FöretagsabonnemangMobilt bredbandFast bredbandBredband via 5GeSIMMobiltelefonerSurfplattorSmartwatchesTillbehörMobilskal och skyddMobilplånböckerHörlurarLaddareAppleSamsungSonyGoogleHuaweiOnePlusAlla produkter och tjänsterKampanjer och erbjudandenFörmånerGör vår behovsanalysAllt inom TelefoniFöretagsabonnemangMobiltelefonerFast telefoniAllt inom BredbandFast bredbandMobilt bredbandDedikerad fiberAllt inom VäxelVäxel för mindre och medelstora företagTelefonväxel för större företagContact CenterAllt inom Digitala mötenTelefonkonferensVideokonferensMicrosoft TeamsAllt inom MolntjänsterHybrid CloudInternet of ThingsDatacenterAllt inom NätverkstjänsterSD-WAN och SD-BranchPrivat mobilt nät5GAllt inom IT-säkerhetBrandväggIP VPNDDoS-skyddKommunikation som tjänstKonsulttjänsterUnified CommunicationBranscherMindre företagTillväxtföretagMedelstora företagStörre företagOffentlig sektorHållbarhetHållbarhet och telekomEn hållbar omställningCirkulärt företagandeKunskap och insikterSe allt innehållKundcaseRapporterGuider och handböckerWebbsändningar och kundpanelerWhitepapers och tillämpningarBloggarVarför Tele2 FöretagObegränsade kundupplevelserIt-säkerhet för ditt företagOm utfasningen av 2G- och 3G-nätenTäckning och nät

Systematiska åtgärder ger systematiskt säkerhetshöjande effekter

Tele2 Företags säkerhetsblogg

Två cybersäkerhetshändelser som sticker ut

Det råder inga tvivel om att det dagligen inträffar flera allvarliga cybersäkerhetsincidenter, såväl i Sverige som globalt. Att heltäckande beskriva dessa är såklart inte möjligt, även om aktörer som EU:s ENISA eller svenska CERT-SE varje vecka sammanställer ett antal av de publikt rapporterade händelserna.

Med utgångspunkten att beskriva särskilt relevanta händelser för perioden så ser jag två som sticker ut. Det första exemplet visar att systematiska åtgärder ger systematiska säkerhetshöjande effekter. Det andra skildrar ett cyberintrång som tyvärr inneburit oåterkallelig skada för både medborgare och företaget.

Två cybersäkerhetshändelser som sticker ut

Det råder inga tvivel om att det dagligen inträffar flera allvarliga cybersäkerhetsincidenter, såväl i Sverige som globalt. Att heltäckande beskriva dessa är såklart inte möjligt, även om aktörer som EU:s ENISA eller svenska CERT-SE varje vecka sammanställer ett antal av de publikt rapporterade händelserna.

Med utgångspunkten att beskriva särskilt relevanta händelser för perioden så ser jag två som sticker ut. Det första exemplet visar att systematiska åtgärder ger systematiska säkerhetshöjande effekter. Det andra skildrar ett cyberintrång som tyvärr inneburit oåterkallelig skada för både medborgare och företaget.

Rysslandskopplade cyberattacker i Europa och USA

Tele2s säkerhetsblogg har återkommande beskrivit den rysslandskopplade och statsstödda cyberkriminella grupperingen Killnet. Bland annat hur denna svängt från att enbart utföra ransomware-attacker till en blandning av olika typer av IT-angrepp. Sedan mars 2022 rapporteras DDoS-attacker vara den primära angreppsmetoden.

Dessa DDoS-attacker har riktats mot en stor mängd verksamheter i Europa och USA. Under året har exempelvis energibolag drabbats av både DDoS och ransomware. Bankers webbsidor och internettjänster har gjorts otillgängliga, medan nätverksbaserad kommunikation för tåg, flygplatser och luftfart har utsatts för långvariga och omfattande DDoS-attacker.

Konkret har det inneburit att stora bränsledepåer tvingats stänga, finansiella transaktioner har förhindrats, samt att tåg- och flygrelaterad verksamhet behövt avbrytas tillfälligt.

DDoS-attacker mot amerikanska flygplatser

Nyligen rapporterade amerikanska FBI om en ny våg av omfattande DDoS-attacker mot just flygplatser i USA. Den stora skillnaden nu var att attackerna inte hade lyckats påverka verksamheten negativt.

