Nya it-hot i digitaliseringens skugga – så påverkas vi
Företag, myndigheter och andra verksamheter gör sig allt mer beroende av digitala lösningar. Parallellt med detta växer nya, lukrativa möjligheter fram för cyberbrottslingarna – med potentiellt förödande samhälleliga konsekvenser.
Samhället digitaliseras i en rasande takt. Journalsystem, infrastruktur och samhällskritisk industri i alla dess former får fler kontaktytor mot internet och egna digitala ekosystem. Fördelarna avseende kostnad och effektivitet är enorma – åtminstone så länge systemen tryggas från yttre hot. När angriparna väl lyckats knäcka it-säkerheten i ett känsligt system kan skadorna bli svindlande stora.
Vi på PC för Alla har flera gånger skrivit om gisslanprogram och andra it-säkerhetshot som drabbar den enskilde användaren. Men nu vill vi lyfta blicken och titta på hur storskaliga attacker har möjlighet att påverka många, många fler. Finns det över huvud taget en bortre gräns för hur mycket elände de sofistikerade it-angreppen kan orsaka företag, konsumenter och samhällsmedborgare?
Virus som krigsvapen
2015 utsattes det konfliktdrabbade Ukraina för ett stort cyberangrepp som sänkte delar av landets energiförsörjning. Anställda hade i ett första skede lurats att ladda ned ett virus som förstörde delar av nätverket och skadan ökade sedan snabbt i omfattning. Till sist stod hundratusentals kunder utan elektricitet i flera timmar. Det var det första it-angreppet i sitt slag och fick snabbt mycket uppmärksamhet.
Men redan ett år tidigare, när Ryssland gjorde anspråk på Krimhalvön, började ett parallellt cyberkrig som upprepade gånger slog ut viktiga delar av landets samhällskritiska system. I december 2016 uppgav Ukrainas premiärminister att landet utsatts för 6 500 cyberangrepp under de två senaste månaderna. Det var då man började tala om ett regelrätt cyberkrig i regionen.
Ukraina var också det land som fick ta emot den hårdaste smällen under sommaren 2017, när en variant av det ökända Petya-viruset, NotPetya, spreds som en löpeld över världen. I Sverige drabbades bland annat hamnlogistiken i Göteborg när containerföretaget Maersks it-system slogs ut. I Ukraina sattes viktig övervakningsutrustning kring det havererade kärnkraftverket Tjernobyl ur funktion och i USA drabbades logistikjätten Fedex och livsmedelsindustrin hårt. Ett system som låsts av Petya kan visa ett sådant här meddelande. 2017-attackerna beräknas ha orsakat skador för flera miljarder dollar. Trumpadministrationen och flera andra tongivande länder anklagade Ryssland för NotPetyas framfart och varnade för konsekvenser.
Cyberkrigföring i syfte att försvaga fiendemakter har blivit ett vedertaget begrepp. På EU-nivå finns ambitiösa planer på gemensamma försvarsinsatser för att skydda känslig infrastruktur och samhällsnödvändiga funktioner. I Sverige sysslar Försvarsmakten sedan en tid tillbaka med olika it-inriktade utbildningar och startade så sent som 2020 en utbildning till cybersoldat.
“Kartläggning det yttersta målet”
Men alla angrepp handlar inte om att så kaos och oreda. I slutet av 2020 fick ett stort antal omfattande dataintrång global uppmärksamhet, när ett hack mot it-säkerhetsföretaget Solarwinds uppdagades. 18 000 organisationer över hela världen som använde deras mjukvara drabbades efter att i god tro ha installerat en fil innehållandes en bakdörr. Ironiskt (eller kanske inte?) var det ett it-övervakningsprogram, Orion, som drabbades. Som ett led i attacken gick angriparna även via Microsoft-molntjänster.
På listan över “offer” återfanns bland annat viktiga myndighetsorganisationer och underrättelsetjänster i USA, men attacken drabbade även svenska företag som Ericsson och Volvo Cars. Ryssland har återigen anklagats för att ha ett finger med i spelet, men nekar till detta. USA:s då avgående president Donald Trump tonade ned skandalen och insinuerade i sin tur att det var Kina som låg bakom. De omfattande dataintrången mot federala myndigheter i USA offentliggjordes under Donald Trumps sista skälvande presidentveckor. Försök föreställa dig följderna om underrättelsetjänster och myndigheter över hela världen skulle infekteras med spionprogram och annan skadlig mjukvara. Information är makt, brukar det ju heta, men tänk om angriparen även kunnat utföra rena krigshandlingar, med globala it-katastrofer som följd?
