Lärdomar från malware i samhällsviktiga sektorer under 2017

Topic: It-säkerhet

Jonas Magnusson
17.10.2019

Totalförsvarets Forskningsinstitut (FOI) analyserar i en ny rapport WannaCry- och NotPetya-attackernas konsekvenser i samhällsviktiga sektorer. Rapporten diskuterar också möjligheten att i framtiden förebygga, eller åtminstone hantera konsekvenserna, av liknande attacker. Som medförfattare till rapporten kommer jag diskutera några av de teman kopplade till hantering av moderna cyberhot som rapporten och arbetet med den aktualiserat, som exempelvis cyberhygien, kontinuitetshantering och informationsdelning vid incidenter.

WannaCry var en av 2017 års mest omskrivna attacker och ses i efterhand som en av historiens största ransomware-kampanjer. Enligt uppskattningar spreds WannaCry till över 300 000 datorer globalt. Bland de mest påverkade länderna fanns Kina, USA, Ryssland och Indien. Enligt amerikanska FBI finns bevis för att attacken utfördes av nordkoreanska hackers.

1,5 månad senare kom NotPetya, som Cisco kallade den mest snabbspridda skadliga kod världen sett. NotPetya uppskattades orsaka skador för mer än 10 miljarder US dollar. NotPetya antogs först vara ett nytt ransomware-fall, men omrubricerades så småningom till en wiper (förstörelseprogram) då NotPetya saknade tekniska möjligheter till dekryptering. Vissa bedömde NotPetya som en ransomware-kamouflerad rysk cyberattack mot Ukraina – och Vita huset har också lagt skulden för attacken på kriminella grupper kopplade till rysk underrättelsetjänst.

FOI-rapporten, som utgår från de samhällsviktiga sektorer som definieras i NIS-direktivet, behandlar bland annat engelska National Health Service (NHS) vars konsekvenser av WannaCry fick stor medial uppmärksamhet. WannaCry skapade under en hel vecka verksamhetsstörningar hos en tredjedel av alla engelska sjukhus, och fem akutmottagningar fick även omdirigera akutpatienter under tre dagar.

Hos Maersk, ett globalt logistikbolag verksamt inom transportsektorn, krypterade NotPetya nästan alla organisationens datorer världen över. Parallellt med att Maersk försökte upprätthålla sin verksamhet med hjälp av manuella reservrutiner, slet bolaget hårt för att återskapa hela sin IT-infrastruktur på tio dagar. Bland annat gick Port of Los Angeles, vilket är USA:s största containerhamn och som drivs av ett Maersk-bolag, ner till tio procent av ordinarie godstrafik under perioden.


Att studera konsekvenser hos leverantörer av samhällsviktiga tjänster genom media

Den som vill göra en komplett studie av incidenter och störningar orsakade av cyberattacker finner snart ett problem. Det finns nämligen sällan några detaljerade rapporter som preciserar vilka konsekvenser som inträffat hos organisationer till följd av cyberattacker. Därför saknas ofta pålitligt underlag för att veta huruvida det exempelvis skett något bortfall av samhällstjänster, eller för att kvantifiera vilka intäktsförluster en attack åsamkat organisationer. Nyhetsartiklar är ofta den enda källan, vilka naturligtvis kan vara bristfälliga av olika anledningar.

Bristande transparens är också ett återkommande tema i flera länder. Det kan ta sig uttryck i att organisationer inte medger för media, eller för ansvariga myndigheter, att man drabbats – eller att man spelar ned de konsekvenser som organisationen faktiskt upplevt. Ironiskt nog brukar kulturer av bristande transparens framhållas som en av de anledningar som rent strukturellt försämrar länders cyberförsvar, ett tema som också diskuterades i Indien i kölvattnet av WannaCry:s spridning i landet.

FOI-rapporten pekar bland annat på att bristande transparens och informationsdelning kan:

  • försämra möjligheten att få en korrekt lägesbild av en pågående attack vilket kan påverka t ex nationella CERT-enheters möjlighet att gå ut med tidig varning

  • försämra möjligheten att dra lärdomar för förbättrad beredskap inför nästa cyberattack.

