Phishing - Hvordan skal din virksomhet håndtere et angrep?

Publisert 30. oktober 2020

Den siste tidens medieoppslag har vist at phishing-angrep er en stadig økende trussel for samfunnet. Nylig kom Datatilsynet med en veileder om temaet og Nasjonal sikkerhetsmyndighet (NSM)  oppdaterer også jevnlig sine råd om IKT-sikkerhetstiltak basert på erfaringer om blant annet digital risiko. 

Tidligere i vår ble det uttalt fra flere hold at digitale trusselaktører utnyttet krisesituasjonen som koronaepidemien medførte. Det ble rapportert om en økning i antall phishing-angrep og trenden ser ikke ut til å avta. I august ble Petroleumstilsynet (Ptil) utsatt for et phishing-angrep hvor en e-postkonto ble misbrukt til å videresende e-poster med falskt innhold. Dette var det andre phishing-angrepet på en offentlig petroleumsinstitusjon på under ett år. I september ble også 10.000 kommunalt ansatte utsatt for angrep på deres e-postadresser. E-postene de kommunalt ansatte mottok virket legitime da de fremsto som sendt fra kollegaer, men i realiteten var de sendt fra en trusselaktør og inneholdt vedlegg med skadelig virus.

Hva er phishing?

Phishing er en form for sosial manipulering hvor angriperen ofte utgir seg for å være en pålitelig avsender for å lure et offer til å utføre en handling. Det kan for eksempel å åpne et e-postvedlegg, betale en falsk regning eller klikke seg inn på en falsk nettside for å «logge seg inn», eller oppgi annen sensitiv informasjon som fødselsnummer eller bankopplysninger. E-postene kan eksempelvis fremstå som sendt fra en bekjent, en legitim virksomhet eller organisasjon når de i realiteten er sendt fra en angriper. Gjennom vedlegg eller lenker installeres gjerne en skadevare, og brukeren lures til å oppgi brukernavn og passord som trusselaktører bruker for å stjele blant annet konfidensielle opplysninger. Dersom du blir bedt om å betale en falsk regning kan betalingsinformasjonen du oppgir senere bli utnyttet til eksempelvis ID-tyveri.

Phishing kan være et innledende angrep som gjør at angriperen får tilgang til virksomhetens systemer, og dermed får muligheten til å utføre flere angrep, for eksempel med bruk av løsepengevirus. En rapport fra PhishMe viser at 91 prosent av alle cyberangrep starter med en phishing-epost til et intetanende offer. I tillegg viser en rapport fra Verizons Data Breach Investigation Report (2019) at 32 prosent av alle vellykkede datainnbrudd involverer bruk av phishing-teknikker. Det er derfor essensielt at virksomheter og deres ansatte vet hvordan de kan kjenne igjen en phishing-epost og rapportere denne før skaden inntrer.

Stadig mer kompetente angripere

Trusselaktørene blir stadig mer avanserte i hvordan de utnytter sårbarheter. De forbereder seg nøye og opptrer gjerne målrettet mot en konkret virksomhet, eller enkeltpersoner i virksomheten («spear phishing»). Disse phishing-forsøkene kan være sofistikerte og vanskelig å oppdage. I visse tilfeller hacker trusselaktørene seg først inn i en virksomhet slik at når du mottar en epost fra en sjef i et selskap, så er den faktisk sendt fra sjefens konto i den aktuelle virksomheten. At virksomheten din blir angrepet på denne måten, betyr ikke nødvendigvis at virksomheten har dårlig IT-sikkerhet. Det er ikke noe som heter 100 prosent sikkerhet, og det er derfor viktig å ha både preventive og reaktive tiltak, altså tiltak for å beskytte virksomheten mot phishing-angrep, men også tiltak for å kunne oppdage og respondere. Dette innebærer blant annet at man har gode rutiner for å håndtere et angrep dersom uhellet først er ute. Gode beredskapsplaner og rutiner for hvordan angrepet skal håndteres er vesentlig for å håndtere et ondsinnet angrep.

