Tema: Cyberattack

Världsomspännande cyberattacker ökar betydelsen av cyber assurance och försvarets förmåga att skydda och försvara svenska friheter och intressen.

Cyber-attackerna har inneburit omfattande hot mot samhället och företag. Cyberangrepp kan vara snabba, mycket skadliga och bli offentliga, vilket potentiellt leder till en ond cirkel av färre investerare och minskat kundförtroende och därmed minskad likviditeten i företaget.

Att upptäcka IT-attacker är en utmaning, inte bara på grund av de sofistikerade attackerna, utan också på grund av den storskaliga och komplexa karaktären som finns i företags och myndigheters IT-infrastruktur.

Ökade investeringar inom cybersecurity

Stora företag investerar i cybersäkerhet för att undvika attacker. Cyber-säkerhet har hög prioritet och syftet är att skydda företagets datornätverk. Företag drabbas från sofistikerade externa angripare till insiders som redan är inne i nätverken.

Cyberangrepp kan vara verksamhetskritiskt och kan påverka försörjningskedjor, produktion, underhåll, vapen system, betalningar och logistik. Som svar vaknar fler organisationer upp till värdet av cybersäkerhetsinvesteringar. Detta återspeglas i de globala utgifterna som Gartner uppskattar kan vara så höga som 1,75 biljoner dollar år 2025. I år var det cirka 172 miljarder dollar och inom vissa områden som dataanalys där man ökat investeringarna.

Är det en cyberattack?

Det kan vara svårt att avgöra om det är en cyberattack eller ett omfattande IT-avbrott som påverkar flera tjänster i ett företag.

Här är några punkter att överväga:

Omfattande IT-avbrott: Om det påverkar en mängd olika system och tjänster kan det ibland vara ett tecken på en cyberattack, men det kan också bero på andra orsaker som systemfel, tekniska problem, eller underhållsarbete.

Specifika problem: Om det är specifika system som är nere och vissa interna nätverk och rapporteringssystem. kan det tyda på en riktad störning, men det är inte ovanligt i större tekniska problem eller vid systemuppdateringar.

Externa och interna tjänster: Att både interna och externa tjänster påverkas kan indikera en allvarligare händelse, men det är fortfarande inte entydigt.

Ingen indikation på cyberattack: Utan explicita bevis eller indikationer på obehörig åtkomst eller skadlig aktivitet, är det svårt att bestämt säga att detta är en cyberattack.

Åtgärdsplan: Det är viktigt för företaget att genomföra en noggrann utredning för att bestämma orsaken till avbrottet. Detta bör inkludera att granska loggar, övervaka nätverkstrafik för misstänkta aktiviteter och kanske konsultera med IT-säkerhetsexperter.

Om det finns misstankar om en cyberattack, är det viktigt att agera snabbt för att identifiera källan till problemet, säkra systemen, och vidta åtgärder för att förhindra ytterligare skada. Även om det inte finns någon klar indikation på om det är en cyberattack från Ryssland eller någon annan aktör, bör varje misstänkt säkerhetshändelse tas på allvar.

Vem utför attacken?

Illasinnad cyberaktivitet har utvecklats från webbattacker till spionage och stöld av immateriella rättigheter som skadliga attacker mot kritisk infrastruktur, till ransomware-attacker och cyberbaserade påverkanskampanjer utformade för att undergräva allmänhetens förtroende för demokratins grundvalar.

Verktyg och tjänster för offensiv hacking med utländsk kommersiell spionprogramvara, som tidigare endast var tillgängliga för ett litet antal  länder, är nu tillgängliga för en bredare grupp. Dessa verktyg och tjänster ger länder som tidigare saknade förmågan att skada västerländska intressen i cyberrymden möjlighet att göra det och möjliggör ett växande hot från organiserade kriminella syndikat.

Regeringarna i Kina, Ryssland, Iran, Nordkorea och andra auktoritära stater med revisionistiska avsikter använder aggressivt avancerade cyberförmågor för att sträva efter mål som strider mot våra intressen och allmänt accepterade internationella normer. Deras hänsynslösa nonchalans inför rättsstaten och mänskliga rättigheter i cyberrymden utgör ett hot mot vår nationella säkerhet och ekonomiska välstånd.

Attackerna kan komma från flera olika typer av aktörer:
Statligt sponsrade attacker och APT
Terrorister
Privata företag
Cyber brottslingar
Aktivister och ”hacktivism” – politiska motiv bakom cyberattacker
Nuvarande/tidigare anställda
Självständiga hackers

IT-attacker kan utföras enkelt och till låga kostnader

Attacker kan delas in i hur sofistikerade de är i utförande från att använda vanliga verktyg till sådan som utförs av rena cyberexperter.

Tillgängligheten på Internet med hackingverktyg innebär att det är relativt lätt och billigt att utföra en attack. De nya hoten från Internet hotar speciellt stora och komplexa, globala organisationer och infrastruktur.

