Laissez-faire om IT-sikkerhed

Nogle gange føler jeg mig som om jeg taler for døvemandsøre. Er det mon, fordi folk ikke aner hvad de skal? Eller er det fordi folk er bedøvende ligeglade, og har en laissez-faire holdning til IT-sikkerhed?

Jeg ved godt at for dem, der er god med en hammer, er alle problemer søm. Og det gør, at jeg ser IT-sikkerhedshuller overalt.
En dag var jeg på Borgerservice hos en af landets kommuner, og der så jeg et netværkskabel, der kom ud af væggen, bare ligge løst under en radiator. De fleste mennesker der har en mening om det, ser det som sjusk. Jeg ser det som et sikkerhedsrisiko. Det var IT-chefen i en pågældende kommune heldigvis også enig i.

Men da jeg skrev til en erhvervsorganisation, at de bør informere deres medlemmer om IT-sikkerhed, sagde direktøren at de ville "se tiden an". De afholder kurser til Instagram, Facebook og TikTok, om den nye regnskabslov, om Microsoft Teams - men IT-sikkerhed, det er ikke noget for dem.

Når jeg påpeger sikkerhedshuller i hjemmesider, overfor virksomheder, så siger de: "Det tager min udbyder sig af". Nej, det gør din udbyder ikke.
Når jeg advarer Amino-brugere om at deres Facebook-konto skal beskyttes, bliver mit indlæg flyttet til "Et godt tilbud". Det er ikke et tilbud, det er ramme alvor!
Når jeg fortæller indehaveren af et website, at sitet lækker data, bliver det afgjort som ingenting.
Når jeg informerer folk om at de skal lave unikke, stærke adgangskoder til deres forskellige tjenester, samt Multifaktorgodkendelse, så siger de: "Det er for svært". Det, der er nemt for dig, er endnu nemmere for en hacker.

Nu har Microsoft i marts 2023 sendt en advarsel ud for ALLE, der bruger Outlook med Exchange (og det gør mange, der har Microsoft 365 for Business): der er en alvorlig sikkerhedsrisiko som relativt nemt kan blive lukket. Men når jeg fortæller folk om den, så trækker de på skulderne.

Ønsker folk virkelig at hackere bare kommer ind i jeres systemer? Er I virkelig lige som republikanere i det amerikanske senat? Ser erhvervsfolk i Danmark og resten af verden ikke sikkerhedsadvarslerne?

Hvorfor er folk så ligeglade med IT-sikkerhed? Eller er jeg bare så ultraforsigtig?

Albert van Harten
Etisk hacker
What The Hack ApS

Det kan meget vel være årsagen, tak!
Jeg er klar over at jeg ikke just er en god sælger.

Men alligevel: jeg sendte en mail til en organisation om det der sikkerhedshul Microsoft har advaret om (CVE-2023-23397). Min kontakt svarede, at han havde sendt det videre til deres IT-mand. IT-manden svarede efterfølgede: "Vi har installeret en update i marts, det skulle dække problemet". For det første er det løgn, fordi man fikser ikke dette problem med en update, og for det andet er organisationen jeg skrev til villig til at acceptere det svar fra deres egen IT'er, uden at få en ekstern tredjepart til at vurdere om alt er i orden.

Albert

jeg er ren novice - og hvad outloook angår stoler jeg op de flere meddelelser jeg har om CVE-2023-2339

 On March 14, 2023, Microsoft released a patch for CVE-2023-23397. CVE-2023-23397 is a vulnerability in the Windows Microsoft Outlook client that can be exploited by sending a specially crafted email that triggers automatically when it is processed by the Outlook client. 

Om det så rækker skal jeg ike turde sige, men dels er jeg ikke som sådan firma - dels må jeg stole på providers som MS Outlook og andre MS programmer, sikrer at huller lukkes, når de opdages, og endeligt soler jeg for det øvrige på sund fornuft i kliks - og så Malwarebytes pro kørende med alm defender + backup hver aften til Multicloud af alle betydende filer (men ikke totalt system, men jeg kan finde alle filer i multicloud fra en hver ny computer

Jeg er nok ikke så mange mål heller, så derfor er jeg irrittereet over risiko, uden dog at være så helvedes bekymret.

Firmaer er givet mere udsatte, og der er sikkert masser af huller derude - at de accepterer deres IT mands svar uden at altid hente 3 part anser jeg for helt naturligt, man har en IT ansvarliig helt som en regnskabsansvarlig osv . for at kunne være trygge på det område.

