Da IT-Branchen bestilte et hackerangreb

For at teste IT-Branchens cybersikkerhed, hyrede vi for nyligt en virksomhed til at foretage en såkaldt penetrationstest af vores systemer. Og det kan varmt anbefales.

Da IT-Branchen bestilte et hackerangreb

Penetrationstesten blev foretaget af Outpost24, og simulerede flere typer cyberangreb på vores it-systemer.

På den måde kunne de identificere fejl og sårbarheder, som potentielt ville kunne give it-kriminelle adgang vores systemer og data.

”Det er en god ide, at du periodisk lader en eksternt it-sikkerhedsvirksomhed forsøge at penetrere dine systemer. Det sikrer ikke bare friske øjne på dit it-setup, men også konkrete værktøjer og to-do’s, du efterfølgende kan gå videre med,” fortæller Bjørn Borre, direktør for forretning og medlemsservice i IT-Branchen.

Angreb fra flere sider

Penetrationstest kommer i mange varianter, og skal typisk skræddersys til det setup, som den enkelte virksomhed har – og naturligvis i forhold til ens ambitionsniveau og budget.

Vi havde i denne omgang f.eks. fravalgt, at testen skulle inkludere forsøg på fysisk indtrængen, brug af inficerede usb-stik o. lign., men i stedet koncentrere sig om muligheden for at kunne skaffe fjernadgang til vores hjemmeside og tilkoblede systemer.

Efter vi blev enig om målsætning og scope for testen, gik vores sikkerhedsfirma i gang med at scanne vores site og lede efter åbninger i alt fra konfigurationer, porte til ikke-opdateret software og usikre plug-ins.

”Heldigvis fandt de kun få sårbarheder, der blev vurderet som ikke signifikante. Så det er jo dejligt, at vi på den måde ”bestod” prøven, selvom kampen mod cyberangreb desværre aldrig stopper,” udtaler Bjørn Borre.

Konkret handlede sårbarhederne om, at vi i transportlaget (TLS’en) havde benyttet nogle svage cipher suites, og at vi på vores hjemmeside benyttede et ældre plug-in, der lidt teoretisk var sårbart overfor cross-site scripting.

Under hele forløbet havde IT-Branchen en tæt og åben dialog med Peytz & Co, der har udviklet og hoster hjemmesiden, og vi kunne derfor hurtigt og effektivt gennemgå og implementere de forskellige forbedringsforslag.

Hold hackerne væk

Gennem de sidste årtier har hacking udviklet sig fra simple drengestreger som defacing af hjemmesider og simple DDoS-angreb til mere alvorlige angreb som Phishing, Ransomware og industrispionage.

Fælles for nutidens cyberangreb er det økonomiske motiv. Så finder hackeren vej ind i dine systemer, har det oftest en direkte eller indirekte økonomisk konsekvens for din virksomhed.

En undersøgelse udarbejdet af revisionsselskabet PwC viser således, at det gennemsnitlige hackerangreb i 2017 kostede danske virksomheder 900.000 kr.

”Vi oplever på daglig basis, at uvedkommende forsøger at trænge ind på kundernes it-systemer. Det er derfor vigtigt, at du hele tiden arbejder for at holde hackerne væk, og løbende tester sikkerheden i dine systemer,” udtaler Claus Sølvsteen, partner hos Peytz & Co, der drifter over 500 løsninger for diverse kunder.

Claus Sølvsteen giver her fem nemme råd til at holde hackerne på afstand:

  • Hold dit CMS opdateret
  • Gør din administrator-sti unik (de hedder fx /wp-admin, /umbraco etc.)
  • Fjern de plugins/moduler I ikke bruger og hold dem i bruger opdateret
  • Tag backup af dit website og al dets data – og test at den virker
  • Skjul hvilken version af software, I bruger

Er du i tvivl om, hvorvidt du opfylder ovenstående fem punkter, eller tvivler du i det hele taget på jeres sikkerhed?

Så vil vi på det kraftigste opfordre dig til at få det testet. Det kan være dyrt at lade være.

Vil du vide mere?

Vil du vide mere om, hvad vores it-sikkerhedsudvalg laver, og hvad vi vil med vores mærkesag omkring Etik, privacy og sikkerhed, er du naturligvis altid velkommen til at tage fat i Martin Jensen Buch.