Stikkord: cybersikkerhet.no

5 «ting» du må vite om Cybersikkerhet

5 «ting» du må vite om Cybersikkerhet – gir deg en grunnleggende forståelse av hva som er det viktige med Cybersikkerhet. Nick Espinosa er en dyktig foredragsholder som gir deg nyttig informasjon på en enkel og engasjerende måte.

Dette er Cybersikkerhetens «Lover»:

  • Lov 1: Er det en svakhet, så vil den bli utnyttet!
  • Lov 2: Alt er sårbart på en eller annen måte
  • Lov 3: Menneskelig tillit – ..not good!
  • Lov 4: Innovasjon og nye løsninger skaper nye sårbarheter og rom for å utnytte disse  (f.eks. hacking av IoT-enheter, dvs. Internet of Things)
  • Lov 5: Er du i tvil, se lov nr. 1 🙂

Dette er en video du bør få med deg (The Five Laws of Cybersecurity | Nick Espinosa)

Hacking og type hackere

Hackere har god teknisk kompetanse, og formålene med hackingen kan være mange. Noen ønsker å oppnå bestemte mål for for å kunne få bekreftet egen kompetanse, andre jobber med sikkerhet og det å finne svakheter i systemer, men så finnes det selvsagt politisk og økonomisk motiverte hackere som enten er ute etter å gjøre skade eller å tjene penger.

Ofte klassifiserer man hackere i disse gruppene:

  • Script kiddies
  • White hat
  • Black hat
  • Grey hat

Script kiddies

Script kiddies bruker ofte ferdige script/verktøy (utviklet av andre) for å ta seg ulovlig inn i systemer eller å hacke tilfeldige ofre. Disse personene har ofte ikke dybdekunnskap, men har lært nok til å vite hvordan de skal bruke ulike verktøy for å oppnå ulike formål. De elsker å «leke» med nettverk og systemer for å føle spenningen eller få en mestringsfølelse.

White hat (lovlig hacking)

White hat hackere har ikke onde intensjoner, men prøver å finne svakheter ved systemer (f.eks. som innleid sikkerhetsekspert hos kunde – eller i egen virksomhet). Penetrasjonstester utføres for å finne sårbarheter, og her benyttes både ferdige verktøy, men også egenutviklede verktøy. Kali Linux (tidligere Back Track) er en god Linux distribusjon (enkelt forklart en plattform med applikasjoner) som gir en rekke muligheter når det gjelder penetrasjonstesting m.m. (et tema du vil få vite mer om i kommende artikler på Cybersikkerhet.no).

White hat hackere betegnes også som etiske hackere. Denne type hackere har god kompetanse på IT.

De klarer å sette seg inn i et tankesett som hackere med onde intensjoner har, slik at de kan finne svakheter i systemer og tjenester (og gjøre nødvendige sikkerhetstiltak) før de med onde hensikter rekker å utnytte disse sårbarhetene.

Slike etiske hackere er også mye involvert i blant annet forskning. Man kan i tillegg utdanne seg til å bli etisk hacker (vi vil snart publisere mye nyttig informasjon om nettopp det å utdanne seg innen dette svært interessante og fremtidsrettede området, så følg med!) – og en rekke konkurranser verden over kjøres for å finne de råeste white hat hackerne (testmiljø settes opp for å ikke gjøre noen skade i produksjonsmiljøer).

Black hat (ulovlig hacking)

Black hat hackere har ofte personlige, økonomiske eller ideologiske motiv. Det kan være at de tar seg inn i systemer på eget initativ eller gjør dette på oppdrag fra noen. Målet kan f.eks. være å legge ut eller å endre informasjon på nettet for å villede verdens borgere (skape fake news) for politisk vinning, stjele data for å videreselge disse (kredittkortinformasjon m.m. – som kan brukes til ID-tyveri), ødelegge data, stjele bedrifts- eller statshemmeligheter m.m.

Grey hat (ofte ulovlig hacking)

Grey hat hackere ligger i gråsonen. De har stort sett ikke som formål å gjøre noen skade, men å avdekke svakheter i systemer uten å ha blitt «invitert» til å gjøre dette.

Hacking «på egenhånd» i nettverk og systemer som ikke er ens egne, er ulovlig.

Noen informerer virksomheter om sårbarheter de finner – og gir beskjed om at de kan rette «feilen/sårbarheten» mot betaling, mens andre ganger så publiserer grey hat hackere informasjonen om svakhetene på nett, uten å kontakte virksomheten det gjelder. Dette kan føre til at andre bruker publisert informasjon til å skaffe seg uautorisert tilgang, gjøre skade på virksomhetens systemer etc.

Grey hat hackere kan også ofte bli provosert hvis virksomhetene de kontakter, ikke gir noen tilbakemelding eller setter inn tiltak basert på informasjonen de har fått ang. svakheter. Da går ofte grey hat hackeren til neste steg og publiserer informasjonen til andre. Dette kan ofte være en «invitasjon» til at andre bør «leke seg med systemet», slik at virksomheten faktisk må ta saken på alvor. Kanskje ikke en helt god måte å gjøre dette på, men det er virkeligheten.

Altfor mange virksomheter har i en årrekke nedprioritert sikkerheten i egen virksomhet – men trenden har begynt å snu. Stadig flere virksomheter ser viktigheten av å fokusere på sikkerhet, både når det gjelder systemer, men også kompetanse blant ansatte. Akkurat derfor er utdannelse og erfaring innen dette området noe som er svært viktig å ha – da jobbmulighetene vil komme til å bli mange.

Cybersikkerhet.no

Trusselbildet i verdenssamfunnet

For Norge er et risikobilde/trusselbilde på området IKT og tilgjengelige digitale systemer og tjenester svært viktig å kartlegge og ha best mulig kjennskap til. Med den økende digitaliseringen av informasjonsflyt og tjenester, blir utfordringene stadig større. Det er derfor viktig å sikre oppdatert risikobilde til enhver tid. Uønskede handlinger kan skje via både nettverk, program- og maskinvare, og fremgangsmåtene er uendelige. Her er det kun fantasien og kreativiteten som setter grenser. Det å kartlegge potensielle mål for cyberkriminalitet og ikke minst digital krigføring, er det kritisk punkt lands regjeringer må ha på agendaen.

Målene kan være mange. Det kan være alt fra statlige aktører, forsvar, virksomheter som besitter unik teknologi eller som er i avanserte forskningsprosesser m.m. Alle mulige tenkelige scenarier kan oppstå, hvor målene f.eks. er spionasje, sabotasje eller angrep på systemer og installasjoner, det å skape misnøye, splid og kaos i et land, økonomisk vinning etc. Det å forebygge er derfor viktig. Alt fra regjeringer til virksomheter er ansvarlig for å ta sikkerheten på alvor. En risiko vil alltid være, og det er vanskelig å gardere seg 100 % mot uønskede hendelser, men det å gjøre tiltak for å redusere risiko og ikke minst skadepotensialet må være et punkt på agendaen til flere enn i dag.