TA TEMPEN PÅ DITT FÖRETAG
Är ni i riskzonen för cyberattacker?
En sårbarhet med globala effekter
Den 2 juli 2021 utsattes en molnbaserad mjukvarulösning från det amerikanska företaget Kaseya för en ransomwareattack. Orsaken var en bugg som gav angripare möjlighet att ta sig förbi autentiseringsfunktioner och sprida skadlig kod i system som hanterades av mjukvaran.
Kaseya svarade snabbt på attacken och betalade aldrig ut de 70 miljoner USD som en hackergrupp begärde för att låsa upp systemen. Innan dess hade dock mellan 800 och 1 500 av Kaseyas kunder – och kundernas kunder – redan drabbats. En av dessa var svenska Coop, som under en period fick stänga sina butiker på grund av attacken.
Listan på sårbarheter som får långtgående konsekvenser när de exploateras av kriminella kan göras lång, och det är tyvärr osannolikt att vi sett slutet för den här typen av mycket kostsamma cyberangrepp.
En sårbarhet med globala effekter
Den 2 juli 2021 utsattes en molnbaserad mjukvarulösning från det amerikanska företaget Kaseya för en ransomwareattack. Orsaken var en bugg som gav angripare möjlighet att ta sig förbi autentiseringsfunktioner och sprida skadlig kod i system som hanterades av mjukvaran.
Kaseya svarade snabbt på attacken och betalade aldrig ut de 70 miljoner USD som en hackergrupp begärde för att låsa upp systemen. Innan dess hade dock mellan 800 och 1 500 av Kaseyas kunder – och kundernas kunder – redan drabbats. En av dessa var svenska Coop, som under en period fick stänga sina butiker på grund av attacken.
Listan på sårbarheter som får långtgående konsekvenser när de exploateras av kriminella kan göras lång, och det är tyvärr osannolikt att vi sett slutet för den här typen av mycket kostsamma cyberangrepp.
Är min verksamhet utsatt?
Ingen kedja starkare än sin svagaste länk och det räcker att vara beroende av en sårbar tjänst för att drabbas. I exemplet Kaseya drabbades verksamheter i stort sett alla sektorer, inklusive detaljhandel, turism, sjukvård, kommunikation och transport, i allt från ett fåtal timmar till över en vecka innan de var tillbaka i full drift igen.
Så i någon mån är i stort sett alla företag i riskzonen för attacker, av olika anledningar. Förutom de företag som handhar känslig information, vilket medför en risk för direkta attacker, har alla företag de tre olika komponenter som idag betraktas som hårdvaluta av cyberkriminella: datorkapacitet, lagringsutrymme och bandbredd.
Ta reda på var ni befinner er idag
Tele2 Företags säkerhetsexpert Magnus Gränström framhåller att det är viktigt att "sätta fingret på kartan" och med hjälp av en analys och ta reda på var man befinner sig ur ett informationssäkerhetsperspektiv.
– Med den informationen blir det lättare att fatta intelligenta beslut kring vad man bör göra, och vilka lösningar man bör investera i för att få största möjliga resultat, säger Magnus Gränström.
– Dessutom får man bra indikationer på vad som behövs för att säkerställa efterlevnad av olika standarder, regelverk, direktiv och lagar. Exempelvis har vi GDPR, NIS och NIS2, samt olika ISO-standarder där krav ställs på löpande kontroll av företagens informationssäkerhet.
Vad är NIS-Direktivet?
Till skillnad från EU:s dataskyddsförordning GDPR har NIS-direktivet inte varit fullt så omtalat bland svenska företag, trots att många branscher och sektorer omfattas.
Kortfattat ställer NIS-direktivet (och kompletterande NIS2) krav på informationssäkerhet och incidentrapportering för leverantörer av tjänster som anses samhällsviktiga. Sektorerna som berörs inkluderar:
Digital infrastruktur
Bankverksamhet
Energi
Finansmarknadsinfrastruktur
Hälso- och sjukvård
Transport
Leverans och distribution av dricksvatten
Här ingår en lång rad offentliga och privata verksamheter, som själva har ansvar att identifiera sig som samhällsviktiga och anmäla detta till berörd tillsynsmyndighet.
