LOGG INN
MIN SIDE
LOGG UT
BLI ABONNENT

«White hat hacker» tester bedrifters cyberforsvar:

– Jeg hacker meg lett inn i fire av fem bedrifter

Vi har snakket med en Cyber-sikkerhetsarkitekt i VIEW Group som sjelden bommer på oppdrag som handler om å infiltrere norske selskaper, fysisk eller digitalt. Økonomiavdelinger er attraktive mål for hackere, men her er tre tips til hvordan bedriften kan forsvare seg.

En del av jobben til «Alex» er å skaffe seg tilgang, digitalt eller fysisk, hos oppdragsgivere – selskaper som vil teste sin forsvarsevne mot cyberangrep. Dette er derfor ikke et ekte bilde.
Espen Kvalheim Redaktør i Økonomi24.com
Publisert Sist oppdatert

Mange har en forestilling om at datainnbrudd gjøres av kvisete gutter som sitter i hettegensere og drikker RedBull mens de knatrer komplekse koder på datamaskinen for å trenge seg inn i Pentagon, CIA – eller de tusen bedrifters IT-avdelinger.

Økonomi24 har snakket med en cybersikkerhets-arkitekt i VIEW Group, som av hensyn til sin jobb må være anonym, men som også vet å fortelle at virkeligheten er mye mer banal. La oss kalle hen for «Alex» (ikke det virkelige navnet).

Fra tid til annen får Alex oppdrag som går ut på å «bryte seg inn» i norske bedrifter – enten fysisk eller gjennom IT-systemene deres – på oppdrag fra bedriftene selv. 

Fire av fem forsøk ender med suksess, og «vellykket» adgang til bedriften på én eller annen måte. Nettopp derfor får vi ikke bruke bilde eller det egentlig navnet til systemarkitekten, for selv om Alex' treffrate er altfor høy til at det er gunstig for bedriftene, er dette en viktig jobb som hen har lyst til å kunne fortsette med. 

Kommer langt med «valpeøyne»

Noen oppdrag handler om å finne en vei inn i bedriftens lokaler, for å snoke i papirer, gjøre seg kjent med sikkerhetssystemer eller på andre måter komme «bak guarden» til selskapet for å hente ut informasjon som senere kan misbrukes.

– Folk er ofte veldig hjelpsomme, for ingen ønsker jo å være uhøflige. Så svært få stiller spørsmål når en person ser på dem med «valpeøyne» og sier at de kommer til å havne i trøbbel om de ikke får utført en oppgave på nettverket, sier Alex.

Andre oppdrag kan være å finne huller i forsvarsverket rundt bedriftens ulike IT-systemer. Det skjer gjerne i kombinasjon, i den forstand at informasjon Alex har tilegnet seg gjennom «social engineering» rundt selskapets ansatte, benyttes til å trenge inn i bedriftens systemer. Det er uansett viktig å påpeke at disse oppdragene bare utføres etter bestilling – aldri på eget initiativ.

– Jeg starter aldri et oppdrag uten skriftlig, signert tillatelse. Hvis jeg hadde blitt tatt for å snoke rundt i et kontorlandskap uten et slikt dokument, ville jeg blitt tauet rett til politistasjonen, sier Alex.

Finansavdelingen som hovedmål

Cyber-arkitekten bekrefter inntrykket av at IT-avdelingen på ingen måte lenger er hackernes eneste mål i en bedrift. Mange av de kriminelle foretrekker faktisk heller å rette seg mot økonomiavdelingen.

– Det er jo økonomifunksjonen som sitter sentralt for det aller meste i organisasjonen: de styrer pengene, de har fullmaktene, de betaler ut lønn – for bare å nevne noe. For mange angriperere blir de derfor den korteste veien til «direkte monetisering», forklarer hen.

Alex påpeker at den som klarer å fremstille seg som – eller få kontroll over – en CFO eller sentral økonomimedarbeider, blant annet kan presse frem overføringer, endre leverandørdetaljer eller få tilgang til lønnssystemet. Gjennom sosial manipulering, og i økende grad bruk av kunstig intelligens og deepfakes, kan kriminelle fremstå som legitime ledere som krever hasteutbetalinger.

Småfisk-mentaliteten er livsfarlig

En utbredt misforståelse blant små og mellomstore bedrifter, er at de ikke er store nok til å være interessante for profesjonelle hackere. Dette er en holdning Alex på det sterkeste vil advare mot.

– Det hadde kanskje noe for seg på 90-tallet, men i dag er angrepene i stor grad automatiserte. For kriminelle koster det ikke mer å angripe tusen selskaper enn å angripe ett, og ved hjelp av kunstig intelligens angriper de gjerne mange samtidig, sier hen.

– Samtidig er det dessuten slik at mindre selskaper ofte misbrukes som en inngangsport til større samarbeidspartnere. Små bedrifter med forbindelser til større selskaper blir ofte brukt som en angrepsvektor, og dette er en sammenheng som folk undervurderer, påpeker cyber-arkitekten.

Tre kritiske forsvarstiltak

VIEW Group anbefaler tre konkrete organisatoriske grep for å styrke motstandskraften i økonomifunksjonen, og disse krever ingen store, tunge IT-investeringer:

  • To par øyne (Segregation of duties): Det bør være en del av prosessen at alle utbetalinger og endringer i grunndata må godkjennes fra minst to personer.
  • Out-of-band verifisering: Ved hasteforespørsler om pengeoverføringer må identiteten bekreftes gjennom en annen kanal enn der forespørselen kom fra. Hvis henvendelsen for eksempel kom via e-post, skal man ringe vedkommende på et kjent nummer for å få forespørselen bekreftet.
  • Obligatorisk flerfaktorautentisering (MFA): Flerfaktorautentisering må være et ufravikelig krav for tilgang til ethvert system bedriften benytter.
økonomiavdeling nyheter kunstig intelligens cybersikkerhet cfo regnskapsbransjen view group social engineering
Powered by Labrador CMS