Säkerhetsläget under sommaren och inför valet 2022

Relativt lugn sommar – men inte utan incidenter

Tele2s egna samt nationella och internationella samarbetspartners informationskanaler indikerar alla en förhållandevis lugn sommarperiod. Detta åtminstone jämfört med tidigare semesterperioder, som historiskt tenderat att vara en mer aktiv period för cyberkriminella.

Oaktat beskrivningen av en "lugn sommar" har flera incidenter inträffat och vi ser antydan till nya trender. Några av händelserna har haft allvarliga konsekvenser för de drabbade. Här följer en övergripande summering.

Stora skillnader i utsatthet

En cementering av trend är att det fortsatt råder mycket stora skillnader kring utsatthet för verksamhetsriktade cyberattacker. Förenklat finns det fortfarande starka kopplingar mellan utsatthet och geografi. Även om vissa länder är konstant mer utsatta för cyberattacker finns tydliga indikationer om kort- till medellångt fokus med attacker mot utpekade länder.

Ett flertal länder som exempelvis Tyskland, Frankrike och USA var särskilt utsatta under våren. Så även Sverige, troligtvis kopplat till vår NATO-ansökan. I mitten av augusti utsattes bland annat en stor bredd av verksamheter i Estland för detsamma, detta relaterat till nedmontering av sovjetiska krigsmonument i Estland.

En annan faktor för sannolikheten att utsättas är verksamhetskoppling till den cyberkriminelles fokusområde vid en given tidpunkt (offentlig verksamhet, bank/finans, kritisk infrastruktur, ställningstagande mot exempelvis Ryssland etc).

Störningar efter DDoS-attacker

Tele2 har fått vissa rapporter om att hälso- och sjukvård tillsammans med finansiella institut är de som rapporteras ha upplevt den största utsattheten för cyberattacker under de senaste månaderna.

Angreppsmetoderna har varit nyttjande av olika it-sårbarheter, phishing, ransomware eller DDoS. De som drabbats av DDoS-attacker har i många fall upplevt störningar i såväl interna som externa tjänster med någon typ av beroende mot internet. Tele2 har precis som andra en del tjänster publicerade mot internet (exempelvis för att erbjuda våra kunder internettjänster).

Den viktigaste skyddsmekanismen för Tele2s tjänster med direkt/indirekt koppling mot internet är ett uppdaterat och anpassat DDoS-skydd. För att skyddet mot DDoS ska vara effektfullt och ge robusta tjänster över internet är just behovsanpassad parameterinställning avgörande för att motstå sådana attacker.

Mer information om effekter och förmågor i specifikt Tele2s DDoS Defense-tjänst finns här.

Mindre ransomware, mer FluBot

Under våren såg Tele2 tillsammans med flera av våra partners en minskning i olika typer av ransomware-attacker mot it- och serverutrustning. Det finns ingen konstaterad slutsats om varför, men under samma period steg två andra typer av attackvektorer tydligt.

Först ut var FluBot, som genom nya programversioner med mer avancerade funktioner, orsakade global spridning av detta Andorid-baserade virus som skapats för att stjäla information och ge obehörig fjärraccess. Detta bidrog sannolikt till att vissa cyberkriminella ägnade sig mer åt FluBot än riktade ransomware-attacker mot traditionell it- och servermiljöer.

Den andra möjliga förklaringen till varför ransomware-attackerna minskade under våren kan kopplas till en av de största aktörerna inom just ransomware – ryska Killnet. Denna aktör sägs (tillfälligt?) ha skiftat fokus för sina cyberattacker, både avseende attackvektor och mål. Anledningen till förflyttningen sägs relatera till Rysslands krig mot Ukraina. Gruppens fokus sägs vara ukrainska intressen och västerländska verksamheter (privata och offentliga) som direkt eller indirekt kopplas till, eller stödjer, Ukraina. Den primära attackvektorn för Killnet rapporteras vara avancerad DDoS.

Under de senaste veckorna har Tele2 fått uppgifter om att Ransomware-attacker (primärt via mejl) återigen ökat. Inte heller här finns konstaterade slutsatser kring varför. Möjliga orsaker kan vara Europols insats mot FluBot-infrastruktur, samt att andra cyberkriminella grupperingar än nämnda Killnet valt att fokusera på ransomware.

Valet är högprioriterat

I Sverige befinner vi oss mitt i ett val. Förtidsröstning är öppen, tv och andra medier håller politiska utfrågningar, valdagen stundar och rösträkningen tar vid strax efter detta.

Sverige har ett så kallat manuellt valsystem som genomsyras av decentralisering och transparens. Såväl röstning, räknande samt vallokalsrapportering sker manuellt. Att valet och valresultatet går att lita på är i allas intresse, så valrelaterad säkerhet har därför hög prioritet för flera svenska myndigheter just nu.

Vi kan inte gå in på vilka åtgärder vi vidtar, vilka aktörer vi stödjer och hur, men på olika sätt arbetar även Tele2 med valsäkerheten. Övergripande syftar åtgärderna till att skapa förutsättningar för att perioden före, under och efter valet är en period då särskilda förmågor finns redo att preventivt och reaktivt upprätthålla robustheten i Tele2s tjänster.

Med andra ord ska valets samtliga aktörer kunna lita på att Tele2 fortsätter leverera stabila och robusta tjänster till privatpersoner och företag under denna viktiga demokratiska process.

Lagskärpning från PTS

Säkerhet är alltid ett aktuellt ämne på Tele2. Detta eftersom vi har uppgiften att säkerställa fysisk- och digital säkerhet i såväl bakomliggande egen it, tjänster vi levererar till kunder, samt i alla former av konsult- och förändringsarbeten i kundunika nätverk samt lösningar vi genomför. Säkerhet är således antingen en utgångspunkt eller en förutsättning för att möjliggöra annan verksamhet hos Tele2.

Tele2 har flera intressenter med krav på it-säkerhet – inte minst våra kunder, men också vår reglerings- och tillsynsmyndighet, Post- och telestyrelsen (PTS). Utifrån lagar och förordningar om elektroniska kommunikationstjänster har PTS mandat att utge föreskrifter och utföra tillsyn, bland annat inom driftsäkerhet, integritetsskydd, totalförsvar och säkerhetsskydd.

Nu under sommaren har en omfattande lagskärpning trätt i kraft. Lagar, förordningar och föreskrifter inom just säkerhet har skärpts. Skärpningen innebär i praktiken ingen förändring hos Tele2. Vår inslagna väg inom säkerhet motsvarar väl de nya legala kraven.

Företrädesvis är det endast vissa rutiner som behövts uppdaterats, exempelvis gällande hur vi ska rapportera avbrott. Att vi anmäler inträffade avbrott och vissa incidenter till PTS är för övrigt ett krav som funnits sedan 2015.

Tele2 har ett mycket omfattande ledningssystem för säkerhet, som möjliggör både styrning och kontroll inom it-säkerhet. Varken ledningssystemet eller de införda säkerhetskontrollerna har behövts ändras med anledning av lagskärpningen.