Vidare är leverantörer av samhällsviktiga tjänster skyldiga att arbeta systematiskt med informationssäkerhet och att rapportera incidenter till Myndigheten för samhällsskydd och beredskap (MSB). Det innebär i praktiken ett krav på exempelvis återkommande sårbarhetsanalyser.
Vad är NIS-Direktivet?
Till skillnad från EU:s dataskyddsförordning GDPR har NIS-direktivet inte varit fullt så omtalat bland svenska företag, trots att många branscher och sektorer omfattas.
Kortfattat ställer NIS-direktivet (och kompletterande NIS2) krav på informationssäkerhet och incidentrapportering för leverantörer av tjänster som anses samhällsviktiga. Sektorerna som berörs inkluderar:
Digital infrastruktur
Bankverksamhet
Energi
Finansmarknadsinfrastruktur
Hälso- och sjukvård
Transport
Leverans och distribution av dricksvatten
Här ingår en lång rad offentliga och privata verksamheter, som själva har ansvar att identifiera sig som samhällsviktiga och anmäla detta till berörd tillsynsmyndighet.
Vidare är leverantörer av samhällsviktiga tjänster skyldiga att arbeta systematiskt med informationssäkerhet och att rapportera incidenter till Myndigheten för samhällsskydd och beredskap (MSB). Det innebär i praktiken ett krav på exempelvis återkommande sårbarhetsanalyser.
Magnus Gränström framhåller att man inte bör överlåta en revision av företagets säkerhetssituation åt sin leverantör, utan istället vända sig till en oberoende tredje part. Detta för att försäkra sig om att man satsar sina begränsade resurser där de gör mest nytta.
Vad kan hända om mitt företag drabbas?
– I många fall kan informationsförluster och det jobb som krävs för att återställa informationen vara väldigt kostsamt. Än mer besvärligt än informationsförlust kan dock imageförlust vara. Om ett företag råkar ut för ett intrång och sedan förlorar förtroende från kunder och användare kan detta i många fall bli betydligt mer kostsamt och tar oftast mycket längre tid att hämta sig ifrån, berättar Magnus Gränström.
– Det dyraste är ofta när ett intrång sker och man inte vet exakt vad som har skett eller hur det har gått till. För att göra rätt förändringar och förhindra upprepade intrång måste man då låta utföra en forensisk analys, vilket kräver expertkompetens och kan ta mycket tid i anspråk. Har man däremot lösningar som ger kontroll över miljön så kan man minska tiden som krävs för återställning samt alla kostnader förenade med detta så mycket det går.
Risk- och sårbarhetsanalyser i praktiken
SIT CyberSecurity är ett svenskt företag som arbetat med cybersäkerhet sedan 1997 och genom åren utfört över 10 000 säkerhetsanalyser. Idag använder man sig av en egenutvecklad produkt som enligt företaget analyserar 15 gånger fler aspekter än alternativen på marknaden. Data från analyserna skickas aldrig via amerikanska molntjänster.
Vi har pratat med företagets medgrundare och vd Mats Breslin om hur man, på en mer övergripande nivå, arbetar med sårbarhets- och riskanalyser.
Risk- och sårbarhetsanalyser i praktiken
SIT CyberSecurity är ett svenskt företag som arbetat med cybersäkerhet sedan 1997 och genom åren utfört över 10 000 säkerhetsanalyser. Idag använder man sig av en egenutvecklad produkt som enligt företaget analyserar 15 gånger fler aspekter än alternativen på marknaden. Data från analyserna skickas aldrig via amerikanska molntjänster.
Vi har pratat med företagets medgrundare och vd Mats Breslin om hur man, på en mer övergripande nivå, arbetar med sårbarhets- och riskanalyser.
