Tydlig hotbild för ransomware mot finansbranschen

Företag i finansbranschen behöver moderna IT-system för sin konkurrenskraft. Dessa är till sin natur mer öppna än traditionella finansiella system som ofta var skräddarsydda för varje företag och monolitiskt byggda – vilket gjorde dem lättare att kontrollera. Idag krävs möjligheter till integration med andra externa tjänster, olika aktörer inom betalningsförmedling och även kunders system. Ett typiskt exempel på det är bank-ID, som fått närmast heltäckande utbredning inom onlinebetalningar och för inloggning till allt från e-handel, Försäkringskassan till aktiedepå och bankkonto. Det ger ökad sårbarhet.

Största sårbarheten utgörs av hot inifrån. Generellt har finansbranschen en hög beredskap mot yttre cyberhot och ett starkt skalskydd. Många – och de sannolikt allvarligaste – sårbarheterna som finns kvar utgörs av hot inifrån. Mot en motiverad insiderbrottsling eller en medarbetare som ovetande fått sin IT komprometterad.

Angreppen blir alltmer sofistikerade. De falska mejlen från ”banken” med usel stavning och oskarpa loggor som sprids i enorma hagelskurar övertygar inte längre. Brottsplanerna är istället riktade direkt mot ett visst företag – det kan nu börja med att identifiera nyckelpersoner hos måltavlan och sedan locka dessa till ”vattenhål” på nätet för att plantera skräddarsydd skadlig kod.

I det förebyggande arbetet går trenden mot att minska sårbarheterna, ”attackytan” för angripare. Det kan bland annat ske genom att:

• Driftansvariga ska bara ges de rättigheter som krävs för att utföra sina uppgifter. Till exempel vid backup, där en traditionell lösning ger personalen åtkomst till allt data.
• Men egentligen räcker det att hantera själva datamängderna och kunna kontrollera att kopiering återställning från backup genomförs korrekt. Få medarbetare behöver åtkomst till innehållet och ingen ska över huvud taget ha rätt att modifiera en säkerhetskopia. 
• Vidare ska loggfiler skrivskyddas för att förhindra att en angripare eller insiderbrottsling sopar igen spåren efter sig.

Det sistnämnda är en kritisk komponent i skyddet mot ransomware, det vi kallar ”sista utposten” – utpressningsvirus är oftast konstruerade för att kryptera allt data det kommer åt innanför brandväggen för att sedan erbjuda en nyckel för upplåsning mot en lösensumma. 

Organisera er utifrån ett ”atomkrigsscenario”
Möjligheten att återställa driften från backup finns förstås bara om det finns en komplett, intakt backup. Tidigare var detta inget större bekymmer eftersom backuper sparades på band – helt ”offline” och utom räckhåll för varje cyberattack. Men idag sparas backuper som regel ”online” på hårddisk, flashminne eller i molnet och då krävs andra sätt att isolera mot angrepp – vi kallar det ”air gap”– isolerade nätverk.

I air gap-lösningar är backupmiljön med dess resurser helt isolerade från produktionsnätverk och de är ofta fysiskt isolerade och säkrade. De isolerade miljöerna är blockerad från all inkommande trafik med kraftigt begränsad utgående trafik, vilket avsevärt minskar risken. Attackytan har minimerats.

För att skydda mot insiderhot räcker det dock aldrig ens med kompletta och uppdaterade tekniska åtgärder. Det gäller också att ha goda rutiner på plats. En lösning – som hämtad från atomkrigsscenarion – är att fördela ansvaret på flera personer och göra kontrollen av varandras insatser till en del av rutinerna.

När den organiserade brottsligheten inte kan komma åt pengar genom att från utsidan råna en bank kan vi vara säkra på att de nu siktar på att gå via insidan. Därför kan vi utgå ifrån att det en finns tydlig hotbild för ransomware mot finansbranschen  oavsett hur säkra IT-systemen är.
 
Anders Stinger
Nordenchef, Commvault