Trace Id is missing

Datatrusler er i økende grad rettet mot verdens største arrangementer

Last ned
Del
En illustrasjon av et fotballstadion med mange forskjellige ikoner.

Cyber Signals utgave 5: den gjeldende situasjonen

Trusselaktører følger målene og utnytter muligheter til å sette i gang målrettede eller omfattende opportunistiske angrep. Dette gjelder også for høyprofilerte sportsbegivenheter, særlig dem som foregår i stadig mer tilkoblede miljøer, noe som introduserer cyberrisiko for arrangører, regionale vertsfasiliteter og deltakere. NCSC (United Kingdom’s National Cyber Security Centre) fant at cyberangrep mot sportsorganisasjoner stadig blir vanligere. 70 prosent av dem som ble undersøkt, opplevde minst ett angrep årlig, betydelig mer enn gjennomsnittet for alle bedrifter i Storbritannia.

Forventninger om at det skal leveres en feilfri, trygg opplevelse på verdensscenen innebærer nye risikoer for lokale verter og fasiliteter. En eneste feilkonfigurert enhet, et utsatt passord eller en oversett tredjepartsforbindelse kan føre til databrudd eller vellykket inntrenging.

Microsoft leverte cybersikkerhetsstøtte til viktige infrastrukturfasiliteter da Staten Qatar var vertskap for VM i fotball for menn i 2022. I denne utgaven tilbyr vi førstehåndskunnskap om hvordan trusselaktører vurderer og infiltrerer disse miljøene på tvers av arenaer, team og viktig infrastruktur rundt selve arrangementet.

Vi er alle med på å beskytte cybersikkerheten.

Microsoft utførte over 634,6 millioner godkjenninger mens det leverte cybersikkerhetsforsvar for de qatarske fasilitetene og organisasjonene mellom 10. november og 20. desember 2022.

Opportunistiske trusselaktører utnytter målrike miljøer

Cybersikkerhetstrusler mot sportsbegivenheter og -arenaer er mangfoldige og kompliserte. Det krever uavbrutt årvåkenhet og samarbeid blant interessenter for å forhindre og redusere eskalering. Det globale sportsmarkedet er et verdifullt mål, verdsatt til over USD 600 milliarder. Sportsteam, eliteserier og underholdningsarenaer inneholder en gullgruve av informasjon som er verdigfull for cyberkriminelle.

Informasjon om idrettsprestasjoner, konkurransefordeler og personopplysninger er et lukrativt mål. Dessverre kan denne informasjonen være sårbar i store mengder på grunn av antallet sammenkoblede enheter og nettverk i disse miljøene. Denne sårbarheten omfatter gjerne flere eiere, deriblant team, bedriftssponsorer, kommunale myndigheter og tredjepartsleverandører. Trenere, utøvere og tilhengere kan også være sårbare for datatap og utpressing.

Dessuten inneholder lokaler og arenaer mange ukjente sårbarheter som åpner for trusler mot viktige forretningstjenester, for eksempel enheter på utsalgssteder, IT-infrastruktur og gjesteenheter. Alle høyprofilerte sportsbegivenheter har en egen cyberrisikoprofil. Den varierer med faktorer som sted, deltakere, størrelse og sammensetning.

For å konsentrere innsatsen vår under Qatars vertskap av VM, utførte vi en proaktiv trusseljakt som vi brukte til å vurdere risiko, ved hjelp av Defender jakteksperter, en administrert jakttjeneste som proaktivt søker etter trusler på tvers av endepunkter, e-postsystemer, digitale identiteter og skyapper. I dette tilfellet inkluderte det faktorer som trusselaktørmotivasjon, profilutvikling og en responsstrategi. Vi vurderte også global trusselinformasjon om geopolitisk motiverte trusselaktører og cyberkriminelle.

Viktige interessepunkter var blant annet risikoen for cyberforstyrrelse av tjenester knyttet til arrangementer eller lokale fasiliteter. Forstyrrelser som løsepengevirusangrep og forsøk på å stjele data kunne påvirke arrangementsopplevelsen og rutinemessig drift på en negativ måte.

