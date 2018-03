Internet of Things, Molndrift, digitalisering, mobiler och säkerhetshål i processorer. Behovet av säkerhet ökar i takt med att attackerna mot IT-systemen blir allt fler och tar sig nya uttryck.

Den tid då det räckte med att installera anti-virus är borta sedan länge. Med ökande digitalisering och molndrift skapas också nya säkerhetsrisker. Och de som vill attackera olika system blir allt skickligare i det de gör.

– Återförsäljarna har ett stort jobb att göra att skapa en lösning istället för att reaktiva svara på det kunder frågar efter. Istället bör vara proaktivt och skapa säkerhetslösningar som kan kommunicera med varandra, säger Fredrik Johansson, säkerhetsexpert på Checkpoint.

2018 har knappt börjat, men redan nu listar säkerhetsexperterna upp vilka hot som vi kan räkna med att drabbas av under året.

– Det största nya hotet som dykt upp är supply chain-attacker liknande den som drabbade danska Maersk i fjol, säger Leif Jensen, general manager för Kaspersky Labs i Norden och Baltikum.

Trenden med större utbrott av attacker mot företag och organisationer runtom i världen fortsatte under 2017. Ransomwareattackerna finns kvar, men förändrades under förra året allt mer från att rikta sig mot enskilda individer, till att drabba större enheter som företag och organisationer.

Men attackerna blir hela tiden mera avancerade. Trots att säkerhetsföretagen hela tiden utvecklar nya motmedel.

– Jag måste säga att både vi och övriga seriösa säkerhetsföretag har gjort stora framsteg och utvecklat nya, bättre, säkerhetslösningar de senaste åren. Men, cyberbrottslingarna blir också skickligare och försöker hitta vägar att gå runt de nya säkerhetsprogramen, säger Leif Jensen.

Även om supply chain-attacker är ett nytt stort hot, är ransomware fortfarande det hot som dominerar.

Ransomeware förfinas ytterligare

– Ransomware är fortfarande det enskilt största hotet mot både företag och inte minst mot samhällsbärande funktioner. Men även så kallade VD-brev ökar mycket i antal och de är svåra att bemöta eftersom de kräver en kombination av programvara och rutiner i organisationen, säger Johan Jarl, IT-säkerhetsexpert på Trend Micro.

De så kallade kidnappningsprogramvarorna eller Ransomware, hade sitt stora genombrott 2016, då antalet nya varianter av det så kallade utpressarviruset ökade med hela 400 procent. Under året har antalet varianter planat ut, men det betyder inte att problemet försvunnit.

– Ransomware har kommit att bli en kassako för cyberkriminella och en täckmantel för än mer skadliga syften. Attackerna väntas dessutom öka i antal och bli allt mer kreativa och vi kommer med stor sannolikhet se storskaliga, globala attacker i likhet med Wannacry-attacken även under 2018. Där var det först mest att man attackerade servrar och användare datorer. Men nu ser vi även att man börjat attackera andra typer av infrastruktur. Till exempel gav man sig på en kollektivtrafikinfrastruktur när man attackerade ett biljettsystem i San Francisco som slogs ut.

Utlåsta hotellgäster som utpressning

Det finns många uppkopplade enheter, webbkameror eller vad det är för någonting, som man kan ge sig på. Tidigare gjorde man det för att använda dem i ddos-attacker, men nu ser vi att man också använder dem för att låsa användarna ute. Man krypterar dem inte, utan man tar bort accessen för ägaren, säger Fredrik Johansson på Check Point.

Ett exempel på det är Romantik Seehotel Jaegerwirt i Turracherhöhe i Gurktaalalperna i Österrike där man attackerade det elektroniska låssystemet så att inga gäster kunde komma in i sina rum i början av förra året.

– När 200 kunder står i receptionen och inte kommer in i sina rum har du en tidsfaktor på att lösa det där och den snabbaste är att betala vad de som ligger bakom attacken kräver. Man utnyttjar tidsfaktorn vid ransomewareattacker. Inte bara att kryptera filer utan man ger sig även på andra saker som attacker mot ventilationssystem, passerkortssystem och liknande, säger Fredrik Johansson.

– Dessutom kommer vi att se fler riktade attacker, där sofistikerade vapen framtagna på nationell nivå används. Och det handlar om ett bredare scoop. Man ger sig på Cloudlösningar och mobiler i större utsträckning än tidigare, säger Fredrik Johansson.

