IT-säkerhet: Är du beredd när det smäller?

Måns Nilsson

Det är fredag eftermiddag och klockan är halv fyra . Telefonen ringer och Kalle på ekonomiavdelningen berättar att samtliga filer på servern krypterats och att någon nu vill ha fyra Bitcoins för att låsa upp dem… En bra dag på jobbet blev snabbt till en väldigt lång helg med mycket övertid på IT avdelningen, eller?

Hur ser din incidentberedskap ut?

Alla som arbetar med IT har nog fått det där samtalet både en och fem gånger. Hur man hanterar situationen skiljer sig dock mellan olika företag och verksamheter. I den bästa av världar har man snabbt hittat källan till smittan och återställt filerna på servern från den senaste backupen inom någon timme, men i många fall sitter folk och seriöst överväger att betala utpressarna för att få tillbaka sin kundreskontra och bilderna från senaste afterwork-festen.

Tyvärr så har många företag inte gjort sin hemläxa när det gäller spårbarhet och säkerhetskopiering och även om man har backuper så är ibland filerna nåbara från användarnas konton. Det kan resultera i att även säkerhetskopian har blivit krypterad av skurkarna.

Så vems är felet?

Ryggmärgsreflexen från många IT-tekniker är att snabbt blåsa den smittade datorn och återläsa backupfilerna till servern, men då har man inte analyserat grundproblemet: Varför föll vi offer för just den här attacken? Själv kan jag sitta in på småtimmarna och analysera loggfiler för att lokalisera smittkällan. Jag vill veta vad som fallerade.

Det är lätt att skylla på användare och konstatera att de säkert har surfat på Internets baksida, men i nio fall av tio så är det något högst arbetsrelaterat som visar sig vara källan. Självklart är det viktigt att utbilda sin organisation så att de förstår att PostNord, DHL med flera inte hotar med straffavgifter för att ”Kurir var oförmögen att leverera…”, men när leverantörers och samarbetspartners sidor blir hackade så hjälper inte kunskap och awareness. Man måste ha möjligheten att hantera incidenten och att spåra källan till intrånget, annars är det bara en tidsfråga innan nästa kvällsövning.

Låt bevisen tala

En viktig lärdom, som jag skaffade mig under mina år som ansvarig för IT-utredningar (forensik) på AB Volvo, var att aldrig döma innan bevisen sagt sitt. Det är viktigt att se objektivt på alla fakta och att inte dra några slutsatser förrän man har hela bilden klar för sig. Jag har varit med om att IT-avdelningar har dragit snabba slutsatser av webbloggar och konstaterat att ”användaren hade surfat på dating-sidor”. Vid närmare granskning visade det sig att den skadliga koden bara hämtade ytterligare komponenter från de tveksamma sidorna, men att infektionen var ett faktum långt innan dating-sidorna dök upp i loggen.

Hur förhindra att det sker igen?

  • Odla en förlåtande kultur – Det är OK att råka klicka på fel länk om man sen rapporterar det till IT eller säkerhetsavdelningen.
  • Se till att backuper inte ligger nåbara online – Gör en riskanalys och dimensionera därefter backup-rutinerna för att minimera din risk.
  • Säkerställ tillgång till kompetens inom IT-forensik – Det bästa är självklart om du har det inom din organisation, men annars bör du teckna avtal med en kompetent partner. När din verksamhet ligger på huggkubben är timtaxan det sista du vill förhandla om…
  • Trimma din organisation – Övning ger färdighet, så öva på att återläsa backuper och begränsa skadan.
  • Ta fram en strategi för att hantera IT incidenter – En plan hjälper i alla fall till att indikera när man börjar agera irrationellt och emotionellt.
  • Ta det lugnt – Börja varje incident med att leta fram ett anteckningsblock och skriv ner vad klockan är. Notera sedan varje åtgärd systematiskt. Hinner du inte anteckna, jobbar du för fort!Tipsen ovan fungerar oavsett om du har blivit hackad eller om EU-kommissionen knackar på dörren (men de brukar i alla fall ha smaken att dyka upp kl 9 på en tisdag). Lycka till!

 

Rikard Bodforss (@rbodforss) är IT-chef på Kretslopp och vatten i Göteborgs Stad och en av rösterna i Säkerhetspodcasten.

Publiceringen sker i samarbete mellan Säkerhetspodcasten och Better Business.