Risker med ransomware och outsourcing

Under sommaren 2020 drabbades Garmin av en störning i sina IT-system som det tog närmare en vecka att helt avhjälpa. Utanför företaget märktes störningen främst som en otillgänglighet för användare av online tjänster för exempelvis registrering av träningshistorik från sportklockor. Men även betaltjänster och uppdateringar av navigeringssystem för flygtrafik kan ha påverkats.

Garmin har hittills enbart lämnat ett pressmeddelande den 27 juli som bekräftar att de utsatts för ett cyberangrepp som krypterat data i deras IT-system. Det har inte bekräftats om någon lösensumma har betalats eller andra detaljer. Det förefaller finnas vissa indikationer på att angreppet delvis skett utanför USA, exempelvis Taiwan där viss tillverkning av Garmins produkter sker utpekades inledningsvis som en tänkbar angreppspunkt. På Taiwan finns också en eller flera konkurrenter inom samma produktsortiment.

Generellt kan ransomware tyckas vara ett enkelt problem, om bara alla slutar betala för utpressning så kommer problemet att minska i omfattning. Samtidigt finns det ekonomiska och praktiska aspekter som inte alltid är helt kända inom de organisationer som kan drabbas.

I ett större sammanhang så är risker med ransomware liksom risker med outsourcing och globala samarbeten risker som måste hanteras centralt inom ett företag och ur ett långsiktigt perspektiv.

Även om ransomware är ett förhållandevis nytt fenomen så ligger det nära till hands att se det som en möjlig form av korruption eller insiderbrott när en intern (eller extern) part tar företagets tillgångar som gisslan. Brotten kan vara svåra att spåra då betalning sker i cybervaluta, men kräver ofta en viss insiderkunskap för att angriparen ska kunna välja en känslig tidpunkt, kunna skada en tillräcklig mängd känslig information och även kunna förstöra backuper i tillräcklig omfattning.

Försäkringsaspekterna vid ransomware

De ekonomiska faktorerna är ofta avgörande för vilka beslut som tas. Ibland är det billigare att betala en lösensumma och slippa leta efter säkerhetskopierat data som överlevt attacken. Försäkringsbolag är också ofta ovilliga att betala ett högre belopp än vad som faktiskt krävs för att reducera skadan. Kostnaden att åtgärda felet inom organisationen vägs då direkt mot lösensumman.

Man ska även komma ihåg att kostnaderna för att se över säkerheten i stort och vidta säkerhetshöjande åtgärder normalt inte täcks av försäkringen, detta är försäkringstagarens ansvar och skulle varit på plats före angreppet.

Det finns en pågående diskussion om både försäkringsbolagens och säkerhetsföretagens roll i denna typ av brottslighet. En aspekt som framförs är att försäkringsbranschen indirekt möjliggör fortsatta angrepp samt att det saknas incitament att begränsa försäkringsmarknaden, möjligheten att teckna cyberförsäkringar och vilka förutsättningar som ska gälla för utbetalningen av en sådan försäkring.

Inom ett företag är det viktigt att klargöra förutsättningarna för att betala ut en lösensumma inom organisationen, både hur detta påverkar IT avdelningen och hur den påverkar organisationen i stort, dvs vilka ytterligare åtgärder som krävs för att inte på nytt hamna i samma situation. För det interna säkerhetsarbetet är det viktigt att kunna skilja på olika typer av störningar och se till att rutiner och planering är på plats.

Det finns tyvärr också indikationer att företag och organisationer kan ha påverkats negativt av att lämna ut överflödig information om cyberförsäkringar i bokslut och revisionsberättelser. Denna information kan då tolkas av angriparna att det finns förutsättningar att få en lösensumma utbetald.

Rapporteringsskyldighet samt etiska och rättsliga principer

Företag och andra organisationer har ofta en rapporteringsskyldighet som kan avse händelser som kan påverka företagets värdering eller förlust av känsliga data. Om verksamheten är samhällskritisk finns även krav på skyndsam rapportering till bland annat tillsynsmyndigheter.

