Maria Nordgren, cybersäkerhetschef på Tietoevry, är van vid snabba ryck. När företag drabbas av en cyberattack måste allting gå per automatik. Det är som en eldsvåda: rädda och varna dem som är i fara och stäng branddörrarna. Därefter börjar släckningsarbetet. Har man övat tillräckligt blir skadorna inte så stora.
Datasäkerhetsbrott har en märkbar inverkan på länders bnp. Säkerhetsföretaget Mc Afee, uppskattar skadorna till en biljon dollar på årsnivå, alltså 1 000 miljarder dollar. Det handlar om utebliven försäljning, missade investeringar, resurser som går i stöpet och förlorat anseende. Sköter man datasäkerheten riktigt dåligt kan det gå som för psykoterapicentret Vastaamo som nyligen gick i konkurs på grund av läckta patientjournaler.
Den digitala världen håller på att bli till en dyster plats där cyberligor samlas i de mörka gränderna för att attackera alla och envar. Cyberbrottslighet är ett verkligt samhällsproblem som växer. Databrottslingarna använder allt mer sofistikerade verktyg samtidigt som anställda vill (eller måste) jobba hemifrån.
”Det finns inget företag som har skyddat sig perfekt. Det finns alltid någon svaghet där brottslingarna kan ta sig in. Det allra vanligaste är att mjukvara innehåller någon bugg, och sådant är oundvikligt. Alla som har programmerat vet att det är omöjligt att koda helt felfritt. Utan buggar skulle teknikutvecklingen stanna av. Därför måste vi som jobbar med cybersäkerhet bli bättre på att upptäcka attacker.”
Det säger cybersäkerhetsexperten Maria Nordgren, chef för ett cirka 400 personer stort team på den nordiska it-koncernen Tietoevry.
Cybersäkerthet för Tietoevry innebär att skydda, upptäcka och analysera databrott. Tietoevry upprätthåller bland annat ett säkerhetsoperationscenter (security operations center, SOC) som arbetar dygnet runt med att övervaka säkerheten både internt och externt.
Det är dyrt att upprätthålla ett säkerhetsoperationscenter med treskiftsarbete och att hitta kunnig personal. Därför köper många företag tjänsten av Tietoevry.
”Vi har tekniska experter som manuellt analyserar vad som har hänt om ett system automatiskt larmar om intrång. Ett normalt fall är att undersöka larm som har med servrar att göra. En server borde aldrig få virus för de är väldigt skyddade. När larmet kommer börjar ett ihärdigt detektivarbete.”
Detta detektivarbete kallas incidenthantering, och kräver hög expertis. Målet med incidenthantering är att ha rätt processer och förberedelser på plats så att man, när en it-säkerhetincident inträffar, kan avvärja den så snabbt som möjligt och minimera skadan.
Nordgren har det övergripande ansvaret för hela cybersäkerhetsverksamheten på Tietoevry. Hon jobbar med strategi, kunder och teknologier. En vanlig dag för henne är aldrig den andra sig lik. Det finns hela tiden utmaningar och akuta problem som måste lösas. Det är det som gör arbetet roligt, säger hon.
Ett digitalt gisslandrama. För en hackare kan vem som helst var intressant. Skolor, sjukhus, kommuner och företag av olika storlek har alla utsatts för cyberattacker. I och med att cyberkriminalitet har blivit en miljardaffär har måltavlorna blivit fler. Hur ser då en typisk cyberbrottsling ut?
Maria Nordgren berättar att man kan kategorisera cyberkriminella i tre olika grupper. Det finns de som är ute efter pengar, de som gör det för att bevisa något politiskt eller ideologiskt (så kallade hacktivister), och så finns det statliga hackergrupper.
De som är ute efter pengar använder vanligtvis ransomware för att kräva offren på pengar. Men det är egentligen fantasin som sätter gränser för hur påhittiga hackarna är. För att håva in de stora pengarna krävs finess av brottslingarna. De hittar nya metoder för att utpressa eller stjäla pengar.
Det finns hundratals cyberbrottsligor i Ryssland, Kina, Östeuropa, Brasilien och Indien. Och spelplanen är global. Om det förut var vanligast med massattacker har det numera blivit allt vanligare med målinriktade attacker. En målinriktad attack går ut på att samla information om ett specifikt företag och slå till när alla spåren redan har sopats undan.
”Det hela börjar med att attackerarna studerar företaget: vem är vd, vem betalar räkningar och hur sker kommunikationen. En attack tar många månader att planera och utföra. Man brukar räkna med att en hackare är inne i ett system i 3–4 månader före själva attacken”, säger Nordgren.
Den som planerar attacken behöver inte ens vara densamma som programmerar viruset eller hittar säkerhetshålet. Det finns webbsajter som säljer ransomware as a service (RaaS). Med olika manipulationstekniker tar attackeraren sig in i företagets nätverk. Det vanligaste sättet är att det sker via phishing (lösenordsfiske), men det kan också vara andra former av spionprogram, drive-by nedladdning och trojanska hästar.
Hur företaget agerar härnäst är det som avgör hur stora de ekonomiska skadorna blir. De företag som har god cybersäkerhet upptäcker att någon är inne i systemet och stoppar attacken. De allra flesta försök stoppas automatiskt via brandväggar, antivirusprogram eller annan artificiell intelligens som är inbyggt i olika datorsystem.
De hackare som lyckas ta sig obemärkt förbi skyddet, fortsätter sin upptäcktsfärd i företagets infrastruktur. Attackeraren försöker nu avancera sina rättigheter. Det är sällan som den första datorn är slutmålet. Från den första datorn görs laterala förflyttningar till andra maskiner där det är möjligt att skapa användare med administratörsrättigheter. Attacken går sedan ut på att till exempel plocka ut kunddata, låsa system med ransomware eller paralysera organisationen på annat sätt.
Sören Jonsson text
Karl Vilhjálmsson foto
Läs hela artikeln i papperstidningen.