top of page
Mobilisera Sverige MoSE
  • Thomas Brannelid

Backuperna det första de nya attackerna ger sig på


Efter ett någorlunda lugnt fjolår är ransomware-attacker tillbaka och plågar svenska organisationer igen.


Att det finns en fungerande backup kommer att bli ännu viktigare i framtiden då många organisationer måste följa de nya NIS2-direktiven med ökade rapporteringskrav och som också öppnar för höga böter om de kommer till korta.

Med GDPR finns ett behov av att snabbt kunna ta reda på om känslig data har stulits. Den mörka historien är stor då få företag vill prata om att bli utsatta, men exempel från Sverige är attackerna som drabbade Åbro Bryggeri och Västtrafik i våras. En drivkraft bakom denna våg är att ransomware-verktyg är så lättillgängliga och kan hyras som en tjänst på den mörka webben. Men det finns en annan aspekt som företagen själva har större möjlighet att påverka. Emanuel Lipschütz som är cybersäkerhetschef på Conscia säger att en grogrund för ransomware-attackerna är att många organisationer förlitar sig på traditionella backuplösningar för att vara en livlina om de attackeras. Backuperna är den sista försvarslinjen, säger han. Men inom traditionellt försvar har man inte utgått från att en aktör finns inne i systemen. – Befintliga backuplösningar förutsätter att en hotaktör inte finns inne i brandväggen. Men säkerhetskopiorna är en av de första system ransomware-aktörerna handla om. De vill göra det omöjligt att återställa systemen. Dessutom finns det känslig data i säkerhetskopiorna som de kan använda. – Om företagen hade hållit koll på de här delarna skulle vi inte se så mycket ransomware som vi gör just nu. Det skulle minska benägenheten att betala lösen och göra det mindre lönsamt. Läsa tillbaka data Emanuel Lipschütz säger att sättet att skydda sig mot ransomware är att ha säkerhetskopior av data som kan läsas tillbaka, men att det inte räcker. För det första är det ofta mycket mer komplext att återställa data efter en utpressningsattack än en vanlig återställning. För det andra behöver hela backup- och återställningslösningen säkras i sig själv, fortsätter han, just för att cyberbrottslingarna ofta går efter backuperna först. – Så även om det finns säkerhetskopior är risken stor att de visar sig vara oanvändbara vid försök att läsa tillbaka datan. Ännu värre är det om data äventyras eller om det finns skadlig kod i kopiorna. För det tredje, backup-infrastrukturen kan lida av samma sårbarheter som resten av infrastrukturen och använda osäkra öppna protokoll som nätverksfilsystem, nfs och servermeddelandeblock, smb, tillägger han. – Istället borde företagen satsa på att ha en helhetslösning för cyberåterställning, där systemet är härdat och som både innefattar återställning av data och som kan upptäcka om och när oönskad kryptering har skett. Emanuel Lipschütz säger att det finns ett par konkreta lösningar för att säkra omläsning även vid utpressningsattacker: Säkra med ett gap i luften En metod är det som brukar kallas "air gap" på engelska och som innebär att man använder ett separat nätverk som inte har några kopplingar. till omvärlden. Den del av IT-miljön där säkerhetskopiorna lagras har alltså ingen kontakt med den övriga IT-miljön eller med Internet, vilket gör att angriparna inte kan komma åt säkerhetskopiorna. – Visserligen har det här minskat i popularitet den senaste tiden, men det är fortfarande viktigt att minimera kontakten med omvärlden till minsta möjliga antal punkter, och idag har cybersäkerhetsleverantörer utvecklat sådana lösningar. Eftersom "air gap" inte upplevs som särskilt praktiskt finns det lösningar där säkerhetskopierad data är oföränderligt lagrad, oföränderlig. Detta innebär att uppgifterna tekniskt sett inte kan ändras efter att de har skapats. Det är också betydligt lättare att upptäcka och överleva en ransomware-attack om olika delar av säkerhetsarkitekturen, inklusive säkerhetskopiering och återställning, samverkar. Det kan till exempel innebära att en backuplösning övervakar om någon försöker manipulera backupdata och automatiskt larmar andra tekniska lösningar. – Sedan handlar det om att testa och testa igen. Det är absolut nödvändigt att testa och säkerställa att återhämtningen kommer att fungera när det behövs. Övning ger färdighet när krisen väl slår till. Skydda känsliga data Om du har en ordentlig cyberåterställningslösning på plats istället för bara en traditionell säkerhetskopieringslösning, skulle skadan bli betydande minskat vid ransomware-attacker, säger Emanuel Lipschütz. – Även om en hotaktör får tillträde så vet företaget då att säkerhetskopiorna är säkra och att de kan användas för återställning. Du är inte lika sårbar för utpressningsbeloppet och du kan även få en överblick över vad som stulits på ett helt annat sätt. Att det finns en fungerande backup kommer att bli ännu viktigare i framtiden då många organisationer måste följa de nya NIS2-direktiven med ökade rapporteringskrav och som också öppnar för höga böter om de kommer till korta.


Med GDPR finns ett behov av att snabbt kunna ta reda på om känslig data har stulits.


– Det handlar inte bara om att läsa om. Du måste veta vilken information som har läckt ut och om det är känsliga uppgifter ska det anmälas, annars riskerar du böter.


Därför blir det ännu viktigare att backupsystemen inte tas över.


Ransomware-attacker har tagit ordentlig fart igen. Men svenska företag överlag skulle kunna göra mer för att inte råka så illa ut om de utsätts. ”


Det är för många som förlitar sig på att traditionella backuplösningar ska vara en räddningsplanka”,







5 views0 comments

Recent Posts

See All
bottom of page