Aktuell Säkerhet

Tidningen för dig som vill göra säkrare affärer

Advertisement

Tre sanningar om ransomware – därför görs det inte tillräckligt mycket

| Kronika

Ransomware-attacker fortsätter att drabba företag av alla storlekar. Nyligen fick två incidenter enorm uppmärksamhet: Gunnebo och Vannepsyk – och även om mycket fortfarande är oklart kring båda dessa kan vi nog fastslå att det visar på allvarliga brister.

Faktum är att de här två fallen bara är toppen av ett isberg. Det fastslogs inte minst efter MSB:s skarpa varning om att ransomware-attacker är på kraftig uppgång. Bakgrunden till den varningen är att amerikanska CISA nyligen uppmärksammat att sjukvårdssektorn i USA är utsatt för större ransomware-hot. Samma utveckling spås drabba Sverige.

Varför ser det då ut så här? En delförklaring är att säkerhetsområdet idag är så komplext och oförutsägbart. Den pågående pandemin har dessutom skapat ytterligare utmaningar för organisationer över hela världen. I takt med att anställda får andra rutiner blir det svårare att upptäcka oregelbunden trafik och misstänkta aktiviteter.

Säkerhetsavdelningar brottas varje dag med oväntade utmaningar, till följd av en ständigt pågående digital transformation. Nyligen publicerade vi på One Identity en större undersökning som visar att endast 38 procent av respondenterna i Skandinavien anser att övergången till distansarbete fungerat smidigt. Och bara 42 procent säger sig vara tillräckligt förberedda för de nödvändiga IT-förändringar som behöver ske när de anställda så småningom återgår till kontoret. Det skapar en perfekt storm för nätkriminella. Det är inte det minsta anmärkningsvärt att vi nu ser en våg av ransomware-incidenter och att det varnas för ännu fler.

Lägg därtill att det inte existerar någon enkel lösning till detta eskalerande problem. Snarare bör varje enskild organisation arbeta utifrån en kombination av flera förebyggande åtgärder och anpassa dessa efter sin egen struktur.

  • Anställda slarvar fortsatt med det mest rudimentära
    Ransomware-attacker är förrädiska på så sätt att de nästan alltid börjar med någon annan typ av attack. Mycket är fortfarande oklart kring Gunnebo-incidenten men vad vi vet är att en grupp påstår sig ha kommit över data via ett numera nedsläckt Twitter-konto. Utifrån det har man utfört attacker mot en rad större bolag. Dels är det extremt allvarligt att anställda saknar förståelse för hur bristande rutiner riskerar att skada företaget, dels är det en utmaning att skydda alla dessa konton som cirkulerar.
  • Det saknas ordentlig kartläggning
    Att utgå från att samtliga inom organisationen sköter sina best practises är att vara godtrogen. I säkerhetsbranschen talar vi om att antingen använda en least privileged- (vem som har tillgång till vilka data) eller en zero trust-strategi (att kontrollera samtliga förfrågningar). Genom sådana implementationer blir det mycket enklare att sätta in förebyggande åtgärder på rätt plats och stoppa incidenter innan de blir kritiska.
  • Tillräcklig detektering behöver sättas in
    När väl en incident inträffar är det nödvändigt att rätt resurser sätts in i ett så tidigt skede som möjligt. Genom att segmentera strukturen och arbeta effektivt med priviligierad accesshantering och it-styrning gör man sig själv till en oattraktiv måltavla av den enkla anledningen att det blir för krångligt att utföra en attack.

För att återgå till Nordamerika föreslår det amerikanska finansdepartementet att det framöver ska bli olagligt att betala lösensumma vid en ransomware-attack, och att organisationer som gör så kan komma att åtalas. Det är ett klokt och nödvändigt steg för att vända kurvan och något EU bör ta efter.

Någon ”quick fix” är det dock inte, betalning sker fortsatt i det dolda och trenden pekar åt helt fel håll. Så länge organisationer inte är tillräckligt förberedda lär vi även fortsättningsvis höra om storskaliga incidenter som sätter hela företagets rykte på spel.

