SAS lärdomar från Anonymous Sudans DDoS-attacker
Foto: Adobe stock
Hela 2023 utsattes SAS för DDoS-attacker från gruppen Anonymous Sudan. På DI:s event Cybersäkerhet 2024 pratade Daniel Engberg på SAS om dataläckaget som kom till följd av angreppen, vilka lärdomar man dragit och varför kommunikationen var minst lika viktig som den tekniska responsen.
Under våren 2023 började SAS utsättas för en mängd DDoS-attacker från hacktivist-gruppen som kallar sig Anonymous Sudan. Gruppens officiella anledning till angreppen var Koran-bränningarna som då pågick i Sverige. Sammanlagt utförde Anonymous Sudan 39 större attacker mot SAS, utspridda över hela året.
Under Dagens Industris event Cybersäkerhet 2024 pratade Daniel Engberg, Head of AI, Data And Platforms på SAS om angreppen.
1,8 miljoner RPS
Vid det största DDoS-angreppet skickade Anonymous Sudan ut 1,8 miljoner anrop per sekund (Requests per second), vilket var högre än vad SAS dåvarande infrastruktur kunde hantera. Men detta var bara en av anledningarna till att angreppen lyckades.
– Det var en lager 7-attack vilket innebar att det var legitima anrop som såg ut att komma från helt vanliga användare. Detta försvårade situationen än mer. Vi hade DDoS-skydd på plats i molnet, men det täckte inte för lager 7.
SAS hade även tekniska funktioner för att motverka denna typ av attack, men de klarade inte anropsvolymen. Därutöver fanns det en mänsklig aspekt.
– Vi hade heller inte tillräckligt tydliga mandat för det tekniska teamet så att de skulle känna sig säkra på vilka beslut de får fatta.
Angreppen resulterade i ett dataläckage
När SAS attackerades blev en av konsekvenserna att hela e-handeln låg nere vissa gånger. Detta innebar en stor finansiell påverkan då flygbolagets externa e-commerce står för cirka 50 procent av SAS intäkter. Angreppen ledde även till ett dataläckage.
– Läckaget innebar att kunder kunde se varandras bokningar. Det berodde på att vår CDM-leverantör ändrade konfigurationen i vårt CDM under en pågående attack. De gjorde det för att hjälpa oss, men råkade då också cacha valida svar från vår back-end, som då skickades till andra kunder.
Den tekniska responsen var en relativt liten del jämfört med all kommunikation.
Viktigt med extern och intern kommunikation
I och med att angreppen fick så stort mediautrymme fick SAS även lägga mycket tid på kommunikation. Det var centralt att minska ryktesspridningen och få ut korrekt fakta till alla berörda parter, såsom interna medarbetare, företagsstyrelsen, partners, andra flygbolag, kunder och så vidare.
– Den tekniska responsen var en relativt liten del jämfört med all kommunikation. Jag har i otaliga möten förklarat de här attackerna för alla som vi samarbetar med; dels för att de ska förstå vad som hänt och dels för att sprida kunskap. Det gäller också att kommunicera på ett språk så att samtliga parter förstår.
– Vi behöver dela med oss mer om vad som händer i våra egna bolag för att stärka cyberresiliensen i samhället. Vad lärde vi oss, hur arbetade vi, och så vidare. En ökad samverkan på säkerhetsområdet blir också väldigt viktigt framöver.
Efter de många angreppen under 2023 har SAS nu investerat i teknik som ska kunna hantera lager 7-attacker med höga anropsvolymer.
– Idag har vi ett externt DDoS-skydd och senast vi blev attackerade kunde vi mitigera det på en sekund. Så det finns bra lösningar för det här, men jag tror inte att man ska försöka bygga en själv.
Läs mer om ämnet:
