Home » Samfunnssikkerhet og beredskap » Hackerne kommer, er du klar?
Sponset

Du sjekker røykvarslerne årlig, og at du skrudde av kaffetrakteren før du dro hjemmefra. Du har brannøvelser og beredskapsplaner. Men når sjekket du bedriftens IT-sikkerhet sist?

Kovert spesialiserer seg på offensiv sikkerhetstesting, som betyr at de proaktivt tester IT-sikkerheten til kundene sine.

– Vi er som en snill hacker, forklarer Martin Ingesen, CEO i Kovert.

– Vi gjør vårt beste for å være like gode, frempå og nyskapende som de ordentlig slemme aktørene, men vi prøver å finne sårbarhetene før dem.

Leter etter sikkerhetshull

Som spesialister på IT-sikkerhet, tilbyr Kovert en rekke ulike testmetoder for å oppdage sikkerhetshull hos kundene sine.

– Hvilken metode vi bruker for å teste kunden avhenger av hva som skal testes og hvilke risikoer som skal belyses, forklarer Ingesen.

– Tester vi en nettside eller en mobilapp kan det være aktuelt å se om vi klarer å komme oss inn på «baksiden» av nettsiden og få tilgang databaser eller annen informasjon. Tester vi et datanettverk kan det være aktuelt om vi får tilgang til backupløsningen eller lønns- og regnskapssystemet hos kunden. Vi leverer også fysisk sikkerhetstesting hvor vi regelrett forsøker å bryte oss inn hos kunden for å få tilgang til informasjon på den måten.

For at du skal sove bedre om natten

Mange bedrifter har kanskje ikke tenkt på at de sitter på verdifull informasjon.

– Men hvis bedriften din utelukkende lever av at den er digitalisert, så burde man teste seg, mener Ingesen.

– Ikke fordi målet nødvendigvis er at vi skal finne noe, men for at du skal kunne sove bedre om natten og ikke være like redd for at det smeller i morgen. Ofte kan det være tilfeldigheter som gjør at en bedrift blir et mål eller ikke, og da nyter man godt av å ha gjennomført sikkerhetstesting og implementert sikringstiltak før ondsinnede trusselaktører banker på døren. Det begynner kanskje å bli en klisjé, men det handler ikke om hvis man blir angrepet, det handler om når.

– Vi pleier å si at alle i en bedrift jobber med IT-sikkerhet, ikke bare de på IT-avdelingen. Det handler om at de ansatte også må få den riktige erfaringen, opplæringen og de riktige verktøyene for å kunne være med på å forsvare bedriften. Det er ofte det menneskelige aspektet som gjør at de kriminelle får et fotfeste, fordi det alltid vil være noen som gir fra seg passord eller åpner et ondsinnet vedlegg via phishing. Da handler det om å ha etablert god praksis for hvordan den ansatte kan melde inn dette, rutiner for håndtering av disse scenarioene, og å ha de tekniske kontrollene bak som kan minimere skaden som kan oppstå.

Risikovurdering

– Hensikten vår er å finne ulike veier inn, identifisere sårbarhetene, og gi en god og komplett rapport på det. Vi vurderer risikoen tilknyttet hver feil eller mangel vi finner, i henhold til hva som er viktig for akkurat den bedriften, sier Ingesen.

– Vi har til gode å møte en bedrift vi ikke har fått til noe hos. Men det betyr ikke at vi har «vunnet» og de har «tapt», det er viktig å huske på at det er derfor de tester seg. Hvis vi finner bare én feil, så betyr det at vi ikke fant ti, og det er bra.

Målet er at rådene fra Kovert skal være så gode og risikostyrte som mulig, slik at man i teorien kan bruke dem som en sjekkliste over hvilke tiltak man bør få satt i gang.

Rådene skal også guide bedriften videre slik at man også kan gjennomføre mer overordnede ikke-tekniske tiltak.

– En ting er å påpeke de tekniske sårbarhetene, for eksempel at den ene røykvarsleren var tom for batteri, en annen ting er å løfte det opp og si «det virker som at dere ikke har tilstrekkelig kontroll på batteristatus i røykvarslerne, og mangler en policy og rutiner for å sjekke dette», forklarer Ingesen.

Tilbyr unik kompetanse

Ved å arbeide med en rekke ulike kunder i ulike bransjer og sektorer, har Kovert fått mye mengdetrening og opparbeidet seg stor kompetanse innen sikkerhetstesting.

– Vi er så heldige at vi jobber med et stort antall bedrifter i løpet av et år. Vi har vært borti mange forskjellige nettverksoppsett, systemer og applikasjoner. Vi har sett mye rart og stått overfor en rekke ulike hindre som vi har måttet forsere. Vi har dermed tilegnet oss en helt spesiell spisskompetanse innen IT-sikkerhetstesting, avslutter Ingesen.

Koverts beste sikkerhetstips

1. Ha gode rutiner for backup og restore som er motstandsdyktig mot ransomwareangrep.

2. Sørg for lange, unike passord.

3. Skru på to-faktor-autorisering der hvor det er mulig.

4. Gjør en analyse av virksomheten for å avdekke hvilke systemer, tjenester og applikasjoner som er virksomhetskritiske som at man har et bevisst forhold til hva som må prioriteres og sikres.

Ta kontakt for å snakke med oss om sikkerhetstesting.

Tekst: Kovert

Neste artikkel