Skydda ditt företag mot cyberbrott

Hur stor del av arbetstiden spenderar IT-personalen i ditt företag med att fundera på säkerhet? Risken finns att svaret landar någonstans mellan "mycket lite" och "ingen alls". Det är fullt förståerligt för de har antagligen väldigt mycket andra uppgifter som också ska skötas. Färsk statistik visar dock att man gör bäst i att ta sitt företags cybersäkerhet på fullaste allvar.

Mörk statistik

I en artikel från yle.fi (på engelska) berättas att polisen löste endast 4%, 59 av de 1500 dataintrång som skett i Finland under 2021. IBM har gett ut rapporten Cost of a data breach 2022 där de konstaterar att

  • genomsnittskostnaden för ett dataintrång i Skandinavien är 2,08 miljoner dollar.
  • den genomsnittliga tiden från att ett dataintrång sker tills att det upptäcks är över 200 dagar.
  • efter att ett dataintrång upptäckts tar det i genomsnitt 70 dagar innan det åtgärdats och systemen är fullt återställda.
  • Ungefär en femtedel av dataintrången sker via distributionskedjan, dvs. genom att säkerheten hos en leverantör eller sammarbetspartner först komprometterats.

Faktum är att många företag kanske inte skulle överleva ett fullskaligt dataintrång eller en ransomware-attack. Kostnaderna för att åtgärda de tekniska skadorna är inte de enda konsekvenserna. Risken finns också att företaget får försämrat rykte, förlorar kunder och med otur även åläggs dryga GDPR-böter.

Kvinna som sitter vid sin dator och utsatts för en ransomware-attack
Ett dataintrång eller en ransomware-attack kan vara svår att återhämta sig från.

Vad Adamant kan hjälpa ditt företag med

Att personalen har kännedom om de vanligaste tillvägagångssätten som hotaktörer använder för att genomföra dataintrång minskar risken att något sådant sker och att eventuella skador kan begränsas snabbare än annars, eller undvikas helt. Säkerhetsstandarden ISO 27001 har återkommande informationssäkerhetsskolningar för anställda som ett krav.

Adamant kan tillhandahålla informationssäkerhetsskolning åt er personal som en presentation på svenska eller engelska. Materialet kan skräddarsys enligt era önskemål om specifika fokuspunkter eller tidsåtgång.

Penetrationstest är en annan tjänst som kan hjälpa att täppa igen säkerhetshål, öka insikten om var svagheter finns och vart budgetmedel borde riktas för att säkra företagets information och tillgångar. Även ett penetrationstest kan skräddarsys till att omfatta hela företagsnätverket, eller endast en del av det, eller att antingen utgå från en extern aktörs synvinkel eller någon som redan lyckats få tillgång till nätverket.

Ta kontakt för mer information!

Ett dubbelklick ifrån att förlora allt - hur lätt det är att bli ett offer.

Man som klickar på en mapp i en dator

Idag vaknade jag upp till ett meddelande i Adamants Messenger-inbox. Det var någon som på lite kantig svenska skrev att han köpa en av mina produkter. Det kändes ju ganska uppenbart att någon försökte lura mig. Särskilt eftersom jag inte har några fysiska produkter till salu. Personen i fråga hade bifogat en RAR-fil som han menade att innehöll en bild på det han ville köpa av mig. (RAR är ett komprimeringsformat liknande ZIP, som gör att man kan paketera och krympa filer för att enklare lagra eller skicka dem.)

Skärmdump av phishing-meddelande

Men om det här meddelandet hade kommit till rätt person... Om jag hade produkter, och om jag tänkte att "vad kan det skada att titta på en bild?". Förstås var jag ju nyfiken och bestämde mig för att göra en liten analys av vad han hade skickat.

Jag rekommenderar INTE att man börjar analysera sådana här skadliga filer om man inte vet exakt vad man gör, och du får ursäkta om fortsättningen blir lite teknisk och att jag förenklar grovt emellanåt.

