Nu lägger vi snart 2020 till handlingarna och som traditionen bjuder är det dags att gnugga kristallkulan för att se vilka hot mot användare, datorer och infrastruktur man behöver fokusera på i det nya året. För det pratar vi med Jana Thorén, Practice Lead för Cybersecurity på CGI i Skandinavien.
Utvecklingen av hoten pågår hela tiden men in grund och botten handlar det om att hitta nya sätt att utnyttja gamla svagheter. Och den största svagheten i säkerhetsekvationen är alltjämt användaren som genom ett enda litet misstag – ett klick på en osäker länk eller en öppning av ett bifogat dokument, släpper in brottslingarna i företagets IT-miljö.
Ransomware toppar listan
”För 2021 är det fortsatt Ransomware, det vill säga program som kidnappar datorn och krypterar innehållet för att sedan kräva en lösensumma för att öppna den igen, som är det största hotet för de flesta företag och organisationer. Och detta är en professionaliserad brottslighet som bedrivs som en storindustri”, säger Jana Thorén.
Nästa hot på listan är nya typer av hot specifikt för molnlagring och molnbaserade tjänster. Vart efter att allt fler organisationer väljer molnbaserade lösningar för deras kostnadseffektivitet, flexibilitet och många andra fördelar öppnar det också för säkerhetshot.
”Cloud som lagringsyta och hantering av data är inte heller nytt. Molnet skrämmer oss bland annat för att vi inte kan boxa in det riktigt. Lagstiftningen är inte heller gjord för flytande känslig data och framförallt finns det mycket kvar att göra på säkerhetsområdet när data rör sig utanför olika typer av gränser”.
AI – vän eller fiende?
Det tredje hotet på listan inför 2021 är dock lite nyare, och då handlar det om artificiell intelligens. Ibland annat en färsk studie från PwC räknar man med att AI-teknik kommer att generera 16 miljarder USD i vinster för den globala ekonomin 2030.
”I debatten idag talar man framför allt om styrkorna och möjligheterna med AI, men kanske även om etiska och problem och svårigheten att helt förstå hur till exempel att AI-system kommer fram till de val som den genomför. Men nu börjar många också resa varningsflaggor för hur AI-tekniken skulle kunna ändra förutsättningarna för avancerad IT-brottslighet”.
De tre största hoten och hur de påverkar verksamheten
Ransomware – ständigt aktuellt sedan 1989
För att få bakgrunden till ett av de stora hoten under senare år är det nödvändigt att gå tillbaka i tiden. I slutet av 1989 florerade ett tidigt virus på diskett som utgav sig för att innehålla information om den då högaktuella spridningen av AIDS-viruset bland människor, i motsats till de virus som i oftast talar om i våra kretsar.
Viruset på diskett gick allmänt under benämningen ”PC Cyborg (Aids)” och hade flera funktioner. Bland annat var det konstruerat för att räkna antalet omstarter på det infekterade systemet och först den 90:e gången datorn startades upp aktiverades viruset. När viruset kickar igång döljs bibliotek på datorn och alla filer på C: krypteras.
Idag känns det orimligt att ett virus på diskett kan få en stor spridning men det faktum att disketter skickades ut av en erkänd AIDS-forskare till 20 000 andra forskare inom området, och sades innehålla viktig information om forskningen. För att få tillbaka filerna krävdes en inbetalning om initialt $189 och därefter ytterligare $378.
Den här historien skulle kunna vara en kuriositet idag om det inte vore för det faktum att vi fortfarande brottas med samma problem. Ransomware som krypterar filer är högaktuell, ersättning krävs för att få tillbaka information och vården är fortfarande en stor målgrupp för ransomware.
Under lång tid har ransomware varit ett växande problem för många företag och myndigheter och det är tydligt att 2021 inte blir annorlunda. Orsaken till att detta hot är ett av de stora problem som vi möter under nästa år är både bristen på ett universellt skydd mot hotet, och att det är en lukrativ verksamhet för kriminella nätverk som ger god avkastning på investeringar.
