Den siste tiden har vi sett en økning i phishing-relaterte meldinger om brudd på personopplysningssikkerheten (avviksmeldinger), særlig i forbindelse med koronapandemien. Den unormale hverdagen som pandemien førte med seg har gjort virksomheter og deres ansatte mer sårbare for cyberangrep.

Virksomheter som blir offer for et vellykket phishing-angrep må handle raskt, slik at de kan redusere risikoen for etterfølgende angrep og for at flere personopplysninger kompromitteres. Målet med denne veilederen er å gi råd om strakstiltak som bør iverksettes når virksomheten oppdager at de er angrepet. I tillegg foreslår vi konkrete tiltak for å beskytte seg mot phishing.

Phishing er en form for sosial manipulering hvor en angriper forsøker å lure noen til å utføre en handling, for eksempel åpne et e-postvedlegg, klikke på en lenke eller betale en falsk regning. Via vedlegg kan det installeres skadevare, for eksempel løsepengevirus («ransomware»), som kan spre seg videre til andre datamaskiner i samme nettverk. Via lenker kan angriperen be om brukernavn og passord til systemløsninger, og videre benytte disse for eksempel til å stjele konfidensielle opplysninger.

Innledende og etterfølgende angrep

Figuren nedenfor viser at angrep veldig forenklet kan deles inn i to faser: innledende angrep og etterfølgende angrep.

Innledende angrep er «inngangen», hvor angriperen forsøker å få tilgang til virksomhetens systemer. Dette kan gjøres med phishing, hacking, vannhull («watering hole») eller andre former for sosial manipulering, men tema for denne veiledningen er altså phishing. Hvis angriperen lykkes utsettes ofte virksomheten for etterfølgende angrep.

I det etterfølgende angrepet kan angriperen bruke virksomhetens systemer til ytterligere phishing internt og eksternt, installere skadevare i systemene, eller stjele opplysninger fra virksomheten.

Målet må være å stoppe alle angrep slik at uvedkommende aldri får tilgang til systemene. Dersom en angriper likevel lykkes i sitt innledende phishingangrep er det viktig at virksomheten har iverksatt tiltak som gjør angriperens arbeid vanskelig og konsekvensene minimeres. I denne veilederen foreslår vi tiltak for å motvirke både phishing og etterfølgende angrep.

Kjente eller ukjente avsendere

Phishing-forsøk kan komme fra både kjente og ukjente avsendere. Dersom en angriper har fått kontroll over e-postkontoen til en ansatt kan kontoen benyttes til å sende ut forsøk på svindel eller flere phishing-forsøk, både internt og eksternt. Jo mer troverdig avsenderen er, jo høyere sannsynlighet er det for å bli lurt. Hvis angriperen kan benytte e-postkontoen til en i ledelsen (direktørsvindel) kan dette ytterligere øke sannsynligheten for å bli lurt. Phishing kan også foregå gjennom telefon og andre former for kommunikasjon, men e-post er det mest vanlige.

Automatiserte eller manuelle forsøk

Phishing-forsøk kan være automatiserte eller manuelle. Automatiserte phishing-forsøk er ofte generelle i fremstillingen. Det kan for eksempel være falske e-poster fra strømmetjenester eller sosiale medier – tjenester som svært mange benytter. Angripere som tar i bruk slike metoder kan være ute etter å samle inn brukernavn og passord, og selge disse videre til andre.

Manuelle phishing-forsøk er gjerne rettet mot en konkret virksomhet, eller enkeltpersoner i virksomheten («spear phishing»). Disse phishing-forsøkene kan være sofistikerte og vanskelig å oppdage. Du kan lese mer om phishing på Nettvett.no

Det er flere risikoer knyttet til phishing. Med tanke på personvernet er risikoene for personopplysningers konfidensialitet, integritet og tilgjengelighet særlig aktuelle. Dersom en angriper får kontroll over en e-postkonto kan dette medføre risikoer for blant annet:

• konfidensialiteten og tilgjengeligheten for personopplysningene i e-postboksen, herunder innboksen, sendte elementer, slettede elementer og andre mapper,
• konfidensialiteten for personopplysningene i kontaktregisteret. Hvis kontoen er tilknyttet et sentralt kontaktregister vil personopplysningene i dette også være omfattet,
• integriteten for e-post som er sendt ut av kontoen mens den har vært kompromittert.

Det betyr at selv om bare én e-postkonto er berørt, vil det i de fleste tilfeller være langt flere enn én person som er berørt av hendelsen. Både personer det finnes opplysninger om i løsningen og personer som mottar e-post fra angriperen gjennom den kompromitterte kontoen vil være berørte personer. Antall berørte personer vil kun begrenses av den samlede mengden personopplysninger som er tilgjengelig gjennom løsningen, samt hvilke personopplysninger angriperen har tatt med seg inn i løsningen, for eksempel adresselister for utsendelser via e-post.