Når må virksomheten din varsle og hvem skal varsles?

Har virksomheten din blitt utsatt for et phishing-angrep? Da må du handle raskt. Foruten å håndtere de rent tekniske aspektene, vil det i visse tilfeller være både nødvendig og lovpålagt å varsle NSM og politi. I denne artikkelen behandles imidlertid kun varslingsreglene etter GDPR nærmere. Dersom virksomheten din behandler personopplysninger og det har skjedd et brudd på personopplysningssikkerheten oppstiller Personvernforordningen (GDPR) en plikt til å varsle både Datatilsynet og i visse tilfeller de registrerte. Det er derfor viktig at enhver virksomhet har rutiner for varsling og at disse er kjent for de ansatte. Virksomheten må også sikre at de har etablert varslingsrutiner for sine databehandlere slik at virksomheten er i stand til å overholde sine forpliktelser om varsling.

Når skal Datatilsynet varsles om phishing-angrepet?

Dersom det har skjedd et brudd på personopplysningssikkerheten skal Datatilsynet varsles så raskt som mulig og senest innen 72 timer etter at bruddet ble oppdaget. Ved phishing-angrep er det ikke sjelden at personopplysninger kommer på avveie eller at angriperen får urettmessig tilgang til disse, og at det derfor foreligger et brudd på personopplysningssikkerheten. Varsling av de registrerte er likevel ikke nødvendig dersom det sannsynligvis ikke vil medføre en høy risiko for fysiske personers rettigheter og friheter. Ved vurderingen av hvorvidt varsling kan unnlates må virksomheten se på de konkrete omstendighetene, bruddets alvorlighet og potensielle innvirkning. Denne vurderingen kan være krevende, og en feilaktig unnlatelse av varsling kan medføre strenge sanksjoner. Datatilsynet skal ved vurderingen av om overtredelsesgebyr skal gis til virksomheten legge vekt på hvordan tilsynet fikk vite om bruddet og i hvilken grad virksomheten varslet om angrepet. Her er det altså viktig å ikke trå feil.

Det kan være vanskelig for virksomheten i en tidlig fase å si noe om bruddets art, karakter og omfang. I slike tilfeller kan virksomheten sende et foreløpig varsel til Datatilsynet og deretter ettersende utfyllende informasjon etter hvert som saken blir bedre opplyst. Virksomheter som er behandlingsansvarlige etter GDPR skal også dokumentere ethvert phishing-angrep samt virkninger av angrepet og hvilke tiltak som er iverksatt for å utbedre angrepet.

Når skal de registrerte varsles om phishing-angrepet?

Virksomheten skal varsle de registrerte dersom det er sannsynlig at phishing-angrepet vil medføre en høy risiko for fysiske personers rettigheter og friheter. Terskelen for å melde fra til de registrerte ligger noe høyere enn melding til Datatilsynet. Formålet med varslingen er å gi de registrerte en mulighet til å minimere konsekvensene av angrepet ved å sette i verk egnede forebyggende tiltak.

Hvorvidt virksomheten har varslingsplikt vil bero på en konkret risikovurdering etter phishing-angrepet og her er det viktig at det foretas grundige vurderinger. Virksomheten må identifisere alle mulige konsekvenser av angrepet og vurdere sannsynligheten for at disse konsekvensene inntrer. Erfaringsmessig kan disse vurderingene være vanskelige å gjennomføre og det kan være nyttig å be om bistand. Datatilsynet har uttalt at særlige kategorier av personopplysninger, fødselsnummer, taushetsbelagte personopplysninger og opplysninger som en virksomhet anser som konfidensielle i forholdet med kundene sine er eksempler på type personopplysninger som har en høy risiko for personvernet. Dersom angrepet kan medføre for eksempel ID-tyveri, tap av omdømme eller økonomisk tap er det god grunn til å varsle.

