Vad är cyberattacker?

Råd från Arnaud Lautier och Dominique Vaudoisey, säkerhetskonsulter.

Cyberattacker likställs fortfarande med enbart IT-kriser, men cyberattackerna påverkar alla tjänster såväl som ryktet och bilden av alla målstrukturer (exempel på detta är NotPetya, GandCrab, Emotet, Clop). Varje cyberattack är tvärgående och måste hanteras av aktörer som inte alltid är vana att samarbeta tillsammans. De måste i dessa fall hitta ett gemensamt språk och sträva efter samma mål. Inom ramen för hantering av cyberattacker får IT-teamen alltså nästan alltid sällskap av kommunikations- och juridiska team, personal och flera professioner som berörs av attacken.

En av cyberattackens särdrag är att den kan vara ett resultat av att ha upptäckts sent och själva attacken uppstod flera månader tidigare. Angriparen kunde gradvis managera sina laddningar och aktivera dem vid rätt tidpunkt (t.ex. under en semester eller under helgen). En av krisorganisationens egenskaper är förmågan att reagera på händelser. De måste kunna genomföra nödåtgärder för att begränsa påverkan, undvika olyckor och adoptera en defensiv hållning. De kan också använda försiktighetsåtgärder för att bevara sina viktiga tillgångar (Active Directory, säkerhetskopior, etc.).

Under en cyberattack är det fortfarande omöjligt, eller oförsiktigt, att förlita sig på de vanliga kommunikationskanalerna (Skype, e-post...) eftersom de kan vara ur funktion eller äventyrade.

Som ett resultat måste hela organisationens arbetssätt ses över. Effekterna är även starka för affärskontinuitetsplaner. Nya tillvägagångssätt är viktiga och de måste kännas igen av intressenterna i krishanteringssystemet innan de utlöses.

Alla som är uppkopplade på internet bör vara medveten om risken för cyberattacker och du kan vara drabbad utan att du vet om det. Det är framförallt företag som bör vara aktsamma då mer står på spel, bland annat kundernas säkerhet. Om du lär dig mer om cyberattacker, bland annat vad de är och hur man förhindrar dem, kan du förbättra din säkerhet på internätet avsevärt.

En cyberattacks mål är att sabotera eller att pressa personer och företag på pengar. Det finns olika typer av cyberattacker och angriparna använder sin kreativitet för att nå sina mål. 

Några av målen av kan vara:

• Att uppnå ekonomisk vinning
• Stjäla data
• Ändra uppgifter
• Spionage
• Förstöra information eller data.

Bortsett från ren opportunism vet cyberkriminella i de flesta fall vad de vill inhämta innan de inleder sina attacker. Dessa cyberattacker är riktade, förberedda i god tid och har sina rötter i varje organisations sårbarheter, oavsett om de är rent datorrelaterade eller av organisatoriskkaraktär. 

Det första steget i att förbereda sig inför en kris är att vara medveten om sina egna sårbarheter. Detta involverar tekniska och organisatoriska revisioner. Det är även lämpligt att kartlägga de scenarier som sannolikt kommer att få de mest kritiska konsekvenserna, men även de mest sannolika händelserna. Detta tillvägagångssätt med både sannolikhet och effekter gör det möjligt att identifiera realistiska attackscenarier från vilka alla förberedelser före krisen kommer att följa.

Målet med kartläggningen är för att minska risken för att det inträffar och att i förväg förbereda inför en eventuell cyberattack. Detta möjligör att begränsa negativ påverkan så mycket som möjligt och undvika risken för olyckor.

Det rekommenderas därför att utföra uppströmssimuleringar med de berörda teamen. Detta kommer att möjliggöra för dem att avgöra vilka nöd-, försiktighets- och/eller karantänåtgärder som de skulle kunna vidta vid lämplig tidpunkt för att minska effekten av en cyberattack.

Förberedelser hjälper också till att förutse stressen som en kris kan orsaka, oavsett om det är cyber eller inte. Stress och trötthet kan ibland tiodubblats på grund av missförstånd. Under de första timmarna är det ofta svårt att veta exakt vad som händer och att identifiera källan/källorna till attacken och dess scenario.

Medarbetarnas förmåga att hålla huvudet kallt, samarbeta och snabbt fatta rätt beslut grundas i att de har lärt sig rätt rörelser i förväg och kan tillämpa en enkel och effektiv metod; improvisation är inget alternativ.

