Vær trygg på at du er utrygg på internett
KRONIKK: Og tror du at du blir mindre utrygg i 2017, må du tro om igjen, skriver Karianne Myrvold i Trend Micro.
Etter hvert som flere og flere mennesker og enheter kobles til internett, vil også omfanget og konsekvensene av internett-angrep bli større. I Trend Micro spådde vi at 2016 ville bli året for utpressing i form av løsepengevirus, og det fikk vi dessverre også rett i. Men det var også mange andre sikkerhets-trender vi har opplevd i løpet av 2016.
Trend Micro har vært i it-sikkerhetsbransjen i snart 30 år. I nesten tre ti-år har vi jobbet med å utvikle sikkerhetsprodukter som skal kunne stå i mot alle truslene fra kriminelle krefter. Og gjennom vårt forskningsmiljø har vi lært å forstå hvilke faktorer som avgjør hvordan sikkerhets-landskapet beveger seg.
Med et stadig endrende teknologi-landskap forventer vi at 2017 vil bli nok et år hvor kriminelle krefter vil finne nye måter å bryte seg inn i enheter, nettverk og bedrifter, for å drive utpressing og stjele virksomhetskritisk data. Men vi tror også at propaganda og falske nyheter på internett og særlig i sosiale medier vil vokse i takt med en stadig større andel av kloden som kobler seg til internett.
Mens tradisjonelle nettangrep handler om å lamme virksomheter og organisasjoner, vil motivasjonen bak nettpropaganda være å påvirke nasjoner og opinionen med unøyaktig informasjon, slik vi opplevde i 2016 med Brexit og det amerikanske valget.
Utfordringen for hvert år har vært at omfanget har vokst i takt med at stadig flere mennesker og enheter verden over kobles til internett. Og stadig større andel av samfunnet har blitt avhengig av at internett ”fungerer”. Det gjør også mange villige til å betale seg ut av problemer når de oppstår. Og det fungerer som fluepapir på et økende kriminelt online-miljø.
Tror du at du eller din virksomhet ikke er av interesse for nettkriminelle må du tro om igjen.
Apple og Adobe opplevde en kraftig vekst i programvare-sårbarheter. Med Apples voksende markedsandel innenfor bærbare datamaskiner forventes denne trenden å fortsette inn i 2017. IoT, eller Internet of Things, samt Industrial Internet of Things, vil også spille en større rolle i 2017, i takt med den tilveksten av nye produkter og teknologier som tilkobles internett. Smarte hjem, smarte bedrifter og smarte byer er ofte ensbetydende med nye svakheter og trusler, som nettkriminelle vil gjøre sitt beste for å utnytte.
Var det vanskelig å være trygg på internett i 2016, kommer det til å bli enda vanskeligere i 2017.
Her er åtte it-sikkerhetsspådommer:
- Veksten innen løsepengevirus vil flate ut i 2017, men angrepsmetoder og mål vil diversifisere. Antall løsepengevirus vokste med over 400 prosent i 2016. I 2017 tror vi at veksten vil ende opp på 25 prosent. Det tilsvarer 15 nye former for løsepengevirus hver måned. Vi tror at løsepengevirus vil bli den nye normalen når det kommer til datainnbrudd i 2017. Nettkriminelle vil først stjele konfidensiell data for å selge det videre i undergrunns-markedet, og deretter installere løsepengevirus for å holde dataservere og datamaskiner som gissel, noe som vil doble de kriminelles inntekter.
- Sterk økning av DDOS-angrep via IoT-enheter. For kort tid siden ble en rekke tjenester som Netflix, Twitter, The Guardian og CNN utsatt for DDOS-angrep (Distributed Denial of Service). Angrepet ble gjennomført via tusenvis av usikrede internett-kameraer, og slo ut serverne til Dyn, som kontrollerer stor del av internetts DNS-infrastruktur (Domain Name System). Angrepet – kalt Mirai – var det største i sitt slag noensinne på internett. I 2017 vil flere DDOS-angrep bli gjennomført via IoT-enheter. Motivasjonen vil være penger, men angrep vil også bli utført for å få gjennomslag for spesifikke krav, ovenfor individer, selskaper og myndigheter.
