Informasjon til øvingsleder

Innledende om scenarioet

Informasjonssikkerhetseksperter over hele verden deltar på black-hat konferanser, der de blant annet tester om de er i stand til å hacke seg inn på forskjellige enheter. Dette er en måte å lære seg crackernes tankesett på som er allment kjent blant sikkerhetseksperter. På engelsk kalles dette adversarial thinking.

På en black-hat-konferanse ble det presentert en hack, der hackere benyttet chip-and-pin-kort med ondsinnet kode for å gå inn på en bankterminal. Det gjorde det mulig for dem å installere et racingspill og spille det ved hjelp av maskinens pin pad og skjerm. Med den samme hackingen klarte de også å installere et langt mindre lunefullt program, en trojan som kunne registrere kortnumre og PIN-koder. Den informasjonen kunne senere hentes ut ved å sette inn et annet rogue-kort. De klarte også å lure terminalen til å tro at en transaksjon var bankgodkjent, slik at de kunne gå ut av en butikk med varer de ikke hadde betalt for.

Til slutt tok sikkerhetsekspertene en populær enhet i USA, og brukte ikke-kryptert Ethernet-kommunikasjon mellom terminalen og andre eksterne enheter for å hacke seg inn på betalingsenheten og ta kontroll over denne.

En trojansk hest eller trojan er en skadelig programvare som ofte er forkledd som legitim programvare. Trojanere kan brukes av crackere for å få tilgang til brukernes systemer. Brukerne blir vanligvis lurt av en eller annen form for sosial manipulering, og gir crackerne mulighet til å laste inn trojanere i systemene deres. Når de/den aktiveres kan crackerne spionere på deg, stjele sensitive data og få tilgang til systemet ditt via bakdører.

På nettvett.no og telenor.no finnes det også en god beskrivelse av hva sosial manipulering er:

• Sosial manipulering – nettvett.no
• Sosial manipulering – telenor.no

Samtidig er det mye mediaspekulasjon om hvorvidt penger i markedet faktisk fører til mye hvitevasking av penger (svart økonomi):

Aftenposten: Kontanter er ikke lenger konge

Dette blir da også tilbakevist av andre eksperter:

Aftenposten: Kontanter og svart økonomi

DSB har i sin egenberedskapskampanje foreslått å ha «litt kontanter» i beredskap:
Slik bidrar du til Norges beredskap

Dersom en ansatt i en bank blir utsatt for sosial manipulering og banken dermed blir hacket fra innsiden, og alle banktransaksjoner blir stanset med en trojaner, kan både privatpersoner og organisasjoner bli sterkt rammet.

Spørsmål for å drive diskusjonsøvelsen fremover

• Har organisasjonen kontakt med en CERT-funksjon, slik at den kan oppdage og agere på uhensiktsmessige hendelser?
• Har organisasjonen utarbeidet en strategi for hvordan den skal håndtere slike hendelser?
• Hva er viktig ekstern informasjon for nettopp din organisasjon ved en slik hendelse?
• Hvem er de viktige samarbeidspartnerne for din organisasjon ved en slik hendelse?
• Vil du si det er en god kultur for hvordan organisasjonen løser slike hendelser?
• Hvilke risikovurderinger har din organisasjon gjort i forhold til slike hendelser?
• Har dere beredskapsplaner for denne type hendelser?
• Er det utarbeidet tiltakskort for hvordan beredskapsplanene skal fungere?
• Hvordan informerer dere ansatte i et slikt tilfelle («plakat på veggen», møter, tiltakskort for informering)?
• Hvilken intern informasjon i din organisasjon er vital å hente ut i en slik hendelse, og hvordan klarer dere dette?
• Vil det være nødvendig for din organisasjon å ha dialog med media i en slik hendelse?
• Er det tilgjengelighet, konfidensialitet eller integritet som er viktig for informasjonshåndteringen i din organisasjon, eller er det en kombinasjon?
• Hvilke metoder benytter din organisasjon for å sikre at banktransaksjoner allikevel kan gjennomføres (eller utbetaling av lønn som i dette tilfellet)?
• Hvilke andre metoder kan dere benytte?
• Hvordan har dere sikret banktransaksjonene deres (redundans etc.)?
• Hvilke nasjonale policyer kan ha betydning for din organisasjon når det gjelder en slik hendelse?
• Har dere forsikringer ift. slike hendelser?
• Er det ved banktransaksjoner satt opp toveis autentisering slik at både virksomhet og bank autentiserer seg etter at en har satt opp en sikker kommunikasjon?
• Kan man sette krav til banken når det gjelder opplæring av ansatte?