Ett tydligt exempel är vad som hände Garmin den 23/7 2020. På grund av en Ransomware-attack stängdes delar av verksamheten ner online vilket påverkade inte bara Garmins träningsklockor utan även flygplans navigationssystem. Därmed antyds att Garmin tog beslut om att betala sig ur krisen för att få tillgång till krypteringsnyckel och kunna återställa drabbade delar av verksamheten. En summa som har nämnts i detta sammanhang är upp till $10 000.
Under 2020 har vi sett både ökad förekomst av Ransomware och allvarligare effekter. I samband med pågående pandemi har också flera vårdgivare drabbats. Spridningen av Ransomware kan också kopplas till det stora antalet medarbetare som under pandemin jobbar på distans. Genom distansarbete finns risker som att skydd på datorn inte alltid är fullt effektivt samtidigt som information och kommunikation som på kontoret skulle kunna ha skärpt uppmärksamheten och avslöjat en möjlig Ransomware-attack.
Det faktum att Ransomware är en vinstgivande verksamhet för de som har den i sin portfölj, tillsammans med fortsatt distansarbete och bristen på effektiva och automatiska skydd mot hotet, gör att CGI ser det som ett fortsatt stort hot under 2021.
Molnet – okänt territorium
Hur bemöter man ett säkerhetshot om man inte har hela bilden klar för sig?
En av utmaningarna med säkerhet i molnet är att många företag inte är medvetna om vilka molntjänster som används och därmed inte kan bedöma riskerna. Som exempel förekommer lagringslösningar som upplevs som interna men i verkligheten nyttjar molntjänster. Också många interna tjänster är i grunden molnbaserade.
Om företaget eller myndigheten använder Office365, Teams eller enkättjänster är det ofta helt eller delvis molnbaserade. Vidare är det vanligt med både infrastruktur, plattform, tjänster och funktioner som är molnbaserade och därmed ställer andra krav på säkerhet än vad man är van från egen drift.
Att använda molntjänster innebär alltid ett delat ansvar för säkerhetsåtgärder, där du som beställare har slutgiltigt ansvar men inte full insyn i hur molnleverantören hanterar sin säkerhet.
Utmaningar som måste hanteras som en del av leveranser från molnet är till exempel att upptäcka ett försök eller en pågående attack, svårigheten när en leverans baseras på två eller flera leverantörer, känsligt data som delas och hanteras hos en extern part och hantering av behörigheter vilket kan bli mer komplext i en molnbaserad leverans.
Det är också viktigt att vara medveten om att andra lagkrav kan påverka vid molntjänster. Eftersom molntjänster finns såväl som inhemska och utländska, eller kombination av dessa, kan lagrum skilja för traditionell drift jämfört med molntjänster.
Ett aktuellt exempel är Clarifying Lawful Overseas Use of Data Act (Cloud Act) som ger en amerikansk myndighet att begära ut information som lagras utanför USA under förutsättning att innehavaren är ”underkastad amerikansk jurisdiktion”. I praktiken innebär det att en amerikansk myndighet kan ansöka hos domstol att få rätten att kräva in information från en leverantör som på något sätt berörs av amerikansk lag. Detta berör inte bara molntjänster som driftas av amerikanska företag i USA, utan även molntjänster som levereras till fullo från Sverige om företaget har koppling till USA.
Ett aktuellt exempel är Region Skåne som planerar att köpa tjänster av leverantören Cerner. Leverantören har sin verksamhet och datahallar i Sverige men med amerikanska ägare. Därmed kan tjänsterna komma att beröras av Cloud Act. Då regionen planerar att hantera patientjournaler i systemet, som levereras som tjänst av Cerner, finns en oro att uppgifter kan begäras ut efter beslut av en amerikansk domstol.
