”Tietoevry-attacken visar att intrång är oundvikliga”
krönika Tietoattacken är ett tydligt bevis på att sårbarheter i it-system och infrastruktur förr eller senare alltid kommer att leda till intrång. Därför är det dags att fokusera på teknik och processer som gör att effekterna av dessa intrång och attacker minskar. Det skriver Mats Ericson på Nutanix i en krönika.
Det verkar nu som om en opatchad sårbarhet i Ciscos mjukvara för nätverk var det som kunde utnyttjas av hackergruppen Akira som gjorde att bland annat 120 myndigheter drabbades av stillestånd i sina HR-system för en dryg vecka sedan. Myndigheterna kunde inte registrera sjukfrånvaro, semesterönskemål eller vabbande, medan butiker som Granngården höll helt stängt. Det gick inte heller att boka biljetter hos Filmstaden och e-handeln låg nere hos stora kedjor som Stadium och Rusta. Omkring 200 myndigheter har hittills anmält att tiotusentals personuppgifter kan ha läckt som en följd av attacken.
Det här är varken första eller sista gången som system och funktioner hos svenska myndigheter eller stora och i vissa fall samhällsviktiga företag drabbas av stillestånd på grund av it-attacker. Angriparna letar ständigt efter sårbarheter i olika system och mjukvaror. Katt- och råttaleken mellan mjukvaruleverantörers annonserade uppdateringar (patchar) och angriparnas jakt på offer som ännu inte hunnit uppdatera äldre sårbar mjukvara är lika gammal som internet, ungefär.
Så om vi inte kan undvika framgångsrika it-attacker, vad kan vi göra då? Svaret är att vi istället måste göra allt vi kan för att minska effekterna av dem.
Den stora utmaningen är att it-infrastruktur i dag är väldigt komplex. Flera lager med mjuk- och hårdvara från olika leverantörer i en blandning mellan egna datacenter, molntjänster och outsourcing gör att det ofta saknas kontroll och överblick, vilket gör administration och felsökning tidskrävande. För att inte tala om hur besvärligt det är att snabbt kunna agera vid en it-attack. Man saknar även redundans i infrastrukturen vilket gör det svårt att agera för att skydda informationen samtidigt som man har dåliga verktyg för att minska spridningen av ransomware.
Även förhållandet mellan kunder och underleverantörer är komplext. De flesta it-system och applikationer driftas och utvecklas inte av företag och myndigheter själva, det sker hos underleverantörer. Den som slutligen drabbas – kunden – befinner sig långt ifrån det ställe där angreppet sker. EU:s nya it-säkerhetsdirektiv NIS2, som ska vara implementerat i oktober detta år, ställer tydliga krav på att samhällskritiska företag och myndigheter har koll på sina underleverantörer. För att klara det måste de öka sin tekniska kontroll och överblick – de behöver på ett enkelt sätt kunna styra sin övergripande it-infrastruktur.
Jag menar att svenska företag och myndigheter behöver förbättra fyra områden inom it-infrastrukturen för att snabbt kunna studsa tillbaka efter en framgångsrik it-attack och därmed minska de säkerhetsmässiga, ekonomiska och varumärkesmässiga effekterna. Och för att kunna följa direktiven i NIS2.
Detta behöver företagen och myndigheterna göra:
- Standardisera. Minska antalet leverantörer av både hård- och mjukvara för att på så sätt minska antalet angreppspunkter och även de sårbarheter som uppstår i skarven mellan komponenter och mjukvaror som kommunicerar med varandra.
- Minska beroenden mellan olika hård- och mjukvaror. It-avdelningar vågar sällan driftsätta säkerhetsuppdateringar direkt eftersom man först måste kontrollera alla beroenden i hård- och mjukvaran. En felaktigt genomförd patchning kommer, likt en framgångsrik it-attack, också att stoppa it-systemen från att fungera. Problemet är bara att under tiden som it-avdelningen testar säkerhetsuppdateringen hinner angriparna attackera just den sårbarheten som säkerhetsuppdateringen skulle lösa.
- Automatisera konfigurationer, inställningar och dokumentation. Genom att all mjukvara är uppsatt på exakt samma sätt kommer återställningen att bli enklare och kunna genomföras snabbare.
- Förenkla driften och därmed organisationen. Genom att använda teknik som förenklar driften kan it-avdelningarna beta av teknisk skuld (gamla surdegar och gammal teknik) och lägga mer tid på att skapa en robust och återställningsbar it-infrastruktur.
De företag och myndigheter som fortsätter att driva en komplex och okontrollerad it-infrastruktur riskerar att även fortsättningsvis drabbas av allvarliga konsekvenser när de drabbas av it-attacker, medan samhällskritiska företag och myndigheter kan få höga böter när de inte följer reglerna i det nya NIS2-direktivet.
Så det är dags att investera i dessa teknikområden som medger effektiv återställningen nu, för planeringen för nästa Tietoevry-liknande attack pågår redan.
Mats Ericson är regionchef för Sverige, Danmark och Island på Nutanix