Elisabeth Ström Gullberg, Nordenchef på One Identity

Hallå där Scott Gower, Regional Sales Manager, Nordics på Datto…

| Linda Kante

…som nyligen släppte en rapport om ransomware som visar att kostanden för driftstopp hos företag har fördubblats sedan förra året – varför har kostnaden stigit så markant? 

– Driftstopp i IT-utrustningen påverkar alla som är beroende av IT för att göra sitt jobb. Företagen förlitar sig alltmer på IT för att utföra uppgifter som traditionellt har hanterats utanför IT-infrastrukturen. Ju mer ditt företag är beroende av IT för att drivas, desto större blir självklart effekten av ett driftstopp. Moderna företag drivs främst med olika applikationer, och dessa applikationer är allt oftare placerade i ett datacenter. Om dessa datacenter drabbas blir applikationerna otillgängliga och verksamheten kan då inte fungera. Detta kan leda till förlorad försäljning, minskad produktivitet bland de anställda när affärsprocesser stoppas, datafel och skador på utrustning. Detta års ökning av distansarbete har bara förstärkt denna trend ytterligare, vilket har lett till ökad risk för driftstopp, vilket kan öka kostnaderna.

Varför är ransomware som attackform så attraktiv?

– Ransomware är så attraktivt eftersom det är svårt att upptäcka, du behöver flera lager av säkerhet. Detta inkluderar säkerhetslösningar som antivirus, processer för uppdateringar och utbildning i cybersäkerhet för de anställda. Detta kan skydda ditt företag, men du kan fortfarande drabbas. Ransomware fungerar effektivt och brottslingarna hittar hela tiden nya sätt att sprida det. Det räcker med endast en användare som klickar på fel länk för att hela ditt nätverk ska påverkas. Ransomware är också mer tillgängligt nu och du kan till och med köpa det som en tjänst. Vissa utvecklar faktiskt kidnappningsprogram för att sälja dem vidare, så distribuerar brottslingarna sedan programmen på valfritt sätt. Utvecklingen vi ser skapar ett stort behov av strategi och lösningar för kontinuitet och katastrofåterställning där Datto är redo att hjälpa till.

MSPerna uppger att deras företag är mer utsatta än någonsin för ransomware. Vem ligger egentligen skyddsansvaret på? Företagen själva eller MSPerna? 

– Företagen är ytterst ansvariga för sitt eget skydd, men vissa företag väljer att lägga ut sin IT till en MSP. Genom att göra det, är det outsourcing eller så delas ansvaret beroende på överenskommelsen mellan de två. Det är viktigt att företaget är varsamma när de väljer MSP för att säkerställa att de är fullt medvetna om vad som ingår eller ej. Det är också viktigt att en MSP uppmanar sina kunder att investera i cybersäkerhet och lösningar för kontinuitet och katastrofåterställning.

Sjukvården är högt utsatt men känns samtidigt som en av de instanser som bör vara mest skyddad. Hur är det egentligen – ligger cyberkriminella ett steg före oss eller ligger vi ett steg före dem? Och om vi ligger efter – kan vi någonsin gå om?

– Hälso- och sjukvård är ett mycket värdefullt mål på grund av driftstoppets påverkan. Alla typer av driftstopp kan ha enorma och direkta effekter på människors liv. Kriminella förutsätter därför att vårdföretag är beredda att göra vad som helst för att få tillbaka sina uppgifter så snabbt som möjligt, och om det enda sättet att göra det är att betala en lösensumma, så tror de kriminella att betalning kommer att ske. Alla typer av tekniska system kan inte helt förhindra en ransomwareattack eftersom den också kan utlösas av mänskligt beteende. Människor är den svagaste länken i kedjan, och inom hälso- och sjukvården finns det naturligtvis många användare som interagerar med mycket kritisk data. Så det handlar egentligen inte om att vi eller de ligger ett steg före den andra. Det handlar snarare om vikten av förståelse och kunskap så att vi kan sätta in åtgärder för att förhindra driftstopp, men vi bör också ha åtgärder på plats för snabb återhämtning.

