[KRÖNIKA] Ransomware-attacker har dominerat tidningsrubrikerna under de senaste åren och kommer att fortsätta att styra cybersäkerhetsagendan under lång tid framöver.
Samtidigt som cyberkriminella fortsätter att vara framgångsrika i att pressa företag på pengar, finansierar de som betalar lösensummorna tillväxten inom ransomware-industrin och vidare cyberbrottslighet.
Veeams senaste 2023 Ransomware Trends Report visar att 80 procent av de företag som drabbas av utpressningsförsök betalar lösensumman, vilket är en ökning med 4 procentenheter jämfört med året innan. Och med ökande attacker mot områden som kritisk infrastruktur och hälsovård har de negativa effekterna blivit mer än bara en fråga om pengar. Så hur kom vi hit, vilka är konsekvenserna bortom ekonomiska värden och vad behöver organisationer göra för att bryta cykeln?
Hur kidnappningsprogram kommersialiserade datastöld
Cyberbrottslighet har funnits sedan 1980-talet, och sedan dess har cybersäkerhetsbranschen ständigt varnat om cyberhot. Och cyberkriminaliteten, inklusive den med kidnappningsprogram, ökar ständigt. Att världen blivit alltmer digitaliserad, vilket har skapat en stor mängd nya möjligheter för cyberkriminella är en självklar anledning till denna ökning. Men ytterligare en anledning skulle jag säga är att cyberkriminella hittat allt bättre och mer lukrativa sätt att tjäna pengar på sin kriminalitet – genom just ransomware-attacker. Medan den huvudsakliga ökningen av skadlig programvara ligger inom just ”kommersiella” former av skadlig kod, så har metoderna för att installera kidnappningsprogram på en enhet, som nätfiske eller skadliga webbadresser, inte förändrats nämnvärt.
Ekonomisk vinning har alltid varit ett av de främsta motiven som driver cyberkriminella, så varför tog det så lång tid att nå denna punkt? Svaret belyser de mörkare konsekvenserna av nya digitala innovationer, eftersom ny digital teknik har gett hackargrupper den perfekta flyktbilen för sina brott. Kryptovalutor som bitcoin, och blockchain-tekniken som säkrar dem, ger en pålitlig och nästan ospårbar metod för att pressa offren på pengar. Det skulle vara naivt att endast se cyberbrottslingar som enskilda individer eller distanserade ungdomar som lyckas hacka in sig hos företag från sina sovrum. Visst, sådana individer finns, men den verklighet som företag står inför idag är att så många cyberkriminella grupper faktiskt är regelrätta företag. Dessa organisationer kan vara minst lika sofistikerade som de företag de attackerar. De har väl definierade framgångsfaktorer och mål – läckta dokument från förra året visar hur Conti, en av världens mest ökända ransomware-grupper, har en HR-avdelning, prestationsrecensioner och till och med utser en ”månadens medarbetare”.
Vad företag behöver göra
Efter att man har förstått omfattningen av och metoderna för kidnappningsprogram och andra typer av attacker, krävs en kombination av människor, processer och teknik för att förhindra kommande cyberattacker. Varför? Eftersom den cyberkriminelle bara behöver lyckas en gång, men företaget som attackeras måste omintetgöra flera försök att bryta mot dess cyberförsvar. Det är också viktigt att betona att, trots vad folk kanske tycker, så är den digitala världen och den verkliga världen inte så olika. Att vara medveten om hotbilden och vaksam mot den ger utdelning. Öppna fönster måste låsas på natten (system för patchning), dubbla lås är bättre än ett (multifaktorautentisering), viktiga föremål eller information måste kopieras och låsas in i ett kassaskåp (oföränderliga kopior och dataskydd) och de största säkerhetsriskerna är ofta människor och personal (insiderhot eller underlåtenhet att följa processer).
