Når en organisation oplever en alvorlig sikkerhedshændelse, kan Center for Cybersikkerhed (CFCS) hjælpe med konkret vejledning om akut håndtering. Efterfølgende er det vigtigt, at centeret i samarbejde med organisationen kan analysere de dele af data, som er påvirket af angrebet. På den måde får man viden om angrebsmetoder og kan sikre sig, at hackerne bliver lukket effektivt ude.

Analysen baserer sig i høj grad på logs fra myndighedens eller virksomhedens systemer. Desværre er manglende logning i it-systemer et stort problem. I langt størsteparten af de operative sager, hvor CFCS er involveret i at analysere mulige cyberangreb, er der ufuldstændige logs fra de systemer, der undersøges. Det betyder, at cyberangreb ikke kan undersøges og imødegås tilstrækkeligt.

- Manglende logs er en stor udfordring, som i yderste konsekvens kan betyde, at vi eller danske it-sikkerhedsfirmaer må opgive at undersøge et cyberangreb, fordi der er for få data til rådighed. Reelt betyder det, at man ikke kan vide, hvad der er sket, og derfor heller ikke med sikkerhed kan vurdere, om der har været ubudne gæster i et netværk. Hvis hackerne er inde i systemerne og har held til at kryptere data eller stjæle følsomme oplysninger, kan det få alvorlige konsekvenser. I nogle tilfælde kan det endda skade Danmarks konkurrenceevne, sikkerhed og velfærd. Vi oplever desværre, at logning ikke prioriteres særlig højt i de fleste organisationer. Det vil vi gerne forsøge at lave om på med denne undersøgelsesrapport, siger Thomas Lund-Sørensen, chef for Center for Cybersikkerhed.

It-systemers logs kan blandt andet vise, hvem der har haft adgang til et system, og hvad vedkommende har foretaget sig. Uden logs bliver indbrud i et system nærmest usynlige. Når it-sikkerhedshændelser skal undersøges, er der derfor behov for logs. Det gælder for alle organisationer, lige fra offentlige myndigheder, over store koncerner, til små og mellemstore virksomheder. Det sætter CFCS fokus på i ny undersøgelsesrapport.

Undersøgelsesrapporten ”Ingen logs – intet indbrud” beskriver, hvordan manglende logs hos myndigheder og virksomheder har stor betydning for, at cyberangreb kan undersøges og afhjælpes. Med udgangspunkt i en konkret sag, som CFCS har arbejdet med, viser rapporten, hvordan kvaliteten af logs hos den pågældende myndighed var direkte betydende for, hvor langt CFCS kunne nå i sine undersøgelser af cyberangrebet. Rapporten lister desuden fem grunde til, at logning er en god investering:

• Logs danner basis for at undersøge et cyberangreb

• Logs giver mulighed for at kende omfanget af cyberangreb

• Gode log betyder mindre nedetid i forbindelse med cyberangreb

• Lagerplads til opbevaring af logs er billigt

• Viden om normalbilledet i netværket giver bedre mulighed for at reagere, når der sker noget uventet

CFCS udgav i december 2020 vejledningen: Logning – En del af et godt cyberforsvar. Ved at følge anbefalingerne i vejledningen kan man høste de fordele, som god logning giver, herunder særligt muligheden for at undersøge cyberangreb. Der findes velafprøvede værktøjer, der kan hjælpe med at sikre god logning på store komplekse netværk. Mange mindre organisationer kan komme rigtig langt med flere gratis løsninger eller værktøjer, der allerede er integreret som standard i eksempelvis Windows.

Undersøgelsesrapporten henvender sig fortrinsvis til organisationers it-ledelse og it-teknikere.