Tidslinje for offentlig meldte hendelser fra 2018–2023

  • I januar 2023 advarer National Basketball Association tilhengerne om et databrudd som har lekket personopplysningene deres fra en tredjepartstjeneste som leverer nyhetsbrev.1
  • I november 2022 bekreftet Manchester United at klubben var utsatt for et cyberangrep på systemene sine.2
  • I februar 2022 ble San Francisco 49ers utsatt for et stort løsepengevirusangrep på Super Bowl Sunday.3
  • I april 2021 hevder en løsepengevirusgruppe å ha stjålet 500 gigabyte med Rockets-data, inkludert kontrakter, taushetsavtaler og økonomiske data. Interne sikkerhetsverktøy forhindret løsepengeviruset i å bli installert, bortsett fra på noen få systemer.4
  • I oktober 2021 ble en mann fra Minnesota tiltalt for å ha hacket datasystemene til Major League Baseball og forsøk på å utpresse dem for USD 150 000.5
  • I 2018 ble vinter-OL i Pyeongchang utsatt for angrep på et høyt nivå. Russiske hackere utførte angrep på olympiske nettverk før åpningsseremonien.6

Trusseljaktteamet jobbet ut ifra en teori om inngående forsvar med inspeksjon og beskyttelse av kundeenheter og nettverk. Et annet fokus var overvåking av atferden til identiteter, pålogginger og filtilgang. Det omfattet en rekke forskjellige sektorer, blant annet kunder som arbeidet med transport, telekommunikasjon, helsetjenester og andre viktige funksjoner.

Alt i alt omfattet det totale antallet enheter og systemer som ble overvåket døgnet rundt med trusseljakt og responsstøtte drevet av mennesker, mer enn 100 000 endepunkter, 144 000 identiteter, over 14,6 millioner e-postflyter, over 634,6 millioner godkjenninger og milliarder av nettverksforbindelser.

Som eksempel ble noen helsetjenestefasiliteter utpekt som akuttbehandlingsenheter for arrangementet, blant annet sykehus som leverte livsviktig støtte og helsetjenester til tilskuere og spillere. Siden helsetjenestefasilitetene eide data, var de verdifulle som mål. Microsofts trusseljaktaktivitet drevet av maskiner og mennesker, brukte trusselinformasjon til å søke etter signaler, isolere infiserte ressurser og avbryte angrep på disse nettverkene. Ved hjelp av en kombinasjon av teknologi fra Microsoft Sikkerhet oppdaget teamet tidlig løsepengevirusaktivitet peilet inn mot helsetjenestenettverket, og satte det i karantene. Flere mislykkede påloggingsforsøk ble registrert, og videre aktivitet ble blokkert.

Viktigheten av helsetjenester betyr at enheter og systemer må opprettholde topp ytelse til enhver tid. Sykehus og helsetjenestefasiliteter har en utfordrende oppgave med å balansere tjenestens tilgjengelighet med å opprettholde en robust cybersikkerhet. Et vellykket angrep kunne på kort sikt ha lammet medisinske fasiliteter i et data- og IT-perspektiv, og tvunget helsearbeidere til å bruke penn og papir ved oppdatering av pasientdata, noe som ville svekket evnene deres til å foreta livreddende helsehjelp i nødstilfeller eller ved større hendelser. På lang sikt kunne skadelig kode som ble plantet for å gi innsyn i et helt nettverk, blitt brukt til et større løsepengevirusangrep med mål om enda mer omfattende forstyrrelser. En slik sak kunne ha åpnet døren til datatyveri og utpressing.

Store, globale arrangementer fortsetter å være ønskede mål for trusselaktører, og det er  mange forskjellige motivasjoner for nasjonalstater som virker villige til å absorbere andre skader så lenge det støtter deres større geopolitiske interesser. Dessuten vil cyberkriminelle grupper som ønsker å benytte seg av de enorme økonomiske mulighetene i sports- og arenarelaterte IT-miljøer, fortsette å se disse som attraktive mål.