”Det händer inte oss” känns som en vanlig axelryckning i sammanhanget. Finns det något grundskydd som ALLA bör ha – enmansföretag som företag med ett par hundra anställda? 

– Det är en mycket normal reaktion. I media ser vi bara rapporter om de enorma internationella företagen som drabbas av kidnappningsprogram. Generellt tror små och medelstora företag att de inte är ett mål, men den tron tillsammans med tillgången på kidnappningsprogram är exakt varför de är ett mål. Att ha skydd mot ransomware är i grunden som att ha en försäkring, och ingen gillar att behöva ha försäkringar. Men alla vet om vikten av en reseförsäkring, hemförsäkring och så vidare eftersom alla känner någon som har påverkats av sjukdom under resa, inbrott och så vidare. Vi ser fortfarande att många små och medelstora företag vidtar åtgärder för att skydda sig från kidnappningsprogram först efter att de har drabbats, och då är det naturligtvis för sent. Ett tillvägagångssätt med flera lager av säkerhet är absolut nödvändigt. Och det bör inkludera antivirus, skydd mot skadlig kod, slutpunktsskydd och patchhantering. Det bör också inkludera regelbunden utbildning i cybersäkerhet för de anställda. En sista men också mycket viktig del av skyddet är att ha en lösning för företagskontinuitet och katastrofåterställning på plats. Denna kommer att hjälpa dig att fortsätta arbeta om du blir attackerad, så ditt företag snabbt kan återhämta sig efter attacken.

Ransomware ökar i Sverige

| Linda Kante

Förra veckan varnade amerikanska myndigheter om att sjukvårdssektorn i USA blivit utsatt för större hot från ransomware-aktörer. Även i Sverige ses en ökad aktivitet av denna typ av cyberattacker.
– Det finns inte anledning till oro i nuläget men det finns definitivt anledning för vårdsektorn att ta varningarna på allvar. Detta är ett tillfälle att särskilt stärka sin motståndskraft mot ransomware, säger Peter Jonegård på MSB.

Den 28 oktober publicerade amerikanska CISA (Cybersecurity and Infrastructure Security Agency) information om att sjukvårdssektorn i USA är utsatta för ett större hot från ransomware-aktörer. Även i Sverige har MSB sett en ökad aktivitet. Med anledning av detta gör funktionen CERT-SE vid MSB en riktad proaktiv insats för att försöka motverka att ransomware drabbar den svenska hälso- och sjukvårdssektorn under en mycket utmanande tid.

Teckna din prenumeration på Aktuell Säkerhet här

– Vi ser allvarligt på den hotbild som beskrivs av CISA och vi har sett tecken på kampanjer som riktas mot Sverige. Eftersom det är ett ansträngt läge för sjukvården har vi därför valt att proaktivt kontakta organisationer inom hälso- och sjukvårdssektorn i syfte att informera om hotbilden samt informera om åtgärder de kan vidta för att avgöra om de är drabbade, säger Peter Jonegård, chef för enheten för incidenthantering på MSB.

– Funktionen CERT-SE vid MSB har tidigare i år tillsammans med FRA, Säkerhetspolisen och Polismyndigheten tagit fram rekommendationer som kan användas inom hälso- och sjukvårdssektorn för att öka motståndskraften mot ransomware. Rekommendationerna innehåller tekniska säkerhetsåtgärder som organisationerna kan vidta och även råd till beslutsfattare om hur det systematiska informationssäkerhetsarbetet kan förbättras, säger Peter Jonegård.

Företag förändras efter att de drabbats av ransomwareattacker

| Linda Kante

En ny omfattande global studie visar att företag som drabbats av ransomware får en kraftigt förändrad inställning till arbetet med IT-säkerhet jämfört med företag som undgått angrepp. I synnerhet är det IT-chefernas förtroende och deras inställning till att bekämpa cyberattacker som ser helt olika ut beroende på om deras organisation har attackerats eller ej.

