Åtgärder varje it-avdelning bör ta efter attacken mot Valmyndigheten

Den sista av de tre attackerna skedde mitt under valkvällen – många märkte att sajten blev seg och omöjlig att komma in på. Men att sajten gick ner är inte det mest alarmerande. Ddos-attacker som den här handlar om att skapa dimridåer.

Oavsett vem eller vilka som låg bakom den här attacken, så är det uppenbart att syftet varit något helt annat än att överbelasta sajten och göra den otillgänglig för vanliga medborgare och media.

Poängen i det här fallet var, med största sannolikhet, att sticka in en kil av osäkerhet kring våra demokratiska system. Jag noterade hur rykten och spekulationer om valfusk började florera i olika forum på nätet. Som ett tankevirus. Ett virus designat för att slå ut tilliten och förtroendet för vår svenska demokrati

Så hur berör det här dig och din it-avdelning?

Jo, när – inte om – ni drabbas av en Ddos-attack så måste ni ha i beaktande att det antagligen är en dimridå. Förmodligen sker det saker i dimman.

Vad händer när en Ddos-attack riktas mot er?

När du och dina kolleger riktar all er uppmärksamhet på den pågående överbelastningsattacken, vad är det då ni inte ser? Vilken hemlig dörr genom brandväggen monteras upp i skyddet av dimman? Vems behörigheter ändras? Vilka personer internt kartläggs? Vilka uppgifter läcker ut?

Kommer du att veta?

Antalet Ddos-attacker ökade med 200 procent under första halvåret i år jämfört med samma period i fjol.  Styrkan i attackerna har samtidigt nått nya rekordnivåer. Toppnoteringen var på 2,9 petabyte – så stora laster med datatrafik att den svenska internettrafiken hade påmint om 90-talets pipande modem om motsvarande attack skedde här.

En Ddos-attack kan ha många syften. Traditionellt har det varit att störa ut system eller sajter. Numera handlar det oftast om att attackerna bereder väg för ett dolda uppdrag i systemen, ibland är det fråga om "hacktivism" med politiska förtecken.

Politisk cyberaktivism: Det kan hända er också

Attacken mot Valmyndigheten är ett exempel på politisk cyberaktivism, något som blir allt vanligare, och som inga myndigheter i Sverige kan ignorera.

Cyberaktivister kan när som helst ge sig på vilken kommun eller region som helst. Eller på företag som har ”fel” värderingar. Det är ofta de stora händelserna som det pratas mest om. Som när Ryssland invaderade Ukraina, då cyberaktivister sköt sönder kopplingen till det ryska Hubble-teleskopet. Eller när amerikanska toppolitikern Nancy Pelosi besökte Taiwan nyligen, då flera myndighetssajter gick ner där. Vad som skedde i dimridåerna under tiden som dessa attacker pågick och strax efteråt är en sak, det kan vi spekulera om hur länge som helst. Men vad som är intressantare för dig, är att Ddos-attacker sker i mindre skala också.

Runt om i Sverige. I de svenska nätverken. Så gott som dagligen. Det kan vi på Atea notera.

Vad vill de er?

Men, säger du, varför skulle politiska aktivister ge sig på era system? Varför inte? säger jag.

Den stora frågan är nog inte vad de vill. Frågan är om ni kommer att upptäcka vad som skett efteråt, när Ddos-dimman lagt sig.  Hur sargad har er it-säkerhet då blivit? Vilka bakdörrar har öppnats? Vilken information är plötsligt exponerad för obehöriga?

En Ddos-attack betyder inte nödvändigtvis en bakdörr planterats, men här måste ni ha infrastrukturen redo så ni vet vad som skett. Virusskydd var i fokus förut. Idag krävs även Ddos-skydd.

Varsågod, här är den nya att göra-listan:

1. Var redo när Ddos-attacken kommer. Ha en tydlig plan nedskriven, och öva på den. Om – eller snarare när – ni blir överbelastade, behöver du och dina kolleger veta exakt vem som gör vad. Rutinerna måste sitta.  Om ni är osäkra på hur rutinerna bör se ut, se till att ta hjälp.

2. Gör det tryggare att starta om era system. En akilleshäl för många organisationer är avsaknaden av en systemkarta som visar vilka beroenden som finns mellan olika vitala system. Säg att ni tvingas att stänga flera system i samband med en attack. Vet ni med säkerhet att ni kan komma igång igen? Skulle ert lapptäcke av uppgraderingar leda till trassel? Det är betydligt lättare att ta tag i detta nu, innan ni är under attack. Och har ni backuper på allt ni behöver?

3. Skaffa Ddos-skydd. Via Ddos-skydd kan den skadliga trafiken tvättas bort ”upstream”, så att de skyldiga inte längre kan ta vägen in till er via den internetoperatör ni nu använder, eller ens via den tier 1- eller tier 2-operatör som din operatör i sin tur är uppkopplad på. Det bästa skyddet får ni med hjälp av integrationer av DDos-skydd som hanterar trafik högst upp i internets hiearki, tier1. Glöm inte bort att era integrationer med molntjänster också kan göra er sårbara. Ni behöver Ddos-skydd som blir heltäckande.

4. Se till att ni kan se applikationsflöden/beroenden i realtid. Ni behöver ha koll om kontot för ”Kenth Hansson” på lönekontoret plötsligt hämtar uppgifter ur produktionssystemet och andra aktiviteter som helt bryter det vanliga mönstret. Denna bevakning kan automatiseras, men er infrastruktur behöver kunna skicka netflow/telemetridata för att det ska vara möjligt.

5. Se över behörigheter. Anslutna enheter/användare ska bara få komma åt dom delar av infrastrukturen de har rätt till. Annars kan konsekvenserna bli ödesdigra när hackers utnyttjar dessa brister.