It-leverantörernas vassaste säkerhetstips efter attack-vintern

Sandra Elvin, National Security Officer, Microsoft 

Vilket är det största hotet ni ser mot era kunder? 

Vilket hot som är störst beror på vilken verksamhet som är i fokus, men de flesta av våra kunder är mest oroliga för att deras verksamheter ska drabbas av långvariga driftstopp på grund av utpressningsattacker såsom ransomware, vilket vanligtvis även innebär dataförluster och obehörig tillgång till data. Vi ser att många verksamheter saknar motståndskraft mot denna typ av hot.  

Vilka åtgärder ser ni att era kunder behöver vidta här och nu?  

Att på kort tid komma ikapp med sitt informations- och cybersäkerhetsarbete är svårt så det vi rekommenderar som mest brådskande åtgärder är att skydda sina användar- och systemkonton med höga behörigheter, så kallade privilegierade konton. Vi ser att i den absoluta majoriteten av attacker där man lyckats angripa en hel it-miljö har man utnyttjat just det faktum att de flesta verksamheter inte har isolerat sina privilegierade konton. Därmed har man underlättat för angriparna att kunna gå från en dator eller ett vanligt konto där man lyckats ta sig in, till att ta över kontrollen över hela infrastrukturen.  

Utöver detta rekommenderar vi att man har bra detektionsförmåga med dygnet-runt-övervakning, för att snabbt kunna identifiera om någon olovligen tagit sig in i systemen. Helst automatisk responsförmåga för att snabbt kunna stoppa en attack, eftersom dessa idag sker så snabbt att det är svårt att enbart med mänsklig inblandning hinna stoppa dem i tid. Har attacken väl lyckats är en skyddad backup, en så kallad immutable backup, det som kan rädda verksamheten.  

Har du något tips på hur CIO:er kan väcka frågan i ledningsgruppen?

Cyberhot handlar i grund och botten om verksamhetsrisker. För att ledningsgruppen ska förstå måste man översätta cyberhoten till verksamhetsspråk istället för att prata teknik. Kommunicera på vilket sätt kärnverksamheten kommer drabbas om ett hot blir verklighet; var tydlig med vilken förmåga man har och inte har; exempelvis hur lång tid det skulle ta att återställa system och data som behövs för den ordinarie verksamheten.  

Vad är viktigast att prioritera när en attack pågår? 

När en attack väl pågår är första prioritet att stoppa den och begränsa skadan. Här rekommenderas att ta in extern hjälp snabbt om man inte är helt säker på att man har en god egen förmåga. När attacken väl är under kontroll är det dags att bedöma skadan genom att analysera exakt vad som skett och vad för tillgång till system och data som angriparen eventuellt haft. Resultatet av den analysen styr sedan det fortsatta arbetet. 

Martin Fribrock, Sverigechef Trend Micro 

Vilket är det största hotet ni ser mot era kunder?

Ett av de största cybersäkerhetshoten som ett stort företag kan stå inför är avancerade och målinriktade cyberattacker, såsom riktade phishing-attacker och avancerade ihållande hot (APT). Dessa attacker är ofta väldigt sofistikerade och målinriktade, och angriparna använder sig av avancerade tekniker och verktyg för att infiltrera företagets nätverk, system och data.

Denna typ av attacker kan vara särskilt farliga eftersom de kan vara svåra att upptäcka och motverka. Angriparna kan använda social engineering-taktiker för att lura anställda att klicka på skadliga länkar eller bifogade filer, vilket kan leda till intrång i företagets system och i förlängningen leda till att företagets data krypteras och begära ersättning för att lämna tillbaka datan. En så kallad ransomware-attack.

Vilka åtgärder ser ni att era kunder behöver vidta här och nu?  

• Se till att ha koll på er data, var den finns, hur den är klassad samt hur och vilka som har åtkomst. Segmentera där det är rimligt. 
• Implementera robusta säkerhetsåtgärder, inklusive brandväggar, extended detection and response (XDR), antivirus, säkerhetskopiering och kryptering av data. 
• Utbilda och uppmuntra anställda att vara medvetna om säkerhetsrisker och att följa bästa praxis för datasäkerhet. 
• Genomföra regelbundna sårbarhetsskanningar och uppdateringar för att säkerställa att systemen är skyddade mot de senaste hoten. 
• Patcha! 
• Ha en incidenthanteringsplan på plats för att snabbt reagera på och hantera eventuella attacker eller intrång. 

Har du något tips på hur CIO:er kan väcka frågan i ledningsgruppen?

• Presentera tydliga exempel på hur dataintrång eller cyberattacker kan påverka företagets verksamhet och rykte, inklusive förluster av intellektuell egendom, störd drift och förtroendeskador. 
• Demonstrera kostnaden för att återställa från en attack jämfört med investeringen i förebyggande åtgärder. 
• Tydliggör vilken typ av känsliga data som företaget hanterar och mappa mot liknade bolag
• Träna. Det är enkelt att sätta upp övningar som tränar på scenarion som motsvarar en cyberattack. 
• Implementera verktyg som på enkla sätt kan visa vilken nivå av säkerhet man har. Riskinsikts-verktyg finns det en del av, som på enkla sätt ger en övergripande bild av nivån av säkerhet man för tillfället har. Det kommer att bli en del av bolagsrapporter i framtiden och definitivt något investerare vill veta för att utvärdera risker i sina investeringar. 

Vad är viktigast att prioritera när en attack pågår? 

