Försäkringsbolag vägrar ersätta för ransomwareattacker - så skyddar du organisationen

Henrik Petterson 20 maj, 2021

Introduktion

Försäkringsbolag skärper till reglerna kring cyberattacker

Försäkringsbolag har börjat vägra betala ut ersättningar till organisationer som har blivit utsatta för nätfiskeattacker (också kallat ransomwareattacker) eftersom lösensummorna tredubblats under det senaste året, skriver Computer Sweden i en nyhetsartikel – det blir helt enkelt för dyrt för försäkringsbolagen.
Samtidigt ber polisen företag att inte betala lösensumman för att låsa upp systemen och återfå tillgångarna. Det, i sin tur har lett till att angriparna har utvecklat nya metoder för att pressa företag på pengar.

Istället för att kryptera informationen och begära lösensumma hotar angriparna istället att offentliggöra informationen. Den typen av offentliggörande skapar helt andra förutsättningar. Här spelar det ingen roll hur många backupper du gjort eller hur snabb du är på att återställa. I detta fall handlar det mer om vad angriparna har lyckats roffa åt sig och vilken skada som den informationen kan leda till om den görs publik. Journaler, ritningar, framtida planer, investeringar och andra företagshemligheter är nog för att få vilket företag som helst att betala.

Till detta har vissa grupper också börjat att pressa det nätfiskedrabbade företagets kunder och hotat dem personligen att offentliggöra deras personuppgifter, kreditkortsuppgifter och annan information om inte företaget betalar lösensumman.

Så när valet står mellan att betala, förlora sina kunder eller i värsta fall låta företaget gå i graven så är valet ganska enkelt.

Det många missar är att prata om är skyddet. Det finns otroligt många, och i vissa fall enkla saker man kan göra innan man hamnar i en sits där det enda valet är att betala. Nu pratar vi inte om långsiktiga medvetenhetsutbildningar av personal som i många fall är ganska komplicerade och ofta otillräckliga lösningar (det räcker att en person klickar).

Vi pratar om att vara proaktiv i sitt säkerhetsarbete. Att ha som utgångspunkt att ”det kommer att hända” istället för att helt oförberett försöka parera attacken när den kommer. Det är nästintill omöjligt att skydda verksamheten mot ransomwareattacker. Det man kan göra är att förhindra att skadan blir så pass stor att man blir tvungen att betala. Så hur skyddar man sig?

  1. Ta kontinuerligt backupper på system och datorer, lagra on- och offline. Se till att ni arbetar fram en förmåga att effektivt kunna återställa IT-miljön så att verksamheten snabbt kan återgå till drift, vilket resulterar i mindre kostnader för hantering av angreppet.
  2. Inför logghantering i dina system så att du efter en eventuell cyberattack kan se hur attacken skett och vilken information som lämnat företaget.
  3. Förbered IT-personal/ansvarig genom att ta fram en handlingsplan för ransomwareattacker. Handlingsplanens syfte är att minimera tiden mellan att attacken inträffar till dess att åtgärder införts. Genom att utgå ifrån en plan vet alla inblandade exakt vilka operativa åtgärder som ska göras i rätt ordning.
  4. Se till att införa användarbegränsningar och begränsa åtkomst till extra känslig information. Hela företaget behöver inte ha åtkomst till all information, speciellt om det rör sig om hemlig eller känslig information som till exempel personuppgifter. Att begränsa personal till viss information är en grundläggande åtgärd i många informationssäkerhetsstandarder och är en del av CIA modellen.
  5. Genomför phishingtest med jämna mellanrum för att testa hur medarbetarna och IT-avdelningen hanterar en cyberattack. Genom den kan du testa hela kedjan från säkerheten i systemet, till medarbetarens medvetenhet, till hur IT-ansvarig/IT-avdelningen tacklar attacken till hur handlingsplanen fungerar i praktiken.
Henrik Petterson