Hacking med dusør til ’white hats’

Hacking kan udløse dusør

Angreb på virksomhedens IT-systemer kan ske når som helst og ramme stort set hvem som helst. Derfor er IT-sikkerhed et område, som kræver mere og mere fokus fra virksomhederne, der skal stå på mål for disse angreb fra hackere, der bliver dygtigere og dygtigere.

Der er mange måder at forbedre en virksomheds IT-sikkerhed på, og en metode, der bliver mere og mere udbredt, er ved at betale hackere for at angribe ens eget IT-system – i hvert fald hvis det lykkes dem at bryde gennem det værn af sikkerhedssystemer, der beskytter virksomheden. Det er det, der kaldes en penetration-test.

Det er blevet en karrierevej for nogle af de dygtigste hackere på kloden at infiltrere virksomheder for at gøre dem opmærksomme på de potentielle huller, der måtte være i virksomhedernes IT-sikkerhed.

Hacking er på vej til at blive mainstream

Billedet af hackere er ved at ændre sig

Der er et skifte i opfattelsen af hackere under opsejling. Tidligere har hackere været portrætteret som bebumsede unge mænd, der gemmer sig i deres mødres kældre, hvis diæt bestod primært af cola, chips og en sandwich, når deres mor gad lave en.

Den opfattelse er forkert, og det er flere og flere ved at indse. Ud over at værktøjer som en penetration-test bliver brugt mere og mere af topprofessionelle IT-sikkerhedsspecialister, så er begreber som cyberkrigsførelse, national IT-sikkerhed og phishing ved at blive mere brugt i den offentlige debat.

Fokus er væk fra de mørke kældre og flyttet over på, at der er mange penge på spil for virksomheder, og der er politiske interesser på spil for nationer. Alle har brug for at være på forkant med udviklingen på området for IT-sikkerhed.

Flere større virksomheder har udviklet politiker for disse ’white hat’-hackere, som gerne vil rapportere eventuelle sikkerhedshuller. Et eksempel er Facebook, som har retningslinjer for, hvordan man skal bære sig ad med at rapportere og offentliggøre detaljer om disse IT-sikkerhedshuller, og hvordan de forholder sig til en eventuel dusørs størrelse – en dusør de fx gav til denne 10-årige dreng, der fandt et hul i IT-sikkerheden i Instagram.

Mere data giver mere værdi – og større risiko

Data har stor værdi

Vi befinder os i en tid, hvor mængden af data vi har om alt fra betalingsoplysninger til brugeradfærd vokser eksplosivt, og det data bliver mere og mere værdifuldt. Det kan bruges af virksomheder til at optimere kundeoplevelsen, maksimere salget og tilpasse produkter efter kundernes behov og ageren, men det bliver også mere værd for indtrængende hackere.

Mens det bliver mere værd for ondsindede hackere, så bliver incitamentet for at bryde ind i en given virksomheds IT-system også større. Enten kan hackerne bruge dataene selv, eller de kan sælge det data videre til folk, der kan udnytte det.

Det betyder også, at risikoen for et digitalt indbrud vokser. Selv mindre virksomheder er i risiko for at blive ramt af angreb eksempelvis i form af ransomware-angreb, hvor en virksomheds data bliver holdt som gidsel, indtil hackerne modtager en løsesum.

Netop antallet af ransomware-angreb har været stærkt stigende, og i de første måneder af dette år, har der allerede været registreret mere end dobbelt så mange ransomware-angreb, som i hele 2016.

Det gælder om at komme først

Både for den hacker, der laver en penetration-test, og for virksomheden, der bliver udsat for testen, gælder det om at komme før de ondsindede hackere – dem man også kan kalde ’black hats’.

Målet er, at virksomheden eller organisationen når at få lappet de eventuelle huller i sin IT-sikkerhed, før de huller bliver angrebet af ondsindede hackere. Og fordi området er i konstant forandring, er en penetration-test ikke en engangsforestilling.

For at en penetration-test er effektiv, skal den gentages i takt med at teknologien og koderne bag IT-systemerne ændrer sig. Jo mere udvikling, der sker teknologisk, og jo flere sårbarheder, de ondsindede hackere finder rundt om på nettet, des flere våben har de også til at nedbryde forsvaret for den givne virksomhed.

Lukrativ forretning

Hacking kan være lukrativt

For de bedste ’white hat’-hackere kan det være lukrativt at finde huller hos store virksomheders IT-sikkerhed og deres IT-systemer. De største virksomheder betaler store beløb i findeløn, hvis en hacker kan pege på et hul i sikkerheden og bevise, at han er kommet gennem virksomhedens forsvar i en penetration-test. 1Password, en tjeneste som kan passe på dine kodeord for dig, tilbyder eksempelvis 100.000 dollars, hvis man kan bryde gennem deres sikmoney kerhedslag og finde et bestemt dokument. Det gør de for at lokke ’white hat’-hackere til at kigge deres IT-sikkerhed efter i sømmene og måske få lidt PR oven i hatten.

Jo mere data af både virksomhedens egen men også af kundernes data, som en virksomhed ligger inde med, des mere er der også på spil for virksomhederne, der skal holde det data i sikkerhed.

Herhjemmefra kender vi teleselskabet 3, der blev udsat for et hackerangreb af den ondsindede slags, men rundt om i verden kender vi eksempelvis til sikkerhedslæk hos Sony, der førte til et læk af lederlønninger, emails mellem medarbejdere og eksemplarer af endnu-ikke udgivede film.

Vi har den hvide hat på

En af fordelene ved at få udefrakommende til at gå IT-sikkerheden igennem med en penetration-test er, at det er nye øjne, der kigger på forsvarsværket. Ens egne IT-folk kender til systemet, og ligesom så mange andre ting kan det være svært at se ens egen kreation på andre måder.

Nielco IT tager gerne den hvide hat på og udfører penetration-test for dig og din virksomhed, hvis du vil give din IT-sikkerhed et eftersyn.