Idag sitter jag på utbildning med flera säkerhetsexperter från stora företag i USA. Hur jag hamnade i denna utbildning vet jag inte riktigt, men det är ju samtidigt charmen med att kunna vara med från ett helt annat land och interagera med alla utan hinder.
Chris Krebs, som är tidigare chef på CISA (Cybersecurity & Infrastructure Security Agency) i USA, inleder med att förklara att attacker som ransomware (där ens filer ”tas gisslan” och det begärs lösensummor för att få tillbaka kontrollen igen) kommer att bli vanligare för mindre kommuner och företag runt om i världen. Tidigare var det bara större företag och ställen med mycket pengar som blev utsatta, eftersom chansen då är större att man lyckas få pengar från offret.
Den vändning som nu märks över hela världen är att man slår till mot mindre måltavlor med mindre lösensummor, för att få en större chans till utbetalning. Samtidigt så satsas det inte lika mycket pengar på att skydda små företag och kommuner. Större företag med mycket kapital har en tendens att anlita specialister för att säkra sina nätverk och datorer, för att slippa stora bekymmer senare.
Wendi Whitmore som är SVP på Cyber Consultning & Threat Intelligence på Palo Alto Networks pratar om ett tillfälle där en cyber attack mot ett stort företag i USA skapade stora vågor inom säkerhetsbranschen och slutligen ledde till att flera statliga säkerhetsföretag, bland annat NSA, hjälpte till att lösa situationen. I ett initiativ som kallas ”Shields Up” från CISA så erbjuder man bland annat företag gratis konsultation inom datasäkerhet för att säkra landets små och stora företag. Något man önskar även kunde ske här i Sverige, för att säkra alla mindre företag som inte har råd att utbilda eller anställa personal för detta.
Vi är dock inte omedvetna om problemet med cybersäkerhet i Sverige. Försvarets radioanstalt, Försvarsmakten, Myndigheten för samhällsskydd och beredskap och Säkerhetspolisen har tillsammans upprättat ett nationellt cybersäkerhetscenter på uppdrag av regeringen. Arbetet görs i nära samverkan med Post- och telestyrelsen, Polismyndigheten samt Försvarets materielverk.
Tanken med Nationellt cybersäkerhetscenter är att förstärka myndigheternas förmågor att lösa sina respektive uppdrag. Det ger förbättrade möjligheter att höja den nationella förmågan att förebygga, upptäcka och hantera cyberangrepp och andra IT-incidenter som riskerar att skada Sveriges säkerhet. Men trots att detta låter bra, så är det inte riktigt till hjälp för dom små och mellanstora företagen. NCSC kommer enbart att arbeta på regeringsnivå, som jag förstår det. Arbetet med att bygga upp denna gren är i full gång, men räknas vara färdigt och helt operativt 2025.
I och med att jag arbetar inom IT så vill jag ju gärna vara ”on top” när det gäller olika metoder att hacka datorsystem och olika former av cyberattacker mot anställda i organisationen. Vi får alltid in flera försök att ta sig in i våra system, men det finns ett sätt som är mest framgångsrikt, överallt, i hela världen. Jag pratar om ”social engineering” attacker. Där hackers skickar ut till synes ärliga e-post och meddelanden till anställda och vill att dom klickar på en länk. Genom att klicka på länken så tar det bråkdelen av en sekund för hackern att stjäla lösenord och användarnamn. Om den anställda inte har tillgång till servrar eller viktig information så fortsätter hackern och letar rätt på vem som har access och försöker då lura även denna att klicka på länken.
Eftersom meddelanden och e-post kommer från ens eget företag så tänker många inte på att det kan vara fråga om något farligt. Varför skulle ens kollega skicka något illvilligt? Detta är förstås den största orsaken till att denna form av cyberattack är så framgångsrik. Det är också svårt att vara kritisk mot allt, eftersom ”jobbet måste göras”, vilket hackers också känner till. Ju mer komplexa saker som skickas, desto större är chansen att någon klickar på länken eller filen i mailet.
Jag har ett exempel där ett brev från en chef gick ut till alla inom kommunen med en fil bifogad. I mailet stod det att någon köpt en produkt på en butik här i Jokkmokk, men glömde att skriva namnet på fakturan, vilket nu gjort att det inte går att bokföra denna utgift på korrekt sätt. Det geniala med detta är att man nyttjar alla människors nyfikenhet för att attackera. Dom som inte hade handlat på butiken i fråga var ändå tillräckligt nyfikna för att ändå klicka på länken. Men vill ju veta vad någon handlat och för hur mycket, eller hur?
