Av Anne Helene Haug, sikkerhetsansvarlig i Canon Norge
Vi investerer i brannmurer, antivirus og sikkerhetssystemer – men glemmer ofte de mest oversette svakhetene. En printer med utdatert programvare, en skjerm med nettverkstilgang eller en kaffemaskin koblet til WiFi kan i noen tilfeller åpne døren for en hacker. Har du tenkt på at et gammelt anbudsdokument fra 2014 kan være starten på et datainnbrudd? Selv tilsynelatende harmløse filer kan gi uvedkommende tilgang til det som skulle vært sikkert.
I en tid med stadig mer sofistikerte cyberangrep og økende politisk uro, holder det ikke lenger å bare sikre de «viktige» systemene. Altfor mange bedrifter står i dag med døra på vidt gap. Uten engang å vite det. Ikke fordi de mangler teknologi, men fordi sikkerhet altfor sjeldent etterspørres i anskaffelser.
Kampen om datasikkerheten handler ikke lenger bare om servere, programvare og brannmurer. Den handler om alt som er koblet til nettverket. Skjermer, printere, kaffemaskiner … I moderne kontorlandskap der alt av enheter er tilkoblet har angrepsflaten utvidet seg dramatisk. Likevel henger tankesettet ofte igjen i en tid der vi trodde det holdt å sikre kjernesystemene.
For mange er det fortsatt en overraskelse at en tilsynelatende uskyldig printer kan være inngangsporten for et cyberangrep. Dagens skrivere er ikke lenger dumme utskriftsverktøy. De kan skanne, sende, lagre og kommunisere med andre systemer. De er koblet til samme nett som resten av organisasjonen. Noe som gjør dem attraktive – og sårbare.
Sikkerhetseksperter, forskere og myndigheter har flere år advart mot dette. Allerede i 2018 varslet det amerikanske cybersikkerhetsbyrået CISA om at nordkoreanske hackergrupper brukte sårbare nettverksenheter, inkludert skrivere, til å trenge inn i vestlige finansinstitusjoner og samfunnskritisk infrastruktur. De utnyttet åpne porter, dårlig konfigurasjon og manglende autentisering.
Samme år kapret hackere over 50 000 printere verden over og beordret dem til å skrive ut støtteerklæringer for YouTube-profilen PewDiePie. En spøk, men samtidig et brutalt effektivt bevis på hvor mange printere som er tilgjengelige over internett uten noen som helst form for beskyttelse.
Så hvorfor skjer det fortsatt? Fordi det ikke stilles krav. Når virksomheter bruker utdaterte anbudsmaler, gjerne kopiert fra forrige innkjøp for fem til ti år siden, står sikkerhet ofte langt nede på lista. Om det i det hele tatt nevnes. Pris vektes høyere enn trygghet. Mange av kravene som brukes i anbud for kontorutstyr er for generelle og rettet mot PC-er. Ikke enheter med helt andre funksjoner og risikoprofiler.
Konsekvensen er at leverandører sjeldent får muligheten til å tilby de beste sikkerhetsløsningene. Enten fordi de velges bort som for dyre, eller fordi dokumentasjonen er for omfattende og derfor kompliserer anbudet. Resultatet er at det kjøpes inn teknologi som kanskje er moderne på papiret – men gammeldags i en sikkerhetstankegang.
Det gir en farlig illusjon av sikkerhet. Det blir litt som å installere en topp moderne alarm i huset, men glemme å låse døren. Printeren, sensoren eller skjermen blir den åpne døren som ingen tenker på, men som angriperne vet finnes. Heldigvis støtter mange av dagens enheter sikker datasletting, kryptering, påloggingsbeskyttelse og automatiske oppdateringer. Utfordringen er at funksjonene ofte ikke etterspørres, og dermed utelates.
Konsekvensene blir enda tydeligere i lys av det nye lovverket som nå rulles ut i Europa. NIS2-direktivet og DORA-regelverket stiller betydelig strengere krav til sikkerhet i hele leverandørkjeden. Også for offentlige og private aktører i Norge. Ansvaret for å stille riktige sikkerhetskrav ligger ikke lenger bare på leverandørene. Det ligger i like stor grad på dem som lager, forvalter og følger anbudsbeskrivelsene.
Det er her det svikter. Mange av dagens anbudsprosesser er utviklet for en annen tid, og reflekterer derfor ikke dagens trusselbilde. Et skjema som skal gjøre innkjøpsprosessen enkel og effektiv, kan i realiteten gjøre virksomheten sårbar for angrep.
Skal Norge bli verdens mest digitaliserte nasjon innen 2030, slik regjeringen ønsker, må vi også bli mer sikkerhetsbevisste. Det krever et oppgjør med gamle innkjøpsrutiner og en ny forståelse av hva sikker digital infrastruktur faktisk betyr. Det handler ikke bare om IT-systemer. Det handler om alt som kan kobles til strøm og nett.
Så neste gang du planlegger en anskaffelse, være seg om det er kontorutstyr, printere eller skjermer, spør deg selv hva slags dører du risikerer å åpne og hvem du lar gå gjennom.
Bli den første til å kommentere på "Derfor elsker hackerne anbud fra 2014"