Om en lösensumma ska kunna hanteras i bokföringen krävs någon form av polisanmälan eller försäkringsanmälan. Detta kan också hanteras genom försäkringsbolaget eller säkerhetsföretaget som ofta får utföra viss handpåläggning för att få dekryptering av låsta filer att fungera rent praktiskt. En ytterligare aspekt är de sanktioner som ibland finns mot att stödja vissa terror eller kriminella organisationer. Om en lösensumma betalas ut så kan företaget drabbas av myndighetssanktioner eller andra åtgärder som bojkotter.

Ransomware som ett korruptionsbrott

Riskerna att drabbas för en attack ökar inom en global organisation som har verksamhet i olika länder, ett komplext nätverk och underleverantörer och tjänsteleverantörer med olika bakgrund som har kopplingar till nätverket.

Om exempelvis delar av IT-driften outsourcas till ett land där korruption är ett påtagligt problem så ökar också risken att utsättas för ransomware attacker. Den ökade risken kan bero på skillnader i säkerhetskultur, förståelse för säkerhetsarbete, praktisk vana att leva med korruption och risken att egen eller inhyrd personal faktiskt medverkar i attacken av ideologiska eller ekonomiska orsaker.

Fler risker med outsourcing

Det går att se både ransomware och exempelvis industrispionage som typiska risker som kan uppstå vid outsourcing och globala samarbeten.

Man kan ibland se ett mönster när en verksamhet globaliseras

• Legotillverkning förläggs utomlands för att spara lönekostnader
• Kunskapsöverföring sker i samband med stora försäljningar
• Samarbeten, outsourcing och investeringar sker för att dela kostnader
• Industrispionage och på sikt konkurrens kan uppstå, nu även på tidigare egna marknader
• Ransomwareattacker, strejker eller nationell konfiskation kan uppstå ur tidigare legotillverkning och etablering av dotterbolag

Frågan är hur man bäst hanterar denna typ av situationer. För ett företag innebär verksamheten alltid ett risktagande och risken att få en ökad konkurrens eller andra angrepp mot den egna verksamheten ställs mot möjligheterna att få en billigare produktion, att dela kostnader för utveckling och forskning och möjligheterna att få marknadsandelar i utlandet.

Varje situation behöver givetvis bedömas riskmässigt vilket kan göras översiktligt på följande sätt.

Vid legotillverkning sker ett risktagande genom att anläggningstillgångar och produktionskunskap hamnar utomlands. Även om man äger anläggningen själv och hyr in egen personal eller outsourcar hela eller delar av sin tillverkning till en underleverantör så skapas ett beroende som kan resultera i att företagshemligheter sprids på ett oönskat sätt. Ofta behåller man utveckling och forskning hemma och hanterar enbart produktion och distribution utomlands. Men även produktionen är i sig ofta starkt IT-beroende och det hjälper inte att ha ordrar och bokföring intakta om produktionsanläggningarna utsätts för ett ransomware angrepp.

Kunskapsöverföring är ofta en nödvändig del vid försäljning av komplicerade system eftersom kunden behöver kunskap för den fortsatta driften av det system som levereras. Man försöker då att hålla utbildningen separat från sin forskning och utveckling för att undvika att företagshemligheter sprids. Man bör i samband med försäljningen också specificera vad som ingår i kunskapsöverföringen så att det inte uppstår diskussioner och tvister i efterhand.

Vid större försäljningar av hela system kan det komma krav på motköp eller att delar av tillverkning görs i köparlandet. Även här uppstår risken att företagshemligheter sprids tillsammans med den kunskap som överförs till köparlandet. Ofta väljer man i detta läge att exempelvis sälja en äldre teknologi för att inte riskera andra försäljningar med en nyare teknologi.

Vid samarbeten brukar två eller flera företag gå ihop för att exempelvis dela på kostnader för utveckling och forskning. Detta kräver givetvis avtal om vilka investeringar som ska göras och vilka produktionsvolymer eller marknader som resultaten ska delas på. För att minska risken för spridning av företagshemligheter så konstrueras ofta gemensamma företag som hanterar den forskning som ska bedrivas och de produkter som ska säljas. Man undviker då att andra delar av företaget blandas in i de gemensamma projekten.

Det kan vara svårt att helt skilja på spridning av företagshemligheter och risker med ransomware angrepp. Generellt innebär all spridning av information som skulle kunna medföra skada om den kommer i orätta händer en ökad risk.

