I Advania Cyber Defense Center (ACDC) ser vi flere kritiske lærdommer for norske virksomheter fra dette angrepet.
Trusselaktørene finner stadig nye veier inn, og hvordan ledelsen håndterer krisen, både teknisk og kommunikativt, er helt avgjørende for utfallet.
Angrepet mot Instructure, som leverer plattformer til tusenvis av utdanningsinstitusjoner globalt (inkludert mange i Norge), gir oss et svært konkret innblikk i hva som skjer når en stor leverandør kompromitteres.
Angripere utnyttet en sårbarhet i deres "Free-for-Teacher"-miljø. Dette ga uautorisert tilgang til brukeropplysninger, e-postadresser og meldingsutvekslinger, noe som skapte stor usikkerhet hos brukerne.
Les også: Du er ikke "for liten" for cyberkriminelle.
Fem strategiske anbefalinger:
Med utgangspunkt i hendelsesforløpet til Instructure og det generelle trusselbildet, har vi i Advania Cyber Defense Center samlet fem strategiske anbefalinger:
-
Ha full kontroll på alle miljøer også gratis- og testtjenester
Angrepet mot Instructure startet ikke med et direkte innbrudd i deres mest kritiske kjernesystemer, men via en sårbarhet i gratisversjonen av plattformen. Dette minner oss på at infrastrukturen din aldri er sterkere enn det svakeste leddet.
ACDC anbefaler: Ikke la test- og gratismiljøer bli den blinde flekken i forsvaret deres. Sørg for at disse overvåkes og segmenteres strengt fra kjernenettverket. Slik forhindrer dere at et mindre innbrudd i periferien gir angriperne en åpen dør inn til kronjuvelene.
-
Krisekommunikasjon: Ikke vent på alle svarene før du snakker
En av de viktigste innrømmelsene fra Instructures toppsjef i etterkant av hendelsen, var at de valgte å være stille mens de jaktet på tekniske fakta. Dette skapte frustrasjon og utrygghet i markedet. CEO Steve Daly sa selv at: "Vi fokuserte på å finne fakta og ble stille når dere trengte konsistente oppdateringer."
ACDC anbefaler: Integrer kommunikasjonsavdelingen tett i beredskapsplanen (Incident Response Plan). Når krisen rammer, forventer kunder informasjon umiddelbart. Vær åpen om det dere vet, og like ærlig om det dere ikke vet ennå. Kontinuerlige oppdateringer, slik Instructure nå har innført via en egen hub, er helt essensielt for å bevare tilliten.
-
Rask inngripen og "Zero Trust" i praksis
Da angrepet ble oppdaget, måtte Instructure ta upopulære, men nødvendige valg: De stengte ned Free-for-Teacher-miljøet helt, tilbakekalte tilgangstegn (tokens) over hele plattformen og roterte interne nøkler.
ACDC anbefaler: Organisasjonen må ha evnen til å agere lynraskt. Ved å implementere "Zero Trust"-prinsipper sørger du for at kompromitterte brukere eller tokens raskt kan deaktiveres. Bruk moderne Managed Detection and Response (MDR)-tjenester til å overvåke miljøet 24/7, slik at unormal atferd fanges opp og isoleres før skaden sprer seg.
-
Vurder risikoen i leverandørkjeden (Supply Chain Security)
Canvas brukes av millioner av studenter og lærere. Saken illustrerer med all tydelighet hvor stor skade en kompromittering hos en underleverandør kan gjøre. NIS2-direktivet stiller nå strenge krav til nettopp denne typen kontroll over leverandørkjeder.
ACDC anbefaler: Vit hvem dere er avhengige av. Still kompromissløse sikkerhetskrav i alle skytjeneste- og leverandøravtaler, og lag rutiner for hvordan din egen virksomhet skal opprettholde forsvarlig drift og informasjonsflyt dersom en tredjepart blir hacket.
-
Ha en plan for datautpressing
Instructure havnet i en situasjon der de til slutt inngikk en avtale med trusselaktøren for å få bekreftelse på at de stjålne dataene ble slettet, og for å unngå videre misbruk.
ACDC anbefaler: Vår soleklare anbefaling er å aldri betale løsepenger.
Betaling finansierer kriminell aktivitet, gir ingen garanti for at data faktisk slettes, og kan gjøre virksomheten til et mer attraktivt mål i fremtiden. Ta den vanskelige diskusjonen på styrerommet før det smeller: Hva er vår policy? Sørg for at juridisk kompetanse, ledelse, politi og tekniske hendelseshåndterere er koordinerte for å kunne ta riktige beslutninger under ekstremt press.
Hva nå?
Hendelser som den vi nå ser hos Instructure er en tydelig påminnelse om at cybersikkerhet er en kontinuerlig prosess. Du kan ikke bare ha fokus på å bygge høye murer, men også planlegge for god responstid, opprydning og god kommunikasjon underveis.
I Advania har vi sikkerhetsekspertene som kan hjelpe deg dersom du skulle bli angrepet. Vi kan hjelpe deg med å bygge sikkerhetsgrunnmuren din i forkant, sikre kontinuerlig overvåkning og trygghet 24 timer i døgnet, hele året. Vi hjelper deg også med hendelseshåndtering dersom det verste skulle skje deg.
Vårt incident respons team bistar alle som trenger hjelp, du trenger ikke å være kunde fra før, vi kobler oss raskt på og hjelper deg med å komme raskt tilbake til daglig drift. Ta gjerne kontakt for å høre mer.
