Minimér risikoen ved cyberangreb med sikkerhedsopdateringer
På det sidste har vi set eksempler på tekniske sårbarheder i applikationer og operativsystemer, som kan medføre alvorlige cyberangreb. Processer for it-sikkerhed og sikkerhedsopdateringer er afgørende for at minimere risikoen ved cyberangreb.
26. februar, 2016 - Kl. 09.30
[Oprindeligt publiceret af Center for Cybersikkerhed]
Sikkerhedsopdateringer (patchning) af applikationer og operativsystemer er afgørende for myndigheder og virksomheders it-sikkerhed. Opdaterer man ikke applikationer og operativsystemer, er der risiko for sårbarheder eller huller i sine it-systemer, og dermed har man selv åbnet døren for hackere. Meddelelser om sikkerhedsopdateringer fra leverandører skal følges løbende, og der skal være en systematisk proces som prioriterer, hvordan og hvornår sikkerhedsopdateringer skal gennemføres.
Der kan være flere grunde til, at virksomheder eller myndigheder ikke har opdateret systemer eller applikationer. Det kan f.eks. være besværet med nedetid, mens man opdaterer eller organisationer der ikke holder øje med programmer, som ikke længere understøttes eller at organisationen simpelthen ikke ved, hvilke programmer, der er i brug i egen infrastruktur.
For et par uger siden så vi et eksempel med på kritisk fejl fra CISCO, som potentielt ville kunne medføre adgang til kundernes it-systemer. Fejlen lå i softwaren i firewall’en, som ellers skulle beskytte organisationen. Det gælder i sådanne tilfælde om at vide, hvor denne type software er i organisationen og få prioriteret hvilke systemer, der skal have installeret sikkerhedsrettelserne først og derefter gennemføre rettelserne.
Et andet eksempel er styresystemet Linux, som viste sig at have fejl, som også potentielt ville kunne medføre adgang til kundernes it-systemer. Præcis denne fejl er i mange ”internet of things”-enheder, og det vil være en udfordring for mange organisationer at kortlægge, hvor denne sårbarhed findes, idet eksistensen af disse ”internet of things” på organisationens netværk næppe er kendt af it-afdelingen. Der bør være en proces for at identificere enheder på netværket, så organisationen identificerer egen ”skygge-it” og indlemmer denne i organisationens risikostyring.
Det er topledelsens ansvar at vide, hvad et cyberangreb betyder for forretningen
At undgå cyberangreb er svært, men med gode processer og sikkerhedsopdateringer kan man minimere risikoen ved angreb. Dette kan man læse i Cyberforsvar, der virker, hvor særligt sikringstiltag 2 og 3 i ”top 4” er relevante. Sikringstiltag 2 og 3 handler om at opdatere programmer (applikationer) som fx Microsoft Office og Java samt at opdatere operativsystemer med de seneste sikkerhedsopdateringer.
Som du kan læse i ’Cyberforsvar, der virker’, så er opbakning fra topledelsen også en vigtig forudsætning for succesfuldt it-beskyttelse. Det er topledelsens ansvar at vide, hvad et cyberangreb betyder for forretningen, hvis vigtige informationer stjæles eller lækkes, eller online services er utilgængelige i kortere eller længere tid. Det er også topledelsens opgave at uddelegere det daglige ansvar for at imødegå disse risici.
Sikkerhedsopdateringer (patchning) af applikationer og operativsystemer er afgørende for myndigheder og virksomheders it-sikkerhed. Opdaterer man ikke applikationer og operativsystemer, er der risiko for sårbarheder eller huller i sine it-systemer, og dermed har man selv åbnet døren for hackere. Meddelelser om sikkerhedsopdateringer fra leverandører skal følges løbende, og der skal være en systematisk proces som prioriterer, hvordan og hvornår sikkerhedsopdateringer skal gennemføres.
Der kan være flere grunde til, at virksomheder eller myndigheder ikke har opdateret systemer eller applikationer. Det kan f.eks. være besværet med nedetid, mens man opdaterer eller organisationer der ikke holder øje med programmer, som ikke længere understøttes eller at organisationen simpelthen ikke ved, hvilke programmer, der er i brug i egen infrastruktur.
For et par uger siden så vi et eksempel med på kritisk fejl fra CISCO, som potentielt ville kunne medføre adgang til kundernes it-systemer. Fejlen lå i softwaren i firewall’en, som ellers skulle beskytte organisationen. Det gælder i sådanne tilfælde om at vide, hvor denne type software er i organisationen og få prioriteret hvilke systemer, der skal have installeret sikkerhedsrettelserne først og derefter gennemføre rettelserne.
Et andet eksempel er styresystemet Linux, som viste sig at have fejl, som også potentielt ville kunne medføre adgang til kundernes it-systemer. Præcis denne fejl er i mange ”internet of things”-enheder, og det vil være en udfordring for mange organisationer at kortlægge, hvor denne sårbarhed findes, idet eksistensen af disse ”internet of things” på organisationens netværk næppe er kendt af it-afdelingen. Der bør være en proces for at identificere enheder på netværket, så organisationen identificerer egen ”skygge-it” og indlemmer denne i organisationens risikostyring.
Det er topledelsens ansvar at vide, hvad et cyberangreb betyder for forretningen
At undgå cyberangreb er svært, men med gode processer og sikkerhedsopdateringer kan man minimere risikoen ved angreb. Dette kan man læse i Cyberforsvar, der virker, hvor særligt sikringstiltag 2 og 3 i ”top 4” er relevante. Sikringstiltag 2 og 3 handler om at opdatere programmer (applikationer) som fx Microsoft Office og Java samt at opdatere operativsystemer med de seneste sikkerhedsopdateringer.
Som du kan læse i ’Cyberforsvar, der virker’, så er opbakning fra topledelsen også en vigtig forudsætning for succesfuldt it-beskyttelse. Det er topledelsens ansvar at vide, hvad et cyberangreb betyder for forretningen, hvis vigtige informationer stjæles eller lækkes, eller online services er utilgængelige i kortere eller længere tid. Det er også topledelsens opgave at uddelegere det daglige ansvar for at imødegå disse risici.