Digitalisering – TCS om tvåstegsmetod för att skydda sig mot gisslanprogram.
I korthet:
- Attacker med gisslanprogram, så kallade ransomware, blir vanligare och alltmer sofistikerade.
- Attacker med gisslanprogram riktar sig ofta mot företag med djupa fickor och inom kritiska sektorer som sjukvård, logistik och lokala myndigheter.
- Ett robust försvar mot gisslanprogram inkluderar enligt TCS fem steg: identifiera, skydda, upptäcka, reagera samt återställa på både företagsnivå och på den större ekosystemnivån.
Att råka ut för gisslanprogram
Dagens cyberdomäner är lite som artonhundratalets öppna hav – fulla av pirater och kapare.
Skadliga cyberaktörer plågar företag och statliga myndigheter genom att infiltrera deras nätverk, kryptera data och hålla den som gisslan i utbyte mot en lösensumma.
Gisslanprogram har växt till ett stort kriminellt fenomen, och enligt många ledare inom både IT-branschen och myndigheter i USA är det ett potentiellt nationellt säkerhetshot. I sin årsrapport för 2021 om gisslanprogram fann cybersäkerhetsföretaget Sophos att över en tredjedel av fler än 5 000 globala företag sa att de drabbades av gisslanprogram 2020. Indien, Österrike och USA var hårdast drabbade (och i den ordningen).
Cybersäkerhetsforskare på Blackfog listar också USA, Storbritannien och Kanada som de tre främsta målen för gisslanprogram. Och att drabbas är kostsamt: gisslanprogram förutspås kosta sina offer över 265 miljarder USD årligen inom tio år.
Cyberbrottslingar letar efter offer som är tekniskt sårbara.
Bortsett från ekonomiska vinster och geopolitiska motiv kan attacker med gisslanprogram också vara ett test av offrets cyberförsvar och motmedel. Hackningen av Colonial Pipeline i maj 2021, som levererar nästan hälften av alla transportbränslen till östra USA, stoppade verksamheten i flera dagar. Detta orsakade bensinbrist och panikköp i flera amerikanska delstater. På samma sätt stängde en attack på Irlands nationella sjukvårdssystem ned dess datornätverk och störde leveranser av medicinska tjänster under flera månader.
Tillväxten av kryptovalutor, såsom Bitcoin och den privata, ospårbara Monero, bidrar kraftigt till spridningen av gisslanprogram eftersom de tillhandahåller ett säkert betalningsmedium som ofta inte kan spåras.
- 1 av 3 företag drabbades av gisslanprogram 2020
- Kostnaderna för attacker med gisslanprogram beräknas uppgå till 265 miljarder dollar 2031
- De tre främsta målen är företag och organisationer i USA, Storbritannien och Kanada
Utvecklingen av gisslanprogram
Cyberpirater och privatpersoner som samarbetar via ”dark web” utvecklade ransomware-as-a-service-modellen.
Kontentan: skapare av gisslanprogram licensierar sin skadliga kod till andra aktörer i utbyte mot en procentandel av de illegala intäkterna. Andra inblandade får tillgång till offrens nätverk, förhandlar om betalningar och tvättar intäkterna när lösensummorna har betalats.
Gisslanprogram-kampanjer riktar sig ofta mot företagsoffer med djupa fickor inom kritiska sektorer som sjukvård, logistik och lokala myndigheter som inte har råd att sluta fungera – inte ens för några dagar. Guidade av mänskliga operatörer är dessa svårare att upptäcka och stoppa. Initial åtkomst till offrets nätverk kan ske genom sofistikerad så kallad ”spear fishing”, oskyddade fjärrskrivbordsportar eller sårbarheter i internetservrar. Väl inne kartlägger illvilliga aktörer noggrant nätverk, identifierar viktiga databaser, stjäl filer och krypterar dem. Sedan ställer de krav på lösensummor.
Offrens profiler
Ett uppenbart mål är alla organisationer med djupa fickor eller de som har en koppling till andra resursrika organisationer.
Utbildningsinstitutioner och enheter som stöds av privata, statliga eller offentliga medel utgör ett enkelt och självklart mål för cyberaktörer. Finansiella institutioner, biltillverkare, ingenjörs- och kemiföretag samt organisationer som levererar nyckeltjänster som vatten och elektricitet rankas också högt på angriparnas listor.
Offren är ofta sårbara för utpressning när de kriminella tagit kontroll över deras resurser, såsom värdefull kundinformation, vilket vid avslöjande skulle resultera i allvarliga ekonomiska konsekvenser. Till exempel är offren mer benägna att betala om de måste efterleva EU:s GDPR eller Kinas nya personuppgiftslagstiftning eftersom de skulle riskera höga böter vid överträdelse. Civilrättsliga stämningar mot företag som tappar kontrollen över kunddata introducerar ytterligare ett incitament för hackare.
Cyberbrottslingar söker gärna offer som är tekniskt sårbara. Grupper som sysslar med gisslanprogram är ett ökat hot mot organisationer med:
- Undermålig nätverkssäkerhet
- Inaktuell eller opatchad programvara
- Svag eller obefintlig säkerhetskopiering av data
- Dålig säkerhet relaterad till den mänskliga faktorn
Eget eller gemensamt försvar?
Det finns flera sätt att avskräcka cyberbrottslingar. Guldstandarden enligt TCS och många andra aktörer är ett väl utformat och implementerat säkerhetsramverk, både på företags- och på den större ekosystemnivån.
Dessa ramverk bör låna bästa praxis från NIST-, ISO- och CIS-standarder. Till exempel har NIST-ramverket fem element: identifiera, skydda, upptäcka, svara och återställa.
01. Säkerhetsåtgärder på företagsnivå
Kontexten och motiven bakom attacker med gisslanprogram utvecklas ständigt, att förstå detta är nyckeln. Bra försvar är rotat i säkerhetsrutiner som håller angripare borta från ditt system och begränsar deras förmåga att röra sig inom nätverket om de får åtkomst. Förbered ditt försvar i förväg med regelbundna och oföränderliga säkerhetskopior av data, system och konfigurationer offline. Testa regelbundet snabb återställning av digitala tillgångar för att snabbt återställa verksamheten om en attack inträffar. För att minska hackarnas potentiella inflytande, följ regler som GDPR strikt, se till att kunddata är låst och segmentera nätverk för att begränsa spridningen av en attack. Glöm inte att utveckla en övergripande karta över dina företagsdata och skapa en detaljerad plan för incidenthantering. Som ordspråket säger: ”it is always better to be safe than sorry”.
02. Säkerhetsåtgärder på ekosystemnivå
Kombinationen av kompetens, erfarenhet, resurser, information och perspektiv från flera organisationer förbättrar ditt försvar mot angripare. Denna samarbets- och ekosysteminitiativ bör tillämpas på olika nivåer och kan sträcka sig från strategiska till taktiska. Till exempel är en av de prioriterade rekommendationerna från Ransomware Task Force (RTF), lett av Institute for Security and Technology, att anta en omfattande internationellt koordinerad strategi för att eliminera säkra tillflyktsorter för de kriminella aktörerna bakom gisslanprogram.
Dessa säkerhetsprinciper är mest effektiva när de tillämpas i samarbete med oberoende och opartiska it-säkerhetspartners som kan hjälpa till att bedöma säkerhetsluckor och risker på företags- och ekosystemnivå, analysera resultat och föreslå olika sätt att stärka cyberförsvaret.