Kei Petersson
september 22, 2021
En omfattande Ransomware attack (även kallad gisslanprogram eller utpressningstrojan) inleddes fredagen 2 juli 2021 och riktades mot det Miamibaserade mjukvaruföretaget Kaseya, som säljer it-tjänster till kunder globalt. Hundratals, kanske tusentals, bolag i världen blev drabbade, bland dem även Visma Esscom som förser Coop och andra svenska företag med kassalösningar.
Även om attacken inte var riktad mot just Coop utan det amerikanska företaget Kaseya, vars mjukvara i sin tur användes av Coop leverantör Visma Esscom, uppstod omfattande problem för självbetalningskassor och bemannade kassor. Vilket resulterade att flera av landets 800 Coop-butiker tvingades stänga ner då de inte kunde ta betalt av sina kunder.
Vad säger det då om cyberattacker? Jo att ingen sitter säkert. När coronapandemin under 2020 vände upp-och-ned på företag tog mångas digitala resa ett rejält kliv. Pandemin gjorde att företagen behövde påskynda sin digitala framfart, men man såg också en ökning av digitala hot. Likt pandemin, såg nog ingen det komma. Enligt KPMG:s globala CIO-undersökning 2020 har 54 procent av svenska IT-ledare noterat en ökning av cyberattacker, och allra hårdast drabbade är industriföretag och samhällsviktiga institutioner.
Många attacker påbörjas på ett företag i leverantörskedjan istället för direkt mot det planerade slutmålet. Större organisationer har ofta införskaffat bättre cybersäkerhetsåtgärder, men ger leverantörer åtkomst till sina system. Åtkomsten medför att de blir en del av nätverket och är därmed öppna för attacker som är riktat mot organisationen. Det finns en stor chans att om en leverantör utsätts för en cyberattack kommer även ni att bli ni utsatta, oavsett om leverantören har tillgång till era system eller inte.
Om din kunddata läcker på grund av dataintrång hos en leverantör ställs ni troligen till svars, särskilt om ni inte har följt god praxis när det gäller att hantera cyberattacker i leverantörskedjan. Om ni inte noggrant utvärderar era partners säkerhetsåtgärder vet ni inte hur stor eller liten risk de utgör.
Som vi har sett med tidigare attacker har ett intrång i cybersäkerheten inte enbart effekt på själva företaget, utan inverkar även på kundernas förtroende. Med en ekonomisk påverkan och ett skadat rykte kan cyberattacker förstöra ett företag till grunden. Som vi såg i Coop:s attack gick inte förövarna till attack mot företaget utan en leverantör som i slutändan påverkade flertalet kunder.
Mörkertalet för cyberattacker är stort då företag som drabbas sällan berättar det öppet. Enligt data från IT-säkerhetsföretaget Truesec ska cyberattacker kostat svenska företag 20-22 miljarder kronor bara under 2020. Enligt Hiscox Cyber-readiness rapport från 2020 va den ekonomiska inverkan på de som drabbades av en cyberhändelse nästan sex gånger högre än 2019, vilket innebär att median kostanden uppgick till $ 57 000 (ca. 492 tkr).
Med information likt den här, är du beredd för de konsekvenser en cyberattack skulle innebär för din organisation?
Att förbereda sig på en cyberattack innebär inte bara en investering i teknologi, utan omfattar även människor och processer. Att uppnå styrkan att kunna stå emot cyberattacker kräver åtgärder, nedan ska vi lista upp ett par grundläggande förutsättningar för hur ett företag kan förbereda sig innan, under och efter ett intrång.
Innan en cyberattack – identifiera dina guldägg, skydda dina klienter och servrar!
Företagets guldägg kan vara allt från kunddata och IP till förvärv och affärsplaner. För att identifiera dessa krävs ett omfattande analysarbete innan man drabbas av en cyberattack.
Genom en utförlig analys av era guldägg kan ni investera i er IT-säkerhet riktat mot just de delar. Eftersom nästan alla attacker börjar med en klient så är det av stor betydelse att redan före attacken implementera system som kan upptäcka intrång, och som omgående ger insikt i hur förövarna kom in och vad de fått access till.
En annan viktig del är att företag har utsett ett team inom organisationen som sammankallas vid misstänkta incidenter. De personer som ingår i teamet bör redan före incidenten utbildats med rätt redskap och ha klarlagt ett arbetsflöde för hur misstänkta incidenter utreds.
Under en pågående cyberattack – stäng inte ner systemet, ansvariga agerar utefter arbetsflödet!
Känslan som finns i många vid en cyberattack är förmodligen att bara “rycka sladden” och stänga ner datorn. Om den angripna datorn stängs ned kan det i värsta fall omöjliggöra en effektiv utredning av hur: intrånget kunde ske, vilken skada som åstadkommits och vem som legat bakom angreppet.
Som tidigare nämnt är det av största vikt att ha koll på vem inom organisationen som har ansvar, både för systemet och verksamheten. Under en pågående attack vill man inte lägga värdefull tid på att reda ut: vem som ansvara för vilka system, vem som kontaktar extern hjälp (vid behov) eller vem som bör vara delaktig i nedstängning av företagets infrastruktur.
Efter en cyberattack – erfarenhet av händelsen, säkerställ säkerhetstestning och ständigt jobba mot att förbättra verksamheten.
Efter en allvarlig incident handlar det om att ta fram konkreta förslag hur företaget motarbetar att det inte ska hända igen. Det kan handla om en utökad säkerhetsbudget, anställa ny personal och utbildning inom företaget så alla har en bättre förståelse för säkerhetsfrågor. Men förbättringar händer inte på en dag, utan det krävs analys och konkreta åtgärder.
Genom ett noggrant analysarbete kan åtgärder implementeras, man kan minska de negativa effekterna och avvärja framtida angrepp. I realiteten sätter budget och investeringsutrymme begränsningar för hur väl man kan skydda sig. Tänk på att dataintrång blir allt dyrare att hantera, men kostnaden kan bli betydligt mindre med en ordentlig incidentberedskap, god kommunikation och handfasta åtgärder så som utbildning och kryptering.