Økende bruk av løsepengevirus

Vi har sett økende bruk av løsepengevirus de siste årene. Hvis løsepengevirus sprer seg i datasystemene, kan dette føre til risiko for at personopplysninger blir utilgjengelige. Hvis virksomhetens lønnssystem ikke er tilgjengelig, kan det for eksempel være vanskelig å betale ut lønn i tide. Hvis et kritisk system i en helseinstitusjon blir utilgjengelig kan det i verste fall stå om liv og helse.

Det blir stadig vanligere at angripere stjeler data i tillegg til at de krypteres («double extortion»). I slike tilfeller kan angripere også true med å offentliggjøre opplysningene for å få virksomhetene til å utbetale løsepenger. Spredning av løsepengevirus medfører derfor i økende grad også en risiko for brudd på konfidensialitet.

Redusere risiko og gjenopprette normaltilstand

For å etterleve personvernforordningen må virksomheten prioritere å redusere risikoene for personopplysningene og gjenopprette normaltilstand. Dersom uvedkommende har fått tilgang til et datasystem, vil det være viktig å lukke angriperen ute av systemet, for eksempel ved å endre passordet og lukke alle åpne tilganger («active sessions») for den kompromitterte kontoen. Virksomheten bør også undersøke om flere kontoer eller systemer kan ha blitt kompromittert, ettersom mange benytter samme brukernavn og passord i forskjellige systemer.

Hvis phishingangrepet har ført til spredning av løsepengevirus, vil det være viktig å gjenopprette personopplysningene. Dette forutsetter at virksomheten har etablert kontinuitetsplaner og rutiner for både sikkerhetskopiering og gjenoppretting av data.

Få oversikt

Virksomheten bør også gjennomgå logger for å avdekke hva som har skjedd, hvordan det har skjedd og hvem som har gjort det. For eksempel hvilke sårbarheter angriperne har utnyttet, hvilke IP-adresser de har benyttet og om de har hentet ut data.

Dette forutsetter at virksomheten har aktivert loggfunksjonalitet i datasystemene. Logging er nødvendig for å kunne etterforske sikkerhetsbrudd og for å kunne iverksette tiltak som reduserer risikoen for at lignende skjer igjen.

Melde avvik og informere de berørte

Brudd på personopplysningssikkerheten (avvik) skal meldes til Datatilsynet (i samsvar med personvernforordningen artikkel 33). Virksomheten må videre vurdere om de registrerte skal få informasjon om bruddet (i samsvar med personvernforordningen artikkel 34). Dette skal gjøres hvis det er sannsynlig at hendelsen vil medføre en høy risiko for deres rettigheter og friheter.
Les om avvikshåndering på vår samleside

Dersom bruddet oppfyller kravene til underretting av de registrerte, skal dette gjøres «uten ugrunnet opphold». Formålet med dette er at de berørte skal kunne ta forholdsregler og ivareta sine interesser på best mulig måte. Definisjonen av «registrerte» i personvernforordningen er «en identifisert eller identifiserbar fysisk person» (artikkel 4). Det vil si at eventuelle personopplysninger angriperen tar med inn i løsningen også vil være om registrerte personer. Disse vil omfattes av plikten til å underrette på lik linje med personene virksomheten har behandlet personopplysninger om før angrepet skjedde.

I noen tilfeller kan det være vanskelig for virksomheten å vite hvilke personopplysninger bruddet omfatter. E-postkontoer kan for eksempel inneholde både private og virksomhetsrelaterte opplysninger, og det kan dreie seg om alminnelige eller særlige kategorier av personopplysninger. Virksomheten må derfor alltid vurdere, sammen med brukeren av e-postkontoen, om innholdet i e-postkontoen er av en slik art at de registrerte skal underrettes. Dette er særlig aktuelt hvis det dreier seg om e-postkontoen til en HR-ansatt, verneombud, tillitsvalgt, helsearbeider eller lignende.

For å unngå at angripere lykkes med et phishingangrep, er det viktig at virksomheten iverksetter egnede tekniske og organisatoriske tiltak, slik som for eksempel:

• Opplæring og bevisstgjøring av de ansatte, slik at de kan identifisere phishing-forsøk. Dette blir stadig viktigere, ettersom phishing-forsøk i økende grad kommer fra tilsynelatende legitime avsendere og ser autentiske ut. Generelle meldinger om ikke å åpne e-post fra ukjente avsendere vil sannsynligvis ikke være tilstrekkelig for å avverge sofistikerte phishing-forsøk.
• Phishing-tester av de ansatte for å kontrollere om opplæringen har ønsket effekt. Slike tester kan også danne grunnlag for mer målrettet opplæring i fremtiden.
• Etablere et kontaktpunkt hvor ansatte kan få hjelp med identifisering av phishing-forsøk. For eksempel en e-postadresse som ansatte kan videresende e-post til som de er usikre på, eller et telefonnummer de kan ringe.
• Tilstrekkelig antivirus-/antimalwareløsning, og hyppig oppdatering av denne.
• Automatisk filtrering av e-post. For eksempel bruk av offentlige blokkeringslister for å skille ut e-post fra domener som er kjent som «ondsinnede». Virksomheten kan også aktivere filtre for e-post som feiler kontroll av SPF (Sender Policy Framework) og DKIM (DomainKeys Identified Mail). Les mer om sikring av epost hos NSM

Hvordan beskytte seg mot etterfølgende angrep?

