Säkerhet 2022-02-15

Specialisternas lärdomar från Kalix-attacken: Här är it-säkerhetsåtgärder att börja med

Efter ransomware-attacken mot Kalix kommun i december har många organisationer varit rejält omskakade, och ställt sig frågan: Hur skyddar vi våra verksamhetssystem mot motsvarande angrepp? Här är några åtgärder som Ateas specialister rekommenderar efter att ha hjälpt Kalix på banan igen efter attacken.

Kenneth Björnfot, stabschef i Kalix kommunledningsförvaltning med ansvar för kommunens it-verksamhet, har tidigare berättat om ransomware-attacken den 16 december förra året och den hjälp it-avdelningen fick av Ateas specialister att återställa systemen och bygga upp en ny nivå av säkerhet. 

Ateas säkerhetsspecialist Christer Alldén lyfter fram hur hela Atea engagerade sig i Kalix-insatserna.

           Christer Alldén, Säkerhetsspecialist Atea

– Det största misstaget ledningsgrupper gör är att tänka ”det drabbar inte oss” och fortsätter som förut, kanske för att säkerhet upplevs som krångligt och produktionshämmande. Många planerar att införa mer säkerhet, men har inte kommit dit än. Det finns ingen anledning att vänta. Börja med de lågt hängande frukterna, säger Christer Alldén, en av Ateas säkerhetsspecilister som kom till Kalix undsättning i december och navigerade arbetet med att säkra kommunens verksamhetssystem.

Baserat på lärdomarna från Kalix har Christer och hans kollegor sammanställt en lista att konkret jobba med för organisationer som vill påskynda arbetet med att förhindra hackers från att ta sig in systemen och skapa enorma skador.

Här är it-säkerhetsåtgärder att börja med

  1. Utgå från Noll förtroende-principen
    – ”Zero trust” är ett övergripande säkerhetstänk som det har pratats om mycket de senaste åren, och Ransomware-attackerna visar hur viktigt det är. I stället för att anta att allt bakom brandväggarna är säkert, bör man utgå ifrån att ett intrång redan har skett och betrakta åtkomstförsök till resurser och tjänster som om de vore utifrån och man får beviljad access först när man har blivit korrekt autentiserad och auktoriserad. Och ge inte mer behörighet än vad som behövs för att utföra en viss typ av uppgift, och tidsbegränsa behörigheten att inte gälla längre än nödvändigt. Övervakning på avvikande beteendemönster kopplat till identiteter är också någonting man behöver förhålla sig till i säkerhetsarbetet.
  2. Använd multifaktor-autentisering
    – Multifaktor-autentisering är en del av zero trust-tänket. Att behöva godkänna inloggningar via sms-kod eller via en app i telefonen kan upplevas lite omständligt, men det går att skapa en smidigare lösning där lösenord tas bort helt från inloggningsprocessen i stället.
  3. Segmentera åtkomster
    – Nöj er inte med att segmentera nätverk. Se även till att identiteter segmenteras. Säkerställ olika adminkonton för olika resurser, med olika behörighets-nivåer. På så sätt kan attacken begränsas, eller i alla fall bromsas, om det sker ett intrång. Man bör aldrig använda någon som helst form av adminkonto i det vardagliga arbetet.
  4. Se över era backup:er löpande
    – På Kalix kommun kunde vi återställa i princip allt efter att ha gått igenom alltsammans och verifierat att allt såg bra ut. Återställandet hade inte varit möjligt om inte backup:erna hade varit opåverkade. Det mesta var uppdaterat bara timmar före attacken. Hur säkra är ni på att det görs frekventa backup:er och återställningstester på alla delar i era system?
  5. Låt ledningsgruppen veta allvaret i situationen
    – Det finns en tro på att it-avdelningen kan fixa vad som helst, även om allt har blivit krypterat och backup saknas. Så är det ju inte. I värsta fall kan all digital data som används löpande i verksamheten vara borta för alltid. Då är man tillbaka på stenåldern och måste bygga upp allt från scratch. Det kan vara svårt att föreställa sig att all den data som byggts upp genom årtionden är borta. Vad ska man göra då? De illvilliga därute ligger nästan alltid steget före. Det är en katt- och råttalek. Ledningsgruppen behöver hänga med i utvecklingen och ge prioritet åt säkerhetsfrågorna.
  6. Utbildning för användare
    - I takt med den digitala transformationen bör man även öka användarens säkerhetsmedvetenhet och vad man bör vara uppmärksam på för att skydda sig mot IT-hot. Detta är oftast en detalj i det övergripande säkerhetsarbetet som lätt glöms bort.

Vilka är de tänkbara scenarierna?

I Kalix-fallet gick det till slut att återställa datat, få igång de hundratalet drabbade systemen, och införa helt nya nivåer av säkerhet.

Det var möjligt tack vare nyligen tagna backup:er med data opåverkat av angreppet, och tre veckors hårt arbete från både specialister och it-avdelningens egna medarbetare.

Alternativet att betala en lösesumma för att få krypteringen upplåst är inget att rekommendera. Så fort den dörren öppnas, får hackers ett ekonomiskt incitament att utföra nya attacker.

– Det går inte heller att lita på att krypteringen faktiskt låses upp. Det är inte säkert att löften infrias.

Att på egen hand låsa upp krypteringen är inte heller en framkomlig väg.

– Teoretiskt kan det vara möjligt att reversera en kryptering eller erhålla en dekrypteringsnyckel som offentliggjorts. Med rätt kompetens kan man kanske hitta sårbarheter i den skadliga mjukvaran. Men det är ingen garanti att det kommer att lyckas. Det kan ta väldigt lång tid, eller så lyckas man aldrig.