I IT-säkerhetsföretaget Sophos rapport Cybersecurity: The Human Challenge framgår bland annat att IT-chefer i organisationer som drabbats av ransomware är nästan tre gånger så benägna att känna sig betydligt efter när det gäller att förstå cyberhot, jämfört med kollegor som inte påverkats av attacker (17 procent mot 6 procent).

Teckna din prenumeration på Aktuell Säkerhet här

Den nya undersökningen visar också att majoriteten av de tillfrågade svenska IT-cheferna upplever att de ligger efter i arbetet med att motverka cyberhot. Endast 42 procent anger att de ligger i fas eller före i IT-säkerhetsarbetet. Resterande 58 procent upplever att de ligger efter eller betydligt efter. Det kan jämföras med det globala genomsnittet där 72 procent uppger att de ligger i fas eller steget före i IT-säkerhetsarbetet.

Läs även: Svenska företag betalar mest i världen när de drabbas av ransomware

Samtidigt utmärker sig Sverige genom att företagen här lägger mer tid än i något annat land på att upptäcka cyberangrepp – 34 procent. Resterande tid läggs på att förebygga och åtgärda IT-attacker.

Nära hälften (44 procent) av de svenska företagen uppger också att rekrytering och förmågan att behålla IT-säkerhetsexperter är den enskilt största utmaningen i IT-säkerhetsarbetet. Den andelen kan jämföras med det internationella genomsnittet där 27 procent anger att rekrytering och att behålla kompetensen inom IT-säkerhet är den största utmaningen.

– Undersökningen bekräftar att många IT-ansvariga, inte minst i Sverige, upplever säkerhetsfrågan som näst intill omöjlig att hantera på ett effektivt sätt. Vi ser också hur självförtroendet undergrävs hos de företag som drabbats av ett framgångsrikt cyberangrepp. Där blir man också snabbt varse om värdet av kompetens inom IT-säkerhet, kommenterar Per Söderqvist, IT-säkerhetsexpert på Sophos.

Ransomware-attackerna i Sverige har ökat med 250 procent

| Linda Kante

Antalet ransomware-attacker i Sverige ökade med 250 procent de senaste tre månaderna, jämfört med årets första halvår. Det har säkerhetsforskare på Check Point då de har studerat utvecklingen av attacker med ransomware eller så kallade gisslanprogram runt om i världen.

Sverige ökar mest bland de undersökta länderna i Europa och samma siffra för exempelvis Italien är endast 6 procent och för Storbritannien 80 procent. Globalt sett ökade det dagliga snittet av ransomware-attacker med 50 procent de senaste 3 månaderna jämfört med första halvåret i år.

Teckna din prenumeration på Aktuell Säkerhet här

– Det är ett rekordår för ransomware i år. Trenden började i och med coronapandemin, då den hastiga omställningen av arbetsförhållanden skapade säkerhetsluckor hos många verksamheter. Nu fortsätter attackerna dock att öka på ett mycket oroväckande sätt, säger Mats Ekdahl, säkerhetsexpert hos Check Point.

Möjliga orsaker till att attackerna fortsätter att öka tror man kan vara att:

  • Attackerna har blivit mer sofistikerade. De cyberkriminella använder ofta en teknik som kallas ”Double Extortion”, där de lägger beslag på känslig information från offret innan de krypterar databasen och kräver lösensumma. Den stulna informationen blir då ett ytterligare påtryckningsmedel.
  • De attackerade verksamheterna har blivit mer benägna att betala lösen. Kanske anser många verksamheter att det är enklare att betala lösensumman än att åtgärda en omfattande attack, och behöva återställa sin data. Detta riskerar dock att skapa en ond cirkel där fler cyberkriminella utnyttjar ransomware om möjligheterna att tjäna pengar på dem ökar.
  • Emotet är tillbaka. Efter fem månaders frånvaro är den skadliga koden Emotet tillbaka och ligger nu på första plats på Most Wanted Malware Index, och uppskattas påverka 5 procent av verksamheterna globalt. De cyberkriminella som utnyttjar Emotet, kan sedan sälja information om vilka verksamheter de infekterat. Det gör att ransomware-aktörer får en ännu enklare väg in i en verksamhet.

