Brand & Sikring “Det menneskelige element, brugerne, er den største risiko for IT-systemer i dag. Dennis Hansen, efterforskningskonsulent, DBI For penge, politik eller læk Med den information er det nemt at skabe et tilfældigt møde med den rette person. Og så er man inde i virksomheden uden at have hacket noget som helst. Når først man er det, kan man arrangere en uopsættelig afbrydelse af et møde, f.eks. et meget vigtigt opkald til det offer, man har udset sig i virksomheden, så man f.eks. kan installere malware på en computer. Mulighederne er mange, og skaden kan være uoprettelig. - Der kan være flere formål med sådan et angreb. Nogle gør det for at bevise, at de kan. Andre for at afdække værdifuld, fortrolig information, som de kan sælge. Og nogle gør det for at finde fortrolig information, som de kan offentliggøre. Men der kan også være tale om statssponsorerede forsøg. Som et tænkt eksempel kan man nævne cyberterrorisme, hvis f.eks. cyberterrorister skaffede adgang til systemerne bag kritisk infrastruktur, siger Dennis Hansen. I værste fald kan det betyde, at angribere har fjernkontrol med f.eks. energiforsyningen. Erfaringerne med Social Engineering kommer primært fra udlandet, hvor der er eksempler på, at angribere har arbejdet i årevis for at skaffe sig adgang til systemer ved hjælp af teknikken. Men fænomenet er ikke ukendt herhjemme, selvom man sjældent hører om dem. Ifølge Dennis Hansen bliver det brugt i stort omfang globalt, uden at man kan sige præcist, hvor stort problemet er. For ved succesfulde angreb er man ikke klar over, at man er blevet angrebet. Tværtimod har man indtryk af, at man har gjort noget godt – som f.eks. at have haft en god netværksfrokost med en anden person i ens branche. Ifølge Dennis Hansen er det mest sofistikerede Social Engineering angreb insideren-metoden, hvor angriberen ansættes i den virksomhed, som er udpeget som mål. Her kan personen navigere frit og samle informationer over lang tid uden at skabe mistanke. DBI angriber Præcis derfor er der grund til at gøre opmærksom på metoderne og risici ved Social Engineering. Og det gør SAVE-projektet på en lidt alternativ måde. I løbet af projektet vil DBI og Alexandra Instituttet udføre simulerede, men dog autentiske Social Engineering-angreb på danske virksomheder. Simpelthen for at anskueliggøre truslen. DBI og Alexandra Instituttet skal begge udføre angreb, og mens DBI står for angrebenes arkitektur og eksekvering, håndterer Alexandra Instituttet den mere tekniske side af sagen. Resultaterne bliver præsenteret på to workshops i løbet af efteråret og vinteren. - Derudover udarbejder vi på baggrund af de simulerede angreb et sæt retningslinjer med gode råd og anvisninger til, hvordan man minimerer risikoen for at blive udsat for succesfulde angreb, siger Dennis Hansen og fortsætter: - Selvom vores projekt retter sig imod kritisk infrastruktur, fordi konsekvenserne ved et vellykket angreb er størst der, kan retningslinjerne anvendes af alle virksomheder, som gerne vil sikre sig bedre. Social Engineering er ikke noget, man kan beskytte sig helt imod, men man kan gøre rigtig meget, fastslår han. • 27
Download PDF fil
Se arkivet med udgivelser af Brand & Sikring her