Dataläckan från Gunnebo tar plats på listan över storskaliga cyberattacker som drabbat nordiska företag de senaste åren. Maersk i Danmark förlorade mer än 200 miljoner dollar  – närmare 1,7 miljarder kronor – när terminaler världen över stängdes av på grund av den globala ransomwareattacken NotPetya. 2019 drabbades Norsk Hydro av en utpressningsattack som ledde till kostnader i storleksordningen en halv miljard svenska kronor, och till och med fick tillfälliga konsekvenser för världsekonomin, då företagets svårigheter påverkade råvarupriserna.

Även om många av detaljerna kring Gunnebo-angreppet fortfarande är okända, och de slutgiltiga ekonomiska konsekvenserna för företaget återstår att se, finns det några slutsatser och lärdomar som kan dras redan nu. Faktum är att vi redan borde ha lärt oss många av dem från tidigare angrepp.

En sådan slutsats är att den här typen av tvåfrontsangrepp, som kombinerar ransomware och mer traditionell utpressning, är en relativt ny men allt mer vanligt förekommande form av cyberbrottslighet. Orsaken till det är enkel – även om det gör det svårare för angriparen att hålla sig anonym och utanför strålkastarljuset, blir det också en ytterligare tryckpunkt. För det är inte bara ekonomiska värden som står på spel för en drabbad verksamhet utan även dess rykte. I förlängningen öppnar en sådan förlust av förtroende också för juridiska processer från drabbade kunder och partners.

Det innebär också att angriparen kan utnyttja uppmärksamheten som ett verktyg, för att sätta press på sitt offer publikt. Att Gunnebo drabbats av ett angrepp stod klart redan i samband med att intrånget anmäldes till Säkerhetspolisen i augusti då man också skickade ut ett pressmeddelande. Att data hade stulits från företaget i samband med intrånget och det följande utpressningsförsöket blev dock inte omnämnt förrän i Dagens Nyheters reportage den 27 oktober.

Men det avslöjandet hade kunnat komma redan en månad tidigare, i slutet av september. Då uppmärksammade internationella säkerhetsmedier att en grupp tagit på sig ansvaret för angreppet mot Gunnebo och flera andra internationella företag, och påstod sig ha kommit över data, via ett numera nedstängt Twitterkonto.

Den första lärdomen av affären är att ingen affärsverksamhet är säker, och ingen kan skydda sig fullt ut. Inte ens de verksamheter som dagligen konsulteras för sin säkerhetsexpertis.

Den andra lärdomen är insikten om att hur man hanterar efterspelet till ett angrepp är minst lika viktigt som hur man försöker agera för att förhindra att den äger rum. Förtroende för en verksamhet tar decennier att bygga upp men kan raseras på en minut.

Idag läggs väldigt mycket av energin på ”före attacken”, men även med en närmast perfekt säkerhetsinfrastruktur kan man aldrig skydda sig fullt ut mot den mänskliga faktorn.

Vi blir också allt bättre på att agera under attacken, för att snabbt upptäcka misstänkt aktivitet, isolera intrånget från resten av infrastrukturen och stänga ner påverkade delar.

Men efter attacken blir det betydligt mer komplext. Det gäller att snabbt förstå och kartlägga vad som hänt, vilka värden som gått förlorade, kortsiktiga och långsiktiga skadeverkningar, och hur man ska kommunicera internt och externt.

Det är oerhört svåra frågor, men vill man peka på hur det kan hanteras så väl som möjligt efter omständigheterna, behöver man inte titta längre än till vårt västra grannland. Norsk Hydros hantering av angreppets efterspel blev prisbelönt för dess transparens och öppenhet och tjänar som ett gott, och alltför ovanligt, föredöme för hur en drabbad verksamhet kan minimera den negativa påverkan på företagets rykte och varumärke.

Det här är oerhört svåra och komplexa frågor, men det går inte att ducka för dem. Varje verksamhet i privat och offentlig sektor måste ha ett väl förberett och genomtänkt svar på hur man ska agera den dag man drabbas. För, och det är den tredje lärdomen: Det kommer att hända igen. Och igen, och igen. Det är inte en ny lärdom men den tål att upprepas.

Henrik Bergqvist
Cybersäkerhetsexpert, Cisco Sverige