Utan insyn är det svårt att ha full förståelse. Det kan dock konstateras att de nu utsatta måste ha vidtagit kraftfulla åtgärder för att till följd av dessa angrepp inte ha utsatts för någon nämnvärd skada. Jag uppfattar det som att man vidtagit åtgärder som dels minskat risken för utsatthet, dels stärkt förmågan att hantera de DDoS-attacker man alltid på något sätt kommer att utsättas för.

Ingen av oss utomstående vet de exakta åtgärder som vidtagits, jag är dock övertygad om att det går att koppla förbättringen till fyra typer av effektiva säkerhetshöjande åtgärder (åtgärder som Tele2s säkerhetsexperter återkommande stödjer våra kunder med):

  • Genomlysning, följd av riskreducerande åtgärder av vad som exponeras mot internet (AS-nummer, IP-adresser, servrar etc.).

  • Att samtliga internetaccesser levereras med kraftfullt och systematiskt hotbildsanpassat DDoS-skydd.

  • System- och nätverksanpassade begränsningar, d.v.s. att olika it-tillgångar segmenteras så att yttre störningar inte påverkar interna system.

  • Rätt nätverksteknologi till rätt nätverkstrafik. Exempelvis att externa kommunikationsbärare inte exponeras direkt mot internet, utan skyddas av ett SD-WAN (som dessutom kommer med flera andra viktiga säkerhetsfunktioner).

Stor mängd patientdata stulen från försäkringsbolag

Periodens andra händelse är tyvärr ingen positiv nyhet. Australiens största företag inom privata sjukförsäkringar, Medibank, har fått ofantliga mängder patientdata stulna i ett it-intrång. Intrånget blev allmänt känt när delar av materialet började publiceras på Darknet.

Inte heller här har vi alla detaljer, men det finns misstankar om att angriparna använt sig av "ransomware-teknik". Dock inte specifikt "funktionen" att kryptera servrar och filer.

Tele2s säkerhetsblogg har beskrivit de nya versionerna av ransomwareprogram som kommit de senaste åren. Exempelvis att ransomwareangrepp numera ofta innebär en export av information till obehörig. Detta för att kunna utföra dubbel, eller tredubbel (o.s.v.) utpressning "för att informationen inte ska säljas på exempelvis Darknet".

Den traditionella bilden att ett klick på en länk eller öppnande av bilaga med ransomwareprogramvara automatiskt leder till att datorn och alla nåbara it-tillgångar automatiskt krypteras stämmer därmed inte längre.

Du hittar Tele2s djupdykning om det komplexa ransomwarehotet här.

Utan tvekan har angriparen tagit sig in i Medibanks absoluta kärna av skyddsvärd information, varifrån man kopierat och exporterat kund- och patientdata om företagets 9,7 miljoner kunder. Den påstått ryska cyberkriminella grupperingen som genomfört intrånget kräver en lösensumma om 1 USD/kund för att "lämna tillbaka uppgifterna" (ett löfte som är osannolikt). Alltså sammanlagt 9,7 miljoner USD eller dryga 100 miljoner svenska kronor.

Cyberkriminella släpper material på Darknet

Medibank har tydliggjort att man inte kommer betala någon lösensumma. Som en konsekvens av detta fortsätter den cyberkriminella grupperingen att återkommande publicera olika delar av materialet på Darknet. Företrädelsevis hälsorapporter som beskriver utpekade kunders vård för olika typer av missbruk, medicinska ingrepp de genomgått, eller psykiska/fysiska sjukdomar som kunderna diagnosticerats med.

Om Medibankhändelsen följer tidigare, liknande cyberintrång så kommer de cyberkriminella försöka sälja delar av materialet till andra cyberkriminella, eller kräva "lösensumma" av enskilda kunder som finns bland de utsatta (med hotet om att hälsodata annars kommer publiceras på Darknet).

Händelsen har ett stort fokus i Australien och utreds av såväl nationell som internationella brottsbekämpande mydigheter.

Zero-day-sårbarheter i Microsoftprodukter

Från en tråkig nyhet till en fortsatt negativ trend – den om ett osedvanligt stort antal rapporterade tekniska sårbarheter hos hård- och mjukvarutillverkare.

Microsoft är ett exempel av företag som nu i november släppt uppdateringar till identifierade säkerhetsbrister. Det gäller en stor bredd av olika Microsoftprogramvaror och sammanlagt 64 sårbarheter. 53 av dessa har ett CVSS-värde som indikerar allvarlig sårbarhet (7,0–8,9 på en 10-gradig skala). Resterande elva har ett CVSS-värde som innebär att det är en kritisk sårbarhet (9,0–10 på en 10-gradig skala).

