Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
Om inte säkerhetskopiering fungerar fullt ut är det bara en tidsfråga innan ett företag får slå igen. Det här blev tydligt i slutet av augusti när de danska företagen Azerocloud och Cloudnordic drabbades av ransomwareattacker. De förlorade alla data som de hanterar åt sina kunder.
Eftersom Azerocloud och Cloudnordic är molnföretag har de ingen verksamhet kvar utan tillgång till sina kunders data. Och även om de skulle lyckas återskapa alla data, vilket de i skrivande stund så vitt jag vet inte har gjort, så riskerar de att förlora merparten av sina kunder.
Cloudnordic beskriver att attacken mot företaget inträffade när servrar flyttades mellan datacenter. Servrarna som flyttades var skyddade av både brandväggar och antivirusprogram, men några av dem var infekterade med skadlig kod innan flytten, vilken inte var känt. Den skadliga koden hade inte varit aktiv i det tidigare datacentret, men aktiverades och spreds under flytten. Den skadliga koden fick tillgång till:
- Alla lagringslösningar.
- Lösningen för replikering och säkerhetskopiering (backup).
- Lösningen för hantering av sekundära säkerhetskopior.
Attacken utfördes genom att alla diskar till alla virtuella maskiner krypterades, utan att det syntes några tecken på databrott. Man har inte kunnat se att angriparna haft tillgång till servrarnas datainnehåll, däremot till servrarnas system för administration, från vilka hela diskar kunde krypteras. Det har inte synts några tecken på försök att kopiera ut stora mängder data.
Cloudnordic förlorade tillgång till alla data. Företaget saknade tillgång till ej manipulerade säkerhetskopierade data att återläsa. Ett krav på att betala lösensumma för att låsa upp data, vilket företaget vägrade göra, kom som ett brev på posten.
Den här tragiska historien inskärper vikten av att säkra alla delar av en IT-miljö, även för säkerhetskopiering. Tänk på följande:
- Använd en modern lösning för säkerhetskopiering, en så kallad cyber recovery-lösning. Minimera kontakten mellan den och andra IT-resurser, lagra säkerhetskopior som inte går att ändra (immutable) och integrera lösningen med andra säkerhetslösningar, till exempel för att larma dem om någon försöker manipulera säkerhetskopior. Även ”air gap” kan vara användbart i vissa fall. Det innebär att använda ett separat, isolerat nätverk för säkerhetskopiering.
- Undvik infrastruktur för säkerhetskopiering som använder sårbara lösningar, som osäkra öppna protokoll och använd en cyber recovery-plattform som är härdad.
- Ha koll på vilka data som kan ha läckt eller manipulerats. Det underlättar både återställning efter en attack och att hantera lagenlig rapportering.
- Använd multifaktorautentisering (MFA) för åtkomst till systemen för att administrera lagring och säkerhetskopiering.
- Testa, testa och testa att all utrustning och hela processen för säkerhetskopieringen fungerar innan det blir skarpt läge.

Chef, Cybersecurity
Conscia Sverige
Företag som tar fasta på de här råden minskar risken för att ett intrång ska bli katastrofalt och för att gå i konkurs på grund av brister i cybersäkerhet.