I detta inlägg vänder vi blicken till cyberattacker mot tillverkningsindustrin – och hur du skyddar OT och IoT. Men först, några andra cybersäkerhetsnyheter från vår omvärld.
Mycket händer som vanligt i omvärlden och eftersom världen hänger ihop i den digitala kontexten är påverkan för oss svenskar stor. Ett exempel på detta är den amerikanska administrationen som tagit på sig silkesvantarna (även) när det gäller åtgärder mot rysk cyberbrottslighet samt en oroande utveckling när det gäller skyddet av personliga data och integritet i USA, med viktiga konsekvenser för dataöverföringar från EU till USA. Vi kommer skriva mer om detta i kommande nyhetsbrev.
Ny nationell cybersäkerhetsstrategi
Äntligen har vår svenska regering presenterat den nya nationella cybersäkerhetsstrategin. Detta är en viktig del i det nationella cybersäkerhetsarbetet och något som också kommer ligga till grund för den nya svenska Cybersäkerhetslagen.
Nedan stycke är saxat ur förordet till rapporten, skrivet av Carl-Oskar Bohlin, minister för civilt försvar:
”Tiden för cyberpassivitet är förbi. Digital teknik berör numera närmast varje aspekt av det svenska samhället och ekonomin och den tekniska utvecklingen sker i fortsatt rekordfart. Det finns inga indikatorer på att det kommer förändras. Snarare står vi inför fortsatt acceleration. I takt med att det säkerhetspolitiska läget har försämrats och cyberhoten ökat, både sett till antal och komplexitet, ställs allt högre krav på Sveriges förmåga att säkra, skydda och stärka samhällets funktioner – även i cyberdomänen.”
Kortfattat kan sägas att strategin vilar på tre pelare (A-C) som omfattar både privat och offentlig verksamhet:
- Pelare A – Systematiskt och effektivt cybersäkerhetsarbete.
- Pelare B – Utvecklad kunskap och kompetensutveckling inom cybersäkerhet.
- Pelare C – Förmåga att förhindra och hantera cybersäkerhetsincidenter
Ta gärna del av hela materialet här.
SÄPO:s lägesrapport
Vi fick också för några veckor sedan ta del av säkerhetspolisens senaste lägesbild. I den kan vi läsa att ”Sveriges säkerhet fortsätter att påverkas av en orolig omvärld. Det finns en risk att det allvarliga säkerhetsläget kan komma att försämras ytterligare och att det kan ske på ett sätt som är svårt att förutse. Det är därför viktigt att vi följer utvecklingen, gör bedömningar av enskilda händelser och uppmärksammar gradvisa försämringar. Tillsammans ska vi fortsätta att stärka säkerheten och motståndskraften, både i nationell och internationell samverkan.”
Man har i rapporten ett stycke som är vigt åt cyberangrepp och där kan vi bland annat läsa om påverkanskampanjer utförda av det iranska revolutionsgardet, samt om hur den kinesiska säkerhets- och underrättelsetjänsterna hackar privatpersoners enheter, i syfte att bygga upp större anonymiseringsnätverk för att kunna agera förnekbart. Genom dessa nätverk kan de sedan genomföra cyberangrepp mot bland annat myndigheter och institutioner och samtidigt dölja den bakomliggande aktörens trafik och identitet.
Cyberattacker mot tillverkningsindustrin
Ni som deltog på eller i efterhand har sett vårt webinar om hybridkrigföring minns kanske hur vi diskuterade att hotaktörerna i större omfattning riktar cyberangrepp mot små och medelstora företag. Detta som en konsekvens av att de större organisationerna i högre utsträckning och tempo implementerar skyddsfunktioner och andra mekanismer som gör intrång svåra att genomföra.
Computer Sweden skriver i en nyligen publicerad artikel, att i takt med att IT och operativ teknik (OT) smälter samman, utsätts tillverkande företag i allt högre grad för cyberattacker. Samtidigt är många av de drabbade företagen oförberedda på utmaningen.
Enligt en nyligen genomförd studie av analysföretaget Omdia upplevde 80 procent av de tillverkande företagen en betydande ökning av antalet säkerhetsincidenter under det senaste året. Dock anser bara 45 procent av företagen att man vidtagit tillräckliga försiktighetsåtgärder när det gäller cybersäkerhet, medan 13 procent inte är förberedda alls. Resultaten baseras på en global undersökning av mer än 500 chefer med ansvar för IT- eller OT-säkerhet.
