Välkommen till Netsecure

Vi skyddar din verksamhet

 

Våra tjänsterBoka möte med en expert

Vad du kan göra för att undvika en cyberattack

Tillbaka till bloggöversikten  

Cyberattack

Datum: 8 juli 2021

Vi kanske inte till 100% kan säkerställa att vi inte kommer att drabbas av en cyberattack men vi kan minska risken och framför allt vara förberedda så att skadan blir så liten som möjligt om det ändå skulle hända. Med anledning av händelserna på Coop, Apotek Hjärtat med flera så publicerade vi ett inlägg på sociala medier som fick viss uppmärksamhet. Nedan delar Johan Fogel, CISO på Netsecure, sina tankar och lärdomar med dessa händelser som utgångspunkt.

Kring diskussionerna om huruvida det var en så kallad "Supply-chain attack" eller inte tvistar lite det lärda just nu och från början fanns det indikationer på att den skadliga koden injicerats från Kaseyas uppdateringsservrar, huruvida detta faktiskt är sant verkar just nu Internet tvista om eller om man helt enkelt skjutit in koden direkt mot respektive server. Huruvida det var Coop, Visma Kaseya osv ser jag lite som semantik och inget som driver säkerhet framåt. 

Tänkte däremot ge lite av mina tankar till lärdomar.

 

1. IT-säkerhet är en väldigt viktig komponent i många företag och även om just Coop lär överleva detta så finns det redan exempel på företag som gått under på grund av att företag fått it-säkerhetsincidenter. Jag upplever tyvärr rätt ofta att IT-säkerhet dels inte är prioriterat och dels att ansvaret ligger för långt ner i organisationen. Här kan jag rekommendera att ta upp frågan på antingen högsta ledningsgruppsnivå eller på styrelsenivå. Fundera på hur viktigt IT är för organisationen. Hur påverkas organisationen av att vissa system går ner? Vilka kostnader orsakar detta? Vi kan ta Danska Maersk som drabbades av en liknande attack som COOP 2017, ca 300 miljoner dollar eller nästan en procent av deras omsättning har man beräknat att det kostade. Vad kostnaden hade varit att helt undvikit den eller minimera attacken har jag inte sett några siffror på men det hade varit väsentligt mycket billigare.

 

2. Börja med att inventera och säkerhetsgranska er IT-arkitektur 
Jag upplever stundtals när jag är ute hos kunder att man saknar en helhetsbild av hur ens IT-miljö faktiskt ser ut och hur man hanterar säkerheten kring denna. Exempel på frågor; hur många sätt går det att nå interna resurser? Hur många administratörer finns egentligen? Hur många leverantörer har tillgång till interna resurser? Vad är exponerat mot internet? Vilka leverantörer finns och hur hanteras de?

 

När det gäller Coops incident kanske det hade varit så enkelt att man borde begränsat vilka IP-adresser som faktiskt nått VSA-servrarna. Framtiden kommer eventuellt att ge svar på det. 

 

3. Legacy
Fundera på hur många gamla synder som finns i garderoberna. Hur många system supporteras inte längre från tillverkarna? Framförallt ser vi bland industrisystem väldigt ofta mycket gamla system. Dessa kan mycket lätt bli en språngbräda inåt. Går de inte att uppgradera så behövs de hanteras på ett annat sätt som genom segmentering eller andra åtgärder.

 

4. Security by design 
Tänk säkerhet från början, så fort man inför nya system bör man ta in IT och informationssäkerhetsresurser eftersom det alltid är lättare att göra rätt från början. Jag känner till ett antal tillfällen där man försökt addera säkerhet i sista stund, som en timmes "quickfix". Det blir sällan bra och kräver ofta mycket större resursuttag än man gjorde rätt från början och har ni egenutvecklad mjukvara behöver ni vara mycket noggranna med att systemen är gjorda med högt fokus på säkerhet. 

 

5. Kontinuerligt säkerhetsarbete 
Får ibland frågan, hur svårt kan det här med IT-säkerhet vara? Kan vi inte starta ett projekt på 100-timmar så är allt löst? Lite som jag var inne på i punkt fyra. IT-system förändras dagligen och varje förändring och eller nya system måste hanteras med insikten att även säkerheten förändras. Fokus bör även läggas på att preventivt öva och utvärdera säkerheten. Vad händer om system Y drabbas? Eller system X? Hur ser våra rutiner ut vid Disaster recovery (DRP) … är dessa uppdaterade och övade?

 

6. Segmentering, skademinimering och leverantörer
Idag pratar man inte längre OM man drabbas utan NÄR. Det man behöver göra är att skademinimera, om system X blir drabbat måste man minimera riskerna för att även Y drabbas och så vidare. När det gäller skademinimering bör det även gälla leverantörer, ser väldigt ofta att leverantörer av olika system behöver tillgång till höga privilegier på interna system. Detta kan ur ett riskhänseende vara okej, men bara om man har riskutvärderat det och godkänt det. För att skademinimera om en leverantör blir drabbad behöver man vara mycket noga med att leverantören bara kommer åt exakt det som de faktiskt behöver komma åt. Varje leverantör bör också utvärderas hur de hanterar sin säkerhet. Har träffat bägge typen av leverantörer, dels de som inte har någon slags koll alls och de som verkligen gjort sin hemläxa för att minimera hot.

Författare

Johan Fogel
CISO, Netsecure Sweden AB

Länkar

På vår site använder vi cookies. Om du vill fortsätta antar vi att du accepterar detta.