Panama Papers: Hackingen av Mossack Fonseca – hva bør vi bli minnet om når det gjelder sikkerhet?

Fra et cybersikkerhetsperspektiv er det ingenting overraskende i saken om Panama Papers, men den gir oss en viktig påminnelse om grunnleggende sikkerhetsprinsipper.

Ryan Mattinson (Foto: KPMG)

Ryan Mattinson (Foto: KPMG)

Programvare vi er avhengig av har sårbarheter

Én ting er sikkert: Det vil dukke opp nye sårbarheter i programvare vi er mest avhengig av. Alle operativsystem, web- og epostservere, databaser, mobilplattformer og ERP-programvare som har hatt kommersiell suksess har en lang historie med sårbarheter med tilhørende oppdateringer for å avhjelpe disse. Leverandørene forsetter å publisere oppdateringer så regelmessig at man kan stille klokka etter det.

Mangler du fortsatt det grunnleggende for å beskytte dine kunder?

Sett hen til det enorme volumet av sensitive dokumenter, samt konsekvensene lekkasjen har fått globalt, er det åpenbart at Mossack Fonesca var et selskap med et stort behov for cybersikkerhet. De neglisjerte grunnleggende tiltak som jevnlig å installere sikkerhetsoppdateringer, slik at selskapets webserver var sårbar for allerede kjente angrep. Kanskje var det dette som gjorde at hackerne fant veien inn i nettverket. Dessverre er ikke dette uvanlig. Mange selskaper setter seg selv i faresonen for å bli kompromittert gjennom å bruke utdaterte versjoner av programvare med kjente sårbarheter.

Ikke et teknisk problem

Installasjon av oppdateringer og implementering av grunnleggende sikkerhetstiltak er teknisk enkelt å utføre. Svakheten ligger i manglende styring. Mange virksomheter inkluderer ikke cybersikkerhet i sin risikohåndtering- og styring. Styret må vite hvem som er ansvarlig for cybersikkerhet og den ansvarlige må forstå forskjellen mellom at programvare "virker" og "informasjonen er beskyttet".

Du bør handle nå

Vi vil trolig aldri få vite den fulle sannhet om det som skjedde hos Mossack Fonseca. Dersom ikke tilstrekkelige mekanismer for logging og overvåking var implementert før de ble angrepet, vil det være nesten umulig for selskapet å komme helt til bunns hva som skjedde og hvordan. Det samme kan skje dersom dere ikke har etablert systematiske prosesser for å oppdage inntrengere. Da kan det være dere som rammes av driftsstans eller dukker opp i nyhetene. Du bør allerede nå, før det skjer, vurdere hvor godt rustet du er til å oppdage angrep, samt hvilken evne din organisasjon har til å kunne oppklare i etterkant av et angrep. Uten nødvendige mekanismer i forkant, vil det være nesten umulig også for deg å finne den grunnleggende årsaken eller få full oversikt over skadeomfanget etter et angrep. Da spiller det ingen rolle at du er villig til å bruke store summer når skaden først har skjedd.  

Næringslivets Sikkerhetsråd | Postboks 5493 Majorstuen | 0305 Oslo | Middelthunsgt 27, Majorstuen | nsr@nsr-org.no

Følg oss