En del attacker innehåller egentligen bara skadlig destruktiv kod , som förstör data eller gör den otillgänglig. Inte något som i första hand cyberkriminella kan tjäna pengar på.

– Under förra årets förekom ett antal sådana attacker. Det spekulerades mycket om vad som kan ligga bakom dem. Men det är, som jag ser det, för tidigt att uttala sig om det. Jag föredrar att inte spekulera. Men vi kan ändå konstatera att sådana attacker förekommer och sannolikt även kommer att förekomma i år, säger Leif Jensen.

– De stora utbrotten WannaCry och Petya skapade mycket kaos förra våren där både sjukhus och företag tillfälligt fick stänga ned verksamheten. Den här metoden kommer att fortsätta under 2018 då attackerna sannolikt kommer att rikta in sig på att blockera viktiga funktioner i verksamheter så man kam tjäna stora pengar på varje incident, snarare än på volymer av enskilda datorer, säger Johan Jarl.

Alla sårbarheter utnyttjas

Under många år har användare varit utsatta för virus och annat som infekterat datorerna via Flash och Java. Givet att Java nu är ett välanvänt script i många webbläsare räknar många säkerhetsexperter med fortsatta problem med scriptet även framöver.

– Hackare kommer också att fortsatt utnyttja serverbaserade sårbarheter där ransomware kan ta sig in i företagsnätverk utan att ha någon direkt kommunikation med en enskild användare, på det sätt som gjordes under ovan nämnda WannaCry och Petya-attacker, säger Johan Jarl.

Supply Chain Attacks innebär att skadlig kod döljs inuti vad som ser ut som fullt legitima uppdateringar av programvara.

– Programvara som ett företag eller organisation redan betraktar som säker infekteras med skadlig kod som sedan börjar arbeta när de skadliga uppdateringarna installerats, säger Leif Jensen.

För att upptäcka sådana attacker innan de kan infektera ett helt system krävs både säkerhetsprogramvara som kan upptäcka felen och förändrade rutiner hos företag.

– Det behövs säkerhetsprogram på alla datorer. Men man måste också skapa rutiner så att programvaruuppdateringar verifieras innan någon som är ansluten till systemet kan börja installera dem, säger Leif Jensen.

Ett färskt exempel på ett potentiellt hot var de programvaruuppdateringar som kom ut för att täppa till de säkerhetsluckor som upptäcktes i processorer från främst Intel, som döptes till Spectre och Meltdown.

Malware spreds via betrodda uppdateringar

– De uppdateringarna kom ut väldigt snabbt och alla ville säkra upp sig. Men det innebar istället att man tog stora risker eftersom man inte verifierade uppdateringarna innan de installerades, säger Leif Jensen.

När det gäller supply chain-attacker ser Kaspersky Labs att fler attacker riktas mot industriella kontroll- och styrsystem och energiproduktion.

– Både inom energi och vattensystem. Det kan vara samhällsviktiga system som kan slås ut om man lyckas placeras skadlig kod i styrsystemen, säger Leif Jensen.

För många företag och organisationer har det gått lite slentrian i säkerhetsprogramvara. Att bara köpa uppdateringar kan vara alldeles för lite med den ökande hotbild som finns idag.

– Det man köpte för 10-15 år sedan som fungerade bra då är kanske inte alls tillräckligt i dag. Det är något vi ser i företag både i Sverige och Norden. Många fortsätter använda samma lösningar utan att också över vilka nya hot man behöver skydda sig från, säger Leif Jensen.

VD-mailbedrägerierna fortsätter och väntas fördubblas under 2018. De bygger på så kallad social ingenjörskonst, där insamling av uppgifter om företagsledningar och dess medarbetare utgör grunden för att sedan kunna lura en ekonomiavdelning att betala falska fakturor.

– Den här typen av bedrägerier har ökat explosionsartat under 2017, även i Sverige. Ofta rör det sig om sexsiffriga belopp som förövarna kommer över vid varje enskilt tillfälle. Trend Micro förutspår att fenomenet kommer att fördubblas under 2018 och uppgå till ett samlat värde globalt på 9,1 miljarder dollar. De maskeras och ser ut som helt vanliga ekonomiska transaktioner. Det förekommer till och med att någon ringer och påminner ekonomiavdelningen att en faktura är obetald. Så här handlar det inte om mejl författade på dålig svenska, säger Johan Jarl.