Mats Ekdahl avslutar med att konstatera att de inte alls är otänkbart att ransomware-attackerna bara kommer att fortsätta öka framöver.

IT-brott så lönsamt att bedragare skapar hela företag kring sina verksamheter

| Kronika

– kan den nordiska affärskulturen stå emot skadliga ransomware-attacker?

Antalet IT-attacker har ökat markant under de senaste åren och statistiskt sett är sannolikheten mycket hög att drabbas av en attack med efterföljande krav på betalning av lösensumma. Hotet om att utsättas för en ransomware-attack eller ett dataintrång utgör ett allvarligt bekymmer för organisationer över hela världen. Men det finns ett antal ljusglimtar vid den nordiska horisonten – företag i norra Europa är nämligen bättre än det globala genomsnittet på att förebygga brott, genom att säkra data med hjälp av moderna strategier för säkerhetskopiering och återställning av data. Detta understryks av resultaten i en färsk global rapport, där det framgår att nordiska företag har en betydligt mindre klyfta mellan hur ofta data säkerhetskopieras och hur mycket data de själva anger att de har råd att förlora – jämfört med det globala genomsnittet. Även om vi i Norden inte nödvändigtvis har bättre IT-infrastruktur eller tillgång till andra mjukvaror än företag i andra regioner, har vi något som andra inte har i samma utsträckning – en företagskultur som tillåter och uppmuntrar vem som helst att göra sin röst hörd om han eller hon har insikter som kan hjälpa företaget att skydda sin mest värdefulla tillgång: dess data. Denna mentalitet, i kombination med en väl genomtänkt dataskyddsstrategi som anger tydligt definierade ansvarsområden, processer och åtgärder med effektiva och pålitliga lösningar, kan bokstavligen förhindra permanenta dataförluster och bidra till företagets överlevnad.

Nittiofem procent av företagen världen över har drabbats av oförutsedda driftstopp under de senaste 12 månaderna. Det finns flera olika orsaker till detta, inklusive tekniska fel och den mänskliga faktorn. Det finns exempel där intrånget har skett obemärkt och i bakgrunden legat vilande eller krypterat data under flera veckor och månader, tills företagets verksamhet stoppas. Slutligen aktiveras attacken fullt ut och orsakar skador – ofta vid ett tillfälle eller på ett sätt som utnyttjar IT-organisationens svagaste punkt.

Många har upplevt IT-attacker och för att få en uppfattning om vad en enda attack kan innebära för ditt företag, så kan du tänka dig effekten av att du och dina kunder inte kan komma åt data under nästan två timmar, vilket är den genomsnittliga tiden för ett driftstopp. Enligt rapporten ligger det genomsnittliga företagets ekonomiska förlust på över 60 000 dollar, för varje timme som dess data är otillgänglig.

Det är därför nordiska företag tillåter och uppmanar alla anställda att delta i kampen mot skadliga aktörer, och det är en kamp som bör uppskattas och stödjas. Först när företag släpper sitt ”det händer inte oss”-tankesätt, eller om det redan hänt, sväljer stoltheten och inser att sannolikheten att utsättas för en ransomware-attack numera är hög, har de möjlighet att hålla skadorna på en miniminivå och helst förhindra långa driftstopp och dataförluster. En ”syndabockskultur” å andra sidan indikerar att företag misslyckas med att ta ett helhetsgrepp, där alla tillgängliga kompetenser, strategier och verktyg används, såväl internt som via externa experter.

En sak är tydlig, IT-brottslingarna kommer inte att sakta ner, inte minst då ransomware-attacker redan har blivit en lukrativ industri i snabb utveckling. Det finns många smarta människor som startar regelrätta (!) verksamheter kring dessa typer av bedrägerier. Verksamheterna omfattar allt från mjukvaruutveckling till rekrytering, betalningslösningar och till och med callcenters som tar hand om förhandlingarna med de utsatta. Ofta kan de även erbjuda ”proof-of-concept” som påvisar att dekrypteringen faktiskt fungerar som utlovat under förhandlingsfasen.