Kan man så bliver slemt overrasket, ja det kan man - men sådan er det lidt at drive virksomhed

vh John Hannover

albert@computernoerderne.dk:

Tusind tak, John. Jeg er faktisk meget glad for din reaktion.
Nu kan jeg naturligvis ikke måle din viden om IT og i særdeleshed IT-sikkerhed, men hvis jeg går med på din egen vurdering om at du er en novice, så er din reaktion en fantastisk afspejling af hvad der sker:

For det færste: Microsoft kan ikke lukke alle huller. Det svarer til at dit hus har nogle huller (døre og vinduer), ellers ville du ikke kunne bruge dit hus. Men indbrudstyve kan også bruge døre og vinduer, så det eneste man kan gøre, er at sikre de huller, der er nødvendige. Samtidig at de sikringer ikke forhindrer andre processer og formål til at fungere som de skal. Med andre ord: at lukke et hul i Outlook er ikke nødvendigvis vejen frem. Måske er der andre huller der skal lukkes. Og det er også her tilfældet: hvis det hul i Outlook bliver lukket, vil Outlook ikke kunne fungere. Så derfor skal man lukke en bestemt port i sin router (nærmere betegnet TCP port 445 udadgående). Så kan hullet i Outlook stadigvæk udnyttes, men hackeren kommer ingen vegne med det.

For det andet: det, at du ikke er et mål er en udbredt misforståelse: Du som "almindelig" borger har adgang til en række systemer, betalt eller ej. Det hackere ikke. Jeg har gennem de sidste 2 år ofte fået mails om at nogen vil betale mig til at lægge en bestemt tekst op på Amino: det vækker ikke så meget mistanke hvis jeg lægger en besked på Amino, end en der aldrig har været her før.
Flere af mine kunder har oplevet (som jeg også skrev i et tidligere oplæg, som fejlagtigt blev flyttet til "Et godt tilbud") at deres personlige Facebook-konto blev hacket. De mennesker tænkte sikkert også at de ikke var nogen mål. Indtil de betalte for annoncer, målrettet USA, gennem deres Business Manager, oprettet af den hacker, der ændrede deres brugernavn og adgangskode på Facebook. En af mine kunders navn blev ændret til володимир зеленський - Volodymyr Zelensky på Ukrainsk - og der blev lavet annoncer i USA som om de kom fra Zelensky.
Sæt nu at jeg var blevet forment adgang til Bilka i Esbjerg, og en sikkerhedsvagt holder øje med om Albert van Harten kommer ind. Han ved jo hvordan jeg ser ud. Men hvad nu hvis jeg ligner John Hannover på en prik ... Så ville min accent måske afsløre mig, men han hører mig ikke når jeg bare går forbi ham ...

For det tredje: Din sammenligning med en regnskabsansvarlige er meget passende. Bortset fra at der er forskel mellem en bogholder og en revisor, når det kommer an på ansvaret. Hvis jeg har en bogholder der laver en fejl, så kan jeg måske sagsøge ham, men i sidste ende har jeg ansvaret. Hvis je har en revisor, er det en hel anden sag. Men der findes ingen statsautoriserede IT-ansvarlige. Gudskelovogtak - men det er besides the point.

Altså, hvis du er lige som de fleste mennesker, så kan jeg godt forstå at du ikke er imponeret over at Microsoft sender sådan en advarsel ud. Men det burde du. Og alle andre.

Så det næste problem er: hvordan får jeg overbevist folk at de skal gøre noget - ved at få en uafhængig ekstern partner til at gennemgå deres IT-sikkerhed? Der er rigtig mange IT-virksomheder, som kan fikse problemer, men som ikke tænker over IT-sikkerhed. Der er jo forskel mellem IT og IT-sikkerhed.

Albert

Jeg tror dit besvær er at finde de som har en vis størrelse, men ikke nogen egentlig IT ansvarlig, det er "Jørgen fra lageret der lige fixer det når noget driller" vil være stillingsbetegnelsen. 

