|
minutter å lese
Ifølge siste mørketallsundersøkelse fra Næringslivets Sikkerhetsråd opplever en fjerdedel av norske virksomheter uønskede sikkerhetshendelser. En stor andel fører til sviende kostnader, og flere går under radaren. Overvåkingssystemer basert på stordata kan styrke datasikkerheten.
Tradisjonelt har vi brukt antivirussystemer og brannmurer for å oppdage og stoppe angrep. Om en ansatt uvitende har installert skadevare på en maskin, eller om en uhederlig aktør forsøker å sende trafikk til virksomhetens systemer vil det (forhåpentligvis) lyse en varsellampe. Slike tiltak er fortsatt høyst aktuelle og nødvendige, men fanger opp langt ifra alt.
Ny og ukjent skadevare kan gå under radaren til antivirussystemer, og IP-er fra aktører med uhederlige hensikter trenger ikke være registrerte og svartelistet. Vi trenger en måte å oppdage mistenkelig aktivitet. For å forstå hva som er mistenkelig, må vi vite hva som er normalt. Derfor er det viktig å skape en grunnlinje over normal aktivitet på virksomhetens systemer. For dette trengs det store mengder loggdata for analyse, på norsk gjerne omtalt som stordata.
Oppdag sikkerhetsbrudd
Med stordata kan man oppdage sikkerhetshendelser som vanligvis ikke ville blitt plukket opp. Eksempler på dette kan være trafikk fra IP-er hvor det normalt ikke kommer trafikk, brukere som logger seg på maskiner hvor de normalt ikke logger seg på, eller unormal installert programvare.
Dette betyr at om en skadevare starter å utføre operasjoner, så kan disse oppdages som mistenkelig aktivitet. Man kan se hvilke maskiner skadevaren opererer på og sette i gang målrettede tiltak. Ikke minst kan man også oppdage dersom en bruker utfører mistenkelig aktivitet, selv om de samme aktivitetene blir berettiget utført av andre brukere. Hva som er avvikende oppførsel for en bruker kan være vanlig oppførsel for en annen bruker.
Avdekke snoking
Stordata er også et godt verktøy for å avdekke snoking. Noen finner det interessant å snoke i sensitiv informasjon knyttet til privatpersoner i Norge. Dette kan for eksempel være informasjon knyttet til økonomi eller rulleblad. Denne formen for snoking har vært avdekket og fanget opp av media ved flere anledninger.
Sensitiv informasjon finnes hos aktører som NAV, Skatteetaten og Politiet. Saksbehandlere trenger systemtilgang for å utføre jobben sin, men dette åpner også for sårbarhet gjennom snoking. Ved bruk av stordata kan man enklere oppdage et unormalt antall oppslag fra en saksbehandler, om en enkelt innbygger blir søkt på av uvanlig mange saksbehandlere (typisk en kjendis eller annen offentlig person), eller avvik knyttet til søk utenfor normert arbeidstid.
Skreddersøm
Stordata er ikke magi. Hver virksomhet har ulike brukstilfeller, og programvare for stordata må settes opp på en måte som passer for nettopp denne bedriften. Dette koster tid og penger, men investeringene skal svare seg. Konsekvensene av datainnbrudd, sabotasje, skadevare eller snoking kan være katastrofale. Generell økt datasikkerhet vil ikke bare gagne den enkelte virksomhet, men også gi ringvirkninger til næringslivet og offentlige tjenester, og dermed også for både meg og deg.
Denne saken var først på trykk i Computerworld i november 2018.
Innlegget er skrevet av tidligere ansatt Martin Hettervik.