Först kollade jag Facebook-profilen och den var skapad dagen före och innehöll inte någon mer information än namnet och profilbilden. Jag laddade ner filen och konstaterade att Windows Defender inte märkte av att det var något skumt med den. Jag laddade också upp den till VirusTotal. Det är en bra sida där man kan kolla om filer eller hemsidor eventuellt har skadligt innehåll. VirusTotal kontrollerar med en massa antivirus- och anti-malwareprogram om de ger utslag på en fil eller hemsida.

Skärmdump från VirusTotal som inte visar något avvikande.

VirusTotal hittade dock ingenting avvikande. Det betyder inte att VirusTotal skulle vara dåligt. Jag kontrollerade när den skadliga filen i RAR-arkivet var skapad, och den var daterad en dryg vecka tillbaka, så det är inte förvånande att inga antivirusprogram reagerade på filen ännu.

Det jag gjorde till näst var att föra över filen till en så kallad sandbox. Det är en virtuell dator, enkelt förklarat en dator som bara är mjukvara och som lånar resurser. t.ex. processorkraft och minne från ens fysyska dator. I sandbox-datorn man kan analysera och eventuellt köra skadliga filer utan att riskera att ens egen dator blir utsatt. Då man är klar så raderar man bara sandbox-datorn.

I sandboxen öppnade jag filen i en hex editor, ett program för att kunna se bättre hur programmet är uppbyggt. Där kunde jag se att då den skadliga filen kördes så laddade den ner en ny fil, från en server, som den bytte namn på och körde igång.

Hex editor med malwarekod

Den filen satte i sin tur igång en kedja av filnedladdningar. Den laddade ner skript, vilka delvis var obfuskerade, alltså att de var medvetet försvårade att läsa, både för människor och datorer, så att chansen är större att det passerar antivirus och liknande. I det här fallet var de Base64-kodade. Filen laddade ner och installerade Python, en kodtolk för att kunna köra program skrivna just i programmeringsspråket Python. Ett skript kördes för att stjäla användarinformation och cookies som eventuellt kan användas för att logga in på olika sajter. Ett sådant program kallas ofta infostealer. Slutligen laddades ner och installerades två crypto miners, som använder datorns processorkraft för att utvinna kryptovalutor på Internet. Det kan hända att fler program eller skript kördes, men jag gjorde inte en fullständig analys.

Så kontentan av det hela är att filen gick förbi Windows Defender på min dator, gav inga utslag på VirusTotal, och verkade alltså helt säker. (Jag testade också att ladda ner de filer som den ursprungliga filen länkade till och testade några av dem på VirusTotal, men inte heller där blev det någon reaktion.) Filerna testades alltså mot åtminstone 60 olika antivirus och antimalware-program och inget av dem gav utslag.

Skulle jag ha dubbelklickat på filen, som hackern på andra sidan meddelandet hoppades på, så skulle jag ha fått massor av inloggningsinformation till hundratals sajter stulen, plus att min dator även skulle ha använts till att utvinna kryptovalutor åt hackern. Det är också konstaterat att majoriteten av ransomware-attacker föregås av att en infostealer fått fäste i systemet. Något så enkelt som ett felaktigt dubbelklick kan vara början till ett mycket svårt nederlag som det är svårt att återhämta sig ifrån.

 

Add new comment

Restricted HTML

  • Allowed HTML tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Lines and paragraphs break automatically.
  • Web page addresses and email addresses turn into links automatically.
Media
uploading-documents-from-folder-open-file-folder-with-flying-blank-documents-data-transfer-backup-file-sharing-document-transferring-concept_0.jpg

Är din organisation redo för NIS2?

Kvinna som sitter med laptop i ett möte med andra personer

NIS2 kommer att utgöra en del av den förpliktande nationella lagstiftningen senast den 17 oktober 2024. Men vad innebär det? Det kommer du förhoppningsvis ha svar på efter att ha läst detta.

Vad är NIS2?