Så, hur kan då nordiska företag fortsätta att uppmuntra alla anställda att bidra till att skydda sin organisation? Här är två viktiga områden att beakta:

För det första måste de inse att den starka entreprenörsandan, som vi i Norden med rätta är stolta över, ibland måste vara mer balanserad. Kunden är ju som bekant kung – och vi vill tillhandahålla vårt bästa erbjudande enligt efterfrågan. Dessutom vill företag också växa snabbt. Men eftersom data har blivit den mest värdefulla tillgången kan inte företagets tillväxt isoleras från säkerhets- och backupåtgärder. Alla kommer att bli måltavlor förr eller senare. Detta innebär också att kompetenser och ansvar måste definieras och fördelas baserat på befintlig expertis – den visionära entreprenören kanske inte är den bäst lämpade för att hantera planeringen och genomförandet av företagets säkerhets- och dataskyddsinitiativ. Men oavsett vem som gör det, så bör den personen belönas för den absolut affärskritiska lojalitet som han eller hon visar upp. Om det inte finns någon med rätt kompetens internt, bör någon omedelbart flagga för behovet av att anlita tredjepartsexperter.

För det andra måste företagen implementera lämpliga lösningar. Att blockera attacker hjälper till en viss grad, men det skulle vara ett misstag att anta att IT-bedragare inte på något sätt kommer att hitta en väg in genom bakdörren. Det kan vara så enkelt som att ta sig in via en tredjepartsapplikation, vars användarvillkor du kanske inte har uppmärksammat tillräckligt noga.

För att garantera affärskontinuitet måste datareplikerings- och återställningsalternativen utvärderas och implementeras utifrån de befintliga kraven: Vilka är alternativen och kostnaderna i förhållande till riskerna? Hur lång tid tar det att återställa data? Är 30 minuter acceptabelt? Vad är det värsta möjliga scenariot som verksamheten kan tåla? Fyra timmar? Har vi verktygen och rätt expertis för att kunna förverkliga den nödvändiga dataskyddsstrategin? Dessa frågor behöver diskuteras på högsta ledningsnivå. Om du är den som belyser dem och dessutom bor i Norden, så är chansen stor att du kommer att belönas för det.

Genom att systematiskt analysera och utvärdera, samt implementera en korrekt infrastruktur, processer och ha lämpliga lösningar för backup, replikering och återställning, maximerar nordiska företag sina chanser att undvika driftstopp, kostnader och ett skadat rykte på grund av IT-attacker. Ja, visst är vi redan duktiga på detta, men bara i förhållande till affärskulturer där medarbetare inte känner sig trygga i att kunna uttrycka sina åsikter och sin oro. Att tala ut är en bra start, men vi behöver även åtgärder. Därför måste nordiska företag vara vaksamma och fortsätta att tillämpa strategier som säkerställer deras kontinuitet och framgång.

Victor Engelbrecht Dohlmann, nordisk försäljningschef på Veeam Software

 

 

Cyberbrottslingar utnyttjar det nya normalläget

| Linda Kante

I slutet på förra veckan kom Esets hotrapport för andra kvartalet av 2020. Rapporten visar att hot relaterade till covid-19-krisen globalt fortsatte att definiera cybersäkerhetslandskapet.

– Internationellt ser vi fortfarande att meddelanden om covid-19 används som lockbete i phishing-attacker, även om vi inte sett några större spår av det i Sverige. Lokalt i Sverige ser vi fortfarande problem med ransomwareattacker mot både privatpersoner och företag, säger Anders Nilsson, CTO, Eset i Norden.

Teckna din prenumeration på Aktuell Säkerhet här

– Mot företag är det fortfarande en ökning av riktade attacker mot fjärrskrivbord (RDP), där de antingen försöker bruteforcea användarnamn och lösenord, eller använder sig av användaruppgifter som läckt via tidigare phishing-attacker. Istället för helt automatiserade attacker så tar angriparna manuellt och försiktigt över hela företagets nätverk och backups för att undvika upptäckt, innan man krypterar eller raderar allting. Därefter begär man en lösensumma specifikt anpassad efter företaget och den data man kommit åt.

