Det finns viktiga lärdomar att dra av den allvarliga attacken mot Tietoevry. Var transparent om du drabbas – då kan andra organisationer lära sig och skydda sig.
Se också till att du har koll på vad som pågår inne i nätverken, inte bara på vad som kommer ut och går in. Och se till att säkerheten finns reglerad redan i outsourcingkontraktet. Det säger Leif Jensen, säkerhetsexpert på ESET Nordics.
Efter ransomware-attacken mot Tietoevry tidigare i januari har cybersäkerheten dominerat nyhetsagendan i Sverige. Leif Jensen, säkerhetsexpert på ESET Nordics, säger att väldigt uppmärksammade incidenter som denna attack alltid leder till en våg av spekulationer och gissningar både i media och i branschen – men att det är viktigt att hålla sig till de fakta som finns tillgängliga.
Leif Jensen, säkerhetsexpert på ESET Nordics
Han berömmer också Tietoevry för den transparens de visat under och efter incidenten, och han tror att det finns mycket att lära av den.
– De drabbades av ett ransomware i delar av sin infrastruktur. Det har sedan drabbat en del av deras kunder i just den delen av infrastrukturen, men det har också kunnat isoleras så att det inte påverkat hela infrastrukturen.
Leif Jensen säger att en tjänsteleverantör, service provider, har en mycket komplicerad infrastruktur och eftersom de erbjuder tjänster till många olika kunder har de också många ingångspunkter (entry points) in i den infrastrukturen.
– Om det finns en liten svag länk och om angriparna verkligen vill hitta den så kommer de att göra det om de verkligen vill göra det.
Leif Jensen säger vidare att utefter den informationen som Tietoevry gått ut med har de agerat rätt i många delar efter den här attacken. De har ökat resurserna för att kunna övervaka vad som pågår i deras nätverk och de har kommunicerat så öppet de kan om det.
– Jag är övertygad om att de själva kommer att lära sig av den här processen. Men det innebär också att organisationer runt omkring kan lära sig saker, som till exempel att angriparna finns där ute och att de är beredda att lägga den tid som krävs för att hitta den svaga länken. De behöver bara hitta ett fönster som står lite, lite på glänt så kommer de in.
Den här svaga länken, eller fönstret som står lite på glänt, vad kan det vara för något?
– Det kan vara open connections, som en följd av fjärranslutna enheter. Även om distansarbetare är uppkopplade via ett VPN och även om de använder sig av multifaktorsautentisering, så kan angriparna ta sig runt det här. De är väldigt kreativa.
– Men det kan också handla om att angriparna kommer över användarnamn och lösenord, som finns att köpa ute på nätet.
Så MFA och VPN är inte tillräckligt längre?
– Det beror på hur det används. Som användare måste du ta reda på hur de här verktygen används på säkraste sätt. Man behöver förstå de säkerhetslösningar du använder.
Leif Jensen återkommer också till att man som försvarare av ett nätverk inte kan nöja sig med att övervaka den trafik som kommer in och går ut, utan att man hela tiden måste ha koll på vad som faktiskt pågår inne i nätverket.
– För det är en sak att de hittar det här fönstret som står lite på glänt och kommer in, det i sig kan de inte använda till så mycket. Men det ger dem möjligheten att sniffa runt inne i nätverket och ta reda på var exakt de svaga länkarna finns.
Det är också i den här delen som cybersäkerheten ofta brister hos nordiska företag, fortsätter Leif Jensen. De flesta företag har fullgoda skydd ute i kanten av nätverken, med antivirus och brandväggar, men de har ofta dålig kunskap om det sker inuti.
– Det här är en allt vanligare strategi hos angriparna. De smyger sig in och stannar kvar under radarn fram tills dess att de vet att en attack kommer att vara framgångsrik. Om man inte tar dem medan de smyger omkring kan det vara försent.
Om vi ser på de här så kallade supply chain-attackerna, så riktas de ju mot en leverantör men det drabbar ju också kunder och partners – vad kan de göra för att skydda sig?
– Jag brukar säga till de som outsourcar sin it: Kom ihåg att ni kan outsourca uppgiften men inte ansvaret. Om du outsourcar din it till ett företag måste du ha förtroende för att de hanterar säkerheten på rätt sätt, men det måste också finnas i kontraktet hur leverantören hanterar säkerheten och vad som sker vid en incident. Har de processer på plats om en incident inträffar?
– Allt det här måste undersökas innan en organisation outsourcar sin it.
Vi har ju haft flera väldigt allvarliga supply chain-attacker i Sverige de senaste åren. Hur har den här typen av attacker utvecklats under de senaste åren?
– De har utvecklats en hel del, helt enkelt eftersom de kriminella har insett att de är så effektiva. I stället för att gå ut och attackera tio eller femton enskilda företag, så behöver de bara gå till ett ställe. Det är ett drömscenario för en angripare, att slå mot leverantörskedjan.
– Men det går att förbereda sig på samma sätt som organisationer förbereder sig på andra katastrofer, som till exempel om det skulle börja brinna i byggnaden.
