Ransomware: Sådan beskytter I virksomheden mod afpresning
Foto: Unsplash
Ransomware er den type cyberangreb hvor angriberne krypterer jeres filer og kræver løsesum for at låse dem op. De seneste år er forretningsmodellen blevet professionel og industrialiseret. Angrebene er ikke længere tilfældige. De er målrettede, gennemtænkte og udført af organiserede grupper der opererer som kommercielle virksomheder med kundesupport, betalingsportaler og forhandlingsteam.
Det typiske angreb mod en dansk SMV starter med phishing. En medarbejder modtager en e-mail der ligner en faktura, en pakkenotifikation eller en intern besked. De klikker på et link eller åbner et vedhæftet dokument, og en lille kode begynder at køre i baggrunden. I de næste dage eller uger udforsker angriberne netværket, identificerer backupsystemer, finder følsomme data og venter til fredag aften før de udløser krypteringen. Når I møder ind mandag morgen, er alt låst, alle filer har en ny endelse, og der ligger en besked på alle skriveborde med betalingsinstruktioner i Bitcoin.
Konsekvenserne er voldsomme. En analyse fra Center for Cybersikkerhed viser at den gennemsnitlige nedetid efter et succesfuldt ransomwareangreb er 21 dage, og den gennemsnitlige genopretningsomkostning for danske SMV'er er på over 2 millioner kr. når man medregner tabt produktivitet, eksterne specialister, hardware-udskiftning og tab af kunder. Selv hvis I betaler løsesummen, er der ingen garanti for at I får adgang til jeres data igen, og statistikken viser at omkring 30% af de der betaler aldrig får funktionel dekrypteringsnøgle.
Den vigtigste tekniske foranstaltning er solid backup efter 3-2-1-2-reglen. Tre kopier af jeres data, på to forskellige medietyper, med én kopi offsite, og to af kopierne ude af rækkevidde af det aktive netværk. Den sidste del er afgørende. Moderne ransomwaregrupper leder aktivt efter backup-systemer og krypterer dem først for at fjerne jeres mulighed for at gendanne. En backup der står på samme netværk som det den skal beskytte, er ikke en backup men en kopi der bare også bliver krypteret. Brug immutable storage eller air-gapped backup, og test gendannelse mindst hver tredje måned.
Endpoint detection and response, EDR, er den næste tekniske komponent. Klassisk antivirus opdager kendte trusler ved hjælp af signaturer. EDR bruger adfærdsanalyse til at opdage mistænkelig aktivitet uanset om filen er kendt eller ej. Når en proces pludselig begynder at åbne tusindvis af filer og skrive nye versioner med ukendt endelse, stopper EDR processen og isolerer maskinen før skaden spreder sig. EDR koster typisk 50-150 kr. per enhed per måned og er den investering der giver mest sikkerhed per krone for SMV'er.
Multi-faktor-autentificering på alt skal være obligatorisk. Mange ransomwareangreb starter ikke med phishing men med stjålne login-oplysninger købt på det mørke net. Hvis MFA er aktiveret på Microsoft 365, VPN, fjernadgang og administrative konti, er stjålne adgangskoder værdiløse. Det er gratis med de fleste platforme og blokerer over 99% af automatiserede angreb. Hvis I kun gør én ting i denne uge, så aktiver MFA på alle konti der har adgang til mere end e-mail.
Segmentering af netværket begrænser skadens omfang. Hvis hele virksomheden er på samme flade netværk, kan ransomware sprede sig fra en enkelt kompromitteret maskine til alle servere på minutter. Med ordentlig segmentering, hvor f.eks. produktionsmiljø, kontormiljø og servermiljø er adskilt med firewalls og adgangskontrol, kan en infektion isoleres til en enkelt zone. Det kræver investering i netværksinfrastruktur, men det er kerneegenskaber i moderne IT-design og bør indgå i enhver større opgradering.
Medarbejdertræning er den menneskelige komponent. Tekniske foranstaltninger fanger meget, men ikke alt. Regelmæssig træning i at genkende phishing, kombineret med simulerede angreb hvor medarbejdere får en harmløs phishing-mail og lærer af deres reaktion, har vist sig at reducere klikraten med 50-70% over et år. Vælg en leverandør der laver træning på dansk og med danske eksempler. Generiske amerikanske kurser med "Bob from accounting" har begrænset effekt på en dansk arbejdsplads.
Hav en plan klar før det sker. Når et angreb rammer, er det for sent at finde ud af hvem der skal kontaktes, hvilke systemer der skal isoleres først, og hvordan I kommunikerer til kunder. En incident response-plan skal definere roller, kontaktpersoner, eksterne specialister, kommunikation til presse og myndigheder, og kriterier for hvornår I beslutter at gendanne fra backup versus betale. Test planen mindst en gang om året med en tabletop-øvelse hvor I gennemspiller et realistisk scenarie. De virksomheder der kommer hurtigst tilbage efter et angreb, er ikke dem med færrest sårbarheder, det er dem med den bedst øvede plan.
Skal I betale løsesummen? Center for Cybersikkerhed og politiets nationale cybercenter fraråder kraftigt at betale. Betaling finansierer fortsat kriminel aktivitet, garanterer ikke at I får data tilbage, og kan i visse tilfælde være i strid med sanktionslovgivningen hvis betalingen går til en gruppe på en sanktionsliste. Hvis I står med valget, kontakt Center for Cybersikkerhed og en forsikringsleverandør først. De fleste cyberforsikringer dækker hverken løsesummen eller har klausuler der gør det attraktivt at betale, og de har erfaring med forhandling der kan reducere kravet markant uden betaling.