[KANALPARTNER] Miamibaserade mjukvaruföretaget Kaseya, vilket betyder “skydda och försvara” på Sioux-språket, har under flera år analyserat flera större cyberattacker på den globala marknaden och bland mycket annat upptäckt ett mönster där företagen många gånger undviker att rapportera in de attacker som de blivit utsatta för vilket i förlängningen förvärrat det slutgiltiga resultatet från den ursprungliga attacken.
IT-Kanalen fick möjlighet till en intervju med Jason Manar, Chief Information Security Officer på Kaseya och tidigare Cyber Supervisory Special Agent på på FBI för en närmare diskussion om varför vi nått detta läge och vad vi kan göra för att detta inte ska eskalera vidare.
En säkrare framtid
Kaseya grundades 2000 av teknikentreprenörer som insåg behovet av ett bättre och enklare sätt att hantera IT-infrastruktur. Fram tills 2024 har företaget vuxit från en liten startup till ett globalt företag med över 5 000 anställda och över 45 000 kunder i mer än 21 länder. I dag, anno 2024, är Kaseya ett ledande företag inom inom IT- och säkerhetshanteringsprogramvara, med en serie produkter som inkluderar lösningar för fjärrövervakning och hantering, säkerhet, säkerhetskopiering och återställning med mera. Så trots att företagets grundläggande målsättning om att “skydda och försvara” fortfarande är en av hörnstenarna i bolaget så har produktportföljen blivit mer komplett.
En av anledningarna till att Kaseya nått denna position är, förutom att företaget levererar marknadsledande lösningar, företagets syn på och vikten av varje enskild individ. Detta märks både sett till personal där företaget har en tydlig policy av att lyssna på och lyfta sina anställda för att på detta sätt dra nytta av varje persons unika kompetens och erfarenhet. Men det märks även sett till hur företaget kommunicerar med marknaden i stort där bolaget gärna delar med sig av sina erfarenheter och kunskaper för att skapa en stabilare och säkrare framtid för alla.
Jason Manar, Chief Information Security Officer på Kaseya
Det var med fokus på det senare och med utgångspunkt i det ökande antalet hemlighetshållna cyberattacker där vi bland annat från en rapport av Keeper Security från hösten 2023 kunde se att 41% av cyberattacker blev inte kommunicerade internt till ledningen och 48% av cyberattacker blev inte rapporterade till myndigheterna som IT-Kanalen pratade med Jason som har en tydlig bild på både läget i sig samt en ganska enkel lösning på hur vi kan minska på dessa trista siffror framöver.
· Jag arbetar, sedan ungefär tre år, som CISU på Kaseya med ett primärt fokus på att övervaka informationssäkerhet och efterlevnad samt att jag leder cybersäkerhetsavdelningen för att identifiera branschens senaste hot och sårbarheter. I min roll så säkerställer jag även efterlevnad av säkerhetskrav som är direkt kopplade till myndighetsföreskrifter, vilka ofta varierar beroende på global region. Innan jag kom till Kaseya arbetade jag under flera år inom FBI med att bland annat övervaka all cyber-, kontraspionage, underrättelser samt språktjänstprogram för San Diego-kontoret där jag över tid såg troligen över 1000 olika former av cyberintrång så jag har sett all från de lite snällare till de riktigt otäcka angreppen.
Men jag arbetade även med delar som undersökande av narkotikahandelsorganisationer, våldsbrott, cyberbrottslighet och gränsöverskridande organiserad brottslighet samt med offentlig korruption, medborgerliga rättigheter och bedrägerier inom sjukvården. Detta gav mig en mycket bred insyn och förståelse för hur den kriminella sidan fungerar och agerar inom olika områden vilket har varit till en stor nytta för mig i min nuvarande roll. En trend som vi har kunna följa under flera år och som verkligen oroar mig är just den omfattning som de personer och företag som utsätts för olika former av cyberattacker väljer att tysta ner händelsen och inte rapportera den vidare vilket kan och ofta leder till mycket allvarliga konsekvenser, berättar Jason.