Inför att NIS-direktivet skulle träda i kraft 2018, betonade EU-kommissionen att direktivets krav på incidentrapportering för samhällsviktiga tjänsteleverantörer skulle höja nationell cybersäkerhet. Däremot lyfte Kommissionen att tillit mellan olika aktörer, både offentliga och privata, länge varit en utmaning som förhindrat god informationsdelning inom området cybersäkerhet.


Vilka lärdomar kan dras av WannaCry och NotPetya?

Hos många organisationer inom samhällsviktiga sektorer var användningen av Windows XP orsaken till att de drabbades av WannaCry. XP saknade vid tiden för WannaCry-utbrottet den patch som för nyare Windows-versioner åtgärdade sårbarheten som WannaCry utnyttjade. I många icke EU-länder använde drabbade organisationer också piratkopierade operativsystem – vilka inte kan patchas. Här räckte alltså basal cyberhygien för att skydda sig mot ett hot som WannaCry, dvs att enbart använda nyare, licensierade versioner av operativsystem med stöd för säkerhetsuppdateringar.

NotPetya var en supply chain-attack som använde en falsk uppdatering av den ukrainska bokföringsmjukvaran MeDoc för initial spridning, men kunde sedan sprida sig vidare även till datorer utan MeDoc. Enligt många hade därför NotPetya en högre grad av sofistikation. Med detta i åtanke är det därför viktigare att fokusera på vad organisationer kan göra för att förmildra effekterna av sådana attacker – snarare än att försöka förutse och förebygga dem. Kontinuitetsplanering och robusta inövade rutiner för incidenthantering har i dessa fall förmodligen större verkan.

Förutom NHS och Maersks erfarenheter är det utifrån medierapportering svårt att få en tydlig bild av incidenter hos organisationer inom samhällsviktiga sektorer där WannaCry eller NotPetya hindrat tjänsteleveranser. I källorna nämns ofta att attackerna snarare påverkat stödjande system som för den utomstående inte tycks vara organisationernas mest verksamhetskritiska system, t ex kassor och biljettautomater, administrativa system eller informationstavlor. Att skyddet för denna typ av system är nedprioriterat skulle ur ett riskhanteringsperspektiv kunna anses vara rimligt. Det är dock svårt att dra slutsatser om organisationers riskhantering då det dels kan finnas störningar i tjänsteleveranser som inte nämns i det tillgängliga källmaterialet. Dels är beslut om riskaptit och systems skyddsvärde interna övervägningar som är svåra att för den utomstående att definitivt uttala sig om.

Det finns en problematik om det stämmer att attacker av slaget NotPetya och WannaCry sällan leder till direkta bortfall av samhällsviktiga tjänster – samtidigt som de kan skapa uppenbart stor påverkan i samhällsviktiga sektorer i form av merarbete och ekonomiska kostnader. I det nyligen implementerade NIS-direktivet är nämligen ribban för rapporteringskrav relativt hög: incidenter som haft betydande inverkan på samhällsviktiga tjänsteleveranser är rapporteringspliktiga. I ett scenario där svenska leverantörer av samhällsviktiga tjänster idag drabbas av den sorts incidenter som WannaCry och NotPetya ledde till globalt under 2017, är det därför tveksamt om dessa leverantörer skulle behöva incidentrapportera under den svenska NIS-lagen.

En viktig fråga är i så fall hur, den för nationell cybersäkerhet så viktiga, informationsdelningen ska ske om liknande framtida attacker skulle påverka Sverige? Informationsdelningen behöver i så fall troligen gå genom andra lagar och regelverk än NIS-direktivet – eller genom mer informella kontaktvägar mellan leverantörer och ansvariga myndigheter. Mer informell informationsdelning kräver i så fall att leverantörer, som drabbas av incidenter som inte leder till tjänstebortfall, prioriterar den sortens kontakt med myndigheter. Det kräver också att det finns en stor grad av tillit mellan samhällsviktiga tjänsteleverantörer och ansvariga myndigheter.

För ytterligare läsning rekommenderas
FOI:s rapport.

Prenumerera på vårt nyhetsbrev

Cybersäkerhet & juridik

För att bli riktigt bra på cybersäkerhet krävs många infallsvinklar och erfarenheter. Dessa finns i gränslandet mellan it, juridik och affärer. Säkerhet är en strategisk fråga och här i vår blogg hittar du det senaste inom it- och informationssäkerhet.