5 punkter för att skydda dig från cyberattacker

IT-brottsligheten mot företag tog fart för ungefär fem år sedan, och nu kommer allt oftare uppgifter om företag som drabbats, stora som små. Det är i sig en bra sak, menar Christian Hellemar på Front. Mörkertalet är nämligen mycket stort, och att fler som träder fram, berättar och polisanmäler, är en förutsättning för att polisen och andra myndigheter ska kunna arbeta på rätt sätt och kräva de resurser som behövs. Men att råka ut för en cyberattack solkar varumärket, kan bli dyrt och i värsta fall leda till företagets fall.

GDPR-spöket orsak till mörkerantalet?

Enligt lag ska ett företag anmäla en personuppgiftsincident till Integritetsmyndigheten IMY, före detta Datainspektionen, inom 72 timmar. Även om antalet anmälningar ökat sedan starten av GDPR så är det många drabbade företagare som låter bli att anmäla.

– En teori är att många företag är rädda för ”GDPR-spöket”, att hamna i en juridisk process med höga skadestånd eller anmälningar från personer vars uppgifter ingår i företagets dataregister. Många företag saknar förmågan att se vad som eventuellt har stulits (kopierats) från deras system. Då är det lätt att tänka att det var nog inte så farligt, säger Christian Hellemar.

Ett vanligt sätt för de kriminella att arbeta är att ta över företagets hela datasystem, släcka ner det och sedan kräva en lösensumma för att åter öppna det. I början valde många att betala, men allt fler inser att det är riskabelt och väljer i stället att återställa sin IT-miljö med hjälp av experter eller från säkerhetskopior. Det finns exempel på företag som fått så omfattande skador att ledningen valt att bygga upp hela IT-systemet från grunden, fast med förbättrad säkerhet. Har man råd och möjlighet är det vad man bör göra, enligt Christian Hellemar.

– Även om du betalar finns det ingen garanti att du får igång ditt system igen, eller att du får tillbaka all förlorad data. Du vet heller inte om skadlig kod lämnats kvar. Och du kan bli måltavla igen. Det är självklart dåligt att föda denna typ av verksamhet, säger han.

Allt fler storföretag drabbas. Ett av de senaste exemplen är det amerikanska IT-säkerhetsföretaget Solarwinds som självt blev hackat, en attack som spred sig till alla företagets kunder, så kallad supply chain attack. Men även mindre företag är intressanta för de kriminella och attackerna behöver inte vara riktade. Ofta är de så automatiserade att angripare inte vet vilka de attackerar i första fasen, och lösensummorna är anpassade efter det attackerade företagets storlek.

fotograf: Peder Kallin

Hur ska man skydda sig?

Dagens företag måste alltså ha en beredskap. Hur gör man för att skydda sig mot alla olika typer av cyberkriminalitet? Enligt Christian Hellemar är detta en bra struktur att utgå ifrån:

1. Identifiera. Du bör veta vad företaget har som måste skyddas. Utrustning, data etc. Det ska också finnas en IT-policy som bland annat talar om vad medarbetarna får och inte får göra. Är det ok att installera vilka applikationer man vill på företagets dator? Se till att alla arbetar från en kontrollerad företagsdator.
2. Skydda. Här ska du lägga en stor del av krutet. Skyddet ska hindra kriminella från att installera skadlig kod. Det är också viktigt att skydda exempelvis inkommande e-post. Molntjänster och andra publika tjänster ska bara vara nåbara med tvåfaktorsinloggning – det ska inte räcka med ett lösenord. Det är vanligt att kriminella kommer åt inloggningsuppgifter som sedan stjäls och säljs. Se till att ha löpande säkerhetsuppdateringar på plats och att inga användare har administratörsbehörigheter när de utför sina vanliga arbetsuppgifter. Det gäller även IT- personal.
3. Upptäcka. Denna punkt bör prioriteras. Övervaka att dina skyddsförmågor (punkt 2) fungerar och är applicerade. Du bör också ha förmåga att upptäcka tecken på intrång. Se till att så många system som möjligt loggar så att det finns möjlighet att spåra händelser i efterhand.
4. Svara. Om något händer – vad gör du då? Hur kan verksamheten upprätthållas? Det kan behövas manuella rutiner på plats för vissa arbetsuppgifter. Stäng inte av datorer och servrar vid en incident eftersom det försvårar utredningen av vad som har hänt. Ta hjälp experter för utredningen. Organisationen bör ha en partner eller åtminstone veta vilket företag man ska kontakta.
5. Återställ. Förmågan att återhämta sig är otroligt viktig. Även om du har många lager av skydd, finns alltid risken för en attack. Så en robust lösning för säkerhetskopiering och återställning måste finnas, och den ska övervakas och testas löpande. Ta hjälp av experter om du saknar kompentens inom företaget.

Det är viktigt att få med sig alla medarbetare, att kontinuerligt utbilda och träna för att stärka medvetenheten om vilka riskerna är och hur man bör bete sig. Det vill säga inte klicka på okända länkar och filer eller svara på suspekta e-postmeddelanden, samt använda lösenord på rätt sätt så att de inte återanvänds eller är för svaga.

Medarbetare måste vara medvetna om att de inte får börja använda nya molntjänster utan att förankra det hos ledningen och/eller IT-avdelningen. Om ledning och IT-avdelning inte ens känner till att vissa tjänster används, vet de inte vad som behöver skyddas. Detta är vanligt förekommande och har ett eget begrepp, skugg-IT.

– Man bör ha en faktor till, utöver lösenord, för alla tjänster som är nåbara via internet. Oftast används en app i mobiltelefon (likt Bank-ID) där man godkänner inloggningen. Det skyddar mot många attacktyper, exempelvis där stulna loginuppgifter används, säger Christian Hellemar.

Det kan vara mycket värt att ha en IT-partner som har insikt om cybersäkerhet, och då måste du som kund involveras när det gäller valet av nivå på säkerhet. Christina Hellemar ser ofta dåliga och osäkra lösningar bland företag han besöker. Dessa företag hänvisar ofta till sin IT-leverantör. Men IT-leverantören kan ha för låg kompentens eller underlåtit att involvera kunden i beslutet om hur hög säkerhetsnivå som behövs.

– I min värld är det helt bakvänt att företaget (kunden) inte involveras i beslut som äventyrar deras säkerhet. Det kan aldrig vara upp till IT-leverantören eller enskild tekniker att fatta dessa beslut, säger Christian Hellemar.

Kriminell gloslista

• Phishing (nätfiske) - Lurar användare att klicka på falska länkar eller bilagor i syfte att infektera med skadlig kod eller få användaren att ange sina login uppgifter, sker oftast via e-post eller via webben.
• Smishing - Falsk information och länkar skickas ut via sms. Inte så vanligt i Sverige.
• Vishing - Kriminella ringer upp och lurar av användarna viktiga koder eller BankID.
• Spear phishing - Nätfiske som riktar sig mot bestämda personer, i synnerhet mot höga chefer som har tillgång till konfidentiell information. Målinriktad attack.

MSB:s webbplats