Blåmandag: Wanacryptor virus! Hva gjør vi?

Til alle dere som sliter med å finne ut av hva dere skal gjøre etter helgens angrep eller som frykter blåmandagen. Skal man betale disse kriminelle og gi de enda mer vann på mølla? Har dere noe valg? Skal vi rapportere dette til NSM? Får vi noe hjelp der?

Ett klikk på feil link fra en bruker i ditt firma er «umulig» å unngå. Millioner av kroner står på spill for den enkelte bedrift og vi velger daglig å spare småpenger på å ikke kjøre med oppdaterte programvare. Selskaper, organisasjoner, det offentlige og samfunnet for øvrig lider og vi velger å se bort fra helt klare anbefalinger fra Nasjonal sikkerhetsmyndighet om å innføre 4 forholdsvis rimelige og enkle tiltak for å unngå 90% av slike angrep:

1. Sørg for oppdatert programvare
2. Sørg for å oppdatere med siste sikkerhetspatch
3. Sørg for at ikke alle brukerne dine har administrator rettigheter
4. Sørg for at brukerne dine ikke kan kjøre annet en godkjent programvare på deres enheter.


Hva gjør vi med de 10% som gjenstår?

Ha en adoptert og godt vedlikeholdt sikkerhetskultur som minimerer risiko for at slike ting inntreffer og at brukeren din gjør feil! Ha en skikkelig sikkerhetsinstruks og et godt implementert sikkerhetsmål og sikkerhetspolicy med gode rutiner og test at de faktisk fungerer. Gjør en god vurdering av eksisterende IT plattform og vurder om man bør gjøre investeringer i ytterligere sikkerhetsteknologi for å hindre at slikt skjer. Men for guds skyld sørg for å ha tiltak for at man kan klare å løse situasjonen når den først har skjedd!

Hva gjør hvis (når) «skit hits the fan»?

En beskyttet backup er helt nødvendig for at man skal slippe å komme i en situasjon hvor man må vurdere å betale seg ut av et slikt problem. -for de fleste vil komme i den situasjonen i nær fremtid! I følge NSM sin Risiko vurdering for 2017 hadde vi store mengder av dette også i fjor. 22000 angrep ble oppdaget og 5000 ble behandlet. I tillegg vet vi at det er store mørketall. Over halvparten av alle bedrifter som ble forespurt i deres undersøkelse ble angrepet i fjor og over ¼ av disse måtte ut med 1 million kroner eller mer for å gjenopprette normal drift. Flere enn du skulle tro var mindre virksomheter som trolig mente de ikke var interessante nok for angriperne.

Hva gjør vi om vi er angrepet?

Kontakt din sikkerhetsleverandør for å gjøre ting i riktig rekkefølge. Oppdatere software og sikkerhetspatcer på det som ikke er angrepet. Har du en beskyttet backup så er du ofte reddet, men få kontroll på situasjonen og has på eventuelle sikkerhetshull først. Hold backupen din trygg fra infiserte maskiner. Rapporter til Nasjonal Sikkerhetsmyndighet om sikkerhetsbruddet. Vurder gjerne sammen med de hva du skal gjøre i forhold til løsepenger.

Hva er strakstiltaket for de som ikke er angrepet (enda)?

Viktige sikkerhetsleverandører som Microsoft og Checkpoint anbefaler i stor grad det samme:

  • Patche Windows maskinene med siste sikkerhetsoppdatering (Windows 10 skal i følge Microsoft ikke være rammet, men sørg for å være sikker). Se også Microsoft Security Bulletin MS17-010 og Ransom:Win32/WannaCrypt- For xp, win 8 og win 2003: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
  • Blokker passord beskyttede vedlegg i brannmuren. Vurder også om protokoller bør blokkeres.
  • Sørg for at backup er tilgjengelig og ikke delt på nettverket
  • Sørg for en helhetlig sikkerhetsgjennomgang og vurdering av egen informasjonssikring. Har dere gjort tilstrekkelige sikkerhetstiltak som står i forhold til dagens trusselsituasjon og ledelsens vurdering av akseptabel risiko?

Nasjonal sikkerhetsmyndighet (NSM) sin anbefaling kan du lese mer om her:
https://www.nsm.stat.no/aktuelt/beskyttelse-mot-ransomware/

Microsoft sin anbefaling:
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

 

Ta gjerne kontakt med Skill for bistand med en helhetlig gjennomgang.

Legg igjen en kommentar