Ransomware har under det senaste året blivit ett av de mest uppmärksammade uttrycken inom IT-säkerhet.
Sommarens storskaliga attacker i form av WannaCry och Petya påverkade hundratusentals datorer världen över, där de krypterade användarens filer och inte släppte krypteringen förrän en lösensumma hade betalats ut.
Ransomware i sig är inget nytt, men årets attacker har skett i en så pass stor skala att vi helt enkelt måste börja förhålla oss till dem. Gemensamt för attackerna är att de inte i huvudsak riktat in sig på privatpersoner, utan på företag och myndigheter. Attackerna har kunnat genomföras då de utnyttjat säkerhetshål i gammal programvara som antingen inte uppdaterats, eller som helt enkelt saknar support från tillverkaren numera. Medan det kan verka som ren lathet att inte uppdatera programvara om det finns en patch är det inte riktigt så enkelt i praktiken. Ofta handlar det om maskiner med väldigt specifika och driftskritiska uppgifter som, om de tas offline för en uppdatering, kan påverka en längre kedja av företagets maskiner. Även om det skulle gå, finns dessutom alltid risken att patchen på ett eller annat sätt rubbar den balans som finns i företagets IT-struktur, så nödvändigtvis är uppdateringen inte så enkel som den till en början kan verka.
Sjukvården överlägset vanligaste målet
Bland målen för den här typen av attacker är sjukvården ett väldigt vanligt mål. Vi såg det under årets större attacker och har sett det i olika delar av världen även tidigare år. Faktum är att sjukvårdsföretag är hela 4,5 gånger vanligare som mål än företag inom andra branscher enligt en undersökning från Websense. Med allt från känsliga användardata till drift av livsviktiga maskiner är det en tacksam bransch att ge sig på för en angripare, då driftstopp kan vara en fråga om liv och död. WannaCry-attacken drabbade en hel del sjukhus i bland annat Storbritannien och USA, där de brittiska sjukhusen var tvungna att ställa in eller senarelägga mindre livsviktiga ingrepp och två amerikanska sjukhus fick sina röntgenavdelningar utslagna. Med hantering av patienters liv blir sjukvårdsföretag även mer benägna att faktiskt betala lösensumman bara för att få igång verksamheten igen. Ett exempel från 2016 är Hollywood Presbyterian Church Medical Center, som 2016 betalade 135 000 kronor för att komma åt sina filer igen efter en ransomware-attack.
Att dekryptera filerna på egen hand eller med hjälp av ett säkerhetsföretag är oftast ingen lösning på problemet heller. Antingen tar det enormt lång tid, eller så är krypteringen helt enkelt för svår att knäcka under en rimlig tidsperiod. Det har gjort att till och med FBI i ett kontroversiellt uttalande gått ut och sagt att det är lika bra att betala lösensumman för att bli av med problemet och se över säkerheten i efterhand för att det inte ska upprepas.
Säkerheten livsviktig
Vissa av de angripna företagen påverkades däremot inte i allt för stor utsträckning, utan kunde relativt snabbt göra sig av med problemet och vara tillbaka på banan utan att behöva betala någon lösensumma. Även FBI har gått ut med en serie egna direktiv för att företagets data, och i förlängningen eventuellt patienters liv, inte ska hamna i händerna på de som utför den här typen av angrepp.
Givetvis är det viktigt att hela tiden utvärdera företagets säkerhetslösning och säkra att även äldre maskiner uppdateras med nya säkerhetspatchar. Samtidigt finns det ingen lösning som gör företaget helt säker från angrepp, särskilt inte om du vill kunna utnyttja de enorma fördelar som digitaliseringen och det uppkopplade samhället för med sig. Av den anledningen är det viktigt att även fundera på vad som ska göras när katastrofen väl är ett faktum.
De företag som klarat sig någorlunda helskinnade från ransomware-attackerna hade redan innan investerat i tillförlitliga tillgänglighetslösningar som med täta mellanrum säkerhetskopierar företagets data. Det rimmar väl med FBI:s direktiv för att skydda sig, som även menar att det är viktigt att dessa säkerhetskopior sparas frånskilt från det vanliga nätverket för att inte påverkas vid en eventuell ny attack. Med en modern tillgänglighetslösning kan företagets data säkerhetskopieras med täta mellanrum, samtidigt som säkerhetskopiorna hela tiden hålls verifierade så att de går att använda för en återställning. Det är även en smidig lösning om enstaka filer kan återställas, så att enbart de påverkade filerna behöver återställas istället för hela systemet. I händelse av att säkerhetskopiorna behöver användas ska en återställning heller inte behöva ta mer än femton minuter, för att försäkra sig om att företagets drift upprätthålls med minimalt avbrott.
Vi kommer framöver troligen se allt fler attacker av den här typen, i samma skala eller större, också i Sverige. Just sjukvården är med sina ofta livsviktiga data en tydlig måltavla för attackerna. Därför är det av allra högsta vikt att företagets IT-säkerhet har högsta prioritet och täcker in såväl preventiva åtgärder som åtgärdsplaner för hur en genomförd attack ska hanteras. Det går inte att skydda sig helt och hållet från attacker, men det finns många sätt att förbereda sig på. Låt inte en attack eller ett driftstopp bli en fråga på liv och död.
Victor Engelbrecht Dohlmann, Nordenchef Veeam