När en ny sårbarhet i programvara blir känd innebär det för de flesta företag att de skickar ut ett pressmeddelande som berättar alldeles för mycket. Cyberbrottslingarna betraktar det som en inbjudan och en tydlig uppmaning att attackera. Det menar Torben Clemmensen, business development manager Nordics, och Yasin Ilgar, managing DFIR specialist på Secuinfra.
Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
En sak som alldeles för många missar är att när sårbarheter i programvara blir allmänt kända är problemet ofta fortfarande inte löst. Det har däremot blivit ett öppet sår och hela internet vet var det finns.
Det finns en tidsperiod mellan de två meddelandena ”Vi har ett problem” och ”Vi har löst problemet”. På fackspråk kallas denna period för ”sårbarhetsfönster” – vi kallar den för ”semester för hackare”.
Precis som glupska charterturister stormar mot solstolarna vid poolen tidigt på morgonen, med handdukarna i högsta hugg, rusar hackare in för att plantera ransomware och begå datastölder.
Andra, låt oss kalla dem för ”mer tålmodiga skurkar”, smyger in, gömmer sig och väntar. De bidar sin tid och upprättar en diskret användare och skapar en bakdörr eller en oskyldig tjänst som ligger dvala och är osynlig tills hackarna en dag behöver den.
Angripare kommer alltid att hitta ett sätt att infiltrera eller kompromettera dig. Det som verkligen spelar roll är hur snabbt du upptäcker dem – och vad du gör när du väl har upptäckt dem.
De flesta börjar omedelbart tänka på att installera en patch – och det låter enkelt, eller hur? ”Tryck bara på Uppdatera”, säger någon. Men det kan vara världens dummaste råd, för i själva verket startar då en kaotisk dans mellan it-avdelningar, leverantörer och system som går i baklås så fort någon säger ”ändra”.
För många organisationer tar det dagar eller veckor att testa, godkänna och rulla ut en patch, och under den tiden är hackarna redo att slå till. De har inga personalmöten, strategiseminarier eller gemensamma luncher varje torsdag. De har ett enda mål – och en rejäl dos tålamod.
Och om du tror att kritisk infrastruktur är bättre skyddad, så tänk om. Man startar inte om ett vattenverk eller ett fjärrvärmesystem mitt under lunchen bara för att uppdatera programvaran. Detta innebär att några av samhällets mest kritiska system i själva verket körs på den digitala motsvarigheten till Windows XP, med många lager plåster.
När sårbarheter drabbar ”vanliga” företag kostar det pengar. Mycket pengar. När de drabbar kritisk infrastruktur är det befolkningen och samhället som får betala priset.
En lucka i ett styrsystem på ett vattenreningsverk kan ändra på kemikaliedoser. En lucka i ett elnät kan mörklägga en hel stad. En lucka i ett fjärrvärmesystem kan frysa ett bostadsområde mitt i januari. Och en lucka i ett sjukhusnätverk kan vara skillnaden mellan liv och död.
Vi har sett det hända. Ukraina blev mörklagt och förlorade strömmen – två gånger. Ett försök gjordes att förgifta ett vattenverk i Florida. Och flygplatser här hemma i Norden lamslogs av ”tekniska problem” som mest liknade koordinerade cyberattacker.
Vad hade de gemensamt? En känd sårbarhet som lämnades öppen lite för länge.
I många år har cybersäkerhet betraktats som en it-kostnad som kan gömmas undan längst ner i budgeten. Men när systemen som håller igång samhället är digitala blir varje bugg som inte fixats ett hot mot den nationella säkerheten.
Skillnaden mellan att bli drabbad och att fortsätta vara online är inte teknik – det är tid. För när sårbarheten finns där räknas varje minut. Ju snabbare du kan reagera, desto färre kommer att sitta i mörkret och klaga på att kaffekokaren och kylskåpet inte fungerar.
De flesta företag patchar fortfarande efter kalendern: ”Vi uppdaterar första tisdagen i varje månad.” Fantastiskt. Hackarna tackar för din planerade ineffektivitet och ägnar de övriga 29 dagarna åt att hitta en väg in.
Till och med myndigheterna ligger efter – och även om NIS2 och andra EU-förordningar försöker tvinga fram ett högre tempo så täpper inte lagstiftningen till luckorna. Det gör däremot överblick, handling och ansvar.
Många har fortfarande ingen överblick över var deras viktigaste sårbarheter finns – och det man inte vet om kan man inte åtgärda förrän hackarna har fått in foten. Och då är det för sent.
Det finns tre saker som faktiskt fungerar. Först och främst måste du ha en överblick. Känna till dina system – allihop. Inklusive de gamla och till och med de ”tillfälliga” som har varit tillfälliga sedan 2013. Utan överblick blir allt annat slumpmässigt.
Sedan måste du skanna konstant. Inte en gång om året, utan kontinuerligt. Världen förändras snabbare än du hinner få din nästa change request godkänd. Nya sårbarheter uppstår hela tiden, och bara genom att skanna kontinuerligt kan du upptäcka dem innan andra gör det.
Till sist: Kontrollera om hackarna redan är inne. En komprometteringsbedömning låter teknisk, men i grund och botten handlar det bara om att ta reda på om dörren redan står på glänt. Många upptäcker ett intrång först när skadan redan är skedd, men genom att leta proaktivt eliminerar du överraskningsmomentet. Och det är den största segern du kan få inom cybersäkerhet.
Sårbarheter kommer alltid att finnas. Men faran ligger i skillnaden mellan att känna till dem och att agera på dem. Det är då sjukhusen går offline, vattnet stannar och fjärrvärmen inte kommer fram.
Frågan är inte om du kommer att drabbas, utan när du kommer att drabbas. Känn till dina tillgångar så att du vet exakt vad du ska skydda.
Så om du vill ha ström i dina vägguttag, varmvatten i din dusch och värmelement som gör mer än säger ”klick”, ta det här på allvar. Det heter inte: ”Vi gör det nästa måndag.” Det heter: ”Sätt igång nu.”
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Anmäl dig till vårt nyhetsbrev!
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
