Jonathan Knight, Chris Hall och Stephen Grant är vd, CTO respektive säkerhetschef på Board Intelligence. Tillsammans har de över 70 års erfarenhet inom IT och cybersäkerhet och har arbetat för organisationer som sträcker sig från Bloomberg till det brittiska försvarsdepartementet.
”Låt aldrig en bra kris gå till spillo”, brukar det heta.
Många av oss tar till oss detta ordspråk, eftersom den pågående pandemin ger oss en chans att tänka om när det gäller hur vi arbetar och tillbringar vår tid. Tyvärr känner brottslingar också till ordspråket och turbulensen visar sig vara en möjlighet för dem att utnyttja förändringen i våra vanor, där vi allt oftare befinner oss i ett digitalt styrelserum. Så mycket att de amerikanska och brittiska regeringarna i förra veckan utfärdade gemensam varning om den ”växande användningen av COVID-19-relaterade” hackerattacker.
”Kriminella manipulerar aktivt COVID-19-pandemin till sin fördel.”
~ Calvin A. Shivers, Assistant Director, FBI
Eftersom illvilliga ”utan samvete” även riktar in sig på vårdgivare, har vi bett våra experter att dela med sig av sina tips för att hålla era digitala styrelserum så säkra som möjligt. Tillsammans har de över 70 års erfarenhet av IT- och cybersäkerhet och har arbetat för bland annat Bloomberg, Storbritanniens försvarsdepartement och den brittiska flottan. Här är deras tankar om hur du kan hålla dina styrelse- och ledningsgruppsmöten säkra nu när de har blivit virtuella.
Vad ligger bakom ökningen av antalet attacker och vilka är måltavlorna?
Steve: För att bryta sig in i företag förlitar sig hackare vanligtvis mindre på teknisk skicklighet än på psykologiska hävstänger, till exempel nyfikenhet eller rädsla. Det är förståeligt att det finns en hel del hälsorelaterad oro just nu, så illvilliga hackare fördubblar sina ansträngningar för att dra nytta av krisen.
Chris: Dessutom, med ett stort antal anställda som sitter hemma och arbetar på sina personliga enheter, finns det lite som IT-team kan göra för att ordentligt säkra varje system, vilket gör dem till lätta mål. Och till råga på allt är beredskapsplaner som bygger på att personalen är på plats oftast ogiltiga under nedstängningen, vilket förstärker skadan - och vinsten - som ett framgångsrikt intrång kan orsaka. Det här är en mycket frestande situation för angripare, som riktar in sig på verksamheter urskillningslöst.
”Även organisationer som har planerat sitt svar på ransomware har planerat det under den dagliga regelbundna verksamheten i världen.”
~ Sherrod DeGrippo, Senior Director in Threat Research and Detection, Proofpoint
Hur kan styrelseledamöter som arbetar hemifrån hålla sina digitala styrelserum säkra?
Jonny: Om du har följt nyheterna har du förmodligen läst artiklar om säkerhetsbristerna i olika videokonferensverktyg, till exempel Zoom som tillfälligt dirigerar sin trafik via Kina. Även om jag inte kan gå i god för säkerheten i dessa lösningar, berodde problemen i de flesta fall på dåliga konfigurationer, inte dåliga verktyg.
Det finns ofta en kompromiss mellan att göra något användarvänligt och göra det säkert. Så de mest populära produkterna är sällan de säkraste direkt ur lådan. Jag skulle rekommendera att du tittar på inställningarna för det videokonferenssystem du har valt, kommer överens om en viss uppsättning säkerhetsinställningar och att varje styrelseledamot håller sig till dessa. Erbjuder den lösning du använder alternativ för registrering, lösenord och lobby? Om så är fallet, slå på dessa.
”Cybersäkerhetsforskare har varnat för att säkerhetsluckor i [Zoom] kan göra det möjligt för hackare att avlyssna möten eller ta över maskiner för att komma åt säkra filer.”
Steve: Tänk på att majoriteten av cyberattackerna sker genom mänsklig vårdslöshet, inte på grund av tekniska hack. Det räcker alltså inte med att konfigurera saker och ting korrekt: styrelseledamöterna måste också vara uppmärksamma på sina egna handlingar för att upprätthålla ett säkert digitalt styrelserum. Hur delar de t.ex. länken till mötet? Och hur tar de emot den?
Du kanske har hört talas om ”Zoombombing” – när utomstående ansluter till videosamtal för att skapa kaos - och de flesta styrelseledamöter vet bättre än att offentliggöra länkar till styrelsemöten. Men det finns en annan, mindre uppenbar, fara: att få en ”vilseledande” länk som tar dig till ett möte som ser likadant ut men som i själva verket administreras av en angripare, som kan spela in och läcka det. Se därför till att du både skickar och tar emot all mötesrelaterad information på ett säkert sätt.