Det fullständiga namnet för NIS2 är Direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen. Med beaktande av världsläget och konstant ökande och mer avancerade cyberattacker så lanseras direktivet för att stärka cybersäkerheten för EU:s kritiska infrastruktur. Det ersätter NIS-direktivet som infördes 2016. Förkortningen NIS står för Network and Information Security. Att det är ett EU-direktiv innebär att medlemsländerna måste införliva det i sin nationella lagstiftning. Det är ett minimiharmoniseringsdirektiv, vilket innebär att de kriterier som ställs i direktivet måste uppfyllas men att länder är fria att stifta strängare lagar, och Finland ska alltså ha den lagstiftningen på plats senast den 17 oktober 2024. Mer information om hur propositionen framskrider finns på Statsrådets webbplats, men i skrivande stund finns inte mycket konkret information där. För ett företag eller en myndighet som inte redan har ett starkt cyberförsvar så är det en mycket kort tid att få allt på plats, men direktivet omfattar inte alla organisationer.

Vilka organisationer omfattas av NIS2?

De organisationer som omfattas av NIS2 listas i två bilagor till direktivet; högkritiska sektorer och andra kritiska sektorer. Grundregeln är att direktivet berör organisationer (eller som de benämns i direktivet; entiteter) som sysselsätter minst 50 personer eller vars omsättning eller balansomslutning överstiger 10 miljoner euro per år. Observera att det dock finns vissa organisationer som omfattas av direktivet oavsett antal anställda eller omsättning.

Tabell över organisationer som omfattas av NIS2.

Om din organisation faller under någon av de listade sektionerna och även överskrider någon av de ovan nämnda gränserna anställda eller omsättning föreslår jag att du ännu kontrollerar direktivets bilagor i slutet av dokumentet, som närmare definierar i mer detalj vilka sorters organisationer som berörs.

Vad är skillnaden mellan högkritiska och andra kritiska sektorer?

Organisationer inom båda sektorer kommer att behöva uppfylla samma krav. Den stora skillnaden är att staten kommer att vara skyldig att proaktivt övervaka organisationer i högkritiska sektorer, medan myndigheterna involveras i de andra sektorerna först då en betydande cyberincident inträffat.

Vilka organisationer omfattas av NIS2 oavsett antal anställda eller omsättning?

Följande organisationer omfattas:

Lista över organisationer som omfattas oberoende av antal anställda

Om din organisation verkar omfattas av listan ovan föreslår jag att du ännu dubbelkollar NIS2 artikel 2 som förutom ovanstående lista t.ex. innehåller undantag för sådana organisationer som upprätthåller nationell säkerhet, allmän säkerhet, försvar och brottsbekämpning.

Kan jag bortse från NIS2 om min organisation inte faller under definitionerna ovan? (Svar: Nej)

Saken är den att ett av kriterierna som organisationerna ovan måste uppfylla är säkerhet i leveranskedjan, så om din organisation är underleverantör till någon som omfattas av NIS2 eller har underleverantörer som omfattas av direktivet, så kan de komma att behöva ställa krav på din organisations cybersäkerhet för att själva uppfylla kraven. Kontrollera därför situationen med era samarbetsorganisationer för att säkra ert fortsatta samarbete.

Vad måste jag göra om min organisation omfattas av NIS2?

Följande åtgärder måste vara utförda då den nationella lagstiftningen träder i kraft, alltså senast den 17 oktober 2024. Då kraven kommer innebära väldigt mycket ändringar och höga kostnader för många organisationer så kan det tänkas att staten och EU ser lite mellan fingrarna i början, men det finns inga garantier.

Lista över åtgärder som måste utföras innan nationell lagstiftning träder i kraft.

Förutom att utföra dessa åtgärder kommer även organisationerna att ha en skyldighet att anmäla betydande cybersäkerhetsincidenter till berörda myndigheter. En förhandsvarning ska utan dröjsmål, senast inom 24 timmar lämnas in och en incidentanmälan ska lämnas in inom 72 timmar, då man närmare hunnit analysera det skedda och inom en månad ska man avlägga en utförlig slutrapport.