När en angripare väl kommer in i nätverken är trenden att de stannar kvar längre och att de samlar in ytterligare information om användare och grupper i nätverket, undersöka åtkomst nivåer som används och identifiera tillgängliga filer eller databaser innan de bestämmer nästa steg för att få bättre åtkomst.

Hotbilden kompliceras ytterligare av det faktum att subventionerade hackare utför IT-attacker mot den finansiella sektorn utomlands för att uppnå ekonomisk vinning. De typer av attacker och aktörer som den finansiella sektorn måste försvara sig mot har blivit mer sofistikerade. Under 2018 har banker i Asien, Syd-och Central Amerika varit mål för flera avancerade IT-attacker där hackare har stulit pengar.

Faserna i en riktad cyberattack

Lockheed Martin har identifierat en cyber attack i 7 faser som kallas cyber kill chain.

Varje fas kan upptäckas och en möjlighet att agera på attacken. Attack.mitre har i sin modell 11 olika faser där varje fas i sin tur kan delas in i  olika metoder.

Recoinnance – den som vill utföra attacken letar efter svagheter exempelvis användaruppgifter eller dåliga uppdateringar

Weapanization

Delivery (leverans) – exempelvis skicka länk i email

Exploit (sårbarhet) utföra kod på den utsatta datorn

Installation av Malware

Command and Control (C&C) – skapa en kanal så attackaren kan fjärrstyra systemet

Actions – attacken genomför sina mål

Vanliga typer av cyberattacker

• Phishingattacker är en av de vanligaste typerna av cyberattacker. Dessa attacker kommer vanligtvis i form av e-postmeddelanden som ser ut som de kommer från en legitim källa innehållande skadlig kod
• Sociala medier-plattformar som utsätts för cyberattacker
• Malwareattacker Dessa attacker sker när en hacker placerar skadlig programvara på din dator eller annan enhet
• Distributed Denial of Service (DDoS) attackerÄr överbelasningsattacker

Minska riskerna med utbildning och simulering

Att utbilda användarna är viktigt så att de är vaksamma när de öppnar e-postmeddelanden och inte öppnar misstänkta filer. Genomför utbildningssessioner med bästa praxis för cybersäkerhet och få användarna att känna igen phishing-attacker. Användarna behöver också alltid ha uppdaterad antivirusprogramvara installerad på sina enheter.

En fundamentalt ny strategi för cyberdefense behövs för att upptäcka och reagera på dessa hot som redan finns i nätverket, innan de förvandlas till en fullt utvecklad kris. Att ha en stark brandvägg och säkerhetslösningar på plats för att övervaka och hantera trafik till din webbplats och trafik inom företaget är nödvändigt.

Självlärande system: Autonoma självständiga responser och maskininlärning tros vara framtiden för att försvara sig i cyberrymden och som alltfler kommer att använda.

Algoritmer kan upptäcka onormal aktivitet som upptäcks och även göra exakta, åtgärder för att automatiskt stävja hotet.

Områden att jobba preventivt med för att motverka cyberattacker

Att förbereda sig för en cyberattack mot svensk infrastruktur kräver en strategi som inkluderar både digitala och fysiska aspekter.

Det är viktigt att ha en säkerhetsplan på plats för att skydda dig själv och ditt företag mot dessa hot. Skapa en tydlig plan som beskriver stegen som ska tas vid en cyberattack.

Övriga delar som är viktiga att tänka på:

• Behörighetskontroll
• Threat analysis att man följer säkerhetsprotokoll och processer
• Cyber security analytics som big data analytics, log management
• Se till att alla system är uppdaterade med de senaste säkerhetspatcharna. Implementera starka brandväggar och antivirusprogram.
• Säkerhetskopiering: Implementera en robust strategi för datalagring som också innehåller off-site eller molnbaserade säkerhetskopior. Överväg extra strömkällor som generatorer eller solpaneler.
• AI och maskininlärning som används för att förutse och förebygga cyberattacker
• Genomför en grundlig riskbedömning av den fysiska infrastrukturen för att identifiera potentiella svagheter.
• Säkerställ en motståndskraftig försörjningskedja dvs supply-chain, med alternativ för kritiska komponenter.
• Genomför regelbundna övningar för att testa dina planer och göra förbättringar.
• Arbeta med cybersäkerhetsexperter för kontinuerlig förbättring av säkerhetsåtgärder.

Utöver algoritmer så är utbildning något som är nödvändigt för att minska hotet. PwC har spel där de simulerar olika typer av attacker för företagsledningar exempelvis game of threat och man testar hur förberedda de är.

Minska riskerna efter en attack

Efter en attack är det även viktigt att låta ett team kolla igenom vad som hänt och hur processerna ser ut. Även efter en cyberattack kan säkerhetsteam fortfarande minimera finansiella och förbättra rykteshantering som förekommer vid en attack. Det är viktigt att prata om cyberattacker och ha viss transparens för att kunna åtgärda problemen.

Cyberkonsultbolagen har processer som exempelvis IBM-X Force cyberattack framework.