Tillverkningsindustrin har i synnerhet upplevt en kraftig ökning av ransomware-attacker under det senaste året, enligt en annan färsk rapport från Dragos, vilket understryker det faktum att de flesta attacker mot tillverkningsindustrin initialt sker mot IT-system.
Ett exempel på en nyligen genomförd och uppmärksammad attack är den mot Assa Abloy. Hackergruppen Cactus (som även låg bakom ett stort intrång mot Schneider Electric för cirka ett år sedan) har lyckats komma över flera hundra Gibabyte information från Assa Abloy, information som man nu hotar att läcka på Darknet. Dagens Nyheter skriver att av katalognamn att döma finns där dokument om forsknings- och utvecklingsarbete, personaluppgifter om löner och sjukintyg, mängder med finansiell information, bankkontakter och planeringsmaterial inför Assa Abloys årsstämma som hålls i april.
Cyberattacker mot tillverkande industrier – fokus på OT/IoT
Vi har förklarat OT och IoT i ett tidigare nyhetsbrev så detta blir en kort definition: Uppkopplade enheter och enheter, exempelvis produktionsmaskiner, med datorbaserad styrning.
Vi har också förklarat tidigare, otaliga gånger, att arbete med cybersäkerhet, är arbete mot ett ständigt rörligt mål.
I början av mars fastnade vi vid nyheten att den sverigebekanta hackergruppen Akira (TietoEvry, ni minns…) lyckats kryptera enheter på ett företagsnätverk genom att ”skjuta ut” skadlig kod från en webkamera. Detta är ett bra exempel på hur små nålsögon dessa bovar kan ta sig igenom för att uppnå sitt mål. Det utsatta företaget hade ett fullgott EDR-skydd (Antivirus/Anti-Malware) på sina datorer vilket gjorde att Akira inte lyckats använda denna typ av enhet som basplatta för attacken. Dom hittade dock en webkamera på företagets nätverk som hade ett Linux-baserat operativsystem där dom kunde installera det nödvändiga verktyget och därifrån kunde man sedan kryptera filer i offrets IT-miljö.
Vad säger då detta oss? Det går inte att förlita sig på enskilda skyddsfunktioner i tron att man är säker. Hade det hjälpt att uppdatera mjukvaran i webkameran? Ja, är svaret enligt siten Bleeping Computer som skriver om angreppet. Behöver man fundera över nätverks-segmentering och att säkerställa att enheter som eventuellt har äldre och osupporterad mjukvara (och som man inte kan byta), exempelvis inte exponeras mot internet? Absolut!
Uppdatera, uppdatera, uppdatera
På förekommen anledning och inte bara kopplat till webkameror – att hålla hård- och mjukvara uppdaterad är otroligt viktigt. Fler och fler rapporter pekar på att attackvektorer som phishing utnyttjas i mindre utsträckning och att sårbarheter i olika IT-system blir en mer vanligt förekommande ”initial” orsak till lyckade angrepp. Vi skall dock poängtera att olika metoder ofta används i olika stadier av en attack.
Säkerställ att ni har rutiner på plats för att uppdatera inte bara en del av er IT-miljö, utan alla komponenter i IT-miljön – nätverksutrustning, operativsystem, applikationer, webkameror etcetera. Om ni inte kan uppdatera, då måste ni hantera!
Slutligen på detta tema: det kostnadsfria stödet för Windows 10 kommer att avslutas den 14:e oktober 2025.
När en mjukvara förlorar leverantörsstöd slutar den att få patchar och uppdateringar. Även om Windows 10 vanligtvis inte (eller inte borde) vara en applikation med offentlig åtkomst, blir oskyddade klientsystem en attraktiv måltavla för hotaktörer.
Om vi hade kunnat ge dig som läser detta en hemläxa hade vi bett dig kontrollera hur många Windows 10-datorer som finns i ert nätverk och fundera på hur du fram till oktober hanterar en övergång till ett operativsystem som är supporterat efter den 14:e oktober.
Denna blogg bygger på JSC:s nyhetsmail för informationssäkerhet. Vill du få månatliga uppdateringar med omvärldsbevakning i ämnet? Prenumerera på JSC Cure Nyhetsbrev.
Och läs mer om vårt arbete med IT-säkerhet för företag.