Anbefalinger

  • Styrk SOC-teamet: Få et ekstra par øyne til å overvåke arrangementet døgnet rundt for å oppdage trusler og sende varsler på en proaktiv måte. Dette bidrar til å korrelere flere jaktdata og oppdage tidlige tegn på inntrenging. Det burde inkludere trusler utenom endepunktene, for eksempel identitetsbrudd eller overgang fra enhet til sky.
  • Utfør en konsentrert cyberrisikovurdering: Identifiser mulige trusler som er spesifikke for arrangementet, arenaen eller landet hvor arrangementet holdes. Denne vurderingen burde inkludere leverandører, team og IT-eksperter for arenaen, sponsorer og viktige interessenter knyttet til arrangementet.
  • Tenk på privilegert tilgang som beste fremgangsmåte: Gi tilgang til systemer og tjenester bare for dem som trenger det, og lær opp personalet til å forstå tilgangsnivåer.

Enorme angrepsflater krever ekstra planlegging og oversikt

Med arrangementer som VM i fotball for menn, olympiaden og andre sportsbegivenheter dukker kjente cybertrusler opp på spesielle måter, ofte mindre merkbart enn i andre virksomhetsmiljøer. Disse arrangementene kan stables raskt på beina, med nye partnere og leverandører som får tilgang til virksomheter og delte nettverk i en bestemt tidsperiode. Den midlertidige typen forbindelser i noen av disse arrangementene han gjøre det vanskelig å utvikle synlighet og kontroll over enheter og dataflyt. Det fremmer også en falsk trygghetsfølelse at «midlertidige» forbindelser er mindre risikable.

Arrangementssystemer kan inkludere teamets eller arenaens tilstedeværelse på nettet og sosiale medier, registrerings- eller billettplattformer, systemer for spilletid og poengberegning, logistikk, medisinsk administrasjon og pasientsporing, sporing av hendelser, masseutsendelse av varsler og elektronisk skilting.

Sportsorganisasjoner, sponsorer, verter og arenaer må samarbeide om systemene og utvikle cybersmarte opplevelser for tilskuerne. I tillegg kommer det store mengder deltakere og personale som har med seg data og informasjon i form av egne enheter, noe som øker angrepsoverflaten.

Fire cyberrisikoer ved store arrangementer

  • Frakoble alle unødvendige porter, og sikre at nettverket skannes grundig etter ulovlige oppdateringer eller ad hoc-oppdateringer av trådløse tilgangspunkter, oppdater programvare og velg programmer med et lag kryptering for alle data.
  • Oppmuntre deltakerne til (1) å sikre apper og enheter med de siste oppdateringene, (2) unngå å åpne sensitiv informasjon fra offentlig Wi-Fi, (3) unngå koblinger, vedlegg og QR-koder fra uoffisielle kilder.
  • Sikre at utsalgssteder har de siste sikkerhetsoppdateringene og er koblet til et eget nettverk. Deltakere burde også være oppmerksom på ukjente kiosker og minibanker og begrense overføringer til områder som er offisielt godkjente av arrangementsverten
  • Utvikle logiske nettverkssegmenter som skaper skiller mellom IT- og OT-systemer, og begrense krysstilgang til enheter og data for å redusere konsekvensen av et cyberangrep.

Det å gi sikkerhetsteam informasjonen de trenger på forhånd, blant annet viktige tjenester som må forbli i drift i løpet av arrangementet, gir et bedre grunnlag for responsplaner. Dette er viktig i IT- og OT-miljøer som støtter arenaens infrastruktur, og for å opprettholde deltakernes fysiske sikkerhet. Aller helst burde organisasjoner og sikkerhetsteam konfigurere systemene før arrangementet for å fullføre testing, ta øyeblikksbilde av systemet og enhetene og gjøre dem lett tilgjengelige for IT-teamene for rask omgruppering ved behov. Denne innsatsen kan langt på vei avverge kriminelle i å utnytte dårlige konfigurerte ad hoc-nettverk i det svært attraktive, målrike miljøet til store sportsbegivenheter.

I tillegg burde noen i rommet vurdere personvernrisiko og om konfigurasjoner legger til ny risiko eller sårbarheter for deltakernes personopplysninger eller teamenes rettighetsbeskyttede data. Denne personen kan implementere enkle cybersmarte fremgangsmåter for tilskuerne, og for eksempel råde dem til bare å skanne QR-koder med offisiell logo, være kritiske til kommunikasjon via meldinger eller SMS som de ikke registrerte seg for, og unngå å bruke gratis, offentlig Wi-Fi.