Vad händer om min organisation inte lever upp till kraven i NIS2?

EU är inte i första hand ute efter att straffa, utan att höja nivån på cybersäkerheten, men direktivet stipulerar sanktionsavgifter som ska vara "effektiva, proportionella och avskräckande". För organisationer som benämns väsentliga (i princip de i de högkritiska sektorerna) är sanktionsavgiften max 10 miljoner euro eller 2% av årsomsättningen, vilken som är högst medan sanktionsavgiften för resten av organisationerna (som benämns som "viktiga") är 7 miljoner euro eller 1,4% av årsomsättningen, vilken som är högst.

Adamant kan hjälpa din organisation att uppfylla NIS2

Om din organisation benämns som väsentlig eller viktig enligt NIS2 så kan det vara många pusselbitar som måste falla på plats inom mindre än ett år. Det kan kännas som ett övermäktigt projekt men Adamant kan hjälpa dig med delar av det eller finnas som ett stöd från början till slut, och även fortlöpande efter att din organisation uppnår kriterierna. Har du frågor eller funderingar om NIS2 eller var du ska börja så får du gärna höra av dig, så kan vi ta ett möte och se var ni står och hur ni kommer vidare.

 

 

Dansk infrastruktur räddades av SOC

Ingenjör som sitter och övervakar många skärmar i industrilokal

SektorCERT, ett danskt cybersäkerhetscenter, släppte i förra veckan en rapport om en cyberattack som drabbade 22 danska företag inom energisektorn i maj i år. Attacken misstänks ha utförts av APT(Advanced Persistant Threat)-gruppen Sandworm, som har kopplingar till den ryska militära underrättelsetjänsten GRU.

Attacken utfördes genom att utnyttja en svaghet i de Zyxel-brandväggar som företagen hade. Information om vilka företag som hade dessa brandväggar fanns inte på nätet, så informationen måste ha kommit från någon som redan var på insidan. En patch som åtgärdade felet hade funnits ute ett par veckor men av en rad olika orsaker hade företagen inte följt SektorCERTs råd att installera patchen. Vissa trodde att deras brandvägg var så ny att den redan hade den senaste mjukvaran, andra trodde att det var leverantören som var ansvarig att uppdatera brandväggarna. Någon hade medvetet skippat patchen eftersom det kostar tid och pengar att någon ska uppdatera hårdvaran och någon visste inte ens om att de hade en Zyxel-brandvägg i sitt nätverk.

Hotaktören lyckades ta över kontrollen av brandväggarna och använde senare också en del av dem till att göra överbelastningsattacker mot servrar i andra länder. SektorCERT fick jobba för högtryck och det tog runt två veckor innan situationen var under full kontroll.

Analysen i rapporten avslutas med orden "Och det enda som räddade infrastrukturen i det här fallet var att SektorCERT, i samarbete med medlemmar och leverantörer, förmådde reagera snabbt så att angriparna kunde stoppas innan deras åtkomst kunde användas för att skada den kritiska infrastrukturen."

Hela rapporten går att läsa (på engelska) här.

Add new comment

Restricted HTML

  • Allowed HTML tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Lines and paragraphs break automatically.
  • Web page addresses and email addresses turn into links automatically.
Media
critical infrastructure.jpg

Molntjänster eller infrastruktur på plats? Hur förberedda är åländska företag på IT-störningar?

Disclaimer: Den här texten innehåller en del tyckande, subjektivitet, potentiell okunskap, en karta som inte är helt exakt, och de som trivs bäst med att sitta under sin korkek och lukta på blommorna oavsett var som händer ikring dem kanske även skulle kalla det alarmism.

Att migrera sin IT-infrastruktur till molnet blir mer och mer populärt. Det finns säkerligen flera åländska företag som flyttat delar, eller kanske nästan alla sina system till molnet. Men är det en bra idé? Eller mer specifikt, är det en bra idé för just åländska företag?