Några av de allvarliga sårbarheterna syftar också till redan exploaterade (och publikt kända) zero-day-sårbarheter. Det vill säga sårbarheter som varit kända men som inte haft en långsiktig åtgärd (säkerhetsuppdaterad mjukvaruversion).

Utöver Microsoft informerar ett flertal andra tillverkare om tekniska sårbarheter i sina produkter, i flera fall kritiska. Vi upprepar uppmaningarna från tidigare blogginlägg om att ni bör vara extra vaksamma och reaktiva på rekommendationer om ni påverkas av dessa tekniska sårbarheter.

Zero-day-sårbarheter i Microsoftprodukter

Från en tråkig nyhet till en fortsatt negativ trend – den om ett osedvanligt stort antal rapporterade tekniska sårbarheter hos hård- och mjukvarutillverkare.

Microsoft är ett exempel av företag som nu i november släppt uppdateringar till identifierade säkerhetsbrister. Det gäller en stor bredd av olika Microsoftprogramvaror och sammanlagt 64 sårbarheter. 53 av dessa har ett CVSS-värde som indikerar allvarlig sårbarhet (7,0–8,9 på en 10-gradig skala). Resterande elva har ett CVSS-värde som innebär att det är en kritisk sårbarhet (9,0–10 på en 10-gradig skala).

Några av de allvarliga sårbarheterna syftar också till redan exploaterade (och publikt kända) zero-day-sårbarheter. Det vill säga sårbarheter som varit kända men som inte haft en långsiktig åtgärd (säkerhetsuppdaterad mjukvaruversion).

Utöver Microsoft informerar ett flertal andra tillverkare om tekniska sårbarheter i sina produkter, i flera fall kritiska. Vi upprepar uppmaningarna från tidigare blogginlägg om att ni bör vara extra vaksamma och reaktiva på rekommendationer om ni påverkas av dessa tekniska sårbarheter.

Fortsatt kritisk granskning av SMS med länkar

Avslutningsvis vill vi påminna om att november och december historiskt är perioder med ökande mängder bluff-SMS. Detta då e-handeln (med tillhörande reklam-, aviserings-, och kundservice-SMS) ökar kraftigt.

Tele2 har mycket avancerade analysverktyg som stoppar en absolut majoritet av de misstänksamma SMS:en. Som exempel: bara i december 2021 stoppade Tele2 hela 14 miljoner bluff-SMS (!) från att nå fram. Utmaningen med ett 100-procentigt skydd ligger i att de cyberkriminella hela tiden ändrar telefonnummer, avsändningsteknik, textinnehåll och länkar i meddelandet. Tele2 jobbar intensivt med detta, men en medvetenhet hos användaren är ett bra kompletterande skydd.

Vår uppmaning är helt enkelt att alla bör vara medvetna om att SMS som kan uppfattas som legitima kan användas för att stjäla kortbetalningsuppgifter eller sprida mobilbaserade virus.

Mer information om bluff-SMS och hur alla användare (frivilligt) kan rapportera bluff-SMS finns här.

Martin Fransson Säkerhetschef Tele2 Företag Säkerhetsbloggen
Martin Fransson Säkerhetschef Tele2 Företag Säkerhetsbloggen
Martin Fransson Säkerhetschef Tele2 Företag Säkerhetsbloggen
Martin Fransson Säkerhetschef Tele2 Företag Säkerhetsbloggen

Håll dig uppdaterad

Till nästkommande blogginlägg fortsätter vi att djupdyka i aktuella händelser, säkerhetsutmaningar och lösningar på säkerhetsrisker inom ramen för Tele2s expertområden.

Du är alltid välkommen att höra av dig till oss om du vill veta mer om vad Tele2 Företag kan göra för att öka förmåga och resultat i ert arbete med säkerhet.

Vänliga hälsningar

Martin Fransson Säkerhetschef – Tele2 Företag

Håll dig uppdaterad

Till nästkommande blogginlägg fortsätter vi att djupdyka i aktuella händelser, säkerhetsutmaningar och lösningar på säkerhetsrisker inom ramen för Tele2s expertområden.

Du är alltid välkommen att höra av dig till oss om du vill veta mer om vad Tele2 Företag kan göra för att öka förmåga och resultat i ert arbete med säkerhet.

Vänliga hälsningar

Martin Fransson Säkerhetschef – Tele2 Företag