Disse policyene og andre kan hjelpe publikum til bedre å forstå cyberrisikoen spesielt ved store arrangementer, og eksponeringen for datainnsamling og -tyveri. Kunnskap om trygge fremgangsmåter kan hjelpe tilhengere og deltakere med å unngå å bli ofre for angrep i form av sosial manipulering, som cyberkriminelle kan sette i gang etter å ha fått fotfeste i utnyttede nettverk knyttet til arenaer og arrangementer.

I tillegg til anbefalingene nedenfor tilbyr National Center for Spectator Sports Safety and Security disse hensynene for tilkoblede enheter og integrert sikkerhet for store arenaer.

Anbefalinger

  • Prioriter implementering av et omfattende sikkerhetssystem med mange lag: Dette inkluderer distribusjon av brannmurer, systemer for å oppdage og forhindre systemer og sterke krypteringsprotokoller for å forsterke nettverket mot uautorisert tilgang og databrudd.
  • Programmer for brukerbevissthet og opplæring: Informer ansatte og interessenter om anbefalte fremgangsmåter innenfor cybersikkerhet, for eksempel gjenkjennelse av phishing-e-post, bruk av godkjenning med flere faktorer eller passordbeskyttelse og unngåelse av mistenkelige koblinger eller nedlastinger.
  • Bli partner med ansette cybersikkerhetsfimaer: Overvåk konstant nettverkstrafikken, oppdag mulige trusler i sanntid og svar raskt på eventuelle sikkerhetsbrudd. Utfør jevnlige sikkerhetsrevisjoner og sårbarhetsvurderinger for å identifisere og innføre tiltak mot svakheter i nettverksinfrastrukturen.

Få mer innsikt i vanlige sikkerhetsutfordringer fra øverste gruppeleder Justin Turner i Microsoft Security Research.

Øyeblikksbildedata representerer det totale antallet enheter og hendelser som overvåkes døgnet rundt mellom 10. november og 20. desember 2022. Dette omfatter organisasjoner som enten er direkte innblandet i eller tilknyttet turneringsinfrastrukturen. Aktiviteten omfatter proaktiv trusseljakt drevet av mennesker for å identifisere kommende trusler og betydningsfulle kampanjer.

Viktig innsikt:
 

45 organisasjoner beskyttet                                 100 000 endepunkter beskyttet

 

144 000 identiteter beskyttet                               14,6 millioner e-postflyter

 

634,6 millioner godkjenningsforsøk                4,35 milliarder nettverksforbindelser

Metode: Når det gjelder øyeblikksbildedata, leverte Microsoft-plattformer og -tjenester, blant annet Microsofts utvidede oppdagelse og svar, Microsoft Defender, Defender jakteksperter og Azure Active Directory, anonymiserte data om trusselaktivitet, blant annet skadelige e-postkontoer, phishing-e-post og angrepsbevegelser i nettverk. Ytterligere innsikt kommer fra de 65 billionene med sikkerhetssignaler som mottas av Microsoft, inkludert skyen, endepunkter, den intelligente kanten og våre team for gjenoppretting etter sikkerhetsbrudd og oppdagelse og svar. Forsidebilde illustrerer ikke en virkelig fotballkamp, turnering eller enkeltsport. Alle sportsorganisasjoner som er nevnt, er egne varemerker.

Relaterte artikler

Ekspertråd om de tre mest vedvarende utfordringene innen cybersikkerhet

Øverste gruppeleder Justin Turner i Microsoft Security Research beskriver de tre stadige utfordringene han har sett i karrieren innen cybersikkerhet: konfigurasjonsstyring, sikkerhetsoppdatering og enhetssynlighet.
Mer informasjon

61 % økning i phishing-angrep. Kjenn til den moderne angrepsoverflaten

For å administrere en stadig mer kompleks angrepsoverflate må organisasjoner utvikle en omfattende sikkerhetsstatus. Med seks viktige overflateområder for angrep viser denne rapporten hvordan riktig trusselinformasjon kan snu spillereglene i beskytternes favør.
Mer informasjon

Sammenfallet av IT og OT

Den økende utbredelsen av IoT setter OT i fare med mange mulige sårbarheter og eksponering for trusselaktører. Finn ut hvordan du holder organisasjonen beskyttet.
Mer informasjon

Følg Microsoft Sikkerhet