Ca. en måned etter Wannacry, fikk vi i går et brutalt møte med Petrwrap/Petya, og NSM har rett i at vi i Norge slapp greit unna (så langt vi vet i dag). Det betyr ikke at vi har god nok kontroll og kompetanse på sikkerhet i Norge, selv om det ser ut til at vi er godt rustet med kjappe oppdateringer sammenlignet med andre land. Enkelte selskaper er rammet, inkludert store selskaper som burde klart å beskytte seg mot dette, og spesielt Ukraina med flyplass, nasjonalbanken, betalingsterminaler, minibanker, telekom og t-bane.

Vi forventer at nye angrep vil komme, antagelig med nye versjoner av denne, helt andre former for ransomware og annet.

Nok en gang må vi vente å se, og nok en gang må vi regne med at dette vil skje igjen. Så hva gjør vi mens vi venter?

  • Verifisere at alt utstyr er oppdatert, det høres kanskje kjedelig og uviktig ut, men det er noe av det viktigste vi kan gjøre for å beskytte oss mot slike angrep.
  • Etablere og verifisere at vi har tilstrekkelig backup av data vi ikke har råd til eller ønsker å miste, og sjekke at det er mulig å gjenopprette fra backupen.
  • Sørge for at alle bedriftens systemer oppdateres fortløpende.
  • Gjennomgå egne rutiner og bruk av teknologi gjøre nødvendige tilpasninger slik at sikkerhet ikke er avhengig av at alle ansatte gjør alt riktig. Sikkerhet basert på adferdg må erstattes (så mye som mulig med) sikkerhet basert på teknologi og systematikk, feks at utstyr brukes med vanlige brukerrettigheter, ikke administrator-rettigheter.
  • Sjekk at virksomheten har en identifisert rolle (person eller team) som sørger for regelmessige oppdatering av systemer, oppfølging av sikkerhet etc. Alle må vite hvem som har ansvaret.
  • Anmeld det til politiet, det er stor sannsynlighet for at det ikke hjelper noe som helst, men vi trenger å synliggjøre omfanget og behov for etterforskning og oppfølging.

Som samfunn trenger vi også å:

  • Legge bak oss idéen som forfektes av mange om at data automagisk er sikret mot uvedkommendes innsyn, tap, uautoriserte endringer etc. fordi de behandles i Norge. (Den idéen, spesielt som stråmann, er i seg selv en betydelig sikkerhetsrisiko.)
  • Sette sikkerhet på agendaen i ledelse og styrerom.
  • Sikre nødvendig kompetanse i alle ledd i alle sektorer.
  • Identifisere risiko og tiltak i tråd med de forskjelliges rolle, mandat og målsettinger.
  • Innføre og verifisere at forståelse for teknologi og IT-sikkerhet er del av hele utdanningsløpet, inklusive alle profesjonsutdanninger.
  • Tilpasse ledelse og organisasjonsutvikling tilpasset både teknologien vi bruker og hva andre i verden (les organiserte kriminelle og andre lands myndigheter) bruker teknologien og utnytter risiko til.
  • Tilpasse myndighetsutøvelse både teknologien vi bruker og hva andre i verden (les organiserte kriminelle og andre lands myndigheter) bruker teknologien og utnytter risiko til.
  • Vi må etablere en tydeligere og mer opplyst debatt om hvilke verktøy og tilganger forskjellige myndigheter skal ha. Wannacry og Petrwrap/Petya er mest sannsynlig basert på spesiallagde verktøy for å utnytte kjente sikkerhetshull NSA «mistet».

Det er mye vi må gjøre fremover, mye handler om langsiktig kompetanse mye handler om ressurser og fokus i anskaffelser og andre store linjer. Det handler også om å sikre at hver enkelt av kan lykkes med det vi selv må ta ansvar for, feks passord som ble aktualisert tidligere år.

(Denne er også publisert på Medium)