– Eftersom många fick börja jobba hemifrån under året har vi även sett spår av att man kanske tummat på säkerheten för att de anställda ska kunna komma åt jobbdata utanför kontoret. Man öppnar upp för fjärrskrivbord, eller använder nya tjänster för att dela sina filer med varann, utan att informera användarna om nya risker, eller att man helt enkelt inte tänker på den utökade attackytan.

Hur skolor kan garantera att data förblir säkra i en tidsepok av digital inlärning och ransomware

| Kronika

Oavsett om du är lärare, förälder, IT-professionell eller student, så har du bevittnat den extraordinära förvandlingen som utbildningssektorn nyligen har genomgått. Trots att våra skolor redan sedan flera år tillbaka har arbetat för att underlätta distans-, digital- och fjärrundervisning, så råder det ingen tvekan om att den globala nedstängningen har verkat som en katalysator för ännu snabbare och viktigare förändringar.

När våra system fortsätter att utvecklas är det viktigt att vår datasäkerhetsstrategi utvecklas i samma takt. Detta innebär att garantera tillförlitligt skydd av utbildningsdata mot en av de vanligaste attackmetoderna, ransomware.

Insamlade data om studenter, personal och lärare kan vara högst personliga eller känsliga och kan innehålla data om studentprestationer, demografiska egenskaper eller undersökningssvar. Dessa uppgifter är attraktiva för en potentiell hackare eftersom de förstår vilken inverkan ett dataintrång kan ha på en institutions rykte, och ser därför en bättre chans att kräva fram en lösensumma för sina brott.

Genom att genomföra proaktiva försiktighetsåtgärder, i motsats till reaktiva, kan en sådan konfrontation undvikas. IT-avdelningar inom läroverk bör överväga en dataskyddsstrategi som grundar sig på utbildning, implementering och sanering för att den ska vara ogenomtränglig här och nu.

Förstå riskerna
Förståelseresan börjar efter att hotaktörerna har identifierats. RDP (Remote Desktop Protocol) eller andra fjärråtkomstverktyg, phishing- och mjukvaruuppdateringar är de tre huvudmekanismerna för inträde. Att känna till detta kan hjälpa din institution att rikta sina investeringar strategiskt, för att möjliggöra maximal motståndskraft mot ransomware ur ett attackvektorperspektiv.

De flesta IT-administratörer använder RDP i sitt dagliga arbete, med många RDP-servrar som fortfarande är direktanslutna till Internet. Som ett resultat använder idag över hälften av ransomware-attackerna RDP som en inträdesväg. De som inte kommer in via RDP kan istället välja phishing-mail som sin föredragna intrångsmetod. Om du någonsin är osäker på om du har fått ett phishing-mail så finns det två populära verktyg som kan hjälpa dig att bedöma risken för din organisation. Dessa är Gophish och KnowBe4. Det är också viktigt att beakta behovet av att uppdatera kritiska kategorier av IT-tillgångar, såsom operativsystem, applikationer, databaser och firmware-verktyg. Utöka detta grundliga tillvägagångssätt till att innefatta även datacenter, eftersom de kan vara lika mottagliga för attacker som de data som finns på plats.

Genomförande

När det kommer till en ransomware-attack, så bygger dess elasticitet på hur backuplösningen är implementerad, samt på hotets beteende och korrigeringsförloppet. Som en betydande del i ransomware-attackens slagkraft, så utgör implementeringen av backupinfrastrukturen ett kritiskt steg.

Backupförvaring är en viktig lagerresurs när det gäller motståndskraften i ransomware, varpå åtkomst till denna inte bör tillåtas inom organisationen. Insiders som har behörighet att få tillgång till dessa data kan leda till potentiella läckor utanför organisationen. Därför rekommenderas att dessa ansvarsområden hanteras av en tredje part.

Sanering
Även om din institution är utbildad kring hoten av ransomware och implementerar rätt metoder i enlighet med detta, bör du alltid vara beredd att vid behov kunna åtgärda ett hot.

Om du utsätts för en attack är dina nästa steg för att sanera ransomware-effekterna:

  • Betala inte någon lösensumma.
  • Det enda alternativet är att återställa data.

