Cygates säkerhetsårskrönika

Vilka säkerhetsincidenter och trender kommer vi minnas från 2021?. Foto: Cygate

Vilka säkerhetsincidenter och trender kommer vi minnas från 2021?

Angreppet på Coop gjorde cyberattackerna till mainstream. I år blev året när vi alla upptäckte att vi själva kan drabbas av cyberattacker. Attacken på Coop blev en ögonöppnare för många och SVT:s serie Hackad visade att det går att hacka sig in i vilken verksamhet som helst. Resultatet är ett skifte från att IT-säkerhet ses som något svårgripbart till att fler vanliga konsumenter frågar sig vad som kommer hända härnäst – och vad som görs för att förhindra att det händer. När Kalix kommun nyligen råkade ut för utpressningsprogramvara  blev det ytterligare en påminnelse om att alla delar av samhället nu regelbundet är utsatta för angrepp, och att det även gäller kommuner, regioner, företag och ja, alla.

Utländsk teknik ansågs farlig. Svenska företag och myndigheter började allt oftare ifrågasätta användningen av utländsk programvara och hårdvara, framför allt eftersom det kan finnas risker för personlig integritet och datasäkerhet. Några slutade till och med använda vanliga applikationer som Microsoft Teams och amerikanska datacenter som AWS. Ett ännu tydligare exempel var förstås när kinesiska företag stängdes ute från det svenska 5G-nätet. En relaterad spaning: Hackerattacker har blivit storpolitik. Joe Biden varnade till och med för att hackerattacker kan leda till krig, och Kina och Ryssland pekas allt oftare ut helt öppet.

Distansarbetet under pandemin visade sig vara riskabelt. Numera är vi många som har en köksfläkt eller dammsugare som är uppkopplad mot nätet. Därmed är attackytan för angrepp i hemmet större än någonsin. Vilket kan göra det farligt att använda hemnätverket för jobbuppgifter. En målmedveten angripare hittar enklare säkerhetsluckor hemma hos en VD, forskare eller någon annan med viktiga data, än i företagsnätverket. I somras fick huvudstadsregionen i Italien känna på detta när en medarbetare blev hackad i hemmet, vilket sedan spreds till arbetsplatsen. Vården drabbades hårt, och bland annat gick det inte boka tid för Covid-vaccination.

Balansen mellan säkerhet och produktivitet. Utmaningen är att en allt för hög säkerhet hindrar alla från att vara effektiva. En del får inte ens jobba hemifrån av säkerhetsskäl, eller så ställs det krav som att tvingas till multifaktorsautenticering även för rent privata inloggningar i hemmet. Många medarbetare behöver lära sig ett säkrare beteende, även i privatlivet. Kanske är det att be om problem att använda jobbmejladressen för vår Netflixinloggning? Kanske måste företagen se till att färre personer har tillgång till deras mest känsliga information?

Fokus på datasäkerhet. Därmed kommer vi in på en annan trend, nämligen att fler insett vikten av att klassificera och värdera sina datatillgångar så att de vet vad som faktiskt är värt att skydda. Samt sedan se till att rätt personer har tillgång till rätt data, varken mer eller mindre. Denna trend har sin grund i att exfiltrering av data resulterat i en rad uppmärksammade intrång. Regeländringar, som NIS-direktivet och Säkerhetsskyddslagen, gör ärendet mer akut. Nu inför verksamheterna nya metoder för datasäkerhet, vilket är orsaken till att nya accessmetoder och kryptering är så hett just nu.

Utvecklare blev en mer populär måltavla. Attacken på Coop hade sitt ursprung i intrånget på Kaseya. Detta har inspirerat många cyberbrottslingar att ge sig på programvarors supply chain. Alltså hamnar nu fokus på utvecklare och hur säkert utvecklingen faktiskt sker. Alla måste se till att det inte är möjligt att smyga in skadlig kod eller en sårbarhet någonstans. Den nyupptäckta sårbarheten i Log4Shell visar hur svårt det är att bli av med ett misstag när det väl skett. I det fallet har tusentals utvecklare tittat på open source-koden utan att se felet. Den som köper applikationer måste nu börja ställa frågor om hur utvecklingen gått till och inte bara okritiskt använda komponenter utan att till exempel säkerställa att programvaran kommer uppdateras på ett rimligt sätt.

Log4j-sårbarheten, den största sårbarheten på mycket länge. 2021 avslutades med den mest allvarliga sårbarheten sedan, ja vi vet knappt när. De som därefter hunnit patcha sina system har postat glada utrop på LinkedIn – men alla verkar inte förstå är att Log4j-sårbarheten drabbar oss med full kraft först under 2022. Vilket beror på att den här sårbarheten finns i precis allt och att många produkter som använder den drabbade programvaran Apache Log4j normalt sett inte ens får uppdateringar. Dessutom är sårbarheten av en typ som gör att angreppen kan automatiseras, och angripare kan därmed testa stora mängder enheter för att hitta något sårbart. Allt från konsumenter till de allra största verksamheterna kommer drabbas – och många har sannolikt redan infiltrerats.

Sannolikheten för en cyberkris ökar. Vårt samhälles centrala funktioner är sårbara, och attacken på Coop var bara försmaken. Vi kommer under 2022 se exempel på cyberterrorism som angriper vår mest vitala infrastruktur. Det här kommer påverka allas våra liv, rent praktiskt och direkt. Det kan handla om våra elnät, tågtrafik eller sjukhus. Faktum är att sjukhus redan angripits i andra länder, som när ett helt sjukhus sänktes i Irland i våras.

Cybersäkerhet blir ett konkurrensmedel. När vi ska köpa en bil tar vi reda på hur krocksäker den är - men vi ställer inga frågor om cybersäkerheten. Men snart börjar allt fler produkter säljas in med cybersäkerhet som säljargument och konkurrensfördel. Kanske får vi snart nya säkerhetsstandarder, och allt från kylskåpstillverkare till traktorleverantörer kommer berätta hur de säkrar sina produkter. Köpare som har lång investeringshorisont efterfrågar det redan. När till exempel en lantbrukare ska köpa ny traktor vill de få garantier om flera decennier av säkerhetsuppdateringar. Resultatet är att IT behöver tänka mer långsiktigt – något som vi inte är vana vid.

Vi bryter upp IT-silos för att bli säkrare tillsammans. Det behövs mer helhetstänkande inom IT, där arkitekturen ses som en enda enhet. Detta leder till bättre säkerhet, och det blir också billigare. Dessutom behöver IT samarbeta bättre med andra delar av verksamheten och med de anställda. För att motivera dem måste IT berätta om nyttan med säkerhet. Om vi exempelvis vill ta bort lösenorden och börja logga in med en lösenordsfri metod så kan det säljas in till användarna som att de nu slipper lösenorden – för vem gillar att hitta på och komma ihåg komplicerade lösenord?

Visibilitet över IT-miljön och över vad som sker på nätverket. Att få överblick över IT-miljön och dess tillgångar och logga det som händer i nätverket borde bli ännu mer viktigt under 2022. En sådan ökad kontroll borde också omfatta verksamhetens processer för säkerhetsuppdateringar och livscykelhanteringen för miljön. Det kan också handla om att ha överblick över vilka beroenden som finns mellan olika system, så att det till exempel blir enkelt att ta reda på vilka system som använder Log4j-biblioteket. Sådant kan göra att man slipper många problem.

Källa: Telia