Förebygg och hantera utpressningsangrepp

Under den senaste tiden har det kommit flertal rapporter om informationsstöld och utpressningsangrepp, både gällande egna och underleverantörers system. Det förebyggande säkerhetsarbetet är avgörande för vilken motståndskraft en organisation har för att kunna hantera ett utpressningsangrepp. Nedan följer översiktliga rekommendationer om vad som kan göras för att både förebygga och hantera den här typen av angrepp.

Vid pågående utpressningsangrepp

Ett viktigt första steg i incidenthanteringen är att identifiera vad som hänt och vilka system som är påverkade, för att därefter kunna börja vidta skadebegränsande åtgärder. Se CERT-SE:s incidenthanteringsprocess (https://www.cert.se/rad-och-stod/) för översiktliga steg i hanteringen. Här är konkreta råd vid händelse av utpressningsangrepp:

• Ta hjälp av experter på området om inte rätt kompetens finns tillgänglig internt.
• Isolera påverkade enheter/konton och revokera aktiva sessioner.
• Undersöka förekomst av befintlig avkrypterare [1].
• Betala aldrig lösensumma. Det finns inga garantier att system återställs, att filer dekrypteras eller att angriparen inte återkommer med nya krav och hot.
• Anmäl händelsen i ett tidigt skede, till Polisen och IMY om det rör en personuppgiftsincident. Incidentrapportera också till lämpliga myndigheter efter bedömning av incidentens art, enligt NIS-direktivet eller enligt säkerhetsskyddslagen för säkerhetskänslig verksamhet.
• Säkerställ i er utredning att angreppet är åtgärdat och att angriparen inte har fått fotfäste i er it-miljö genom till exempel att skapa behörigheter och/eller skadlig kod.
• Innan återställning genomförs med säkerhetskopior, säkerställ att kopiorna inte också är påverkade av angreppet.
• Ta kontakt med CERT-SE för råd och stöd.

Skapa tydlighet genom att upprätta en kommunikationsplan

Data som på olika sätt exponerats för obehöriga, särskilt i antagonistiskt syfte, är bäst att betrakta som förlorad, då man sällan kan bedöma hur informationen kan komma att användas i ett nästa steg. För att mildra konsekvenserna och skapa tydlighet är det därför viktigt att kommunicera både internt och externt. Internkommunikationen behöver förmedla vad som har hänt och hur medarbetare ska agera vid eventuella frågor i syfte att motverka oro internt i organisationen. Externkommunikationen behöver skapa tydlighet, i synnerhet till de drabbade, om situationen.

Varje situation kräver en genomtänkt och anpassad kommunikationsplan. Tänk igenom kommunikationsbehoven. Vilka behöver nås av information, när och hur ofta? Utse en person som ansvarar för informationsdelning och vid behov en talesperson. Kommunicera tidigt, tydligt och endast fakta — detta motverkar spekulationer som kan störa incidenthanteringen.

Försvåra angrepp med förebyggande arbete

Organisationer behöver på förhand skapa sig en uppfattning om vilka de mest verksamhetskritiska systemen är, vad verksamheten kan klara sig utan och hur länge för att kartlägga vilka konsekvenser den här typen av angrepp skulle kunna få för verksamheten. Utifrån dessa slutsatser kan verksamheten sedan på bästa sätt bygga, anpassa och underhålla sitt skydd. En viktig faktor är att stärka skyddet mot intrång genom att såväl säkerställa att man inte exponerat system som inte ska vara exponerade, att de inte är sårbara för angrepp. Det är viktigt att skapa strukturer, rutiner och en säkerhetskultur för att minimera konsekvenserna i de fall en hotaktör på olika sätt försöker tillskansa sig åtkomst till system, till exempel genom nätfiskeangrepp.

Grunden för att skydda sig mot cyberangrepp, (inkl. utpressningsangrepp) är därför att bedriva ett systematiskt arbete med informations- och cybersäkerhet. I arbetet inkluderas att arbeta förebyggande och att kontinuerligt anpassa skyddet utifrån organisationens behov och risker.

Planera för det fall att verksamheten blir utsatt för ett angrepp

Vid ett angrepp är det viktigt att i förväg ha förberedelser på plats så att angreppet kan hanteras och motverkas på bästa sätt. Följande är några av de frågor som behöver besvaras och planeras för:

• Hur ska angreppet begränsas så långt som möjligt?
• Hur ska analys och åtgärder genomföras för att säkerställa ej direkt påverkad it-miljö?
• Hur ska den löpande verksamheten upprätthållas?
• Hur ska en stab organiseras för att hantera händelsen?
• Hur ska man nå ut med kommunikation via alternativa kanaler vid behov?

För att säkerställa kontinuitet vid störningar är det viktigt att skapa medvetenhet och förståelse kring de rutiner som satts upp. Öva på hantering av fiktiva angrepp för att de planer och rutiner som beslutats ska kunna utvärderas.

Få stöd från CERT-SE

Kontakta oss på cert@cert.se eller 010-240 40 40 för att få stöd om ni är drabbade. CERT-SE tar gärna emot tekniska data och underlag från verksamheter som drabbats.

CERT-SE uppmanar alla svenska verksamheter att dela med sig av information om avvikelser och incidenter i sina it-miljöer för att få stöd, och för att bidra till att varna andra.

Mer information

• Mer råd och stöd från CERT-SE: https://www.cert.se/tema/ransomware/

• Utpressningsangrepp - temafördjupning från NCSC: https://www.ncsc.se/siteassets/publikationer/utpressningsangrepp---temafordjupning.pdf (PDF)

• Finska cybersäkerhetscentret har publicerat en vägledning som riktar sig till ledningen och beslutsfattare i organisationer som beskriver hur de bör agera vid angrepp med utpressningsprogram, Åtgärder vid angrepp med utpressningsprogram – ledningens anvisningar (PDF).

• Råd och stöd gällande systematiskt informationssäkerhetsarbete från MSB: https://metodstod-informationssakerhet.msb.se/sv/om-metodsodet/

Källor

[1] https://www.nomoreransom.org/