Därför väntas fler it-attacker: ”Alla kan åka dit”

I helgen lyckades hackare – senare identifierade som den Rysslandskopplade gruppen Akira – ta sig in i ett av it-leverantören Tietoevrys datacenter och kryptera datan. Det har i sin tur ställt till med en rad problem. Bland annat har attackerna slagit ut lönehanteringssystemet för 120 myndigheter, kassasystemet för Filmstaden och Granngården, medan exempelvis Rusta och Stadium fått e-handeln fryst.

Samtidigt har både Tradedoubler och Munters tvingats skicka ut sina delårsrapporter i förtid, för att man inte kunnat garantera att informationen i rapporterna inte läckte i samband med intrånget. Fortfarande under måndagen fortsatte företag att flagga för att de på olika sätt är drabbade.

Tietoevry skriver självt i ett pressmeddelande att den plattform som drabbades av angreppet ”isolerades omedelbart” och att det inte har påverkat andra delar av infrastrukturen.

Attacken mot Tietoevry är en av en handfull mer uppmärksammade på svensk mark de senaste åren, men det är trots allt ganska få angrepp av det här slaget som når allmänheten.

De allra flesta flyger under radarn, säger it-säkerhetsbolaget Truesecs cyberhotsexpert Mattias Wåhlén till Omni Ekonomi – företag vill ogärna skylta med att de har blivit utsatta. Det är helt enkelt tabubelagt, konstaterar han. Farhågan är att attacken ska solka ner företagets rykte om det kommer ut i medierna, att kunderna ska vända i dörren för att de inte litar på att man lyckas hålla kundernas data bakom lås och bom.

– Men sanningen är att alla kan åka dit. Vi tenderar tyvärr att skambelägga offren i stället för att se dem som just offer, säger han.

Angreppet har skapat trubbel för åtminstone en kommun, och en rad företag. Sett ur ett hackerperspektiv är det tacksamt att ge sig på datacenter där kunddata lagras, eftersom många framför allt mindre bolag gärna outsourcar sin it till andra, större bolag. Tar man sig in i datacentret kan man göra större skada på snabbare tid än om man ger sig på ett bolag i taget, konstaterar Mattias Wåhlén.

– Det visar hur mycket av vår it-miljö som sitter ihop i dag. Ett angrepp på ett ställe ger effekter på många andra ställen också.

Det företagen behöver göra är att se till att det ständigt finns färsk backup-data offline, som hackare inte kommer åt. Förhoppningsvis förlorar man då bara ett par dagars arbete om datan krypteras i en attack.

– Men det är inte tillräckligt många som gör det. Sedan finns det många som tror att de gör det, men som inte gör på rätt sätt och man förstår inte att man gör fel.

Problemet med samhällets cyberförsvar i dag, säger Mattias Wåhlén, är att it-utvecklingen handlar om att vara först ut på marknaden med nya produkter och features – på bekostnad av säkerheten.

Han tycker att företag generellt inte tar cybersäkerheten på allvar. Samtidigt är han lite självkritisk.

– Vi it-säkerhetsexperter är duktiga på att förklara cybersäkerhet rent tekniskt, men inte lika duktiga på att förklara det ur ett företagsekonomiskt perspektiv. Det tror jag hade varit en del av lösningen, om vi blev bättre på att förklara hur stor risken är för att bli utsatt, vad det kostar att säkra upp kontra vad det kostar om man blir utsatt.

Förutom sveda och värk, stopp i försäljningssystem, potentiellt oroliga kunder och stressrelaterade magsår för it-ansvariga, kan det också bli dyrt i reda pengar. Hackare brukar kunna kräva 1–3 procent av årsomsättningen i lösensumma för att låsa upp krypterad data. Ransomware-grupper brukar även kunna inleda sitt angrepp med att ladda ner finansiell information om bolaget ifråga, bland annat för att försöka få en bild av var smärtgränsen går – hur mycket kan de tänkas betala för att få tillbaka sin data.

Betalningen ska ske i bitcoin eller annan kryptovaluta, naturligtvis. Motivet för hackarna är i princip alltid rent ekonomiskt – pengarna kommer in antingen genom att det angripna företaget betalar den begärda lösensumman eller att hackarna säljer datan vidare.

Men även om man betalar utpressarna, slutar kostnaderna inte där, påpekar Mattias Wåhlén. Stillestånd i verksamheten, krishantering och skadat renommé blir också kostnader.

– Totalt sett så kan kostnaden för en ransomware-attack bli fem eller tio gånger lösensumman, säger han.

Är det då en lönsam affär för hackare, om företagen inte betalar, kan man undra. Jo visst, säger Mattias Wåhlén. Man bör komma ihåg att företag blir utsatta dagligen, långt ifrån mediernas strålkastarljus. Det första många av hackergrupperna rent principiellt gör när de tar sig in i systemen är att ge ett erbjudande: betala snabbt, så behöver ingen få veta att du har blivit utsatt.

Hackarna har nämligen en rad hot som ofta är ganska potent: Datalagstiftning, som exempelvis GDPR. Den stipulerar att företag måste hantera personliga data på vissa specifika sätt och den som inte följer regelverket kan åka på saftiga böter. Men regelefterlevnaden följs sällan upp, och eventuella överträdelser kanske först märks när företaget i fråga utsätts för brott.

– Det här utnyttjar vissa förövare. De kan säga: ”Det var jättelätt att hacka er och ni kommer få dyra GDPR-böter om det här kommer ut, så det är bättre att betala oss i stället”, säger Mattias Wåhlén.

Enligt Mattias Wåhlén finns det vissa ransomware-grupper – dock inte nödvändigtvis specifikt Akira – som har kontakt med den ryska säkerhetstjänsten, FSB. Om hackarna springer på någonting intressant under sina intrång kan de vända sig till FSB och lämna över det, i utbyte mot pengar, pluspoäng eller möjligen beskydd.

– Många av grupperna har en affärsmässig relation med ryska staten, säger han.

Ofta när it-angrepp får spridning i medierna, brukar de drabbade företagen påpeka att man inte tänker betala någon lösensumma. Även Tietoevry har klargjort att det inte är i enlighet med rådande policy att ge efter för kriminella påtryckningar.

Det är högst sannolikt.

Hittills har antalet attacker ökat varje år, med undantag för i fjol, då kurvan planade ut något.

– Det är inte så att det var angreppen slutade öka, men ökningen av lyckade angrepp verkar ha planat ut. Det känns som att vissa företag har börjat uppgradera sitt försvar så att det har blivit lite svårare att komma in, säger Mattias Wåhlén till Omni Ekonomi.

Men fler angrepp – eller försök – kommer vi med största sannolikhet alltså se framöver. Inte minst har det en viss korrelation till kriget i Ukraina, förklarar han.

Kriget – och de urlakade ryska finanserna – lär nämligen göra att det blir allt svårare för rysk it-kunnig personal att försörja sig på lagligt sätt. Då kan cyberattacker vara ett sätt att få in pengar. Under fjolåret såg branschexperterna bland annat en stor uppgång av nya grupper som inte hållit på med ransomware förut.

– De kanske hade drivits dit av att vanliga jobb inte går att försörja sig på längre, säger Mattias Wåhlén.