Dersom virksomheten konkluderer med at de registrerte må varsles, skal dette skje så raskt som mulig og virksomheten må blant annet gi en klar og tydelig beskrivelse av hva som har skjedd og hvilke konsekvenser angrepet kan få. Det kan oppstå vanskelige vurderinger om hvordan de registrerte skal varsles, spesielt dersom det er snakk om mange tusen eller millioner berørte fysiske personer. Dagens Næringsliv skriver i sin artikkel 12. september 2020 at det trolig foreligger store mørketall om cyberangrep fordi ofrene ikke rapporterer fordi de frykter at det er dårlig PR. Unnlatt varsling på grunn av omdømmeproblematikk er bekymringsverdig, ikke bare fordi man bryter med kravene som GDPR stiller, men også fordi konsekvensene for den enkeltes personvern kan bli betydelig mer alvorlige ved å unnlate varsling.

I visse tilfeller trenger ikke virksomheten å varsle de registrerte, men disse unntakene skal nettopp benyttes unntaksvis og åpner igjen for vanskelige personvernmessige vurderinger for virksomhetene. 

Hvilke preventive og reaktive tiltak kan virksomheten iverksette for å bedre håndtere phishing-angrep?

Virksomheter kan forbedre håndteringen av phishing-angrep gjennom preventive og reaktive tiltak. Preventive tiltak kan eksempelvis være awareness trening og phishing-tester, i tillegg til mer tekniske tiltak som 2-faktorautentisering ved innlogging på eksternt tilgjengelige applikasjoner, oppsett i e-postløsninger for å begrense muligheten for at «interne» e-poster kan sendes fra eksternt («anti-spoofing»), og verktøy som kan analysere e-postene for mistenkelige linker og innhold. Et generelt tips for å forebygge phishing-angrep er å tenke før man handler, og bruke sunn fornuft.

Men hva gjør virksomheten hvis noen allerede har trykket på linken eller vedlegget i phishing-mailen? Det er her reaktive tiltak kommer inn ettersom de kan bidra til rask respons på konkrete hendelser. Bevissthet blant ansatte er viktig, men også virksomhetens kapabiliteter for å kontrollere og oppdage mistenkelig aktivitet kan gjøre virksomheten i stand til å respondere raskt og håndtere slike hendelser. Et reaktivt tiltak for å begrense spredning av et potensielt løsepengevirus er å slå av PC-en og kontakte virksomhetens IT-avdeling, som igjen bør vurdere å kontakte en eventuell tredjepart for bistand og hjelp med å håndtere angrepet. For å begrense skadeomfanget er det viktig å lukke angriperen ute av systemet så fort som mulig. Dette kan eksempelvis gjøres ved å endre passord, samt lukke alle åpne tilganger for den kompromitterte kontoen. NSM har delt sine passordråd for personer og virksomheter her. Videre bør virksomheten undersøke om flere kontoer eller systemer kan ha blitt kompromittert, ettersom andre brukere kan ha trykket på tilsvarende phishing-mail eller fordi den kompromitterte brukeren kan ha brukt samme brukernavn og passord på flere systemer. Skulle man først bli utsatt for et vellykket phishing-angrep er god tilgangsstyring i virksomheten viktig for å begrense konsekvensen av angrepet. Dette kan være avgjørende for å forhindre at angripere blir sittende med tilganger som kunne vært unngått.

Det er også viktig at virksomheten får oversikt over angrepet ved å gjennomgå logger for å kartlegge hva som har skjedd, hvordan det har skjedd og hvem som står bak angrepet.

Spørsmål?

Deloitte kan bistå med å identifisere hvordan nettopp din virksomhet best beskytter seg mot angrep både fra et rent teknisk perspektiv og gjennom gode rutiner og opplæring av de ansatte. Vi jobber preventivt med både planlegging, testing, læring og forberedelser samt bistår under og etter aktive hendelser. Videre kan Deloitte bistå med å vurdere hvem som må varsles og hvordan angrepet bør håndteres.