Tre sanningar om ransomware – därför görs det inte tillräckligt mycket

Ransomware-attacker fortsätter att drabba företag av alla storlekar. Nyligen fick två incidenter enorm uppmärksamhet: Gunnebo och Vannepsyk – och även om mycket fortfarande är oklart kring båda dessa kan vi nog fastslå att det visar på allvarliga brister.

Faktum är att de här två fallen bara är toppen av ett isberg. Det fastslogs inte minst efter MSB:s skarpa varning om att ransomware-attacker är på kraftig uppgång. Bakgrunden till den varningen är att amerikanska CISA nyligen uppmärksammat att sjukvårdssektorn i USA är utsatt för större ransomware-hot. Samma utveckling spås drabba Sverige.

Varför ser det då ut så här? En delförklaring är att säkerhetsområdet idag är så komplext och oförutsägbart. Den pågående pandemin har dessutom skapat ytterligare utmaningar för organisationer över hela världen. I takt med att anställda får andra rutiner blir det svårare att upptäcka oregelbunden trafik och misstänkta aktiviteter.

Säkerhetsavdelningar brottas varje dag med oväntade utmaningar, till följd av en ständigt pågående digital transformation. Nyligen publicerade vi på One Identity en större undersökning som visar att endast 38 procent av respondenterna i Skandinavien anser att övergången till distansarbete fungerat smidigt. Och bara 42 procent säger sig vara tillräckligt förberedda för de nödvändiga IT-förändringar som behöver ske när de anställda så småningom återgår till kontoret. Det skapar en perfekt storm för nätkriminella. Det är inte det minsta anmärkningsvärt att vi nu ser en våg av ransomware-incidenter och att det varnas för ännu fler.

Lägg därtill att det inte existerar någon enkel lösning till detta eskalerande problem. Snarare bör varje enskild organisation arbeta utifrån en kombination av flera förebyggande åtgärder och anpassa dessa efter sin egen struktur.

• Anställda slarvar fortsatt med det mest rudimentära
  Ransomware-attacker är förrädiska på så sätt att de nästan alltid börjar med någon annan typ av attack. Mycket är fortfarande oklart kring Gunnebo-incidenten men vad vi vet är att en grupp påstår sig ha kommit över data via ett numera nedsläckt Twitter-konto. Utifrån det har man utfört attacker mot en rad större bolag. Dels är det extremt allvarligt att anställda saknar förståelse för hur bristande rutiner riskerar att skada företaget, dels är det en utmaning att skydda alla dessa konton som cirkulerar.

• Det saknas ordentlig kartläggning
  Att utgå från att samtliga inom organisationen sköter sina best practises är att vara godtrogen. I säkerhetsbranschen talar vi om att antingen använda en least privileged- (vem som har tillgång till vilka data) eller en zero trust-strategi (att kontrollera samtliga förfrågningar). Genom sådana implementationer blir det mycket enklare att sätta in förebyggande åtgärder på rätt plats och stoppa incidenter innan de blir kritiska.
• Tillräcklig detektering behöver sättas in
  När väl en incident inträffar är det nödvändigt att rätt resurser sätts in i ett så tidigt skede som möjligt. Genom att segmentera strukturen och arbeta effektivt med priviligierad accesshantering och it-styrning gör man sig själv till en oattraktiv måltavla av den enkla anledningen att det blir för krångligt att utföra en attack.

För att återgå till Nordamerika föreslår det amerikanska finansdepartementet att det framöver ska bli olagligt att betala lösensumma vid en ransomware-attack, och att organisationer som gör så kan komma att åtalas. Det är ett klokt och nödvändigt steg för att vända kurvan och något EU bör ta efter.

Någon ”quick fix” är det dock inte, betalning sker fortsatt i det dolda och trenden pekar åt helt fel håll. Så länge organisationer inte är tillräckligt förberedda lär vi även fortsättningsvis höra om storskaliga incidenter som sätter hela företagets rykte på spel.

Elisabeth Ström Gullberg, Nordenchef på One Identity