Det är också väldigt vanligt att man tror att ”Saas” (Software as a service) lösningar är skyddade mot intrång bättre än det egna lokala systemet. Det kan vara så ibland, men systemet är inte säkrare än användaren som loggar på. Om du inte förstår vad Saas är så ska jag förklara vidare, ett vanligt exempel är Microsoft/Office 365, Facebook, Twitter och många andra tjänster som tillåter dig logga in och arbeta/socialisera på vilken dator som helst.
Rent professionellt så kan man använda applikationer inom Saas för en rad olika saker, t.ex. bokföring och fakturering, säljstatistik, planering, prestandaövervakning och kommunikation (t.ex. webbmejl och chatt). Software as a service kallas ofta för behovsstyrd programvara dess användning påminner mer om att hyra programvara än att köpa den. Traditionellt sett så köper man programvara på en skiva eller laddar ned den från Internet med en programvarulicens som begränsar antalet användare och/eller antalet enheter som kan använda programvaran.
Software as a Service-användare prenumererar istället på programvaran till skillnad från att köpa den. Detta betalas ofta månadsvis och antal användare bestämmer kostnaden. Man kan köpa individuella applikationer och funktioner beroende på behovet. Men applikationen används enbart online och filer sparas i molnet istället för på enstaka datorer. Det spelar med andra ord inte någon roll hur mycket hårddiskutrymme du har på din dator, eftersom inget sparas där ändå.
Fördelarna med Saas är att du kan arbeta vidare på din iPhone eller iPad och behöver inte springa till datorn för att kolla ett dokument eller svara på e-post. Nackdelarna är förstås att vem som helst som kommer åt ditt kontonamn och lösenord kan komma in i företagets och dina filer, oavsett var dom befinner sig.
Men hur skyddar man då sig från att råka ut för hackare, i och med att dom även kan ringa, skicka meddelanden på sociala medier och annat? Lösningen är faktiskt väldigt logisk och enkel, men kan vara svår att tänka på hela tiden. Lösningen är att aldrig lita på någon och att alltid verifiera. Om du får ett meddelande från din chef, som ber dig kolla en länk eller fil, så ska du inte automatiskt tänka att det är ok. Det är inte säkert att det är din chef som skickat meddelandet.
Lösningen är att skicka tillbaka ett meddelande via SMS eller på annat sätt för att verifiera uppgifterna. Om du exempelvis får ett konstigt e-post meddelande, skicka ett SMS till chefen, eller ring och fråga om han/hon verkligen skickade e-post meddelandet. Om chefens konto är kompromissat så kan hackern svara på inkommande e-post, så du ska aldrig verifiera på samma sätt som du blev kontaktad i första skedet.
Om man sitter i närheten av sin chef så är det förstås enkelt att fråga om denne skickat något, för att verifiera informationen. Om denne inte har skickat något så är det dags att göra något åt situationen, eftersom chefens konto troligen blivit kompromissat. Det gäller också att agera fort. Ändra lösenord och tvinga utloggning på alla enheter som är anslutna. Det gäller också att informera alla om situationen som uppstått, så att dom inte råkar klicka på någon fil och göra att hackern från tillgång till fler konton.
Det låter ju extremt illa och farligt att använda datorer om man ska vara kritisk mot allt, men det är väldigt hälsosamt att förstå hur och vad som sker när IT säkerheten på företaget är kompromissat. Det är inte heller säkert att man förstår att man blivit hackad, i och med att det går så fort. Vi hade flera personer som hörde av sig efter att den fejkade fakturan, i exemplet tidigare, inte gick att öppna. Dom hade klickat massor av gånger, men inget hände. Vad dom inte kände till var att varje gång filen klickades på så skickades användarnamn och lösenord iväg till hackern. Gång på gång. =)
Det bästa sättet för ett företag att skydda sig mot cyberattacker är helt enkelt att utbilda sin personal. Om ingen blir lurad av en hacker, då fungerar inte deras attacker överhuvudtaget. Det finns förstås andra sätt att hacka ett nätverk, men det vanligaste och faktiskt lättaste är att lura någon att lämna ut alla uppgifter som behövs själva.
Om du är intresserad av att skydda dig och ditt företag mot cyberangrepp, läs gärna mer på MSB eller andra officiella källor. Passa dig dock från nischade företag som Norton, Avast och liknande, eftersom dom helst av allt vill erbjuda dig en mjukvarulösning, trots att det egentliga problemet är mänskligt.
Ha en riktigt bra dag så hörs vi snart igen.