– Attacken mot Solarwinds upptäcktes och avbröts faktiskt i jämförelsevis god tid. Det hade kunnat bli den mest framgångsrika underrättelseattacken någonsin – om den inte redan är det. Vi vet inte alla konsekvenser av den ännu.
Det säger Marcus Murray, grundare av it-säkerhetsföretaget Truesec, som hjälpt både myndigheter och andra organisationer som utsatts för omfattande it-angrepp. Han menar att den här typen av it-angrepp kommer att bli vanligare framöver, men att de redan inträffar oftare än vad många kanske tror.
– Underskatta inte mängden av dessa operationer. Det pekas ofta på Ryssland, men även länder som Kina och USA arbetar hårt och aggressivt med den här typen av underrättelseverksamhet. Och många andra förstås. En underrättelsetjänst har som yttersta mål att kartlägga sina antagonisters – och partnerländers – människor, och få insikt i alla beslut som tas. I den bästa av världar når man alla datorer, telefoner, arbetsplatsnätverk och så vidare.
Privata hackare tar myndigheter och företag som gisslan
Tungt kriminella nätverk intresserar sig mer för de lukrativa möjligheter som finns inom cyberbrottsligheten. Ett av deras nya favoritvapen är gisslanprogrammen, eller ransomware som de också kallas. De går oftast ut på att genom kryptering låsa tillgången till filer, mappar eller hela it-system och hålla dem som gisslan tills en lösensumma betalas.
Flera städer i USA har varit utsatta för uppmärksammade ransomware-angrepp. 2018 lyckades hackare ta centrala it-system i mångmiljonstaden Atlanta som gisslan. Betal- och parkeringssystem gick ned, samtidigt som resenärer inte kunde använda wifi på världens mest trafikerade flygplats. Kommunanställda förbjöds att använda datorer och andra uppkopplade prylar.
Sett till skadorna de orsakade krävde hackarna en förhållandevis blygsam lösensumma om 51 000 dollar i kryptovalutan Bitcoin för att låsa upp systemen. Två iranska medborgare pekades ut som skyldiga för cyberangreppet, och för att ha satt denna typ av operationer i system. Många bäckar små… Myndigheter i Atlanta förnekar att de skulle ha betalat lösensumman, men fick dras med utgifter på närmare tre miljoner dollar i kölvattnet av attacken. Marcus Murray, Truesec. Enligt Marcus Murray är incitamenten för icke-statssponsrade ransomware-attacker mot exempelvis svenska kommuner och offentlig verksamhet svaga. Han anger en brist på finansiella medel för att betala sådana lösensummor som främsta skälet. Annat är det om vi tittar på företagssidan, menar han.
– På privatägda företag föregås en utbetalning oftast av en affärsmässig dialog – inte en juridisk. Ägarna vill ju skydda sitt företag och om de gynnas kommersiellt av att betala lösensumman kommer de ofta att göra det. Det blir en avvägning, som ofta påverkas av stress. Vi brukar alltid avråda våra kunder från att betala – det finns oftast sätt att återställa datan.
Den ökande trenden med ransomware-angrepp är knappast på väg att stanna, menar han.
– Det finns flera anledningar. En är att företag, myndigheter och städer digitaliseras i olika omfattning. Vi blir beroende av it, vilket ger attacker mot just det digitala ett nytt värde. Brottsligheten anpassar sin verksamhet efter den här nya verkligheten. Opportunism, låg moral och en stor vilja att tjäna pengar gör att cyberbrott är väldigt attraktivt i dag. Det finns stora pengar att tjäna – i fallet med ransomware har jag sett utbetalningar på 300 miljoner kronor.
Nätfiske mot utvalda anställda
It-säkerhetsföretaget Proofpoint gör regelbundna undersökningar där företag får ange vilka hot de fruktar mest. I den senaste rapporten, som har lite mindre än ett år på nacken, fick ransomware en femtedel av rösterna.
