2017-04-06 10:51

Omfattande cyberangrepp hos driftleverantörer

Myndigheten för samhällsskydd och beredskap (MSB) har rapporterat om ett omfattande IT-angrepp mot flera företag. Sverige ska vara ett av flera länder som har drabbats. Angreppet har främst riktat sig mot företag som erbjuder IT-tjänster åt andra företag, organisationer och myndigheter. Detta är en typ av attacker som blivit allt vanligare och som kommer att förekomma med ökad frekvens i framtiden. Syftet med att någon ger sig på en leverantör är egentligen att nå en annan organisations resurser, det är målet med denna typ av angrepp. Ett skolboksexempel på hur detta använts vid historiska attacker är den skadliga koden Stuxnet, där målet var en kärnteknisk anläggning. Datorviruset Stuxnet spreds initialt till leverantörer till anläggningen, och på så sätt kom koden så småningom in. På engelska kallas dessa ibland för "supplychain attacks".

Detta är en i raden av rapporterade IT-angrepp under den senaste tiden vilket är ett ytterligare argument för vikten av ett systematiskt säkerhetsarbete vid bland annat utkontraktering av IT-tjänster och/eller användning av molntjänster.

För att bemöta denna typ av hotbild krävs att säkerhetsåtgärderna anpassas. Härvid är riskanalys, säkerhetsanalys och informationsklassning avgörande för att besluta om vilken information som får och ska hanteras i olika miljöer, såsom molntjänster, så att eventuella konsekvenser av ett otillbörligt röjande redan är konstaterat.

Tekniska och administrativa åtgärder ska bland annat syfta till att skapa förutsättningar för en proaktiv övervakning av aktiviteter i den egna IT-infrastrukturen och i synnerhet övervakning av förbindelse via leverantörer av molntjänster.

Några exempel på förebyggande och detekterande åtgärder är:

  • Mellanliggande så kallade ”hoppservrar” som förhindrar direktanslutning till det egna nätverket
  • Proaktiv loggövervakning
  • Centraliserad logghantering med uppföljning och analys
  • Inspelning av nätverkstrafik, framförallt avseende systemadministration
  • Rutiner för arkivering av loggar för att möjliggöra och effektivisera incidentutredningar.

Länk till ytterligare information hos CERT.SE
https://www.cert.se/2017/04/omfattande-cyberangrepp-hos-driftleverantorer

För grafiska översiktsbilder, detaljinformation, IoC:er och annan bakgrundsinformation se  även Pwc:s rapport
https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html