Att skydda nationell infrastruktur är en viktig fråga i kölvattnet av geopolitisk instabilitet i samband med Ukrainakriget och den palestinsk-israeliska konflikten.
Vi har sett många varningar från cybersäkerhetsmyndigheter, med CISA och FBI i USA och MSB CERT-SE i Sverige som utfärdar ransomware-varningar.
Hotet mot stabiliteten i den samhällsviktiga infrastrukturen är ett viktigt skäl till att reformera lagstiftningen om nät- och informationssystem. NIS2 kommer att träda i kraft från 17 oktober 2024 och är betydligt bredare i omfattning, vilket innebär att den omfattar 160 000 organisationer inom 15 sektorer; Det syftar till att förbättra utbytet av underrättelser om hot mellan EU:s medlemsländer för att förbättra den nationella motståndskraften mot angrepp.
Denna kultur av ”säkerhet börjar hemma” påverkar nu också upphandlingen, med organisationer som är angelägna om att eliminera alla utsikter till spionprogram eller påverkan av system. Det är inte ett nytt koncept om man betänker att det amerikanska departementet förbjöd Kasperskys produkter från regeringsdepartement redan 2017, och vi har sedan dess sett nationer slå ner på utländsk teknik, med förbud att använda Huawei i Sveriges 5G-infrastruktur senast 1 Januari 2025 och TikTok som förbjuds inom flera svenska myndigheter och organisationer. Men det håller på att ta fart, med kommersiella organisationer som vill hitta lösningar närmare hemmet.
Suveränitet över säkerhet
I likhet med datasuveränitets rörelsen, som såg drivkraften för att data skulle inrymmas i ett regionalt molndatacenter, syftar cybersäkerhets suveränitet till att minimera riskerna med hjälp av globala leverantörer. Det innebär att dessa lösningars komponenter, kod och pågående utveckling är kända och verifierbara. Lösningen kommer att ha utformats enligt regionala och nationella efterlevnadskrav, och all data som innehas av leverantören kommer att lagras inom jurisdiktionen och omfattas av samma dataskyddsbestämmelser.
Att kunna fastställa ursprunget för en teknik är ett tillvägagångssätt som redan har antagits enligt SBOM-reglerna (Software Bill of Materials). Dessa syftar till att skapa större transparens, vilket kan ge verklig utdelning när en incident uppdagas. Ta till exempel Log4j-sårbarheten, som gjorde att otaliga applikationer påverkades. Utan dokumentationen om var koden hade använts i Java-applikationer skulle det ha tagit mycket längre tid att hitta och korrigera sårbarheten.
Att hålla sig lokalt när det cybersäkerhet är också vettigt med tanke på att hoten förändras beroende på geografi. Under 2023 var det USA, Ukraina som hackare riktade in sig på, följt av Brasilien och sedan Indien, med skadliga filer som huvudvektor. Vi ser också en ökning av antalet attacker mot Sverige. Angripare kan skräddarsy sina attacker efter region. Till exempel programmerades den andra versionen av Locky-varianten av skadlig programvara till data om slutpunkten fanns i Ryssland, gruppens hemterritorium. Olika ransomware-grupper föredrar också olika varianter, med RedLine, Remcos, NjRAT, Emotet och AsyncRAT som alla är populära i attacker i Mellanöstern och Nordafrika (MENA).
Dessutom ökar trycket på företag att visa att de prioriterar cybersäkerhet som en del av sin ESG-rapportering (Environmental, Social and Governance). Investerare och försäkringsbolag vill se bevis på att risker har bedömts och åtgärder vidtagits för att minska dem, och idén om att ta ansvar för verksamhetens motståndskraft är också knuten till FN:s mål för hållbar utveckling (SDG, Suistanable Growth Goals). De sjutton målen för 2030 inkluderar SDG #9, att förespråka användning av en motståndskraftig infrastruktur, och SDG #16, effektiva, ansvarsfulla och transparenta institutioner.