– Vi rekommenderar ett antal olika analyser och samtliga baseras på erkända ramverk som rekommenderas av bland annat EU för arbete inom kartläggning för exempelvis GDPR samt NIS/NIS2. Dessa har vi anpassat i olika nivåer för att kunna användas mot stora, medelstora och små företag. Vi har tagit fram anpassningarna för att undvika risken att mindre företag väljer bort denna typ av analys på grund av omfattningen, berättar Mats Breslin.
När man har en förståelse för hur företaget ligger till i arbetet med informationsäkerhet kan arbetet påbörjas med att förbättra nivån i den mån man vill eller måste. I vissa fall kan förstärkningar vara ett krav för att leva upp till GDPR och NIS/NIS2.
– Det enklaste sättet, och vad vi rekommenderar för att lösa alla kravställningar, är att använda sig av en lösning som automatiskt utför månadsvisa analyser av kundens hela servermiljö och infrastruktur. Lösningen är klientlös, samtidigt som all insamling av information, hantering av analyser, bearbetning och rapportering utifrån denna information sköts internt och inte lämnar kundens nätverk.
Mats Breslin förklarar att det är viktigt att behålla känslig information hos företaget och inte låta den komma i kontakt med molnlösningar, eftersom man då utsätts för säkerhetsrisker från tredje part. Och genom automatiserade analyser möter man inte bara kraven på återkommande informationssäkerhetsanalyser, utan agerar också proaktivt istället för reaktivt, som är fallet med andra lösningar.
– Vi anser att alla företag skall kunna göra detta för att skaffa sig en överblick och få förståelse för hur de ligger till i sitt arbete med informationssäkerhet. Du behöver inte nödvändigtvis åtgärda allt, men behöver känna till eventuella konsekvenser. Många är till exempel inte fullt medvetna om att ansvaret för att leva upp till säkerhetsföreskrifter alltid ligger på företaget och är alltså inte något som kan avtalas bort.
Identifiera riskbeteenden hos medarbetare, leverantörer och kunder
Ur ett informationssäkerhetsperspektiv kan man heller aldrig bortse från den mänskliga faktorn. Det är viktigt att underhålla och uppdatera företagets rutiner och policys för användning av information, nätverk och utrustning – något som gäller såväl anställda som leverantörer och kunder.
– I många fall så har vi sett exempel på att policys har skapats, men sedan inte uppdaterats under lång tid för att inkludera nya sätt att exempelvis lagra och använda information, säger Mats Breslin.
– Informationssäkerhetspolicys skall behandlas som levande dokument och måste uppdateras löpande. Vår rekommendation är att man har en policy för Acceptable Use, där det klart definieras hur en anställd får utnyttja företagets nätverk, hårdvara samt information. Man bör även ha policys som styr hur kontakten med leverantörer och kunder samt deras information skall hanteras.
Vidare berättar Mats Breslin att man ofta så stöter på tillfällen där företag inte lägger tillräckligt stor vikt vid alla olika aspekter av informationssäkerhet. I många fall fokuserar man all sin uppmärksamhet på en eller några få aspekter, medan man har liten eller obefintlig koll på resten, vilket skapar flera risker än det hanterar.
Ett vanligt förekommande riskbeteende är att använda sig av tjänster som kräver mycket underhåll av företagets IT-miljö i form av klientbaserade verktyg istället för klientlösa verktyg. Detta kan resultera i att ett antal klienter kanske glöms bort, vilket introducerar ytterligare problem. Även lösningar som skickar upp information kring interna risker och sårbarheter till molnlösningar för analys och bearbetning bör undvikas eftersom dessa molnlösningar skulle kunna utnyttjas, som i fallet Kaseya.
– Här anser vi att det är viktigt att på ett snabbt och enkelt sätt skapa sig en översikt av hur allting ligger till så att man sedan kan planera och prioritera inför en känd verklighet istället för en upplevd verklighet, där man inte har någon egentlig översikt.
Det här erbjuder Tele2 Företag inom it-säkerhet
Hur kan vi hjälpa dig?
Tele2 Företag erbjuder anpassade nätverks- och säkerhetslösningar för stora och små företag. Låt oss tillsammans hitta rätt lösning för ditt företags behov. Välkommen att boka tid för rådgivning så kontaktar vi dig.