Cyberpropaganda för att påverka höstens val

Falska nyheter som misskrediterar partier och offentliga personer i syfte att påverka till exempel opinionen i ett land, och därmed även eventuella framtida val, väntas öka under 2018. I en rapport som presenterades i höstas avslöjades att det går att köpa en ”färdig kampanj” för motsvarande 3,5 miljoner svenska kronor. Nya tekniker gör det ännu svårare att upptäcka falsk propaganda, till exempel möjligheten att manipulera bilder och filmer, men också ännu enklare att sprida.

– Det enskilt största debattämnet i Sverige kommer nog cyberpropaganda inför vårt kommande val att vara. Sannolikt kommer vi att se det här fenomenet både i det svenska, men också i det amerikanska halvtidsvalet. Det finns ingen enskild teknik som kan stoppa falska nyheter från att spridas, däremot kan samlade insatser från sociala mediaplattformar tillsammans med att enskilda individer varnar för falskt innehåll, vara en hjälp på vägen. Vi ser potentialen i att fenomenet också sprids till företagsmarknaden, där illvilliga konkurrenter kan starta falska informationskampanjer för att skada enskilda företag, säger Johan Jarl.

Den nya persondatalagstiftningen GDPR som träder i kraft i maj, kan också spela förövarna i händerna. De kan stjäla data och sedan kräva ”lösen” av den drabbade organisationen, som enligt de nya direktiven kan riskera upp till fyra procent av årsomsättningen i böter.

– Men det ör viktigt att komma i håg att ingen leverantör av säkerhetsprogram har en färdig lösning där det bara är att trycka på en knapp så löser man GDPR. Vi har engagerad en advokatfirma som hjälper till att bistå våra partners med kompetens kring den legala biten runt GDPR, säger Leif Jensen.

Sakernas intåg på Internet öppnar nya möjligheter IoT-enheter integreras i dag i allt större skala i organisationers nätverk, vilket innebär att behovet av säkerhetslösningar för såväl nätverk som enskilda enheter ökar.

– Användningen av smarta enheter skapar fler attackytor och nya möjligheter för cyberkriminella och vi kommer med all sannolikhet se varianter av Mirai- och BlueBorne-

attackerna under 2018, säger Åsa Edner.

På CES i Las Vegas var IoT, sakernas-internet i fokus. Antalet produkter som kan anslutas till Internet ökar dramatiska. Det öppnar för nya möjligheter att skapa kaos och säkerhetsproblem.

– Eftersom det är mer komplicerat att uppdatera programvarorna i uppkopplade prylar som till exempel webbkameror än datorer, kan det vara en utmaning att hålla jämna steg med utvecklingen inom hotområdet. Enligt undersökning vi genomförde i tio huvudstäder i väst-Europa, där Stockholm ingick, finns det i dessa städer över tio miljoner uppkopplade enheter som är öppna och därmed sårbara för attacker, säger Johan Jarl.

Under förra året var 50 procent av de säkerhetsincidenter som hanterades av Check Point relaterade till molntjänster. Där räknar man med att antalet incidenter kommer att öka under 2018 i och med ökad användning av molnbaserade fildelningslösningar och SaaS-baserade e-mejllösningar såsom Office 365 och G-Suite.

Nya krav på återförsäljare

För återförsäljare och systemintegratörer skapar det nya hotlandskapet behov av att arbeta på ett annat sätt än tidigare och att kunna erbjuda fler tjänster.

– De måste fråga sig om IT-säkerhet är samma sak i dag som det var för femton år sedan. Och om de har den kompetens som krävs för att råda sina kunder på bästa sätt. Att sälja säkerhet i dag är att sälja en lösning. Det är inte bara produktförsäljning längre. De framgångsrika återförsäljarna och systemintegratörerna på säkerhetsområdet i dag är de där deras personal gått från att vara säljare till säkerhetsrådgivare. För oss är det oerhört viktigt att vi kan erbjuda den utbildning som krävs för att ge våra partners förutsättningar att göra det, säger Leif Jensen.

Ett mantra i IT-branschen i dag är digitalisering. Och i digitaliseringen, även om den har nästa lika många definitioner som antalet anställda i branschen, ingår också molntjänster. Både företagsegna och publika moln. En ny arena som också öppnar för nya hot.

