Det finns i princip två typer av företag. De som blivit hackade och de som blivit hackade utan att veta om det.
Cyberangrepp är ett strategiskt redskap för statsmakter och en lukrativ arena för kriminella som växer för varje dag. Så pass lukrativ att den idag räknas som en egen bransch - och omsätter mer än världens samlade knarkhandel.
För statsmakterna är cyberkrigföring ett kostnadseffektivt truppslag som kan leverera förödande effekt utan att riskera livet på soldater. Huvudsyftet är göra livet surt för geopolitiska motståndare, till exempel genom att sänka den digitala och fysiska infrastrukturen, men också genom påverkansoperationer.
Cyberhoten är många
Praktiska exempel är när skadlig kod implementeras kärnvapenprogram eller att attackera elnätet så att samhällskritisk infrastruktur slås ut och delar av en nation lamslås. Just elnätet är extra utsatt för att det påverkar hela samhället, från transaktioner av pengar och mobilnät till vatten- och drivmedelsförsörjning.
Gränsen mellan statliga och privata aktörer är flytande. Eftersom det går att sopa igen de digitala spåren så är det praktiskt för statsmakter att använda sig av mellanhänder. En infiltration eller attack kan beställas av fristående hackare, men ett annat scenario är att hackare upptäcker en sårbarhet i ett system som sedan exploateras och därefter ser man vem som skulle kunna vara intresserad av att öppna plånboken för att kunna använda sårbarheten offensivt.
Men hur går då en cyberattack till? Det finns många svar på den frågan, men generellt är de riktade attackerna idag avancerade, välplanerade och uthålliga. Man väljer ut ett mål för att man är intresserad av din verksamhet eller är betald för att angripa er.
Research
Ju mer en angripare vet om sitt mål desto enklare är det att hitta sätt att ta sig in. Att hitta medarbetare i en organisation är relativt enkelt genom alla öppna källor. Därifrån kan man lista ut vilka IP-adresser som används, vilka domäner som är registrerade på en person, vilka mejladresser som finns publikt, var nätverken befinner sig rent fysiskt.
Penetration
Så snart en svag punkt hittats och risken för att bli spårad är liten påbörjas insatserna för att ta sig in. Det kan ske genom skicka epost som ser ut att vara från en pålitlig avsändare, men med skadligt innehåll eller länk till en sida med skadlig kod. Det kan också vara något så enkelt som en bilaga som innehåller något annat än vad den utger sig för att innehålla. Andra metoder är att ta sig in via programvara eller utrustning som har kända sårbarheter och inte har uppdaterats.
Expansion
När det finns en ingång börjar arbetet med att kartlägga hur systemet är byggt och hitta ytterligare svagheter som kan exploateras. Målsättningen är att kunna fjärr-kommunicera med det angripna systemet och bygga en struktur för att genomföra angreppet.
Från att ha tillgång till en enskild arbetsstation så vill man få högre access för att nå slutmålet, och det här kan kräva att man behöver ta sig från system till system. Det finns exempel på när man tagit sig förbi systemskydd genom att helt enkelt infektera hårdvara manuellt, med hjälp från insidan av en organisation
Kontroll
Ett intrång är fullbordat när aktören har skaffat sig kontroll på insidan och lyckats dölja sin närvaro till dess det är dags att armera vapenarsenalen. Man ser till att hitta eller skapa bakdörrar och andra metoder för att fortsätta ha tillgång till nätverket.
Cyberangrepp
Huvudsyftet med attacken är att komma åt information, pressa företaget på pengar eller att skada verksamheten. Immateriella rättigheter, ritningar till produkter och källkod är alltid värdefulla byten för aktörer som vill komma ikapp konkurrenter. Men även databaser med personuppgifter och epost med känslig information kan göra stor skada om det hamnar i fel händer
Själva angreppet kan gå snabbt, i många fall upptäcks det inte förrän skadan är skedd. Angriparen ser till att undgå upptäckt och vill ha kontroll så långt som möjligt även efter attacken. Men man vill också sopa igen spåren så att det blir svårt att härleda var attacken kom ifrån.
Företag börjar få riskhantering på agendan
Det är sällsynt med häpnadsväckande bilder som kan publiceras i media, inga hus som står i brand, inga blinkande blåljus eller annan dramatik som letar sig in till toppnyheterna. Och de som blir attackerade väljer sällan att berätta om det för att inte riskera den ekonomiska skada som kan uppstå av negativ press och minstat förtroende från kunder. Undantaget är när Maersk utsattes en stor attack 2016, då hela deras IT-systemet låstes och miljardbelopp gick åt innan de hade städat upp. Dock så gjorde företaget många en stor tjänst när de fick upp IT-brott på agendan hos världens stora företagsledare och makthavare under World Economic Forum i Davos 2018.
Säkerhet kostar
Dataskydd och informationssäkerhet är inte längre valfritt. I och med GDPR så behövde alla organisationer sätta upp regelverk för hur man hanterar sitt data. De företag och myndigheter som hanterar samhällskritisk verksamhet har dessutom extra lagkrav på sig att säkerställa kontinuitet och säkerhet. All IT kommer idag också med en prislapp för att hålla den säker, och alternativkostnaden är snarare att inte få skenande kostnader för att städa upp efter en attack. Beräkningar som IBM gjort sätter kostnaden till 22 miljoner. Men det går att komma betydligt lindrigare undan om det finns en handlingsplan som kan aktiveras och har övats innan, då landar snittnotan på nätta 10 miljoner.
Den dag som ledningsgrupper tar cyberattacker på allvar kommer man också att kunna begränsa utgifterna för en eventuell attack.
