Antallet af hackerangreb er eksploderet, og virksomheder investerer derfor millioner på cybersikkerhed. Og med god grund – virksomheders fremtidige eksistens kan være på spil. Enhver direktør må spørge sig selv: Er vi godt nok beskyttet? Deloittes Red Team kan give svaret.

Ingen lagde mærke til manden, der skjulte sig i sin blå Toyota. Bilen holdt parkeret med frit udsyn til en stor virksomheds vareindlevering, så man fra bilen kunne opfange virksomhedens wifi. En af Deloittes white hat-hackere, der er en del af Deloittes Red Team, havde ligget i bilen i et par dage. Mens han hackede virksomheden gennem det trådløse netværk, holdt han øje med indgangen til vareindleveringen og ventede på det rette tidspunkt, hvor han kunne snige sig ind.

Historierne om professionelle internationale hackere, der stjæler forretningshemmeligheder eller afpresser virksomheder for enorme summer, bliver flere og stadigt mere nærværende. Deloittes it-sikkerhedsspecialister er dog ikke kriminelle. Tværtimod. De er godsindede hackere, såkaldt white hat hackere, og en del af Deloittes Red Team, der er et decideret modsvar på de trusler, virksomheder står over for i dag.

”Hackere er fløjtende ligeglade med dit budget, dine begrænsninger og manglende ressourcer. De går efter dig og din virksomhed med alle midler,” siger partner og cybersikkerhedsekspert i Deloitte Kim Schlyter.

Red team er derfor sat i verden for at give virksomhedslederne klar besked om, hvor de er sårbare, og hvordan deres it-sikkerhedsmedarbejderne klarer sig mod hackere. Og det er ofte ikke lutter positive nyheder.

”Virksomheder tror de er sikre, men er det reelt ikke,” siger han.

Kim Schlyter oplever, at selvom særligt store og mellemstore virksomheder opruster og bruger anselige penge på sikkerhed, kan de stadig ikke beskytte sig, når de bliver angrebet af ondsindede hackere.

Og netop spørgsmålet om, hvorvidt man som virksomhed kan modstå et sofistikeret og asymmetrisk hackerangreb, nager og bekymrer direktører og stakeholders, forklarer Kim Schlyter. For hvis ondsindede hackere har held med deres angreb, er der nemlig meget på spil. Enorme summer, image, kritisk data, og i værste fald: virksomhedens fremtidige overlevelse.

Hele spektret under angreb
Der var halvtomt på lageret, da en lastbil trillede gennem porten. Deloittes white hat-hacker så sit snit. Bevæbnet med en USB-pind og sin telefon, skulle han finde ud af, hvor frit spil han reelt havde. Selvom virksomhedens hovedbygning var sikret med en række sluser og adgangssystemer, var situationen på lageret en anden. Via en usikret og ubemandet PC kunne white hat-hackeren overføre et program fra sin USB, der gav ham yderligere adgang til virksomhedens systemer. Næste skridt var at finde ud af, om han kunne komme fra lageret og ind i virksomhedens øvrige bygninger.

Deloittes Red Team påtager sig de ondsindede hackeres handlemønstre og simulerer et rigtigt angreb mod en given virksomhed. Ondsindede hackere angriber svage punkter – uanset om der er tale om virksomhedernes it-infrastruktur, medarbejdernes manglende agtpågivenhed eller de fysiske rammer. Det samme gør red team. Svagheder bliver udnyttet, it-afdelingen bliver sat på prøve, og teamets metoder spænder så bredt, og er så avancerede, at de minder om noget fra en James Bond-film. Og for at gøre det hele så realistisk som muligt ved kun et fåtal, at en red team-øvelse er i gang.

”Mange tror fejlagtigt, at hackere kun holder sig til det digitale. Sådan er det ikke. Alt gælder,” påpeger Kim Schlyter.

Dog er der faste spilleregler under red team-øvelser. Eksempelvis bliver medarbejdere ikke angrebet på hjemmeadressen, øvelserne foregår ikke om natten, og Deloittes white hat-hackere ødelægger ikke noget undervejs.

”Men uanset om virksomhedens frygt er, at hackere får fat i investeringshemmeligheder, CFOens e-mail, eller fysisk kommer ind på direktionsgangen og tager en computer med ud af bygningen, så bliver det vores opgave at finde ud af, om det kan lade sig gøre,” siger han.