Hur delar du styrelseinformation på ett säkert sätt?
Chris: Jag kan inte nog understryka detta: använd inte e-post! Det kommer från en enklare tid, innan webben ens fanns och var aldrig utformat med säkerhet i åtanke.
Vem som helst kan ”förfalska” e-postmeddelanden så att de ser ut att komma från någon annan - det är därför det är så lätt för tjuvar att skicka till synes legitima e-postmeddelanden ”från er”, som alltså ser ut att komma från till exempel er HR-avdelning. E-post bör inte anförtros strategisk information.
”Brottslingarna läste igenom kontaktens historiska korrespondens med en anställd på studion, lärde sig den typiska tonen och stilen i deras konversationer och skickade ett trovärdigt svar på den anställdes senaste e-postmeddelande.”
~ Wired
Jonny: Det finns bättre sätt att samla in och dela ledningsinformation med hjälp av ett centralt system. De flesta styrelseledamöter känner till styrelseportaler eller styrelsehanteringsprogramvara och den bekvämlighet de ger. Men utöver tidsvinsterna har de också säkerhetsfördelar:
- För det första minskar ”attackytan” när allt finns samlat på ett ställe. Färre verktyg innebär färre ingångspunkter. Och det skyddar dig mot nätfiskeförsök: om något kommer från utanför portalen vet du att det är skadligt.
- För det andra innebär automatiserade processer färre misstag. Även en liten chans att mejla en konfidentiell bilaga till fel person blir statistiskt sannolik när du manuellt skickar hundratals meddelanden för att förbereda varje paket. Portaler ger större kontroll över vem som kan se vad, när och vad de kan göra. De innehåller också säkra samarbetsverktyg för digitala styrelserum.
- Och slutligen låter de dig åtgärda de misstag som slinker igenom. Med en portal kan du ändra saker i efterhand (t.ex. ta bort data som inte borde finnas där) och få en logg över vem som såg vad. När ett e-postmeddelande har skickats har du däremot ingen kontroll längre och det går inte att säga vem som har läst det eller överfört det till vem.
Du kanske tror att en delad hårddisk, som har skapats av ditt IT-team, fungerar lika bra - och det är naturligtvis bättre än e-post! Men även om det kan fungera inom ditt team, så fungerar det inte med en styrelse som per definition delvis består av personer som inte har någon koppling till verksamheten.
Hur väljer man leverantörer av säker styrelseteknik?
Steve: Oavsett om du letar efter en portal, en videokonferenslösning eller samarbetsverktyg är det bra att börja med att helt enkelt fråga efter referenser. Alla är inte lika, så du bör känna till de viktigaste certifieringarna att leta efter, som i huvudsak garanterar en uppsättning av bästa praxis - till exempel ISO 27001 (med en omfattning som täcker deras verksamhet och de tjänster de tillhandahåller dig, inte den datacenterleverantör de använder), ISO 9001 och Cyber Essentials Plus.
De ska inte ses som en universallösning, men avsaknaden av dem är ofta ett tecken på att leverantören inte har granskats ordentligt eller inte är tillräckligt säkerhetsfokuserad för att gå igenom processen – så det är ett effektivt sätt att rensa ut i urvalet.
Chris: Offentligt tillgänglig information kan också vara en användbar indikator. Sök till exempel efter deras programvara i appbutiken på din enhet. När skedde den senaste uppdateringen? Om det är mer än några månader sedan kan det tyda på mindre än idealisk proaktivitet. Du kan också kontrollera om de finns tillgängliga på statliga upphandlingsplattformar, till exempel G-Cloud i Storbritannien. Om så är fallet är det en garanti för att lösningen har godkänts för myndighetsbruk.
Slutligen kan du ställa frågor direkt till leverantören. Typiska frågor skulle kunna vara:
- Var finns deras servrar (och är det okej för dig att dina data lagras där)? Och äger de de fysiska maskinerna, eller använder de delade molntjänster, som Amazon eller Azure?
- Krypterar de allt - både vid lagring och vid överföring?
- Hur motståndskraftig är deras infrastruktur? Vad händer om en av deras servrar går sönder?
- Utbildar och screenar de sina anställda? Vilka av deras anställda kommer att ha tillgång till dina data?
- Genomför de regelbundna ”pentests”, där de anlitar professionella hackare för att försöka bryta sig in i deras system? Pentestar de både sina appar och sina servrar? Och delar de gärna med sig av de senaste resultaten till dig?
Oavsett om du är tekniskt kunnig eller inte, så brukar deras öppenhet att svara på dessa frågor säga dig en hel del.