En av de svåraste delarna i att återhämta sig från en hackerattack är beslutsprocessen. Se till att du har ett tydligt protokoll på plats som fastställer vem som ska besluta om återställning eller omställning av dina data i händelse av en katastrof. Inom dessa affärsdiskussioner bör du komma överens kring en säkerhetschecklista, incidentrespons och kontaktpersoner för identitetshantering, som du kan ringa vid behov. När ett intrång sker är det viktigt att agera snabbt. Du kommer att tacka dig själv om du har förberett dig i förväg.

På samma sätt som om du skulle investera i din hemförsäkring, så bör du överväga att göra en backupinvestering för ditt företag. Förhoppningsvis behöver du aldrig använda den, men om det värsta händer, så är din institution skyddad, samt din personals och dina studenters data säkrade. Genom att utbilda dina kollegor ordentligt om riskerna, implementera lämplig infrastruktur och ha rätt korrigeringsprotokoll på plats, så kommer du inte bara att öka din motståndskraft mot ransomware-attacker, utan även undvika dataförluster, finansiella kostnader eller skador på din skolas rykte.

Rick Vanover, Senior Director of Product Strategy, Veeam

 

 

Uppgifter: Canon utsatt för ransomwareattack

| Linda Kante

Kameratillverkaren Canon har utsatts för en ransomwareattack. Det är iallafall vad det mesta tyder på enligt sajten Bleeping Computer. Den troliga attacken har genererat att användare av företagets gratismolntjänst har förlorat data.

Bleeping Computer skriver även att en anställd hos Canon vittnat om att problemen som uppstått påverkar flera av företagens system. Samma källa har vidarebefordrat en skärmdump innehållandes ransomwaremeddelandet till sajten. Personerna bakom attacken utgör enligt uppgift en känd ransomwareförövare.

I skrivande stund har Canon ej kommit med något officiellt uttalande om saken.

Svenska företag betalar mest i världen när de drabbas av ransomware

| Linda Kante

En ny studie visar att svenska företag betalar mest i världen för att hämta sig från angrepp med gisslanprogram, så kallat ransomware. Dessutom är vi det land som efter Indien har störst andel företag som betalar lösensumman.

Teckna din prenumeration på Aktuell Säkerhet här

I IT-säkerhetsföretaget Sophos globala studie ”The State of Ransomware 2020” framgår att kostnaden för att hantera ett angrepp med gisslanprogram i genomsnitt är cirka 7,5 miljoner kronor. I Sverige är dock den genomsnittliga kostnaden betydligt högre – cirka 26 miljoner kronor.

– Sverige utmärker sig verkligen och det finns uppenbarligen en stor förbättringspotential i många organisationer. Det är inte hållbart att fortsätta gå cyberkriminella till mötes på det här viset. Attackerna lär knappast avta och de blir dessutom allt mer sofistikerade. Det behövs bättre kunskap samtidigt som företagen behöver ta till sig av de lösningar som minskar risken för att drabbas av gisslanprogram, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.

Studien bygger på svar från 5 000 IT-ansvariga i tjugosex länder och tar hänsyn till de totala kostnaderna för att återfå och återställa krypterad data. Förutom själva lösensumman ingår kostnader för bland annat driftstörningar, merarbete, förlorade affärsmöjligheter och ökade verksamhetskostnader. Efter Sverige är Japan det land där företag i genomsnitt betalar mest för angrepp med gisslanprogram. I andra änden av skalan finns länder som Sydafrika, Tjeckien och Polen där företagen betalar minst.

Anledningen till att Sverige och Japan ligger i topp kan delvis bero på att det är länder med relativt höga lönekostnader. Det påverkar i sin tur negativt när företag ska ta sig an det ofta tidsödande arbetet med att åtgärda attacker och återställa data. Stillestånd och driftstörningar blir också dyrt i länder med höga lönekostnader.

Redaktionsadress

Aktuell Säkerhet
Stora Gråmunkegränd 11
111 27 Stockholm
Tel: 070-698 03 29