Förståelse och insikt.
Att ha en bredare förståelse och inblick i flera led med en global synvinkel är även det en del som blivit allt viktigare. Vi har under åren sett allt fler företag som blivit globaliserade där framför allt internet gjort det möjligt för flera branscher att expandera utanför sina normala gränser. Detta är så klart primärt av en positiv art då det skapar nya möjligheter men samtidigt så innebär det även ökade risker både sett till de ökade cyberattackerna men även sett till den ökade globala spänning som vi kunnat följa runt om i världen baserat på olika krig eller andra oroligheter.
För förutom att krigen i sig är en katastrof så innebär det även många gånger stora förändringar i de mer digitala leden så som vart data är lagrad eller vilka noder som ett företags data passerar mellan exempelvis olika kontor eller mellan kunder och partners. Till detta så finns sedan även den normala dataregleringen för varje land och ibland ner på mer lokala regioner som alla måste efterfölja och här menar Jason att det mycket viktigt att företag har en tydligt utformad strategi för att hantera detta.
· Jag skulle vilja säga att vi har varit framgångsrika i att skapa ett fantastiskt team. Där vi har kunnat, inte bara flytta nålen så mycket framåt i vårt sätt att tänka om säkerhet, om hur vi skyddar våra kunder och kring hur vi skyddar data utan även hur vi reagerar i ett globalt utrymme där det finns dataregleringar av olika former mer eller mindre överallt.
Det vi har sett och som jag anser vara oerhört viktigt är att företag och organisationer måste ha en mycket noggrann strategi över sitt data. Det vill säga att de måste ha en detaljerad plan över hur deras data flödar, rätt förståelse för var deras data är går igenom, vem de säljer till där din data lagras och förvaras samt vart dina uppgifter finns. Vad som gäller för varje bolag är sedan inte samma för andra utan det beror på bland annat vilken region, territorium, stat och eller land du bor i eller ditt företag är registrerat i. Till detta så finns lagar och tillämpningar baserat på vart ditt företag gör affärer och vilka former av data som överförs mellan olika gränser och det är alla dessa, och än flera regleringar, lagar och förordningar som är anledningen till att kartläggning av datanätverk är så viktig för att förstå vart dessa dataflöden tar vägen, säger Jason.
· Men det är lika viktigt att veta att du, trots att företaget gjort denna kartläggning och har full koll, aldrig kan slå dig till ro och tro att du gjort ditt. Du måste hela tiden se till att ha ett lyssnade öra mot framtiden och vad regeringar har på gång för potentiella förändringar. För även de striktaste regleringarna i dag kan se helt annorlunda ut redan i morgon och att ha den typs av insikt eller lins in till framtiden är en oerhörd fördel både internet och gentemot konkurrenter så en kombination av djup förståelse med insikt om framtiden blir allt viktigare för moderna företag, oavsett storlek.
Ökad öppenhet
En del som underlättar denna reglering och efterlevnadsprincip är att vi i allt fler områden börjar se mer globalt sett kopplade regelverk. Dessutom så erbjuder flera länder och regioner även fria genomgångar av såväl privata bolag som myndigheter där användare kan få en inblick i vad som är på gång och som troligen kan komma att bli framtida regleringar. Ytterligare en del som även Jason lyfter vikten av är den ökade öppenhet som förekommer mellan företag där men delvis frångår mer klassiska förhållningssätt med att inte dela information för att nu allt oftare både dela information om hotbilder och hur vi kan förebygga och minimera skadorna från desamma.