- Sterk vekst i bedrageri via e-post. Toppledere kan forvente å bli utsatt for e-post bedrageri i løpet av 2017. Svindelen er enkel og kostnadseffektiv, og krever forholdsvis lite i form av infrastruktur. Gjennomsnittskostnaden per slike angrep er derimot stor – 140.000 USD. Tre milliarder USD er det estimerte beløpet slike e-post bedrag har kostet selskaper i løpet av de siste to årene. Til sammenligning er gjennomsnittsbeløpet nettkriminelle får ut av et løsepengevirus 722 USD, tilsvarende én Bitcoin.
- Nettkriminelle vil angripe finansbransjen. Forretningsprosesser vil med stor sannsynlighet bli utsatt for angrep i økende grad og omfang fremover. Og vi spår at angrepene ikke bare angå finansavdelinger, men inkludere innbrudd i selve ordresystemer slik at de kriminelle kan motta betalinger som er tiltenkt reelle leverandører. I tillegg vil nettkriminelle bryte seg inn i selve leveranseprosesser og omdirigere verdifulle varer til andre adresser.
- Adobe og Apple vil ha flere sårbarheter i sine produkter enn Microsoft. Adobe ”gikk forbi” Microsoft for første gang i 2016 i antall sårbarheter som ble avdekket i deres produkter. 2016 ble også det ”største” året for Apple i antall sårbarheter. I 2015 ble det avdekket 25 sårbarheter hos Apple, mens det ble over 50 i 2016. Apples programvare vil bli i økende grad utsatt for misbruk i takt med økte markedsandeler. Det vil tiltrekke nettkriminelle, i tillegg til at Microsoft har gjennomført store sikkerhetsforbedringer på sin side.
- Stor økning i nettpropaganda. Snart er halve jordens befolkning tilkoblet internett. Den resterende halvparten vil tilkobles i et mye større tempo. Dette betyr at flere og flere mennesker har rask og enkel tilgang til informasjon, uavhengig om den informasjonen kommer fra en pålitelig kilde eller ikke. Internett som en viktig informasjonskilde har åpnet opp for effektiv spredning av falske nyheter og propaganda. Valgresultatene fra Brexit og den amerikanske valgkampen reflekterer den makten sosiale medier og andre internett-kilder hva gjelder påvirkning av politiske prosesser. I 2017 kommer vi til å se langt flere eksempler på bruk og misbruk av sosiale medier.
- Implementering og etterlevelse av EUs personvernforordning vil koste organisasjoner dyrt. Personvernforordningen om behandling av persondata, vil ikke bare koste EU-medlemmer, men virksomheter og organisasjoner i hele verden som samler, prosesserer og lagrer persondata til EU-borgere. Selskaper som ikke etterlever de nye reglene, kan fra 2018 bli bøtelagt med inntil fire prosent av selskapets globale omsetning. Derfor må også selskaper investere i omfattende sikkerhetsløsninger, som vil inkludere opplæring av ansatte for å påse at de også etterlever EUs personvernforordning.
- Nye målrettede og avanserte angrepsmetoder. Målrettede angreps-kampanjer ble første gang dokumentert for snart ti år siden. Ti år senere har nettkriminelle blitt utrolig mye flinkere til å tilpasse deres verktøy, taktikker og prosedyrer til å angripe forskjellige organisasjoner i forskjellige land. Vi forventer nye og avanserte teknikker i målrettede angrep i 2017.
Nettkriminelle vil fortsette å tilpasse seg det skiftende teknologilandskapet. Raskere og bedre enn de fleste virksomheter og organisasjoner. Mens løsepengevirus vokste eksponentielt i 2016, vil veksten flate ut i 2017. Det vil føre til at nettkriminelle vil finne nye måter å tjene penger på. Alt og alle som er tilkoblet internett vil være et potensielt offer. Var det vanskelig å være trygg på internett i 2016, kommer det til å bli enda vanskeligere i 2017.
Og tror du at du eller din virksomhet ikke er av interesse for nettkriminelle må du tro om igjen. Det eneste som er sikkert, er at du ikke er det.
Karianne Myrvold er markeds- og kommunikasjonssjef i Trend Micro Norge.