– Hoten blir bara fler och fler. Allting går bara snabbare och snabbare. Väldigt många okända hot också. För bara några år sedan jobbade man mycket med signaturer och uppdaterade antivirusprogram. Men i dag går det så mycket snabbare att man måste vara proaktiv för att det ska fungera. Man måste identifiera okända hot och skydda sig även mot dem, säger , Ola Jönsson, Sverigechef, Palo Alto Networks.

Fler molntjänster ger fler nya hot

För att kunna skydda sig även för nya, hittills okända hot, menar Ola Jönsson att det krävs automatisering. Vi kommer inte ha resurser att manuellt täcka in alla hot. Med hjälp av en intelligensdatabas som Palo Alto Networks Wildfire, finns en grund med information från 45 000 kunder om kända hot, men också möjlighet att testa nya okända hot. Och med hjälp av insamlade loggar och beteendeanalys samlar Palo Alto Networks data från loggar som sedan analyseras.

Många avancerade attacker sker inte med en gång efter att man lyckats komma in en server eller dator. De kanske ligger tysta i månader innan de aktiveras i nätverket när de försiktigt börjar tömma på data så att det inte ska synas.

– Där har vi nu utvecklat en lösning som kan upptäcka onormala beteenden i nätverket och med hjälp av machinelearning spåra upp attackerna och skapa skydd. Då kan man också skydda sig mot attacker inifrån det egna nätverket. Det kan ju vara insiders som vill göra skada också. Ska man skydda sig för alla moderna attacker måste man förstå vad det som är som går i nätverket. Men man måste också skydda klienterna och vi har ju nu klientskydd i vår Trapslösning som går på Windows, Mac, IOS och Linux, säger Ola Jönsson.

I takt med att fler och fler flyttar till cloud-lösningar krävs säkerhetslösningar där också.

– Vi har varit väldigt tidigt ute och förordat att vi måste skydda våra publika cloud-miljöer bättre än vad många företag gör i dag. Det är väldigt många i dag som väljer att expandera ut i molnet. I AWS, Azure eller Google Cloud eller andra typer av molntjänster. Men gemensamt här är att ha samma funktionalitet i de virtuella brandväggarna som i de fysiska, säger Ola Jönsson.

– Vi på Palo Alto kan erbjuda samma lösningar i ett företags eget datacenter som i publika moln. Samma managern och samma funktionalitet vilket gör att det blir mycket enklare att skydda sina workloads, säger Ola Jönsson vidare.

Kritiska applikationer hamnar i molnet

Svenska företag var tidigt ute i publika moln. Men nu ser Ola Jönsson en ny trend som kan vara oroande.

– Vi ser att allt fler företag lägger företagskritiska applikationer och kritisk data i publika molntjänster. Det här är något som USA varit tidigt ute med och som vi ser kommer riktigt, riktigt starkt till Europa och Sverige. Och det här ställer helt andra krav på säkerheten i de publika molntjänsterna. Här finns det jättemycket att göra och bara för att det ligger i en molntjänst innebär det inte alls att saker och ting ligger säkert, säger Ola Jönsson.

– Det en delad ansvarsmodell här. De som erbjuder molntjänsten står för compute och datacenter, lokaler, kyla, el. Det är de jätteduktiga på. Men det är inte deras ansvar att skydda företagets fysiska data. Det kommer komma väldigt mycket nu och det är en jätteskillnad för dem som är ansvariga för IT-säkerheten på företagen, säger Ola Jönsson vidare.

Ola Jönsson förespråkar som flera andra ett helhetsgrepp kring IT-säkerheten där de olika delarna kan kommunicera med varandra.

De som arbetar med IT-säkerhetslösningar är tämligen eniga om en sak. Branschen måste vakna upp.

– Som bransch tror jag att vi har varit väldigt reaktiva. Vi har sålt antivirus för att skydda oss mot virus, vi har sålt brandväggar för att skydda oss från attacker från Internet och vi har sålt ips:er för att skydda oss mot mera applikationsbaserade attacker. Vi har sålt punktprodukter. Men attackytan breddas ju hela tiden. Hälften av datat ligger i dag i publika moln och då gäller det att kunna förhindra attacker genom preventiva satsningar och att man bygger en säkerhetslösning istället för punktprodukter, säger Fredrik Johansson.