– Vi har all anledning att tro att den delen ökat nu. Företag i Sverige ser definitivt en hotbild och Covid-19-pandemin har inte ändrat på detta. Snarare ser vi olika nätfiskeförsök som drar nytta av pandemin i enorma kampanjer där man exempelvis utnyttjar människors intresse kring vaccin. Nätfiske är en vanlig angreppsmetod för ransomware-attacker.
Det säger Örjan Westman, regionchef på Proofpoint. Enligt honom har attackerna börjat fokusera mer på enskilda anställda på företagen snarare än att angripa hela infrastrukturen. Målet är att lura dem att klicka på länkar eller få dem att ladda ned skadlig mjukvara.
– Det handlar om social ingenjörskonst och olika versioner av nätfiske som blir alltmer riktade. Den skadliga mjukvaran, eller payloaden, aktiveras i många fall inte förrän efter flera dygn. Då kan själva filen som innehåller den redan ha passerat igenom säkerhetskontrollen. Örjan Westman, Proofpoint Vad som börjar som ett angrepp mot en enda dator i nätverket kan sedan spridas snabbt och i slutändan låsa hela system som krävs för att få verksamheten att gå runt. Vid det här laget brukar vi som konsumenter märka av följderna.
Ett samarbetsprogram som används över hela världen är Microsofts Office 365. Ett välanvänt program från en stor och betrodd aktör borgar för god säkerhet, men vaggar också in användarna i falsk trygghet, menar Örjan Westman.
– Vi gör hotanalys i många verksamheter och tittar bland annat på vad som släpps igenom i olika e-postfilter. Det kan ibland röra sig om allvarliga hot, som exempelvis kan härstamma från kapade konton i Microsofts Office 365-molntjänst. Det är en miljö där enormt många rör sig dagligen. Ett av säkerhetsproblemen är att användarna räknar med att en så stor och trygg aktör som Microsoft kan skydda dem mot alla typer av hot. Men en stor del av alla skadliga url:er ligger lagrade i just den miljön.
Sommaren 2020 utsattes den amerikanska pryltillverkaren Garmin för ett ransomware-angrepp. Användare av Garmins smarta klockor och andra uppkopplade prylar kunde plötsligt inte synkronisera med företagets tjänster. Till sist ska en lösensumma på omkring 87 miljoner dollar ha betalats ut till hackarna. Även om det inte är känt exakt hur Garmin hackades kan vi fastslå att den mänskliga faktorn ofta ligger bakom. Något som i förlängningen riskerar att drabba både företag och konsumenter.
– Användarna måste utbildas kontinuerligt. Tidigare har branschen ofta använt sig av “one size fits all”-lösningar, där alla på ett helt företag får lära sig samma saker. Men eftersom attackerna blir allt mer individanpassade fungerar inte det tänket längre. Kan man hitta “topprisk-personerna” i varje verksamhet så kan riskhanteringen göras bättre, säger Örjan Westman.
Vår ömtåliga sjukvård
En sektor som ofta faller mellan det privata och det offentliga är sjukvården. En ny rapport från it-säkerhetsforskare på Check Point avslöjar att antalet cyberattacker mot sjukvårdssektorn ökat med 45 procent under covid 19-pandemin. I Sverige är motsvarande siffra 32 procent. Ransomware, botnät, fjärrkörning av kod och överbelastningsattacker hör till angreppsmixen.
Varför ge sig på sjukhus? I ett pressmeddelande kommenterade Check Points säkerhetsexpert Mats Ekdahl det oroande fenomenet så här:
– Det korta svaret är att inriktningen på sjukhus ger snabba pengar till cyberbrottslingarna. Brottslingarna vet att sjukhusen är mest villiga att möta kraven och faktiskt betala lösen, eftersom alla avbrott i driften skulle vara katastrofala. Sjukvården har kommit långt i digitaliseringsprocessen och är beroende av ett stort antal it-system för logistik. Det gör sjukhusen till känsliga måltavlor för it-angrepp. Katastrofala var ordet. I Oktober 2020 inträffade en våg av ransomware-attacker riktade mot amerikanska sjukhus. Måltavlorna fanns i så skilda områden som New York, Oregon och Kalifornien. Sjukhuspersonal vittnade bland annat om låsta journalsystem som tvingade dem att nedteckna allt för hand och att patientförflyttningar försvårades eller omöjligjordes.