Og det kan det typisk, forklarer manager og red team-ekspert Morten von Seelen:

”Vi håber altid, vi bliver opdaget, men det sker bare aldrig. Og specielt ikke på de store virksomheder, der bruger millioner på sikkerhed. Deres procedure fejler simpelthen, og de scanner deres netværk med nogle standardprodukter, der ikke engang tæt på at opdage vores digitale tilstedeværelse,” konstaterer han.

Red team vs. blue team
Tilbage i vareindleveringen forsøgte white hat-hackeren at komme videre ind i virksomhedens bygninger, før han blev standset af en medarbejder. Medarbejderen blev overrasket over at se den fremmede mand på lageret og ville vide, hvem han var, og hvad han lavede der. White hat-hackeren bandt manden en historie på ærmet om, at han netop havde holdt møde med virksomhedens CIO, og at han ikke kunne komme ind i bygningen igen, efter at have hentet nogle dokumenter i sin bil. Medarbejderen var ikke overbevist, men da white hat-hackeren lod som om, han fik et opkald fra CIOen, blev medarbejderen så forvirret, at han straks åbnede døren og ledte ham ind i bygningen.

Når Deloittes Red Team har godt fat i virksomhedens netværk og har nået de mål, teamet sammen med virksomhedens ledelse har fastsat, begynder de at gøre opmærksomme på sig selv. Her begynder anden del af øvelsen, red team vs. blue team, som er en kamp mellem virksomhedens egen it-afdeling samt eventuelle underleverandører på den ene side og Deloittes white hat-hackere på den anden.

For at gøre it-afdelingen opmærksomme på hackernes tilstedeværelse, kan red team eksempelvis simulere, at de kopierer hele kundekartoteket og sender det ud af virksomheden, eller at der bliver logget ind på CFOens og CEOens konti fra ti forskellige computere – handlinger som virksomhedernes sikkerhedssystem bør opdage. It-afdelingen får på det tidspunkt at vide, at de skal forsøge at stoppe hackerne.

”Det udvikler sig til en beredskabsøvelse. Vi sidder så dybt i deres system, at vi kan se og høre it-sikkerhedsmedarbejderne via deres webcams og mikrofoner. Vi kan endda se hver eneste tast, de trykker ned på deres keyboard. Det giver os et indblik i, hvordan de håndterer situationen,” forklarer Morten von Seelen.

For at kunne håndtere et ondsindet hackerangreb er det essentielt at kunne handle under et enormt pres, undgå panik og arbejde uhyre systematisk. Mens denne del af øvelsen står på, opnår it-sikkerhedsmedarbejderne derfor en stejl indlæringskurve og får en vigtig erfaring med det at kæmpe mod hackere.

”Det er den bedste teambuilding øvelse, de kan få, og de lærer meget om it-sikkerhed samtidigt,” påpeger Kim Schlyter.

Forberedelsen til et angreb
I virksomhedens bygninger havde white hat-hackeren frit spil til at bevæge sig rundt. Og han kunne via billeder dokumentere hele sin fremfærd. På en og samme gang havde han udnyttet virksomhedens sårbare wifi, de fysiske rammer og en medarbejders manglende agtpågivenhed. Han havde afsløret fejl, ondsindede hackere også ville kunne udnytte.

Når øvelserne er overstået, er det muligt at konkludere på, om den pågældende virksomhed kan stå imod et sofistikeret hackerangreb. En grundig rapport med svagheder, fejlkonfigurationer, sikkerhedsbrister uhensigtsmæssige procedere mm. udfærdiges, så ledelsen sort på hvidt kan få indblik i virksomhedens aktuelle sikkerhedstilstand.

”Med rapporten i hånden kan de øge sikkerheden betragteligt,” siger Kim Schlyter og understreger, at alt bliver gransket – fra sikkerhedsclearinger og man-traps til it-afdelingens produkter, medarbejdernes brugeradfærd og beredskabsprocesser, underleverandørernes kunnen og meget mere.

Afslutningsvist samles hele red teamet fra Deloitte og virksomhedens hold af it-sikkerhedsmedarbejdere for at gennemgå hele forløbet fra start til slut. Her lokaliseres best practice og fordelagtige procedure mv. så den gældende virksomheds medarbejdere lærer mest muligt.

”Det er den rigtige måde at forberede sin virksomhed på. Få testet din it-afdeling og dine dyre investeringer. Find ud af, hvad der skal forbedres, og følg op, hvor der er behov, så din virksomhed ikke bliver taget på sengen, når hackere angriber,” siger Kim Schlyter.