De utmaningar som vi ser inför 2021 kan sammanfattas som:
- I takt med alltmer information flyttas till molnet kommer också intresset att angripa molnet öka.
- Erfarenhet av att använda molnet är fortfarande mer begränsad jämfört med traditionell drift. När information flyttas in i molnet utan att korrekt hantera nödvändiga säkerhetsåtgärder ökar risken för incidenter.
- Som med all outsourcing gäller att risk alltid ligger på beställaren, den kan bara minskas genom rätt beslut och rätt hantering.
Och inte minst, som vi inledde med, om det inte finns förståelse för att tjänsten man köper är en molntjänst blir det svårt att föra in rätt säkerhetsåtgärder. Och inom CGI har vi erfarenhet och verktyg för att hjälpa till att få en effektiv och säker övergång till molntjänster.
Artificiell intelligens i de kriminellas tjänst
AI låter olika processer automatiseras och korta ledtider med mera. AI är inte heller något nytt – kommer ni ihåg Frankenstein? Boken skrevs faktiskt redan år 1818 om roboten som fick liv. Forskningen kom igång på 50-talet och det sägs att John McCarthy startade området som sedan 60-talet finansierats i USA till stora delar av det amerikanska försvaret.
Det som AI är tänkt att göra är att lära sig lösa problem – som när den automatiska dammsugaren börjar hitta i huset för att inte städa på samma ställe hela tiden. Eller bilen som när den får köra själv måste fatta ett antal beslut – stanna vid rött ljus, stanna om det kommer ett hinder framför, eller ska den väja, eller ska den kanske fortsätta köra i vissa lägen?
Det finns massor av artiklar på nätet om vad AI är och vad det kan vara bra för men inte många artiklar om dess risker. Kända namn som Elon Musk, Bill Gates och Stephen Hawking har höjt varningens finger kring AI. Microsoft har till och med haft två försök med AI-botar som sedan togs ned när dessa utvecklades i fel riktning.
Vad är det vi ska vara rädda för? En av de viktigaste riskerna som jag ser det är när AIn blir så avancerad och naturlig del i vardagen att vi tar den för given utan att ifrågasätta den. Att dammsugaren inte kör fast är vi glada för men vad händer när vi fattar beslut baserat på statistik framtagen av AI som vi inte vet hur den är framtagen? Om vi fattar stora affärsbeslut men inte vet hur siffrorna tas fram finns möjligheten att vi begår stora misstag.
Ansiktsigenkänning är en del inom området AI som används både som skydd i telefoner och i bekämpning av brottslighet. Vad händer om ditt ansiktsavtryck blir stulet – det består som allting digitalt i en omvandling av 1:or och 0:or. Men att hämta datat en gång till är svårt då du inte har två ansikten.
Vad händer om din självkörande bil blir hackad och bestämmer sig för att köra när det är rött eller när bilen fattar beslut om att köra på någon istället för att stanna? Tanken är hissnande när bilden väger skada på person jämfört med skada på bilen eller andra saker, eller valet mellan att skada två olika människor.
Ett exempel på när AI kan användas för andra syften är Cambride Analytica inför det förra amerikanska valet där Donald Trump då vann med liten marginal. De tog fram ett oskyldigt frågeformulär på Facebook som samlade in enorma mängder data som analyserade vilka potentiella väljare som var osäkra inför valet. Därefter pinpointades dessa personer med riktad reklam kring varför de skulle välja Trump. Att AI skulle kunna användas i syfte att rubba ett lands demokrati känns inte bra.
Säkerhetsbranschen använder också AI – vi förlitar oss på att automation kring områden där vi till exempel kan skilja på aktiva attacker och andra realtidshot; där vi också kan automatisera en åtgärd baserat på händelsen. Vi använder också AI för att kunna identifiera insider threats.
AI är ett område som stöttar och hjälper oss att bli effektivare men kan alltså göra enorm skada och användas i cyberkrigföring om vi inte är med från början i riskerna kring området.