Victor Engelbrecht Dohlmann, Nordenchef på Veeam
Men även om förebyggande av cyberattacker är en huvudsaklig del av uppdraget för att skydda ett företags data, är det också orealistiskt att förvänta sig att företag ska förhindra alla attacker som sker i stor skala. Företag ska inte behöva ansvara för att helt eliminera framgångsrika ransomware-attacker, men ska kunna uppnå en så pass god position där de inte behöver betala lösensummor utan helt enkelt kan säga nej till utpressningsattacker. Den bästa försvarslinjen mot kidnappningsprogram är nämligen snabb och pålitlig dataåterställning stöttad av säkra och oföränderliga säkerhetskopior.
Utpressningskrav från cyberkriminella kan ignoreras först när organisationen har en backup på all företagskritisk data, som enkelt kan användas för att återställa ett krypterat system – via en app, fil eller en server.
Men det gäller att göra sin backup rätt. Veeam 2023 Ransomware Trends Report avslöjar nämligen att 93 procent av företag som drabbats av utpressningsattacker har fått sin backuplagring attackerad – de cyberkriminella har alltså riktat in sig specifikt på att komma åt säkerhetskopiorna, för att på så vis få bort alla anledningar till att företag inte ska betala lösensumman. För att ligga steget före måste företag därför anamma den enda heltäckande metoden som vi kallar för 3-2-1-1-0-regeln: tre kopior av data, på två olika typer av media, med en kopia lagrad externt, en lagrad offline, fysiskt åtskild (air-gapped) eller oföränderlig (immutable) kopia. Och alla kopior måste vara felfria – detta är viktigt eftersom du inte vill säkerhetskopiera skadad data. Först då kan du garantera att din organisation är redo om cyberkriminella skulle komma åt någon del av säkerhetskopiorna.
Ett outtröttligt arbete
Ransomware har kommersialiserat datastöld och gjort cyberbrottslighet till en lönsam bransch i utveckling som vi aldrig sett förut. Men trots att vi vet hur företags data kan skyddas så är det viktigt att poängtera att dataskydd och återhämtning efter en ransomwareattack inte är en uppgift som bara går att bocka av en gång och sen är det gjort. I samma takt som produktionsmiljöer moderniseras måste dataskyddet måste kontinuerligt uppdateras och ses över, så att man kan vara säker på att företaget kan stå emot de nya sofistikerade hot som ständigt utvecklas. Idag ser vi en ökad medvetenhet om aktuella hot bland svenska företag, men många saknar kunskap och verktyg för att fullt ut säkra, skydda och snabbt återställa sin data, trots strängare lagstiftning. Därför är det viktigt för företag att investera i förebyggande av kidnappningsprogram, samt i förmågan att återhämta sig vid händelse av en framgångsrik attack. På så vis kan man skydda sig mot de enorma ekonomiska, verksamhetsmässiga, samt varumärkesskador datastöld kan innebära. Och då förhindrar man också att företaget oavsiktligt finansierar nya framtida ransomware-attacker.
Men glöm inte att säga nej till betalning av lösensummor. Att betala lösensumman garanterar inte dataåterhämtning (vilket var femte företag i vår rapport upptäckt), det skyddar dig inte mot framtida attacker (62 pprocent av nordiska företag i rapporten upplevde flera attacker) och du kommer då att straffas av försäkringsbolaget (81 procent av företagen i rapporten upplever stigande försäkringspremier). Vi måste sluta göda de cyberkriminella – annars kommer de bara att intensifiera och bredda sina attacker ytterligare och attackera ännu fler företag. Organisationer i Sverige och världen över måste rusta sig med dataskydd och återställning från kidnappningsprogram, för att kunna säga nej till utpressningsförsök. Först då kan vi få stopp på den negativa spiralen med cyberbrott, och minska den attackyta som underminerar vår produktivitet, ekonomi och infrastruktur.
Victor Engelbrecht Dohlmann, Nordenchef på Veeam