• Snabbt isolera det drabbade systemet eller nätverket för att förhindra spridning av skadlig kod eller intrång. 
• Aktivera incidenthanteringsplanen och involvera säkerhetsteamet för att bedöma omfattningen av attacken och vidta åtgärder för att stoppa den. Identifiera den data som är drabbad, och vilken riksnivå och känslighet den har. 
• Kommunicera proaktivt med berörda parter, inklusive kunder, anställda och myndigheter, för att informera dem om situationen och minska skadorna. 
• Samla in bevis och information om attacken för att kunna utreda händelsen och analysera hur man tog sig in, och arbeta med förbättringsåtgärder runt detta. 
• På andra sidan av en attack är det viktigt att söka råd och rekommendationer externt; det är lätt att bli hemmablind. 

Henrik Bergqvist, cybersäkerhetsexpert, Cisco Sverige 

Vilket är det största hotet ni ser mot era kunder?

Den höga lönsamheten inom cyberbrottslighet och den fortsatta professionaliseringen är ett hot mot alla verksamheter. Idag drivs kriminella organisationer som företag, som specialiserar sig på olika delar av attackerna och säljer tjänster till varandra och enskilda aktörer – exempelvis verktyg för phishing, intrång och ransomware. 

Vilka åtgärder ser ni att era kunder behöver vidta här och nu?

Alla verksamheter bör införa multifaktorautentisering överallt. En bra identitetshantering är den första och viktigaste försvarslinjen mot cyberattacker. Det är också viktigt att skapa ordning och reda, alltid ha uppdaterade mjukvaror på kritiska system, ta bort inaktiva användare och ta bort onödiga behörigheter, samt att ha tydliga och genomtänkta processer för backup och återställning med regelbundna tester och träningar. Om man ändå drabbas av ett angrepp är det till stor hjälp att ha en segmenterad it-infrastruktur för att undvika att allt slås ut vid ett intrång.  

Har du något tips på hur CIO:er kan väcka frågan i ledningsgruppen? 

• Först och främst bör man anlägga ett affärsperspektiv på frågan och använda exempel på hur andra svenska organisationer har drabbats när kritiska system slagits ut. Erfarenhetsutbyte är väldigt viktigt – oavsett vilken bransch man verkar inom kan man dra lärdomar och öka riskmedvetenheten genom att studera tidigare incidenter i såväl näringsliv som offentlig sektor. 
• Visa vad för typ av säkerhet man är beroende av hos sina leverantörer genom sina val it-tjänster. 
• Involvera ledningsgruppen i scenarioövningar där de får träna på att agera under en simulerad attack. 
• Om verksamheten omfattas av NIS2-direktivet är det viktigt att lyfta ledningsansvaret; det innebär nya krav och utmaningar. Ytterligare en viktig aspekt är att kontinuerligt utvärdera säkerheten hos ens it-leverantörer. 

Vad är viktigast att prioritera när en attack pågår? 

1. Begränsa utbredningen. 

2. Ta in stöd av it-säkerhetsexpertis så snabbt det går. 

3. Kommunicera så transparent som möjligt med de som har drabbats. 

Peter Graymon, ansvarig för Barracuda Networks i Norden 

Vilket är det största hotet ni ser mot era kunder?

• AI som hjälper brottslingar att effektivt skapa mycket övertygande bedrägeri-attacker i syfte att få en organisation att dela med sig av information, access och pengar.  
• Deepfake som är en metod att skapa falska röster, texter och video, börjar också växa i omfattning. 
• QR-kodbedrägerier, eller quishing som det också kallas, som fungerar eftersom QR-koder upplevs som en smidig tjänst för användaren, och denna ”falska” trygghet utnyttjas i syfte att lura till användaren på information, access och pengar. 

Gemensamt för dessa hot är att brottslingarna nyttjar människan som den största svagheten när tekniken blir bättre på att upptäcka uppenbara hot. 

Vilka åtgärder ser ni att era kunder behöver vidta här och nu?  

Data är de flesta verksamheternas största och viktigaste tillgång, och dessa måste därför säkras på ett sätt så att den inte kan bli förstörd, stulen eller krypterad. Det kräver moderna teknologier eftersom lösningar historiskt mer har haft som syfte att skydda mot fysiska katastrofer som stöld, brand eller misstag. 

• Eftersom hoten till stor del byggs med AI måste företagen stärka upp med skydd som tar detta i beaktning, och inte längre bara luta sig mot traditionella system som kräver policys och manuell hantering för att identifiera skadligt innehåll eller bedrägeriförsök i mejlen.  
• Säker access för användarna är också kritiskt eftersom det ofta är den vägen skadan initialt sker. Man kan inte endast förlita sig på traditionella VPN-lösningar, även om de kompletterats med multifaktorsautentiseringar, utan även mer moderna så kallade zero trust-baserade lösningar måste ingå. 

Har du något tips på hur CIO:er kan väcka frågan i ledningsgruppen?

En av samhällets största utmaningar som flaggats från MSB, regeringen och branschen är att högsta ledningen i allt för stor grad inte tar beslut i dessa frågor, trots tydliga tecken på hot och rekommendationer från it-ansvariga.

Det är inte förrän skadan är skedd som det börjar hända saker. Komplexiteten i frågorna gör det svårt för en ledning att fatta dessa beslut så vi måste förenkla och förtydliga kommunikationen med ledningen, och satsa på förenkling av lösningarna i sig. 

Vad är viktigast att prioritera när en attack pågår?  

Eftersom det inte finns några hundraprocentiga skydd måste man redan från start förutsätta att det kommer att ske en attack, och säkerställa att man har processer, verktyg och stöd för att mycket snabbt identifiera hot i ett tidigt skede och oskadliggöra dessa.

En fulländad attack är mycket svår att göra något åt, men man ska absolut inte betala lösensummor eftersom det inte finns några garantier att det hjälper. Snarare blir man känd som villig betalare och riskerar att drabbas av nya attacker, samtidigt som man faktiskt fortsätter att finansiera den brottsliga verksamheten.