Detta blogginlägg är skrivet baserat på en intervju med Thomas Wong, Improsec, i podcasten Regnskabets Time, säsong 2 avsnitt 4
Närbutikskedjan 7-eleven drabbades av en möjlig hackerattack förra veckan, vilket slutade med att alla butiker i Danmark stängdes. Vi känner att det måste vara lämpligt att vi tar med ett utdrag av vår podcast med Thomas Wong från Improsec, där vi fick prata om det aktuella hotet om att ens data komprometteras av cyberbrottslingar.
Intervjuare: Vi pratade lite innan vi satte oss ner för att spela in idag, Thomas. Du berättade för mig att många danska företag inte har den nödvändiga nivån av IT-säkerhet. Kan du försöka utveckla det lite?
Thomas: Ja. Vad jag menar är att de allra flesta företag skulle vilja fokusera på IT-säkerhet. Men när det gäller att få in det i företagskulturen visar det sig ofta vara mycket svårare att avsätta resurser till det än vad man först trodde. Det kan till exempel handla om att få de här grundläggande sakerna gjorda, som riskbedömningar eller en kontinuitetsplan, som talar om vad man ska göra om något går fel. Den dag då saker och ting går fel har snöbollen som du har skjutit framför dig just blivit mycket större. De flesta företag kommer att utsättas för fara vid ett eller annat tillfälle, så det gäller att se till att skadan blir så liten som möjligt. Därför är det viktigt att vara väl förberedd på en attack.
Intervjuare: Idag är det ganska många företag som använder sig av molnbaserad IT solutions. Vad exakt måste man vara uppmärksam på när det gäller säkerheten i en molnlösning?
Thomas: Det är en mycket bred fråga. Men en av de viktigaste sakerna att vara tydlig med är vem som är ansvarig och när. Leverantören har ett ansvar. Men bara tills deras tjänst "stannar". När en SaaS-lösning levererar data till ett företags operativsystem eller liknande är det alltså företagets ansvar att den lagras säkert och att systemet är tillräckligt uppdaterat.
Intervjuare: Som anställd eller användare av en molnlösning, vad kan du själv göra för att öka säkerhetsnivån?
Thomas: Helt enkelt: Välj ett bra lösenord. Återanvänd inte lösenord. Och det gäller även i de fall där du använder olika användarnamn, e-postkonton eller liknande - återanvänd inte lösenord. Här tycker jag också att man inte ska byta lösenord efter ett mönster som är lätt att känna igen. Sist men inte minst måste man också hålla isär arbetsrelaterade och privata saker. Om alla gjorde det, och slutade kolla sin privata e-post från jobbdatorn, skulle det bli färre attacker.
Intervjuare: Hur upptäcker du att du är under attack?
Thomas: Först börjar det som en driftstörning - det finns filer som inte längre går att komma åt, program som inte längre fungerar och sedan följs detta vanligtvis upp med ett meddelande som säger att du kan få tillbaka dina saker om du betalar för det. Vanligtvis formulerat på ett mycket trevligt och artigt sätt. Efter detta är det ganska viktigt att vara öppen om saker och ting. En attack kan pågå under lång tid, och det är helt okej att vara öppen med det. Men det som bör hända härnäst är att företaget bör följa de tidigare nämnda kontinuitetsplanerna. Då vet man vad man ska göra i alla faser av angreppet och den efterföljande återhämtningsfasen. Det kommer att spara otroligt mycket tid och i slutändan pengar.
Några av de företag som har drabbats mycket hårt är de som inte har planer klara i förväg. I många fall kanske allmänheten inte ens får reda på att det har skett en attack. Eftersom företaget har agerat snabbt, eftersom det fanns en tydlig plan och strategi för vad man skulle göra före, under och efter attacken.
Intervjuare: Bör företag betala angriparna för att få dem att sluta?
Thomas: Jag skulle inte rekommendera det till mina kunder. Jag säger det ur en etisk aspekt. Men med det sagt kan jag komma med exempel på när det skulle vara vettigt för ett företag att betala för attacken. Det skulle till exempel kunna vara i ett fall där företaget helt enkelt inte kommer att kunna fortsätta och där konkurs blir den naturliga följden av attacken. Här kan det vara svårt att säga att man har ett val. Men om du väljer att gå den vägen skulle jag också rekommendera att du arbetar med några proffs som har erfarenhet av att förhandla med cyberbrottslingar.
Men om du vill undvika att hamna i en situation där du ens måste överväga att betala en attack, då är riskbedömning, utbildning, förberedelser, penetrationstester etc. vägen framåt. Det låter väldigt tråkigt, men det kan i slutändan bli den viktigaste investering som företaget någonsin har gjort.
