Center for Cybersikkerhed opfordrer til at styrke cyberberedskabet

Trusselsbilledet

Ifølge CFCS forventes der aktuelt ikke et direkte, destruktivt cyberangreb mod Danmark. Den primære trussel udgøres derimod af visse typer af cyberangrebs evne til at sprede sig væk fra sit primære mål, bl.a. ved kædehacks. Særligt på det seneste er set meget avancerede phishingangreb via såkaldte Email Reply Chain Attacks, hvor et angreb sættes ind i en verserende e-mail tråd, og derfra hurtigt kan det sprede sig gennem forsyningskæden - ikke bare til myndigheder og virksomheder, der har afdelinger i Ukraine eller samarbejdspartnere i landet, men også disses egne kunder og samarbejdspartnere. 

Som et eksempel henviser CFCS til Not-Petya-angrebet i 2017 − et angreb rettet primært mod Ukraine, men som endte med at løbe ud af kontrol og sprede sig, formentlig gennem vpn-tunneller, til adskillige globale koncerners hovedkvarterer. Det er denne risiko, der nu får CFCS til at opfordre til et styrket cyberberedskab.

CFCS anfører dog, at deres aktuelle vurdering af risikoen for destruktive cyberangreb mod Danmark er lav "men at den kan ændres med kort varsel." Hold dig opdateret på CFCS vurdering af det aktuelle, generelle trusselbilledet her. 

Opfordringen

CTCS udsendte den 4. februar 2022 en række tiltag til danske myndigheder og virksomheder, som de med fordel kan implementere og anvende i bestræbelserne på at styrke deres cyberberedskab. Det er disse tiltag, som CFCS nu "kraftigt opfodrer" til, at man som myndighed eller samfundsvigtig virksomhed får implementeret snarest. Tiltagene består af 10 hovedpunkter, herunder et eller flere underpunkter og kan læses nedenfor eller tilgås her.

De 10 tiltag dækker bredt fra beredskabsplaner og medarbejdernes awareness til backup og leverandørstyring og har sin rod i blandt andet ISO 2700. Særligt tiltag nr. 10 (leverandørstyring), om at sikre at ens leverandører rapporterer på sikker-hedshændelser eller mistanke herom, synes i lyset af den aktuelle situation i Ukraine at være af central karakter. Dette gælder særligt, hvis man som virksomhed har outsourcet driften af kritiske IT-systemer til en eller flere eksterne leverandør. Også tiltag nr. 3 (backup), om at sikre at ens backup løsning fungerer optimalt, herunder evnen til at foretage reetablering af data, vurderer vi desværre kan være af aktuel betydning i tilfælde af et ransomware angreb. 

CFCS 10 tiltag til styrket cyberberedskab:

1. Beredskabsplanlægning og krisestyring

Gennemgå og afprøv organisationens beredskabsplaner, herunder nødplaner mhp. at sikre, at:
1.1. Beredskabsplaner er opdaterede.
1.2. Kontaktoplysninger og -lister er opdaterede.
1.3. Alle relevante personer er bekendt med beredskabsplanen og deres ansvar og rolle i beredskabet.
1.4. Beredskabsplaner mv. er tilgængelige offline.
1.5. Kommunikationsmidler fungerer, hvis it-systemer er utilgængelige.

2. Opdatering af operativsystemer og applikationer

2.1. Kontrollér, at alle systemer og applikationer er og bliver opdateret, herunder tredjepartssoftware som fx browsere mv.
2.2. Kontrollér, at internetvendte services er blevet sikkerhedsopdateret ift. kendte sårbarheder.
2.3. Overvej, om der skal opdateres hurtigere med accept af større risiko for driftsforstyrrelser.

3. Backup

3.1. Kontrollér, at backup gennemføres korrekt, og at der opbevares en kopi offline.
3.2. Afprøv, om det er muligt at foretage reetablering fra backup.

4. Forsvarsmekanismer

4.1. Kontrollér, at anti-virussoftware er installeret og aktiveret på alle klienter og systemer og bliver opdateret korrekt.
4.2. Kontrollér, at firewallregler er konfigureret korrekt.

5. Logning og monitorering

5.1. Kontrollér, hvilken logning organisationen foretager, og om der eventuelt kan foretages yderligere relevant logning.
5.2. Kontrollér, at logningen fungerer korrekt.
5.3. Kontrollér, at logs gennemses jævnligt.

6. Netværk og internetvendte services og –systemer

6.1. Kontrollér, at organisationens netværk er segmenteret, og at netværkstrafikken mellem segmenter er begrænset til det nødvendige.
6.2. Skab overblik over internetvendte it-services og -systemer og vurdér, om der er services og systemer, der ikke behøver internetadgang.
6.3. Kontrollér, at organisationens internetvendte oplysninger er korrekte og opdaterede, herunder IP-adresser og domænenavne.
6.4. Foretag sårbarhedsscanning af internetvendte services og systemer og kontrollér, at disse er opdateret.

7. Adgangskontrol og rettighedsstyring

7.1. Gennemgå bruger- og administratorkonti og nedlæg gamle, ubrugte eller ukendte konti.
7.2. Kontrollér, at privilegerede konti udelukkende bruges til privilegerede formål.
7.3. Kontrollér, at administrative rettigheder for brugere kun tildeles tidsbegrænset og med veldokumenterede behov.
7.4. Kontrollér, at organisationens password-politik følger CFCS’ password-vejledning, herunder at der anvendes stærke password med minimum 12 karakterer.
7.5. Kontrollér, at genbrug af passwords samt ofte anvendte eller lækkede passwords ikke tillades.
7.6. Kontrollér, at der kan gennemtvinges ændring af passwords for alle konti.
7.7. Kontrollér, at der anvendes flerfaktor-autentifikation hvor muligt og som minimum på al fjernadgang og alle privilegerede konti.
7.8. Kontrollér, at der anvendes numerisk adgangskode på minimum 6 cifre eller biometrisk identifikation på mobile enheder.

8. Fjernadgang til systemer

8.1. Kontrollér, at fjernadgang kun sker til de dele af infrastrukturen, som en risikovurdering har afdækket er acceptabel.
8.2. Kontrollér, at medarbejderes og leverandørers fjernadgang til organisationens interne systemer sker over krypterede forbindelser og ved anvendelse af fler-faktor-autentifikation.
8.3. Kontrollér, at der benyttes en af organisationen leveret VPN-løsning til internetadgang via arbejds-pc fra eksterne netværk. 

9. Awareness

9.1. Kontrollér, at medarbejdere ved, hvordan de skal rapportere om sikkerhedshændelser, herunder mistanke om phishingmails.

10. Leverandørstyring

10.1. Kontrollér, at det er aftalt med leverandører, at de skal rapportere sikkerhedshændelser eller mistanke om sikkerhedshændelser.