Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.

Man kan tycka att ransomware (utpressningsattacker, gisslanattacker) inte kan bli ännu värre för de drabbade än de redan är. Men det kan de. På senare tid har vi fått se användning av en ny metod, och vi kan kallt räkna med att den kommer att användas fler gånger.

Det är hotaktörerna i ransomwaregruppen ALPHV/BlackCat, BlackCat i fortsättningen, som varit ”kreativa”. De har anmält ett företag som de attackerat, fintechföretaget Meridianlinks, till amerikanska myndigheter för att inte ha rapporterat attacken på ett lagenligt sätt. Myndigheten i fråga är den som övervakar handel med värdepapper (U.S. Securities and Exchange Commission, SEC).

Enligt lagen som Meridianlinks anklagas för att bryta mot måste företag rapportera cyberattacker inom fyra dagar. Det talas redan om ”Weaponization of SEC Reporting”, alltså att utnyttja en lag för kriminella ändamål.

Det är flera saker som verkligen sticker ut med attacken mot Meridianlinks:

  • Att hotaktörer använder en sådan här, för de allra flesta oväntad, metod visar att det ständigt dyker upp nya metoder för att utföra cyberbrott.
  • Att hota med anmälan innebär att hota med att förstöra ett företags renommé. För en del företag är det kanske värre än att förlora data. Det är i alla fall väldigt negativt för alla företag och katastrofalt för en del.
  • En anmärkningsvärd sak med attacken mot Meridianlinks är att BlackCat gjorde sin anmälan redan i november, trots att den nya lagen om anmälningsplikt inte började gälla förrän 15 december.
  • Att hota med anmälan innebär att det blir enklare för cyberkriminella att utföra utpressningsattacker, eftersom de inte behöver ägna lika mycket arbete, tid och pengar åt sofistikerade tekniklösningar.

Att hotaktörerna strävar efter enklare hantering blev tydligt under 2023, då flera av dem inte brydde sig om att kryptera data under attacker, utan ”bara” stal data. Anmälningsattackerna är nästa naturliga steg i den utvecklingen.

Att anmälan gjordes i USA, enligt en amerikansk lag, är sannerligen ingen tröst för svenska företag. Det nya EU-direktivet NIS2 som kommer att omsättas i svensk lagstiftning lämpar sig utmärkt för sådana här utpressningshot. Rapportering till myndigheter är en viktig del av NIS2, som gäller för fler företag än den äldre versionen av direktivet.

Jag är övertygad om att vi kommer att få se fler ”anmälningsattacker” under 2024, även i Sverige, högst troligt i kombination med traditionell kryptering, stöld eller radering av data.

Hur ska man skydda sig mot anmälningsattacker? Tidigare rekommendationer vad gäller säkerhetsfunktioner och skydd gäller fortfarande, men två saker att tänka på är:

  • Det blir ännu viktigare att informera sig om och följa lagstiftning om rapportering av cyberbrott, inte minst som en följd av de nya riktlinjerna i NIS2 direktivet.
  • Det är också av högsta vikt att ha en säkerhetslösning (cyber recovery) med vilken det går att se vilka data som blivit stulna eller manipulerade, speciellt om det handlar om känslig information.

Man kan kanske tycka att krav på att följa lagar om rapportering innebär ökade kostnader och behov av personal. Men det handlar trots allt om lagar, som det är meningen att man ska följa. Det som är besvärligt är att kravet på efterlevnad av lagar blir mer akut. Men det kanske, på sätt och vis, är en bra sak.

Emanuel Lipschütz, cybersäkerhetschef på Conscia Sverige

Kontentan är att det hot som utpressningsattacker medför blir större och mer diversifierat.

Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik

Sponsrat innehåll från Skövde kommun
ANNONS

Ready to take the lead? I Noden expanderar framtidens ledande branscher

I Noden expanderar framtidens ledande branscher Skaraborgsregionen växer snabbt och fokuserat. Nya satsningar inom digitalisering, smart industri, spelutveckling [...]