, og dem, der ikke ved, at de er blevet angrebet. Påstanden underbygges i Verizons 2013-rapport, som viser, at det for 66 pct. af de virksomheder, der blev angrebet, tog en eller flere måneder at opdage det. Og i syv ud af 10 tilfælde var det eksterne parter, der opdagede angrebet.
De kriminelle forsøger konstant at finde sårbarheder i programmer og nye veje ind i virksomhedernes it-systemer. At holde trit med dem er som et konstant våbenkapløb, hvor den ene hele tiden overhaler den anden. Frem for at bygge stadigt tykkere og højere ”mure” i et forsøg på at holde de kriminelle ude vælger virksomhederne derfor i stigende grad en anden strategi, hvor de fokuserer på at minimere skaderne ved et angreb.
Dels bruger de ressourcer på at analysere og kategorisere data i forhold til, hvor værdifulde de forskellige informationer er for virksomheden. Hvad er virksomhedens ”kronjuveler” – som PwC kalder det – altså de informationer, der under ingen omstændigheder må gå tabt eller komme i hænderne på de forkerte personer? Og hvilke typer af data er det mindre vigtigt at beskytte 100 pct. mod et angreb?
Derudover fokuserer virksomhederne i stigende grad på en bedre overvågning af it-systemerne og et effektivt beredskab, så man i tilfælde af et angreb hurtigt kan få lukket hullerne, få systemerne op at køre igen og kommunikere til medarbejdere, kunder og andre potentielt berørte parter.
Virksomhederne gør klogt i at ruste sig, for intet tyder på, at problemerne bliver mindre i de kommende år. Alene i 2012 steg omfanget af cyberkriminalitet med 42 pct. ifølge en undersøgelse fra Ponemon Institute. Og ifølge samme undersøgelse kostede det i gennemsnit hver virksomhed næsten 600.000 dollar at rydde op, når et angreb lykkedes. Hvad de kriminelle hver især fik ud af det, kan man kun gisne om.