Som vanligt har många bits och bytes skickats genom kablarna sedan det senaste nyhetsbrevet och en incident som väl undgått få, är attacken mot mjukvaruföretaget Miljödata. Bland annat detta berör vi i månadens nyhetsbrev. Tyvärr fortsätter också de säkerhetspolitiska spänningarna i vårt närområde att öka, inte minst mot bakgrund av den senaste tidens luftrumskränkningar där ryska militärflyg eller drönare flugit både i polskt och estniskt luftrum. Vi börjar därför detta nyhetsbrev med just lite ”luftfokus”.
Hoten mot luftfarten
Luftfarten har varit på tapeten på senare tid och för någon vecka kunde vi, genom SVT:s hemsida, läsa att under de senaste fyra månaderna så har närmare 123 000 flygplan i luftrummet runt Östersjön, störts av ryska signaler som slår mot GPS och andra satellitsystem. Detta enligt en rapport från Sverige och fem grannländer runt Östersjön. Rapporten har skrivits till den Internationella civila luftfartsorganisationen (ICAO). Utvecklingen beskrivs som ett omfattande hot mot internationell flygsäkerhet.
För cirka en vecka sedan skedde även en omfattande cyberattack som orsakade störningar på flera stora europeiska flygplatser, däribland Bryssel, Berlin och Heathrow. Attacken riktades mot företaget Collins Aerospace, vars mjukvara Muse används för digital incheckning och bagagehantering. Följden blev att dessa processer var tvungna att göras manuellt, vilket ledde till förseningar och inställda flyg. Heathrow rapporterade över 160 försenade flygningar, medan Bryssel ställde in minst 14 avgångar. Svenska flygplatser var inte direkt påverkade, men följdförseningar drabbade flertalet europeiska flygplatser. Det har nu framkommit att orsaken till störningen var en så kallad Ransomware-attack och en person i England har arresterats misstänkt för inblandning.
Till ovan kan läggas en relativt stor mängd drönarflygningar (både historiskt och i närtid) över nordiska flygplatser och vi kan konstatera att luftfarten är en väldigt utsatt sektor när det gäller hybrida hot.
Kan någon vara redo?
I förra nyhetsbrevet lovade vi att skriva några rader om Pekings vilja att återinföra Taiwan som en del av Folkrepubliken Kina. I sitt nyårstal för cirka 10 månader sedan sade Kinas president Xi Jingping följande: ”Ingen kan stoppa Kinas återförening med Taiwan”. Detta i kombination med den kinesiska militärens fokus på att bygga landstigningsfartyg, konstgjorda hamnar med mera, anser flera säkerhetspolitiska experter vara tydliga tecken på vad som komma skall.
Orsaken till att vi skriver om detta är en ledare som publicerades i flertalet tidningar i somras – denna ledare hade rubriken ”Taiwankriget kommer – var är Europas förberedelser?” Texten skrevs av David Carlqvist och huvudbudskapet är egentligen två.
(1) Till skillnad från när Ryssland anföll Ukraina, så har Kina inte ens hymlat med sina avsikter och
(2) hur påverkas vi (Europa och våra verksamheter) av ett totalt handelsstopp med både Kina och Taiwan. Kan ni som organisation förbereda er på något sätt? Går det att vara redo?
Ledaren finns att läsa på flertalet nyhets-siter, bland annat här: Europa måste förbereda sig för Taiwankriget
Attacken mot Miljödata
Efter en hackerattack mot IT-leverantören Miljödata har känsliga uppgifter om cirka 1,5 miljoner personer läckts ut på Darknet. Attacken drabbade bland annat 80 % av Sveriges kommuner, samt flera företag och myndigheter – däribland tre med koppling till Försvarsmakten. Den information som läckt är personnummer, adresser, telefonnummer, arbetsgivarinformation, sjukdagar samt kontaktuppgifter. SVT har lanserat en tjänst där privatpersoner kan kontrollera om deras mejladress finns med i läckan. Över 850 000 mejladresser har samlats in, tjänsten finns här: Finns du med i jätteläckan?
SVT har även intervjuat Måns Jonasson från Internetstiftelsen kring vilken på verkan detta kan få. Vi delar hans uppfattning kring hur dessa uppgifter skulle kunna användas, och förstärker att det nu är viktigt att se upp för:
Bedrägeriförsök där bedragare utger sig för att vara arbetsgivare.
Falska samtal och länkar som kan lura personer att lämna ut mer information.
Det är inte relevant att byta lösenord eller stänga ner konton, eftersom det inte rör sig om en lösenordsläcka – men man bör ändå vara extra vaksam.
När sker attacken?
I en rapport från Cybersäkerhetsföretaget Arctic Wolf skriver man att majoriteten av dagens cyberattacker sker när arbetsplatser är obemannade – alltså utanför kontorstid. Rapporten bygger på över 330 biljoner (JSC har inte faktagranskat siffran) säkerhetsobservationer från cirka 10 000 organisationer globalt, och visar att hotaktörer inte bara utnyttjar nya attackytor som bristande identitetshantering, utan också väljer tidpunkter då försvararna är som mest sårbara.
Den ökade komplexiteten i hotbilden innebär att angreppen blir både snabbare och mer sofistikerade. Trots ökade investeringar i säkerhetslösningar har många organisationer svårt att möta de nya taktikerna. Detta leder till en hög belastning på säkerhetspersonal, där fenomenet ”larmtrötthet” riskerar att försvaga även välutrustade försvar.
Rapporten understryker behovet av automatiserad larmhantering och att identitetssäkerhet bör vara en central del av cyberförsvaret. Organisationer som lyckas kombinera tekniska verktyg med operativ expertis har störst chans att effektivt hantera dagens cyberhot.
Tillverkande industri – fortfarande en attraktiv måltavla
En ny rapport från företaget KnowBe4 visar att tillverkningsindustrin fortsatt är ett av de mest utsatta målen för cyberbrott, med en ökning av dataintrång på hela 89 procent mellan åren 2023 och 2024. Ransomware är den dominerande attackmetoden, och stod för nästan hälften av alla incidenter under fjolåret. Angripargrupper som LockBit, PlayCrypt och 8Base är särskilt aktiva i Europa. Bovarna har förstås upptäckt att industrins låga tolerans för driftstopp gör den extra sårbar. Detta linjerar väldigt väl med ny information från MSB.
Rapporten lyfter även fram den mänskliga faktorn som en kritisk svaghet. Social engineering, där angripare manipulerar individer snarare än system, låg bakom 22 procent av intrången. Svaga lösenord, nätfiskemail och bristande rutiner är vanliga orsaker. Vi tycker att det är nödvändigt att påtala att företaget KnowBe4 har tagit fram en produkt just för utbildning och medvetenhet mot denna typ av attacker, men det förminskar inte det faktum att siffrorna ser ut som de gör.
Det är viktigt att inse att digitaliseringen och satsningar på automatisering har ökat effektiviteten i industrin, men också skapat nya angreppsytor. När operativ teknik, IT och komplexa leveranskedjor integreras, blir det lättare för angripare att störa verksamheten eller komma åt känslig data. Idag kan tillverkande industrier inte bara tänka på att skydda IT, man har ofta en bred flora av så kallad OT-teknik också, i produktionsmiljö.
Denna blogg bygger på JSC:s nyhetsmail för informationssäkerhet. Vill du få månatliga uppdateringar med omvärldsbevakning i ämnet? Prenumerera på JSC Cure Nyhetsbrev.
Och läs mer om vårt arbete med IT-säkerhet för företag.