Vi analyserer jævnligt en lang række hjemmesider på .dk domænet og leder efter såkaldte indikatorer for kompromittering, også kendt som 'IOC's'. Når vi finder markører, der med stor sandsynlighed indikerer, at en hjemmeside, server, eller app er hacket og det er muligt at kontakte ejerne, tager vi kontakt og overleverer alt information, uden forpligtelse.
Vi kalder det Etisk Underretning og projektet blev søsat 2024
Analyse & IOC's
Det er vigtigt at pointere, at der her ikke er tale om 'etisk hacking', som i princippet er ulovligt. Det vil sædvanligvis gå ud på, at hackere tvinger sig adgang til et system og derpå vender om og præsenterer sårbarheden for den uvidende ejer eller administrator, uden forgående aftale.
Etisk hacking er ikke nødvendigvis umoralsk handling, men der skal indhentes eksplicit samtykke fra ejer, som - forståligt nok - oftest vil være skeptisk stillet overfor tilbuddet. Når samtykke indhentes kaldes det i stedet for penetrations testing. Fordi det er en meget fin grænse mellem etisk hacking og fjendtlig hacking er det en strafbar handling.
I stedet for at bruge etisk hacking til at opdage sårbarhederne, inden de sker, leder vi efter markører på, at skaden allerede er indtruffet. Denne information er offentlig og frit tilgængelig for alle, der genkender mønstrene. Derfor bryder denne metode ikke med lovgivning eller behøver samtykke.
Fordi vi ikke skal indhente forudgående samtykke fra ejer og samtidig ved hvad vi leder efter, kan vi kontinuerligt scanne og analysere hjemmesider, webshops og apps for tegn på, at ubudne gæster har tiltvunget sig adgang.
Uden adgang til backend eller rod adgang til server forholder vi os kun til offentlig og tilsigtet adgang, der bestemt ikke fanger alle IOC's. Men vi estimerer at 90% af kompromitterede hjemmesider viser offentlig tilgængelige markører, der gør os i stand til at dokumentere, når en hjemmeside har lidt et sikkerhedsbrud.
Underretning og overlevering af IOC's
Underretning og overlevering er et kritisk punkt, da mange forståligt nok er skeptiske indstillet overfor uopfordret kontakt med et kritisk emne som cybersikkerhed og potentiel kompromittering af et webaktiv, uanset om det gælder en webshop, hjemmeside, server eller anden service forbundet til en virksomhed.
Cybersikkerhed er givetvis et sårbart punkt for de fleste virksomheder i dag, men for manges vedkomne er det også uforståeligt og fremmed. En kombination der skaber øjeblikkelig mistillid, som gør overleveringen kompliceret.
Det er generelt en sund indstilling og vi oplever den i alle former, når vi kontakter ejere eller administratorer for at overlevere den dårlige nyhed. Hvis det er dig og du har talt overilet, inden du satte dig helt ind i sagen, så er din reaktion fuldstændig forståelig.
Foruden overleveringen af informationen, tilbyder vi en uforpligtet rådgivningssession. Vælger ejer eller administrator at outsource opgaven tilbyder vi konsulent bistand i det relevante omfang, eller at tage 360° hånd om sagen.
Mulig krav om underretning til Center for Cybersikkerhed eller Datatilsynet
Bemærk at man i nogle tilfælde skal indberette denne type it-sikkerhedstilfælde til Center for Cybersikkerhed. Er der mistake eller bevis for datatab der relaterer sig til personlig og sensitiv information er det muligt at den dataansvarlige i virksomheden skal underrette datatilsynet i forbindelse med persondataforordningen (GDPR direktivet).
Endeligt, er man et privat selskab der har lidt et sikkerhedsbrud, uden det har stor sikkerhedsmæssige betydning eller bryder med GDPR, opfordres man til at underrette Center for Cybersikkerhed om hændelsen, der i nogle tilfælde kan tilbyde bistand.
Uanset situation, tilbyder vi at hjælpe jer hurtigt og smertefrit igennem.