I tillegg til å iverksette tiltak for å avverge et innledende phishingangrep, er det viktig at virksomheten er beskyttet mot etterfølgende angrep. Som vi nevnte tidligere kan de etterfølgende angrepene være forårsaket av andre angrep enn phishing. Det kan for eksempel hende at en ansatt har blitt «phishet» og gitt fra seg brukernavnet og passordet til et system, eller at angripere har fått tilgang til det samme systemet via hacking. Forslagene våre her er derfor ikke tiltak som kun er relatert til phishing, men tiltak som danner ytterligere barrierer for angripere som allerede har fått tilgang til systemene.

Iverksetting av slike tiltak er for eksempel avgjørende for å begrense omfanget av opplysninger som en angriper kan få tilgang til, eller for å begrense spredningen av et virus. Aktuelle tiltak kan være:

• Hyppig sikkerhetsoppdatering av datasystemene. I dette inngår for eksempel utarbeiding av rutiner for oppdatering, iverksetting av tekniske oppdateringstiltak samt opplæring og bevisstgjøring av brukerne slik at oppdateringer ikke utsettes unødvendig.
• Tofaktorautentisering, slik at det kreves mer enn brukernavn og passord for å få tilgang til systemene. Les mer om sterk autentisering
• Tilgangsstyring etter minste privilegiums prinsipp, slik at systemrettigheter kun gis til brukere som har behov. Det er også relevant å definere roller og ansvar for dette, samt dokumentere rutiner. I forbindelse med fratredelse eller bytte av stilling internt er det for eksempel aktuelt å definere hvem som har ansvar for å melde fra til systemadministrator, og hvordan systemadministrator skal sikre at tilgangen endres eller slettes i tide.
• Etablere logging for å kunne oppdage sikkerhetshendelser og etterforske dem i etterkant. Logging er for eksempel nødvendig for å kunne dokumentere hvem som har logget inn, når de har gjort det, hva de har gjort i systemet, om de har lastet ned data og lignende. Uten logging kan det også være vanskeligere å implementere korrigerende tiltak i etterkant, fordi det kan være vanskelig å finne ut hvor sårbarhetene er.
• Utarbeide rutiner for hvilke typer informasjon som er tillatt å dele over e-post eller lagre i e-postløsningen. Virksomheten bør for eksempel vurdere om opplysninger om personlige forhold, helseinformasjon eller kopier av identifikasjon (førerkort/pass) kan deles gjennom sikrere kanaler.
• Etablering av automatiske og manuelle sletterutiner. For eksempel at sykmeldinger slettes fra en usikker e-postløsning med en gang de er flyttet til en sikker løsning. Informasjon som er slettet kan ikke komme på avveie.
• Kryptering av databaser og dokumenter som virksomheten har ekstra behov for å beskytte. Det kan være direkte kryptering av dokumentene eller lagring av dokumenter i et kryptert område. Dersom dokumentene skal deles over e-post kan det være aktuelt å ta i bruk ende-til-ende-kryptering i e-postløsningen, for eksempel S/MIME (Secure/Multipurpose Internet Mail Extensions). Les mer om dette på infosec.sintef.no 
  Krypteringsløsninger kan med fordel kombineres med flerfaktorautentisering, slik at de ikke kan låses opp med brukernavn og passord som angripere har fått tak i.
• Blokkering av kjørbare filer og Office-makroer. Tilknyttet dette kan det også være aktuelt å dokumentere retningslinjer for akseptabel bruk av datasystemene og kommunisere disse til brukerne på en hensiktsmessig måte.
• Filtrering av IP-adresser. Hvis virksomheten kun har brukere med norske IP-adresser, kan disse settes på en akseptliste mens alle andre IP-adresser blokkeres. Hvis virksomheten har gjentatte uautoriserte påloggingsforsøk fra enkelte regioner, kan IP-adresser fra disse settes på en blokkeringsliste. Bruk av VPN kan gjøre IP-filtrering lettere, fordi virksomheten da kan ha mer kontroll med IP-adressene som benyttes.

Vi viser for øvrig til NSM sine Grunnprinsipper for IKT-sikkerhet, som inneholder mange av tiltakene vi har foreslått i denne veilederen.