Sikkerhedsbrist udløser alvorligt trusselbillede

Rundt om i Danmark og i resten af verden er der ekstra juletravlhed i landets it-afdelinger, efter at der er opdaget en fejl i et lille stykke uanseeligt softwaremed navnet ”Log4j”fra selskabet Apache, som anvendes i mange systemer.

Sikkerhedsfejlen gør det muligt at sende en kommando til softwaren udefra, som softwaren uden videre følger. Det kan hackerne udnytte til at bede det berørte system om at inficere sig selv med malware, åbne bagdøren til systemerne og alt muligt andet.

Kun fantasien og evnerne hos hackerne sætter en grænse her, og det betyder, at omfanget af skaderne kan blive enorme, hvis ikke der gribes ind, siger Rasmus Lau Petersen, der er Ingeniørforeningen, IDAs ekspert i cybersikkerhed.

”Denne fej har en særlig karakter i og med, at den software er overalt, og det kræver et stort fodarbejde at trevle alle systemerne igennem efter den. Det kan ende med at blive årtiets største cybersikkerhedstrussel, for fejlen er begyndt at blive udnyttet med det samme. Får man ikke opdateret, før hackerne finder fejlene, så kan systemerne blive fuldstændig ødelagt. Og det kan tage lang tid, før man har trevlet alle systemer igennem fra top til bund. Bare et lille hjørne glemt, kan betyde, at man om måske mange måneder får en ubehagelig overraskelse,” siger han

”Hvis ikke virksomhedernes it-afdelinger allerede er i gang, skal de meget hurtigt i gang med at kontrollere deres servere, netværksudstyr og andet for, om de har ”Log4j” installeret, for der er allerede et ekstremt hårdt kapløb mod hackere og it-kriminelle i gang,” siger han.

Det er ikke kun virksomheder, der risikerer at blive ramt af fejlen i softwaren. Private bør i den grad også være på vagt, advarer IDAs cybersikkerhedsekspert.

”Privatpersoner har også grund til bekymring, fordi mange menneskers net-opkoblede enheder kan have samme software med samme fejl. Hackerne vil være interesserede i at bruge enhederne til at stå og spionere på hjemmenetværket, eller lave DDoS-angreb på andre. Sidstnævnte kan i yderste konsekvens betyde, at internetudbyderen må lukke for netforbindelsen, indtil den inficerede enhed er taget ud af netværket,” siger Rasmus Lau Petersen.

På nuværende tidspunkt bør producenter af produkter til private have frigivet opdateringer, men det kræver, at man aktivt logger ind på sine ”smarte” enheder og ser, om der er en opdatering tilgængelig. Alternativt kan man prøve at søge information ved at google produktets navn og "Log4j".

”Er enhederne i privaten mere end tre-fire år gamle, modtager de sandsynligvis ikke længere opdateringer. Her bør man overveje at isolere enhederne på deres eget netværk, hvis man kan finde ud af det, eller helt slukke for internetforbindelsen til dem, hvis den kan klare sig uden,” siger Rasmus Lau Petersen.