Den Jørgen eller den chef kan være modtagelig, men HAR de en IT afd så kommer du generelt ALDRIG forbi den, men må arbejde med den alene

Noget du i alle fald skal, er

• Skriv kort (jeg kan heller ikke) - der er ingen der læser mere end 5 linjer
• Gå aldrig uden om den ansvarlige på området (IT afd)
• Brug ikke mange kræfter på de helt små enkeltmands uden i alle fald lige at teste af, hvad det giver at kontakte den slags i en 50 stk test.
• Brug kræfter på alt med fra 2-3 ansatte og op og uden egentlig IT afdeling som første huk
  
  
• jeg tror ikke du får succes hvis du prøver som etisk hakker at gå ind og kilde chefen under fødderne på hans computer og sige "SE her er jeg i dit system, jeg skal nok gå pænt ud igen, men jeg kan hjælpe dig mod ikke etiske - for det kan ende MEGET galt, hvis ikke du først sidder og har en aftale om - NU skal du bare se.

vh John Hannover

Jeg tror at du rammer plet, og mere end én gang, John

Dit sikkerhedsniveau (og det kan lyde nedladende, men det er det ikke) ligger på højde med hvad der blev anbefalet for 5-10 år siden. Sådan har mange det. Folk er generelt 5-10 år bagud. IT går stærkt, og det tager de fleste mennesker tid til at følge med.

Så ja, jeg burde få fat i små men ikke bittesmå virksomheder. Men løber jeg så ikke ind i samme problem, at de fleste har tilknyttet en ekstern IT-virksomhed som de blind stoler på, og som "nok tager sig af det".

Firmaer der har en Jørgen fra lageret der fikser ting - de findes egentligt ikke mere. Hvis de findes, er det ofte ikke Jørgen fra lageret men Pelle fra direktionen som tror at han kan "det der med computere osv.", for at indrømme at IT er blevet for svært, er ofte for meget forlangt. Jeg kan dog tælle på én hånd hvor mange mennesker der ikke er IT-uddannet, jeg har mødt og som kunne fortælle mig hvordan TCP/IP, protokollen vi alle bruger, virker...

Og tak for en god grin: "jeg kan heller ikke". Du har vist spottet en af mine svagheder. Men jeg har opdaget at ChatGPT her er en god hjælp :) Jeg skal bare bruge det, og det gør jeg helt klart ikke her, lol. 

I øvrigt, hvis jeg forstår dit sidste afsnit korrekt: jeg vil aldrig gå ind i et system uden tilladelse for at vise hvad jeg kan. Der er strenge regler her: jeg må scanne passiv, det vil sige uden at forcere eller ændre noget, men jeg må ikke gå ind i et system uden at ejeren har givet mig sin udtrykkelig tilladelse. 

Jeg kan forholdsvis nemt åbne din bil (med en vis sandsynlighed). Jeg må finde frekvensen din fjernbetjener bruger til at kommunikere med bilen, men jeg må ikke åbne din bil. Jeg må fortælle at jeg har luret din pinkode når jeg står bag dig i supermarkedet, og give dig koden, men jeg må ikke bruge pinkoden. Heller ikke hvis du giver mig dit dankort. 

Problemet er, at det er hamrende dyrt og super besværligt at gøre det effektivt, og at der er så mange andre ting man skal gøre ved sin forretning som giver et umiddelbart afkast. Så IT-sikkerhed er lige så kedeligt som at købe en forsikring, man aldrig håber eller tror på man kommer til at bruge.

I Dinero bruger vil millioner af kr. hvert år på det, og vi bliver angrebet hele tiden. Jeg er ikke et øjeblik i tvivl om at nogen af vores konkurrenter på et tidspunkt får problemer. Så ja, det er dødssygt af bruge penge og tid på, men det er bare super vigtigt

Min egen udfordring er, at jeg også har andel i flere små virksomheder, og de har simpelthen ikke pengene til at sikre sig. Du kan gøre lidt af hvert og sikre det sådan nogenlunde, men hvis en middeldygtig hacker vil ind, kryptere dine filer etc  så skal der rigtig mange penge til. Og hånden på hjertet, hvilke små virksomheder har både kapital og viden til at sikre sig, for ikke at tale om at det er et bevægeligt mål, som gør at man hele tiden skal bruge penge og ressourcer på det. Så ja jeg forstår godt at mange vender der blinde øje til.

Du har ret i at mange synes IT-sikkerhed er kedeligt og besværligt, men heldigvis er der andre der synes det er vildt spændende.
Jeg er til gengæld ikke enig i at det behøver at være besværligt og dyrt at få et fornuftigt niveau af sikkerhed.
Det er selvfølgelig meget afhængigt af hvilke type virksomhed man har, samt hvilke produkter man sælger, og hvem man sælger dem til.

Det er for de fleste virksomheder muligt at outsource IT-sikkerhed, og få meget sikkerhed for relativt få midler.

Der er visse ting man bliver nød til at være involveret i, men alt det løbende tunge arbejde kan udføres af en leverandør.