Säkerhetsexpert: Så enkelt kan hackarna stoppas

Återigen har det uppmärksammats hur enkelt det är för hackare att ta sig runt organisationers yttre skydd. ”Men det finns ett enkelt sätt att oskadliggöra den skadliga koden”, säger säkerhetsexperten Fredrik Åhgren.

I veckan har TV4 Nyheterna avslöjat bristande IT-säkerhet på svenska myndigheter och sjukhus. En reporter med dold kamera gick till receptionerna och bad att få ett dokument utskrivet från en usb-sticka – ett av de klassiska knep hackare använder för att försöka få in skadlig kod i ett system.

Receptionspersonalen på tre av de nio testade myndigheterna stoppade i usb-stickan i datorn i receptionen, och på de tre testade storsjukhusen gick all personal med på att stoppa in usb-stickan.

”Sjukhusen och myndigheterna ser allvarligt på det här, för de vet att om det funnits skadlig kod på usb-stickan så hade den kunnat ta sig från receptionsdatorerna och in till andra system i verksamheten”, säger Fredrik Åhgren, säkerhetsexpert på identitets- och säkerhetsföretaget Nexus Group.

Om den skadliga koden tar sig in i de system som hanterar patientjournaler kan känslig information låsas ner eller tankas ut av hackarna – och om den skadliga koden tar sig in i en hjärtlungmaskin eller en gammakniv kan det få dödlig utgång, enligt Fredrik Åhgren.

”För några år sedan tog sig så kallad ransomware in på ett stort sjukhus i USA och låste hela deras patientjournal, och hackarna krävde många miljoner för att låsa upp informationen igen. Och det är alltför lätt att tänka sig att terrorister infekterar ett sjukhus med skadlig kod för att ta död på folk istället för att utlösa en bomb”, säger Fredrik Åhgren.

Det finns olika sätt att försöka skydda sig mot hackarintrång, och fram till nyligen var det mest använda tillvägagångssättet att bygga en virtuell mur runt organisationens system, enligt Fredrik Åhgren.

”En sådan här mur kunde exempelvis bestå av en brandvägg och en policy som bland annat sa att inga okända usb-stickor fick stoppas in i organisationens datorer. Men de allra flesta har insett att det inte går att skydda sig mot intrång på det här sättet – det går alltid för hackare att hitta en väg att ta sig in, det måste man räkna med.”

Många talar nu därför om att krutet bör läggas på att upptäcka den skadliga koden när den väl tagit sig in och agera på den, ett förhållningssätt som kallas detect and respond.

”Men det här är inte heller någon silverkula, som vissa verkar tro. Du kan inte hitta all skadlig kod, eftersom du inte vet vad du letar efter. Förmodligen är en väldigt stor andel av alla organisationer redan hackade, utan att veta om det. De allra flesta hackare är inte ute efter att döda, förstöra eller utpressa – de vill bara sno dina företagshemligheter i tysthet, utan att du märker något.”

Det finns dock ett sätt att skydda sig mot intrång som är så gott som vattentätt, enligt Fredrik Åhgren.

”Genom att skapa en lista med de program som får köras i systemet så blir det omöjligt för skadlig kod att köras. Du kan stoppa in hur många usb-stickor med skadlig kod som helst och även printa ut de dokument som finns på usb-stickorna, men den skadliga koden kan inte köras i systemet eftersom den inte är med på listan över godkända program.”

Den här metoden kallas vitlistning, och är motsatsen till antivirusprogrammens svartlistning av skadlig kod.

”Antivirusprogram har en lång lista med svartlistade program som inte får köras, och den här listan uppdateras hela tiden. Men den kan så klart aldrig någonsin bli komplett, och om en hackare tar fram helt ny kod för att hacka dig så kan inget antivirusprogram i världen skydda dig. Det är konstigt att folk fortfarande köper antivirusprogram.”

Det finns inga siffror på hur många organisationer som använder vitlistning i dag, men enligt Fredrik Åhgren är en sak klar: metoden är underutnyttjad.

”I princip skulle du kunna vitlista precis alla digitala system, och i framtiden kanske det kommer att göras. Men innan det blir praktiskt måste det byggas upp en infrastruktur där betrodda vitlistor kan delas mellan organisationer på ett smidigt sätt. Men redan i dag borde 15–20 procent av alla system vitlistas direkt.”

De system Fredrik Åhgren anser bör vitlistas är kritiska system med specifika funktioner, så som exempelvis en pc i en sjukhusreception, en server med patientjournaler eller en dialysmaskin.

”På sådana här system har du inte behov av att enkelt kunna lägga till massa program eller Excel-makron, så jag förstår helt ärligt inte varför vitlistning är en så underutnyttjad metod. Det kan bero på att det finns missuppfattningar om att det är krångligt eller dyrt.”

Fredrik Åhgren tror dock att vitlistning snart kommer att få större spridning, i takt med att sakernas internt breder ut sig allt mer.

”Bilfabrikanterna kommer att inse att det är dålig reklam om deras bilar hackas och kör i diket eller in i en folksamling. Och både konsumenter och organisationer kommer börja kräva intrångsskydd i sina uppkopplade kylskåp, övervakningskameror, gräsklippare och industrirobotar. Jag hoppas bara att det här kommer att ske innan och inte efter vi får se riktigt allvarliga tillbud”, säger Fredrik Åhgren.

Publicerad 28/10 2016

Nyheter, kundberättelser och blogg