Hantering av en ransomware attack

Alla organisationer bör ha en planering för hur en attack ska hanteras och större organisationer kan behöva ha färdiga rutiner på plats och genomföra vissa övningar. Några exempel på viktiga aspekter kan vara:

Driftorganisationen bör ha färdiga instruktioner hur IT-system och kopplingar till omgivande system ska stängas av vid en akut situation och i vilka steg. Både drabbade system och särskilt känsliga system kan behöva isoleras, men även konsekvenser och kostnader för en fullständig avstängning bör vara kända och reservrutiner för känsliga produktionsflöden bör därför finnas för en isolering.

Planering för hantering av en ransomware attack bör finnas färdiga i ett utskrivet format. I likhet med disaster recovery planer och övriga reservplaner så ska man inte riskera att dessa blir otillgängliga för att de ligger i de IT-system som ska skyddas.

Planeringen för hantering av en ransomware attack bör vara väl skyddad mot obehörig åtkomst. I händelse av ett angrepp så söker angriparen medvetet efter beskrivningar av organisationens IT-system, rutiner för säkerhetskopiering och hantering av cyberangrepp inklusive under vilka omständigheter en lösensumma ska betalas ut. Tillgång till denna information kan öka en angripares möjligheter att vålla skada och nå sina övriga mål.

Utredningar vid en ransomeware attack

En ransomware attack kan resultera i både polisutredningar och försäkringsutredningar liksom säkerhetsrelaterade granskningar och utredningar. För den organisation som drabbats bör den egna internutredningen som minst svara på följande frågor

• Vad hände, vilka omständigheter är kända
• Finns det brister i organisationen säkerhetsmedvetande eller rutiner
• Finns det omständigheter som kan förklara varför just vi drabbades
• Finns det några indikationer på att vi kan drabbas på nytt
• Framstår vår organisation som mer sårbar för denna typ av angrepp än andra
• Finns det några tecken på att angriparen haft kunskap om rutiner och planering inom organisationen
• Finns det några tecken på att angriparen kan ha haft hjälp inifrån organisationen
• Finns det några typer av svårigheter att internt utreda händelsen, tex få tillgång till loggar, personalfiler, få tillgång till bakgrundskontroller av nyckelpersoner etc

En internutredning bör fokusera på riskerna för den egna organisationen och behov att förändra arbetssätt eller eventuellt se över valet av drift och tjänsteleverantörer. Eventuella misstankar om insiderbrott bör komma i andra hand och enbart om det finns tydliga indikationer och med klara avstämningar med företagsledning om utredningens inriktning och genomförande.

Slutsatser

Ransomware relaterade brott är en ny och allvarlig kategori av risker som måste beaktas inom en organisation. De tekniska möjligheterna till anonymitet både då brottet begås och då en eventuell lösensumma ska betalas kan göra det till ett attraktivt brott för en insider. Motiven kan variera från missnöje med arbetsplatsen eller kollegor, ekonomisk vinning i olika former (ersättning för övertidsarbete, ersättning från en konkurrent eller del av en lösensumma) eller utpressning då en insider tvingats att utföra vissa handlingar eller lämna ut information innan angreppet.

Till detta kommer övriga risker med en hög exponering, en utspridd organisation och påverkbara tjänster som kan motivera en angripare.

En företagsledning bör känna till de risker som finns med outsourcing och externa tjänsteleverantörer och kontinuerligt värdera förändringar i riskbilden i förhållande till de vinster som kan uppnås. Ansvariga personer inom företagsledningen behöver också känna till vilka rutiner som ska finnas vid ett angrepp, vilken rapportering som krävs vid ett angrepp samt vilka utredningar som behöver göras vid och efter ett angrepp.

Länkar

Samspelet mellan cyberförsäkringar och ransomware:
https://www.propublica.org/article/the-extortion-economy-how-insurance-companies-are-fueling-a-rise-in-ransomware-attacks

Trender kring ransomware:
https://edition.cnn.com/2019/10/08/business/ransomware-attacks-trnd/index.html

Information om hur ransomware bör hanteras:
https://www.fbi.gov/file-repository/ransomware-prevention-and-response-for-cisos.pdf/view

Information om attacken mot Garmin:
https://www.velonews.com/news/report-garmin-ransomed-10-million-in-cyberattack