Det finns både för- och nackdelar med att använda molntjänster i stället för att hålla sin infrastruktur lokal.

Fördelar

  • Då molnleverantören sköter infrastrukturen så får din IT-personal tid över till annat.
  • En jämnare budget. Att köpa in egen hårdvara och mjukvara har ofta en hög ingångskostnad. Molntjänster slår ut utgifterna jämnare över tid.
  • Enklare att göra regelbunden backup.
  • Lättare att skala upp och ned systemen efter befintligt behov.

Nackdelar

  • Kräver en stabil och snabb Internetlänk.
  • Lätt att kostnaderna rusar iväg om man inte håller full koll. T.ex. en felkonfigurering någonstans kan göra att ditt system använder mycket mer resurser än beräknat och då blir kostnaderna därefter.
  • Din data är mindre säker i och med att överlåter kontrollen över din data till någon annan.

 

Efter händelsen med Balticconnector har jag, som säkert många andra, börjat fundera på om det skulle kunna hända nära Åland och vad det skulle innebära. Jag sökte lite på Internet och från vad jag kan se så finns det i dagsläget tre datakablar som ansluter Åland till Sverige och Finland. (Trots att man kanske föreställer sig moln i luften så går vägen dit från Åland under vattnet.) Om kartorna stämmer så går kablarna till vitt skilda ställen på andra sidan, men alla verkar i stort sett ansluta till samma punkt på Åland.

Karta över Åland och de datakablar som går till Sverige och Finland.

Newnew Polarbear, det Hong Kong-flaggade fartyg som misstänks för att ha skadat gasledningen och datakablarna, har lämnat Sankt Petersburg och går i skrivandes stund 11,1 knop ostsydost i Väst-Sibiriska Havet som om inget hade hänt. Men tänker man sig nu ett fartyg, med liknande hastighet på en passlig kurs genom Ålands hav, som dessutom ”råkar” släpa ankaret längs botten (ett missöde som "drabbat" många kinesiska fartyg på senare år nära undervattenskablar kring Taiwan), så skulle skeppet hinna dra av alla tre kablarna på bra mycket kortare tid än under händelsen med Balticconnector.

Detta är ju bara spekulationer, men frågan kvarstår; vad händer med åländska företag som förlitar sig på moln-infrastruktur om dataförbindelserna som förenar oss med Sverige och Finland skadas svårt eller bryts? Det är klart att vi alla skulle påverkas, men de företag som har sin kärn-infrastruktur lokalt kunde i alla fall fortsätta arbeta och fungera till viss del och möjligtvis anpassa sig, men de som flyttat verksamhetskritiska system till molnet skulle stå helt stilla på obestämd tid.

Av förekommen anledning föredrar jag att lyfta fram säkerhetsaspekten i det hela. Vi kan alltid debattera om sannolikheten att Ålands datakommunikation skulle skadas så svårt, men jag håller fast vid det faktum att det skulle kunna ske, och snabbt dessutom, utan förvarning. Jag skulle personligen inte känna mig trygg med att som Ålandsbaserad företagare ha verksamhetskritisk infrastruktur i molnet.

Och här kommer då delen där jag till sist får slå lite på egen trumma; av samma anledning som jag inte skulle vilja ha min infrastruktur på andra sidan sjön så skulle jag inte heller vilja ha min cybersäkerhetsleverantör där. Om dataförbindelserna till Åland skulle saboteras så kommer det säkerligen att finnas hotaktörer som är mer motiverade och kapabla att angripa åländska datanätverk än vad cybersäkerhetsleverantörer utanför Åland har möjlighet att försvara dem. Som tur är så finns det åtminstone en cybersäkerhetsleverantör på Åland som står i beredskap att hjälpa ifall kletet träffar fläkten.