Det första steget i att bygga en effektiv krishanteringsorganisation skulle vara att genomföra en riskanalys eller bygga på en sårbarhetsrevision som tidigare genomfördes, helst för mindre än ett år sedan.

Därefter är det viktigt att tänka på den bästa möjliga organisation med hänsyn till företagets sammanhang och omfattning. Slutligen är det nödvändigt att utarbeta en krishanteringspolicy och att bygga ett dokumentärpaket. Dokumentärpaketet består huvudsakligen av (följande lista är inte uttömmande):

• Försvarsplaner: De listar hur ett företag skyddas
• Triggermatrisen: Det gör det möjligt att kvalificera en incident enligt förutbestämda kriterier och synliggöra om det är en krissituationen eller inte. Denna matris måste vara känd för personalen som först informeras om incidenten (övervakning, helpdesk eller hjälpcenter, Security Operation Center eller SOC, tredje part, etc.) samt för de anställda som ansvarar för att mobilisera krisenheten med dedikerade och testade kommunikationsmedel
• Reflexkorten: Innehåller proceduren som ska följas vid en kris. De är extremt exakta och didaktiska och visar steg för steg vilka åtgärder som ska vidtas, i ordning enligt de scenarier som identifierats under revisionerna
• Arbetsbeskrivningarna: De är individuella och förklarar vilken roll varje medlem i en krisenhet kommer att ha
• Checklistor: Inte att förväxla med arbetsbeskrivningar. De är checklistor som inkluderar de första åtgärder som ska vidtas och de dokument som du behöver ta med dig (jobbkort, reflexkort...)
• Anropsträd: Det finns lika många anropsträd som det finns krisceller. De innehåller kontaktuppgifterna för de primära kontakterna såväl som för ersättarna i händelse av en incident
• Kontaktblad: Dessa innehåller kontaktuppgifterna till alla anställda som kan hjälpa under en kris, men som inte ingår i en krishanteringsenhet
• Juridiska dokument: Under en kris finns det juridiska dokument som ska tillhandahållas myndigheter och försäkringsbolag. De inkluderar alla åtgärder som genomfördes under krisen, av vem och deras mål

Generellt skapar varje företag två multidisciplinära krishanteringsenheter: Den första är beslutsfattande (den bestämmer vilken strategi som ska antas för att hantera krisen samtidigt som den minskar påverkan på företagets aktiviteter såväl som dess image och rykte). Den andra är mer taktisk (den samordnar de åtgärder som definieras av beslutscellen). Till dessa kommer andra, mer specialiserade, men även mer operativa (deras medlemmar genomför de åtgärder som beslutats ovan). Det bör noteras att denna specifika organisation är särskilt anpassad för stora företag.

Medlemmarna i en kriscell, när de väl identifierats, tränas i att känna till sitt ansvar och gränsen för sin roll. De lär sig också att bemästra nya säkra verktyg för kommunikation. Kom ihåg att under en cyberkris kan de traditionella kanalerna (e-post, Skype, SMS...) sättas ur drift.

En cyberkrishanteringsövning är, som namnet antyder, en simulering av en cyberattack. Detta kan ta flera former beroende på varje klients mål och medel: från en enkel simulering, med ett pedagogiskt syfte, till en falsk attack utförd under mer realistiska förhållanden. Det är även möjligt att involvera ett "Red team" för att testa upptäckten av en attack och mobiliseringen av krisenheten.

Generellt kan längden på en krishanteringsövning variera från en timme till en halv dag. I det senare fallet innebär övningen att en eller flera krishanteringsenheter arbetar i samma geografiska område och därför i samma tidszon.

Det tar ungefär en månad att förbereda den här typen av simulering.

Om övningen genomförs i länder med stor tidszonsskillnad kan det ta upp till en hel dag eller mer att genomföra och involvera flera krishanteringsenheter. Det bör noteras att det även är möjligt att köra övningen i "condensed time".

Förberedelsetiden kan lätt uppgå till tre till fyra månader för en multicellulär och/eller internationell träning.

Viktig precision: Allt simuleras alltid. Som en illustration, i en fabrik, är det inte fråga om att stoppa en produktionslinje. En medarbetare kan ringa helpdesk och meddela: "Min dator fungerar inte längre. Innan den stängdes av visade skärmen ett krav på lösen. Kan du hjälpa mig?

För att involvera alla aktörer i ett företag (och inte bara IT-experter) måste scenariot som skapas ligga nära verkligheten. Den kan baseras på de revisioner och riskanalyser som genomförts inför övningen och representerar därmed de mest sannolika hoten med störst påverkan för företaget.

