Godtrogen personal företagets svagaste länk
Jani Kirmanen och hans kolleger lever på att bryta sig in hos företag och organisationer. På beställning utför de simulerade cyberattacker som ska avslöja brister i säkerheten. Den svaga punkten är ofta en godtrogen personal.
Datasystem som inte har uppdaterats är en vanlig säkerhetsrisk hos företag och organisationer. Men en större fara är en personal som lätt kan luras att läcka lösenord som ger tillträde till företagshemligheter. Det säger Jani Kirmanen, grundare av cyberattackföretaget Silverskin.
Genom simulerade attacker avslöjar Silverskin svagheter i säkerheten hos företag och organisationer. Att förebygga industrispionage är ett vanligt syfte. I uppdraget ingår också att testa hur lätt det är för en obehörig att ta sig in på en arbetsplats. Kirmanen förundrar sig över hur aningslösa många anställda kan vara gentemot inkräktare.
Svagheter i ett företags säkerhetsrutiner upptäcks bäst genom att gå till attack. Att bara fundera ut vilka problemen kan vara räcker inte, anser cyberattackföretaget Silverskin.
Silverskin, grundat 2009, utför sina uppdrag på beställning av den organisation som attacken riktar sig mot, men personalen är inte medveten om att de är föremål för ett angrepp. Situationen ska vara så realistisk som möjligt.
– Att förebygga industrispionage är ett vanligt motiv för vår verksamhet. Det kan handla om att ett företag utvecklar en ny maskin och vill ta reda på hur enkelt en utomstående kan stjäla idén, säger Jani Kirmanen, en av Silverskins tre grundare.
Organisationen eller företaget testas som helhet så att såväl tekniken, den fysiska miljön som de anställda angrips. Hos ett visst företag kan svagheten vara den fysiska miljön – det är lätt för en obehörig att ta sig in genom ytterdörren. Hos ett annat företag är det tekniken och hos ett tredje personalen, som lätt kan luras att läcka hemligheter.
– Den vanligaste svagheten i tekniken är att systemen inte är uppdaterade. Föråldrad programvara är en tacksam inkörsport för hackare som vill ta sig in i en organisations datasystem, säger Kirmanen.
Personalen svagaste länken
Men oftare än tekniken är det en godtrogen personal som är organisationens svagaste länk – enligt Kirmanen är det lätt att få de anställda att läcka lösenord och annan information som ger obehöriga tillträde till företagshemligheter.
En simulerad attack kan ta flera månader. Den börjar oftast med att Silverskin samlar så mycket information som möjligt om organisationen och dess personal. Man kollar till exempel vilken information om företaget som finns på nätet. Via en rekryteringsannons kan det vara lätt att få reda på hurdana it-system som används. Silverskin kollar till exempel personalens Linked In-profiler, vilka samarbetspartner företaget har samt den fysiska miljön, var det är beläget och vilka grannarna är.
– Vi kollar också nätets mörka delar där cyberbrottslingarna håller till och ser om någon redan har brutit sig in i företaget och läckt användar-id och lösenord. Hackerforum är marknadsplatser för sådan information.
I helhetstestet ingår också att rent fysiskt ta sig in på arbetsplatser, till exempel genom att uppträda som städare, byggjobbare eller it-konsulter.
– När man tagit reda på tillräckligt mycket om en organisation och vem som jobbar där går det bra att uppträda så trovärdigt att man lätt kan gå in. På det här sättet har vi tagit oss in i rum som ingen gäst skulle få tillträde till utan giltig orsak.
Informationsfiske
I de simulerade attackerna försöker Silverskin få anställda att göra saker de inte borde. Så kallad phishing, eller informationsfiske, är ett vanligt tillvägagångssätt. Om ett företag använder webbmejl kan Silverskin tillverka en kopia av webbplatsen, skicka ett bluffmejl till de anställda och be dem hjälpa till att reda ut ett påhittat dataintrång genom att klicka på en länk som leder till den fejkade webbmejlssajten och där logga in med sitt användar-id och lösenord.
– Den falska webbmejlen plockar naturligtvis åt sig de anställdas inloggningsuppgifter.
Vid ett fysiskt besök hos ett företag kan en arbetsmetod vara att ”glömma” kvar ett usb-minne på någons skrivbord. Väldigt många faller för frestelsen att nyfiket kolla vad som finns på stickan. Den vägen blir datorn infekterad.
Steg för steg tar man sig längre och längre in i företaget och försöker ringa in svagheter i organisationen. Hur långt man går bestämmer uppdragsgivaren. I jobbet gäller det att ha hög social kompetens och att ha en förklaring tillhands om man råkar bli ertappad.
Etisk balansgång
Kirmanen medger att Silverskins arbetsmetoder kan väcka frågor kring etiken.
– Vi orsakar aldrig någon fara eller förstör någonting, utan vi bara simulerar ett verkligt intrång och ser hur långt vi kommer. När vi angriper maskiner behöver vi inte ta hänsyn till känslor, men när människor är målet gäller det att vara försiktig. Folk kan förstås bli stötta av att ha blivit lurade.
Enkäter bland dem som utsatts för en simulerad attack visar dock att de allra flesta har full förståelse för motiven och anser att testet varit lärorikt och fungerat som en väckarklocka. Efter attacken går Silverskin genom svagheterna och ser hur man kan förbättra säkerheten.
Enligt Kirmanen är Silverskins mål att internet ska vara en plats där folk kan röra sig och att man fortsättningsvis ska våga använda datorer och mobiler. Samtidigt är han pessimistisk.
– Ju fler saker som flyttar till nätet desto fler oväntade bieffekter uppstår. Om en viss typ av kunskap hamnar i fel händer kan den bli ett farligt vapen, säger han med anledning av Wannacry-attacken häromveckan där ett utpressningsprogram låste hundratusentals datorer runtom i världen.
Enligt Kirmanen växer svårigheten att kontrollera nätet ytterligare när också allt fler föremål kopplas upp.
– När många olika teknologier förenas via nätet är det svårt att förutse hur de samspelar. När allt är uppkopplat uppstår så komplexa system att ingen människa klarar av att hålla reda på dem. Håller vi på att bygga någonting som vi inte kommer att kunna hantera? – Jag tror att vi redan har gjort det, fast vi kanske inte har insett det. Internet kan vi inte stänga av.