Add new comment

Restricted HTML

  • Allowed HTML tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Lines and paragraphs break automatically.
  • Web page addresses and email addresses turn into links automatically.
Media
östersjökablar.png

Två saker jag skulle göra innan jag ger en ny dator till mitt barn

Litet barn med hörlurar som ser på en laptop

Det finns en hel del på Internet idag som ett barn mår bättre av att inte ha tillgång till. Som förälder kan det vara svårt att ha koll på vad barnen gör på nätet och det kan också vara svårt att göra tydliga gränsdragningar och försäkra sig om att de inte överskrids.

Om jag som förälder köpte en dator till ett barn idag så finns det två saker jag skulle göra innan jag överlämnade datorn.

Skapa ett skilt konto för barnet på datorn

Det många kanske inte vet eller tänker på är att det användarkonto som finns på en dator när man köper den är ett administratörskonto. Det innebär att användaren kan installera vilka program som helst och göra vilka ändringar i konfigurationen som helst. Av den orsaken skulle jag använda det kontot till ett föräldrakonto och skapa ett skilt konto för barnet. Det innebär att om barnet vill installera ett nytt program eller göra ändringar i till exempel nätverkskonfigurationer, så måste en förälder skriva in sitt lösenord för att ändringen ska kunna göras.

Ett fönster som begär inmatning av lösenordInställningar i Windows 11

För att snabbt komma igång kan man välja "Andra användare" och sedan "Jag har inte den här personens inloggningsinformation" och "Lägg till en användare utan ett Microsoft-konto" för att skapa ett lokalt konto direkt på datorn. Annars kan man även skapa en epostadress och Microsoft-konto åt barnet. Man kan även välja att lägga till barnet som en familjemedlem via (Alt. 3). Det är ett lite mer komplicerat alternativ, där man skapar ett familjekonto där man kan ansluta fler medlemmar, och man har sedan möjlighet att t.ex. få information om vad barnet gör på datorn eller begränsa appar och skärmtid.

Ställ in en DNS-server som blockerar skadligt innehåll

Då du skriver in en webbadress i din webbläsare så sänds förfrågan till en DNS-server som skickar den vidare till den server där webbsidan finns. DNS-servern som används i din dator är antagligen en som din Internetleverantör tillhandahåller. Det finns dock andra DNS-servrar som man kan välja att använda. Vissa har en specifik funktion att de blockerar olika sorters oönskade adresser.

Det finns som flera olika DNS-servrar att välja mellan, men den jag skulle välja för ett barn är CleanBrowsing Family Filter. Den blockerar porr och annat explicit innehåll, och även sådana webbplatser som Reddit och Imgur där sådant material ofta kan förekomma. Den blockerar också sådana webbplatser som är kända för att innehålla malware och phishing-sidor.

För att ändra DNS-server behöver du gå in i nätverksinställningarna medan du är inloggad på ditt barns konto.

Nätverksinställningar i Windows 11

Välj det sätt som datorn ansluter till Internet med. Ethernet är kabelanslutning. Om datorn kommer att ansluta till Internet både med Wi-Fi och kabel så är det viktigt att man ställer in DNS-servern för båda. För Ethernet så ser man DNS-inställningarna då man klickar på (3). För Wi-Fi måste man ännu välja "Maskinvaruegenskaper". Sedan väljer man manuell DNS-inställning och serveradresserna för CleanBrowsing Family Filter är 

IP4:

  • 185.228.168.168
  • 185.228.169.168

IP6:

  • 2a0d:2a00:1::
  • 2a0d:2a00:2::

Kontrollera att opassliga webbplatser blockeras efter att du sparat inställningarna.

Efter att du gjort dessa två ändringar på ditt barns dator så är ditt barn mycket säkrare på nätet och kan inte installera program eller ändra nätverksinställningar utan ditt godkännande. Har du tankar eller frågor om detta eller angående hur man säkrar ett barns dator får du gärna höra av dej i kommentarerna. Känner du att du skulle vilja säkra ditt barns dator men inte vill eller kan sätta dig in i det själv så kan Adamant erbjuda den tjänsten till ett förmånligt pris.