Det tager kun 10 minutter… at hacke et personfølsomt it-system

10 minutter. Så lang tid tog det CGI’s etiske hacker at finde sårbarheder i et it-system, der håndterer personfølsomme oplysninger. Havde Mikkel Brøndum ikke været på CGI’s lønningsliste, og havde ”angrebet” ikke været bestilt af en kunde, kunne historien have været ganske alvorlig.

Tab af personfølsomme oplysninger, afpresning og it-nedbrud er kendte konsekvenser af ondsindet hacking. Men samarbejdet mellem CGI og kunden viser, at der ofte skal ganske lidt til for at forbedre sikkerheden markant.

”Systemer kan lide under kendte sårbarheder, der måske blev belyst for seks eller otte år siden. Problemerne opstår, fordi virksomheder og organisationer ikke får opdateret deres systemer eller implementeret bedste praksis i forhold til sikring af data. Derfor er det ofte gamle kendinge eller ’the usual suspects’, jeg møder i mit arbejde”, fortæller Mikkel Brøndum, der er Certified Ethical Hacker hos CGI.

Persondataforordningen stiller endnu større krav til sikkerheden

I maj 2018 træder den nye EU persondataforordning i kraft, der medfører strengere krav til behandling af data. Virksomheder kan ved brud på sikkerheden bl.a. risikere en bøde på op til 4 % af den globale årlige koncernomsætning. Der er derfor al mulig grund til at opruste ift. sikkerhed.

”Vores kunde var i gang med at kortlægge deres systemlandskab. Som hos mange andre store organisationer er deres it-portefølje præget af års knopskydninger. De manglede derfor overblik over deres applikationer, men også de rette interne kompetencer. It-sikkerhed kan næsten aldrig reduceres til et teknisk problem. Det er både organisatoriske og it-mæssige udfordringer, der skal tages hånd om”, fastslår Mikkel Brøndum.

I den konkrete sag udgjorde et offentligt tilgængeligt testsite en potentiel vej ind til personfølsomme oplysninger. Testsystemet var sat op til at acceptere en gammel protokol, der kunne bruges til at kompromittere det certifikat, som den brugervendte hjemmeside benytter. En ondsindet hacker ville derfor på sigt kunne dekryptere kommunikationen mellem bruger og organisation.

”Man kan sammenligne det med at bruge det samme kodeord til sin netbank, sin mail og sin Facebookkonto. Hvis først koden bliver brudt, er man virkelig i problemer”, konstaterer CGI’s etiske hacker.

Truslen er intensiveret – men der er meget, man selv kan gøre

Center for Cybersikkerhed vurderer, at cybertruslen mod danske myndigheder og private virksomheder er meget høj. Fremmedstatslige aktører har midlerne, muligheden og ønsket om at angribe. Samtidig er det blevet billigere og nemmere at købe cyberkriminelle ydelser på internettet.

Men ifølge Mikkel Brøndum er der heldigvis meget, man som virksomhed eller organisation kan gøre for at mindske eller helt forhindre angreb.

”Først og fremmest skal fokus på it-sikkerhed være forankret i ledelsen. Sikkerhed kan ikke reduceres til et it-problem. Høj sikkerhed kræver, at man har et holistisk overblik over sin organisation. Man skal uddanne sine medarbejdere, definere interne it-sikkerhedspolitiker og udarbejde en it-beredskabsplan”, konkluderer Mikkel Brøndum.

Invitér en hacker inden for

I forhold til de tekniske udfordringer fortæller CGI’s etiske hacker, at det ofte er manglende opdateringer og patches, der er skyld i systemernes sårbarheder.

”Når først systemerne er i drift, er der tendens til at glemme dem. Mange organisationer mangler simpelthen en proces for løbende sikkerhed. Her kan det være en stor styrke at få ekstern hjælp til fx at udføre kontinuerlige penetrationstests, ” siger Mikkel Brøndum.

At hyre en etisk hacker kan være et meget effektivt redskab til at få kikket sine systemer efter i sømmene. Efter gensidig aftale kan den venligtsindede hacker forsøge at kompromittere ens netværk eller undersøge interne sårbarheder.

”Det er trods alt sjovere at få besøg af mig end af en hacker med kriminelle bagtanker”, påpeger Mikkel Brøndum.

Kontakt Mikkel og hør mere om, hvordan du sikrer din virksomhed

- eller bestil et kontrolleret hackerangreb her.

Mikkel Brøndum
Senior Analyst, Cyber Security
CISSP, GICSP, OSCP, OSWP, CompTia PenTest+, CNSS, CEH
E: mikkel.brondum@cgi.com
M: 25 18 87 29