Attacker sprids rekordsnabbt – betala inte!

En stark beredskap mot utpressare och sabotörer är därför viktigare än någonsin. Att centrala IT-system slås ut i flera veckor är oacceptabelt, men med goda katastrofrutiner på plats går det att återställa verksamheten betydligt snabbare efter ett angrepp.

Att betala lösensumman för att få sin IT ”upplåst” är ingen pålitlig utväg – det är stor risk att man bara blir lurad. Det säger Anders Stinger, Nordenchef på Commvault, ett mjukvaruföretag specialiserat inom dataskydd och katastrofsäkring.

Flera företag drabbade

Informationsläckor, utpressningsvirus och sofistikerade cyberattacker har vi länge kunnat läsa om, men sedan 2019 har hoten uppträtt mycket mer frekvent i vår närhet. Listan över kända företag som hackats blir allt längre och bland dem finns börsbolag som Norsk Hydro, Addtech och Mekonomen.

Företagen har drabbats av stora störningar i verksamheten. I vissa fall tog det flera veckor att återställa till normalläge, med väldiga ekonomiska skador som följd. Norsk Hydro uppskattade att attacken mot företaget kostade 650-750 mkr och Addtech 150 mkr.

Den negativa utvecklingen med allt fler ransomware-attacker har blivit en väckarklocka för svenska företag och myndigheter, för det är ingen tvekan om att vem som helst kan drabbas.

Digitalt skydd räcker inte

”God IT-säkerhet börjar med ett digitalt skalskydd i form av brandväggar, antivirus och aktiv övervakning. Men det räcker inte. Alla behöver också en beredskap, en plan för att hantera ett fullbordat intrång”, säger Anders Stinger.

Angreppen blir alltmer sofistikerade. De falska mejlen från ”banken” med usel stavning och oskarpa loggor som sprids i enorma hagelskurar övertygar inte längre. Brottsplanerna är istället riktade direkt mot ett visst företag – det kan nu börja med att identifiera nyckelpersoner hos måltavlan och sedan locka dessa till ”vattenhål” på nätet för att plantera skräddarsydd skadlig kod.

Utmaningen växer också med graden av digitalisering: det blir allt fler system och uppkopplade användare inom varje gren av verksamheten. Det ökar sårbarheten och skapar nya öppningar för resursstarka brottslingar som hela tiden utvecklar sin ”kompetens”.

Men även mot denna bakgrund ska det inte ta så lång tid som två veckor att få igång verksamheten efter en svår utpressnings-attack. För att lyckas bättre om det värsta skulle inträffa krävs en kompetent och välövad organisation som använder rätt verktyg. Commvault har samlat sina råd i sex punkter som vägledning för detta arbete:

1. Planera

Just när det gäller ransomware-attacker ligger det ovanligt mycket i den gamla managementklyschan ”planer är ingenting, planering är allt”. Värdet av planeringen ligger mycket i att skapa engagemang, att göra organisationen så förberedd och trygg som det är möjligt för att sedan kunna agera snabbt och resolut i ett skarpt läge.

2. Skaffa koll på data och system

Att ha gjort en detaljerad kartläggning av organisationens data är guld värt i ett krisläge och gör jobbet med återställningen så mycket enklare. Det gäller att veta vilket data ni har, var det lagras, vem som äger det och sist men kanske viktigast: att klassificera data efter dess och de relaterade systemens betydelse för organisationen: Hur viktigt, värdefullt eller verksamhetskritiskt är det?

3. Prioritera

För att minimera skador och kostnader för ett omfattande IT-avbrott gäller det att göra återställningen i rätt ordning. Hela driften kan inte komma tillbaka samtidigt. Det är nödvändigt att prioritera baserat dels på en god förståelse för verksamheten och det IT-stöd den är beroende av, dels de tekniska förutsättningar som kan vara styrande.

4. ”Kassaskåpssäker” backup

Vid en ransomware-attack kan även backuper bli sårbara eftersom angriparen försöker kryptera allt data. I värsta fall blir även backuperna obrukbara. Som en extra trygghet för återställning behövs ytterligare en säkerhetskopia utöver ordinarie backup. Och den måste isoleras helt för att inte vara åtkomlig via Internet eller ett lokalt nätverk.

5. Rutiner som skydd mot insiderhot.

Det finns en typ av angripare som inte går att komma åt med vanliga tekniska säkerhetsåtgärder: De egna medarbetarna. Skyddet mot insiderhot byggs snarare genom goda rutiner. Ett exempel – som hämtat från atomkrigsscenarion – är att fördela ansvaret på flera personer och göra kontrollen av varandras insatser till en del av rutinerna.

6. Testa, testa, testa

Att öva på krisscenarion och att testa sina rutiner för återställning efter ett omfattande IT-avbrott är en central del av beredskapen. Tyvärr har många organisationer dåliga möjligheter att testa sina katastrofrutiner. Ett vanligt hinder är att den löpande verksamheten sätts först, eftersom den nedtid som testerna kräver inte anses acceptabel. Men med bra verktyg som möjliggör test och planering går det att komma runt även sådana begränsningar.

Anders Stinger på Commvault avslutar med ett råd som också bygger på erfarenhet från de som drabbats av ransomware:

”Betala inte! Skälet är att det inte går att lita på brottslingar. Ni riskerar att bara bli bedragna och identifierar er samtidigt som måltavla för nya attacker.”

Enligt Tech Republic valde 45% av de amerikanska företag som drabbades av ransomware 2018 att betala lösensumman, men bara 26% av dessa fick sina filer upplåsta. Organisationer som betalade lösen blev dessutom snart utsatta för cyberangrepp igen – i hela 73 procent av fallen.

Läs mer: Svenskar enkelt byte för kriminella