Ny vejledning til virksomheder: Sådan sikrer man de digitale beviser ved brud på it-sikkerheden

Som virksomhed kan man gøre en lang række ting for at sikre sig, at politiet har de nødvendige spor til at kunne opklare en it-sikkerhedshændelse. Blandt andet er logfiler helt afgørende, lyder det i ny vejledning fra Rigspolitiets Nationale Cyber Crime Center (NC3) og DANSK IT.

Hver eneste dag oplever danske virksomheder, at it-kriminelle forsøger at angribe den digitale infrastruktur og at få adgang til virksomhedens vigtige data. Samtidig kan medarbejdere i virksomheden utilsigtet komme til at klikke på de forkerte links og filer. Med andre ord er der en betydelig risiko for, at man som virksomhed bliver udsat for en it-sikkerhedshændelse.

Når politiet skal forsøge at opklare en forbrydelse, er det helt afgørende, at de nødvendige ’digitale fingeraftryk’ kan skaffes. Rigspolitiets Nationale Cyber Crime Center (NC3) og DANSK IT har derfor udarbejdet en vejledning til danske virksomheder, så de i højere grad kan sikre sig, at politiet har de nødvendige spor til at kunne efterforske sagen.

- Når politiet bliver involveret, så er det ofte enten for sent, da de relevante spor ikke længere eksisterer, eller også har der ikke været indsamlet de rigtige spor til at begynde med. Dette skyldes både tiden, fra gerningen er sket og til anmeldelse, men det skyldes lige så meget, at den enkelte it-afdeling ikke har haft fokus på at indsamle spor og derfor ikke ved, hvilke beviser der bør sikres, lyder det i vejledningen. 

Målet med vejledningen er derfor i høj grad at oplyse virksomheder om, hvad de selv kan gøre for at sikre indsamling af de nødvendige oplysninger inden et eventuelt brud på it-sikkerheden. 

Fælles forståelse af behov og udfordringer
- Med denne vejledning er der opstillet en ramme for virksomhedernes håndtering og dokumentering af it-sikkerhedshændelser, således at der sikres tilstrækkelig og valid dokumentation for hændelser af denne type. Denne dokumentation er vital for politiets efterforskning af it-sikkerhedshændelser og dermed muligheden for at få identificeret og dømt gerningsmændene, forklarer politikommissær Sonny Olesen fra NC3.

- Gennem udarbejdelsen af vejledningen har NC3 og DANSK IT opnået en større gensidig forståelse af behov og udfordringer, hvilket forventes at betyde et tættere samarbejde omkring fremtidig efterforskning af it-sikkerhedshændelser, forklarer Sonny Olesen videre. 

Det er meget vigtigt, at man som virksomhed forholder sig til problemstillingen med, at politiet ganske enkelt har svært ved at finde gerningspersonerne, hvis man ikke har de nødvendige digitale spor, fortæller Torben Jørgensen, der er formand for DANSK IT's fagråd for informationssikkerhed og til daglig er Vice President for Information Security & Risk Management hos Vestas Wind Systems.

- Jeg håber virkelig, at især at de små og mellemstore virksomheder vil give sig tid til at læse vejledningen og forholde sig til den. It-sikkerhed og efterforskning af sikkerhedshændelser er en vigtig dagsorden. I DANSK IT’s fagråd for informationssikkerhed arbejder vi løbende med at sikre et mere sikkert digitalt Danmark, og derfor sætter vi også stor pris på, at politiet har ønsket vores hjælp i forhold til denne vejledning, siger Torben Jørgensen. 

Gode råd og anbefalinger til danske virksomheder
I vejledningen er der blandt andet anbefalinger til, hvordan man undgår, at eventuelle spor bliver ødelagt/forvansket, hvis der skulle opstå et brud på it-sikkerheden. Vejledningen beskriver også, hvordan virksomhedens netværk og logs sikres, så politiet har de bedste arbejdsbetingelser.  

- I den fysiske verden er beviser spor, der peger på en gerningsmand. Det kan være fingeraftryk, blodspor, videooptagelser, vidneforklaringer osv.  I den digitale verden er der sjældent nogen af de nævnte beviser til stede. Som oftest er der udelukkende tale om ’digitale fingeraftryk,’ lyder det i vejledningen.  

- Digitale fingeraftryk kan være ip-adresser, men ip-adresser er ofte langt fra det eneste, man skal bruge for at identificere en eventuel gerningsmand, skriver DANSK IT og NC3 i vejledningen.   

En af udfordringerne ved at efterforske ud fra en ip-adresse er, at de fleste netværk i dag er konfigureret med DHCP-servere, der tildeler ledige ip-adresser til computerne på netværket. Det sker ud fra et foruddefineret tidsrum. Når det tidsrum er gået, kan computeren så blive tildelt en ny ip-adresse, ligesom ip-adressen også kan skiftes manuelt for at besværliggøre en eventuel efterforskning.

- Kendskabet til, hvornår en given handling er foregået, er altså en lige så stor faktor som kendskabet til portnumre, MAC-adresser, netværksnavne, brugernavne og andet. Logs er derfor ofte den vigtigste kilde til spor i en efterforskning. Det er meget vigtigt, at man indsamler logs fra forskellige kilder, skriver NC3 og DANSK IT i vejledningen. 

Hent hele vejledningen som PDF her.

English version: Security Precautions - Breach of IT systems. 

Yderligere information

Politikommissær Sonny Olesen, Rigspolitiets Nationale Cyber Crime Center (NC3)
Mail: sfo003@politi.dk Telefon: 22 60 26 29

Kim Stensdal, chef for kommunikation og viden i DANSK IT
Mail: ks@dit.dk Telefon: 22 79 43 73