En månad tidigare, i tyska Düsseldorf, tvingades stadens universitetssjukhus avvisa en 78-årig kvinna som drabbats av en aortaaneurism. Tillståndet var kritiskt, men ett ransomware-angrepp mot sjukhuset hade slagit mot koordineringssystem och tillfälligt stängt akutintaget. Ambulansen omdirigerades till Wuppertal, vilket försenade inläggningen med en dryg timme. Patienten avled och i Tyskland arbetade åklagare för att lägga skulden för kvinnans död på angriparna.
Omvärlden intresserade sig främst för om man för första gången skulle kunna skylla ett dödsfall direkt på ett gisslanprogram, men bevisningen höll inte i längden. Även om it-attacken försvårade omhändertagandet av kvinnan kunde det inte fastställas att hon överlevt även om hon tagits emot vid första försöket. Således väntar vi fortfarande på det första ransomware-orsakade dödsfallet.
Vägen framåt?
Enligt flera nyligen gjorda undersökningar hamnar Sverige i den absoluta världstoppen när det gäller digitalisering. Det gör att vi också måste vara på vår vakt och möta den digitala hotbilden. Men den rent reaktiva vägen – alltså att jaga rätt på och straffa cyberbrottslingar – är svår att följa, menar Marcus Murray på Truesec.
– Ett stort problem är att det är svårt att lagföra dem som ligger bakom den här typen av brott. Tittar vi på polisväsendet idag är det inte kapacitetsatt efter digitala hot. Det mesta av samarbetet sker i stället internationellt genom exempelvis Europol. Att svensk polis skulle gå på hackargrupper och exempelvis få till en husrannsakan i en serverhall utomlands – det är många hopp som ska göras i ett sådant samarbete.
Han fortsätter:
– De internationella samarbetena behöver förstärkas i framtiden och i vissa avseenden är det på gång. Jag skulle gärna se fler samarbeten mellan offentliga myndigheter och den privata sektorn.
Enligt Marcus Murray kan Truesec ofta åtminstone identifiera vilken gruppering som ligger bakom en attack och vilket land den härstammar ifrån. Men enligt honom tar det ofta stopp där, eftersom drabbade företag och organisationer främst är intresserade av att återfå tillgången till sina system.
– För dem är ju skadan redan skedd, påpekar han.
Marcus Murray nämner en vanlig jämförelse i sammanhanget, att cyberbrotten gått om droghandeln på en global nivå och ser ytterligare utmaningar framöver.
– Digitaliseringen av samhället och företagen kommer att fortsätta och vi kan skönja en trend där vi förlitar oss på färre men större företag. Det konsolideras mycket nu, varför det kommer bli intressant att studera hur konsekvenserna av ett dataintrång kan komma att se ut, avslutar han. Foto: PressbildEnisa grundades redan 2004, men är sedan 2019 även namnet på EU:s nya cybersäkerhetsbyrå. Men givetvis finns initiativ som syftar till att stoppa den ökande trenden med omfattande och kostsamma it-angrepp. De ansträngningar som görs på EU-nivå är inte små. I december 2020 klubbades en ny strategi för cybersäkerhet igenom, som syftar till att “stärka Europas motståndskraft mot cyberhot och se till att alla företag och medborgare kan dra full nytta av säkra och tillförlitliga tjänster och digitala verktyg”.
Rent konkret innebär detta bland annat att EU-anslagen ämnade åt cybersäkerhet i långtidsbudgeten ska fördubblas under de sju kommande åren. En nysatsning i form av en cybersäkerhetsbyrå, Enisa, finns på plats och på Sverigenivå väntas ett nationellt cybersäkerhetscenter sysselsätta ett hundratal personer år 2023.
EU sjösatte redan 2019 en särskild cybersäkerhetsakt som bland annat innehåller en EU-omfattande ordning för cybersäkerhetscertifiering för produkter avsedda att användas av konsumenter och företag. Även tjänster och processer inom EU omfattas. Yttersta ansvaret har Enisa och nu väntar många år av implementering av de olika regelverken. Väl på plats väntas de spela en central roll i säkrandet av vårt digitala samhälle framöver.