· En intressant och positiv trend som vi kunna se under de senaste åren är att allt fler företag delar med sig av viktig information till såväl den publika sektorn och till myndigheter men även delvis till konkurrenter. Ser vi tillbaka något decennium och fokuserar på säkerhetsrelaterade företag så höll dessa gärna på lösningar för hur vissa attacker kunde blockeras eller raderas från system vilket så klart är logiskt ur ett ekonomiskt perspektiv. Men i takt med att cyber attacker blivit både fler och mer skadliga för såväl företag som privatpersoner och samhället i stort så ser vi idag en trend där företag X, när de hittar ett nytt hot, delar denna information med liknade företag för att på detta sätt snabbare komma fram med en lösning mot hotet innan det blivit för omfattande och detta är en positiv utveckling som vi välkomnar och som förhoppningsvis blir än mer omfattande. För det vi ska vara väldigt klara och tydliga med är att idag så är det inte en från om OM utan en fråga om NÄR som du eller ditt företag blir utsatt och om något drabbar en av oss så kommer vi alla att påverkas.
” – If something happens to one of us, all of us take a hit”
Tyvärr så gäller inte denna öppenhet alla områden utan som vi inledde med så är ett av de stora problemen under senare år koppla till just dess motsats – att företag som blivit utsatta inte berättar detta och delar med sig av sin information och erfarenhet vilket i sin tur ofta leder till mer omfattande skador och att flera hinner bli drabbade. I de flesta länder så finns i dag inga formella regelverk eller lagar som säger att företaget som blivit drabbar måste rapportera in incidenten men däremot så rekommenderas att alla incidenter rapporteras så snart de bekräftats för att på detta sätt förebygga vidare spridning och även snabbare kontroll över problemet. Exakt varför drabbade ändå väljer att inte agera eller agera i det tysta är svårt att få ett enhetlig svart på. Janson menar dock att grunden till problem kan vara koppla till det mänskliga narrativet och vad övriga ska tycka och tänka.
· Redan under min tid på FBI, och så även i dag hör jag ofta exempel på företag som är rädda för vad allmänheten ska tycka och vilka negativa delar som kommer att citeras kring en händelse. Men min erfarenhet visar på att det direkt motsatta är den bästa vägen att gå. Både andra företag och allmänheten vill ha en transparens och få information om händelser. För förståelsen om att vi alla kan, kommer eller redan har drabbats är idag så spridd att det finns en förståelse även för att just företag X drabbas. Det som däremot blir avgörande är hur företag X hanterar ärendet när de drabbas. Det vill säga hur du reagerar på det brottet är det som gör skillnad. Hur transparent är du? Vad gör du för att svara på det? Hur meddelande du det till allmänhet och berörda parter? Vad gör du för att ta hand om det och se till att dra lärdomar från det samt minimera att det inte händer igen?
Tittar vi på detta över ett lite längre perspektiv, låt säga 24 månader, så kommer folk i allmänhet att redan ha glömt att det har hänt om ärendet skötts korrekt medan vi på den motsatta sidan lika gärna kan se att företag som inte hanterar det korrekt inte ens finns kvar, så tvära kast kan det vara. För att berätta ger både en ökad trovärdighet och respekt som företaget tjänar på även om det kan kännas jobbigt.
Så för att avrunda och kort summera skulle jag vilja lyfta fram vikten av förståelsen om att detta är saker som händer med alla företag. Till detta så måste det finns en tydlig plan som baseras på diskussioner, både högt och lågt, om vad företaget ska göra när det händer. Detta ska sedan med regelbundenhet övas in, ungefär som en brandövning. Det räcker INTE med att bara skriva ner det för vad gör du då när attacken sker och du inte kommer åt dessa data? Se till att skapa fiktiva fall som ni kan öva på för gör ni detta regelbundet så kommer det att sitta i muskelminnet och ske med mer eller mindre automatik. Slutligen så handlar det även om att kommunicera ut och prata med kunder och allmänhet om och när något inträffar. Har du detta med dig så är du så bra ”egenrustad” som du kan vara. Sedan bör detta så klart kompletteras med en mer holistiskt lösning vilket vi på Kaseya så klart kan hjälpa till med, avslutar Jason.