För en bank är det möjligt att skapa ett scenario baserat på till exempel förskingring eller utpressning av medel. För en sajt specialiserad på e-handel blir det snarare en läcka av personuppgifter. Dessa exempel är konkreta och mer meningsfulla än en "ransomware-attack" eller "denial of service" för anställda som inte är bekanta med IT-frågor.

Under krishanteringsövningen kommer alla de element som förberetts i förväg att vara vettiga. Syftet med en övning är att testa kunskaperna hos de personer som utbildas, men även att skapa automatism med medarbetare som inte nödvändigtvis är vana vid att hantera den här typen av situationer.

Vid starten av en övning ska medlemmarna i krishanteringsenheten bland annat (listan är inte uttömmande):

• Samlas och mobilisera rätt personer
• Ta ansvar för sin roll
• Utnyttja deras dokumentationskit och ibland nya kommunikationsverktyg
• Lära sig hur man bäst kommunicerar med varandra, men också med medlemmar i andra celler
• Tänk på att färdigställa ledarna samtidigt som du fortsätter att hantera krisen

Observera att arrangörerna av övningen (animationscell) regelbundet skickar stimuli, men också falska leads för att i största möjliga mån att efterlikna vilkor för en riktig attack. 

I slutet av en övning utförs en obduktionsanalys för att samla in deltagarnas känslor. Detta är också den mest relevanta tiden för varje cellgruppsmedlem att förstå vad de gjorde rätt, men äveen de misstag de gjort. Mer än övningen är det faktiskt debriefingen som är mest givande.

Efter detta ges en rapport till uppdragsgivaren. Den innehåller:

• Arrangörernas kommentarer (både positiva och negativa)
• Deras rekommendationer
• En prioriterad handlingsplan som syftar till att förbättra organisation och kommunikation vid kris, rollfördelning, men också utbildning som ska genomföras och rådgivning om medlemmarnas beteende.

På den sista punkt händer det ibland att vissa medlemmar i en krishanteringsenhet är för diskreta eller tvärtom för auktoritära. Handlingsplanen ger också möjlighet att bli medveten om sådana fallgropar för att på bästa sätt rätta till dem.

Obduktionsanalysen, liksom skrivningen av handlingsplanen, har bara ett mål: ständiga förbättringar. Därför måste krishanteringspolicyn, liksom alla nämnda dokument, uppdateras regelbundet. Det är också lämpligt att fortsätta att träna cellmedlemmar regelbundet och att testa sina kunskaper i en övning minst en gång om året.

Ett företags förmåga att reagera på och begränsa de negativa effekterna (på dess verksamheter, aktiviteter, personal, image och rykte) av en kris beror på dess nivå av förberedelse och utbildning. Här är i korthet proceduren att följa för att på bästa sätt förbereda sig för en cyberkris:

• Analysera företagets svagheter
• Identifiera dess mest känsliga data
• Utarbeta en krishanteringspolicy
• Skriv ett dokumentärpaket (se listan ovan)
• Inrätta krisceller, utse ledamöter och deras ersättare
• Definiera deras roller och ansvar och gränser
• Tänk på samordningen mellan de olika medlemmarna och de olika krishanteringsenheterna
• Utbilda varje medlem i krishantering och nya säkra kommunikationsverktyg
• Skapa ett träningsscenario baserat på en känd sårbarhet och det mest sannolika hotet med störst effekt
• Under simuleringen, rama in interventionsperimetern för att undvika risken för överolyckor
• Observera varje persons handlingar, notera dem noggrant
• Tempo övningen med stimuli utformade för att återskapa spänningen i en kris
• I slutet av övningen utför du en obduktionsanalys
• Skriv en årsredovisning och en handlingsplan för ständiga förbättringar
• Genomför regelbundna träningar
• Genomför krishanteringsövningar minst en gång per år
• Uppdatera regelbundet alla ovan nämnda dokument

Sommaren 2021 utsattes livsmedelskedjan Coop för en cyberattack vilket bidrog till att deras kassasystem havererade. Det var en ransomware-attack och flera av landets 800 butiker drabbades och tvingades att stänga då de inte kunde ta betalt av sina kunder. Cyberttacken var inteinte riktad direkt mot Coop utan måltavlan var det amerikanska företaget Kaseya, vars mjukvara i sin tur används av Coops leverantör Visma Esscom.