Individuellt ansvar i ett motståndskraftigt tillvägagångssätt
I linje med denna övergång till en mer motståndskraftig och ansvarsfull strategi kan vi också förvänta oss att enskilda personer hålls ansvariga. Vi såg detta tidigare i år, när SEC väckte åtal mot SolarWinds CISO, Timothy G Brown, för att ha spridit vilseledande information till marknaden om företagets cybersäkerhetssituation före, under och efter SUNBURST-attacken mot leveranskedjan 2020. Enligt NIS2 finns det konkreta bestämmelser om att personer i ledande befattningar ska hållas ansvariga för cybersäkerhetsåtgärder på organisationsnivå, vilket förhoppningsvis bör förhindra den typ av koppling mellan den säkerhetsbedömning som rapporteras av säkerhetsteamet och den som rapporteras av CISO, som påstås ha ägt rum i SolarWinds-incidenten.
Men hur ser det ut i praktiken att anta en mer motståndskraftig strategi som prioriterar suveränitet inom cybersäkerhet? För det första kommer organisationer att behöva utvärdera de system de har och deras beroende av icke-regionala leverantörer. Viss teknik kommer fortfarande att behöva skrivas av; Alla risker bör dokumenteras. Men där det är möjligt att byta ut teknik är det vettigt att använda utvecklade, stödda system som tar hänsyn till regional hotinformation.
Vissa aspekter av hotinformation kommer alltid att vara globala. Till exempel mappar många SIEM-lösningar (Security and Incident Event Management) till det välrenommerade MITRE ATT&CK-ramverket, som beskriver de taktiker, tekniker och procedurer (TTP:er) som angripare använder. I nästa generations SIEM berikar ATT&CK-ramverket och hotinformations flöden loggdata för att förstå om en extern angripare riktar in sig på nätverket. SIEM identifierar automatiskt hot i systemet, enheten eller nätverket och kontrollerar säkerhetsaktiviteten för association med TTP:er och indikatorer på kompromettering (IoC).
Det lönar sig dock att komplettera den här informationen med kontextuell information och svar, till exempel med hjälp av SOAR (Security Orchestration Automation and Response). Detta innebär att leverantören kommer att övervaka nya hot och tillhandahålla skräddarsydd hotinformation och spelböcker för svar som är specifika för kundens sektor och region.
Fokus på investeringar i cybersäkerhet
En sådan åtgärd behöver inte vara kostsam men kan visa sig vara fördelaktig. Till exempel jonglerar många organisationer idag med flerpunktslösningar inom cyberstacken. Detta kan visa sig vara dyrt att underhålla, vilket resulterar i duplicerade funktioner och fördröjda svarsinsatser när säkerhetsanalytikern flyttar från en instrumentpanel till en annan. Genom att konvergera dessa punktlösningar över en SIEM minskar den här komplexiteten samtidigt som alla aviseringar kan placeras i kontext och prioriteras. Ett exempel är att komplettera SIEM med funktioner för identifiering av insiderhot för att konfigurera parametrar för att kvalificera aviseringar för undersökning och orkestrering och automatiseringsfunktioner för att hjälpa till med incidenthantering.
Vad som är tydligt är att organisationer kommer att behöva denna nivå av respons för att visa motståndskraft och ansvar. Regler som NIS2 innebär att det inte längre kommer att finnas någon plats för den högsta ledningen att gömma sig eller förneka ansvar. Detta är ett positivt steg, eftersom det också innebär att klagomålen från säkerhetsteam, som de på SolarWinds, inte längre kommer att viftas bort.
Att bygga en motståndskraftig infrastruktur kräver också att dessa team är medvetna om systemens ursprung så att de kan spåra komponenter och programvara. Men återigen, detta kommer att göra det mycket lättare att hantera incidenter. Att välja att köpa lösningar från regionala leverantörer kommer också att ge lokalt stöd och skydda verksamheten mot eventuella framtida politiska konflikter som kan leda till att deras verksamhet äventyras av hemlig övervakning, dataexfiltrering eller utpressningstrojaner. Suveränitet inom cybersäkerhet kommer att bli en dominerande faktor i säkerhetsupphandlingscyklerna.