Ovan: Kostnadsfri webcast "Tre systematiska faktorer som ligger bakom attacker där Solarwinds är ett exempel"
Strax innan julen 2020 upptäcktes att mjukvaruföretaget Solarwinds drabbats av ett av it-historiens värsta dataintrång. Konsekvenserna blev förödande för många företag och organisationer, men kanske speciellt säkerhetsklassade företag och myndigheter i USA så som landets försvarsdepartement och underrättelsemyndigheten CIA.
Charl van der Walt är utredningschef på it-säkerhetsföretaget Orange Cyberdefense och har studerat fallet ingående sedan de första rapporterna började cirkulera i media.
– Det är svårt att veta exakt vad som hände eftersom man inte gått ut med bekräftade uppgifter. Vad vi vet är att Solarwinds någon gång under september 2019 blev hackat av en sofistikerad aktör som ingen ännu officiellt har identifierat, säger Charl van der Walt.
Vad som är ställt bortom allt tvivel är att förövaren lyckades infektera det så kallade build-systemet hos Solarwinds, som är en automatiserad process som bygger binärfiler från källkod. Syftet med operationen var att placera skadlig kod i en biblioteksfil som ingick i en mjukvaruuppdatering till en av Solarwinds produkter. Detta kallas för en leveranskedjeattack eftersom uppdateringen och den skadliga koden distribueras till kunderna.
– Jag tror att i detta fall, liksom inom många andra områden, är problemet att du inte kan bevisa att något inte har hänt. Du kan hitta dll-filen, men du kan inte veta om just er nyttjats av angriparna, säger Charl van der Walt.
Långsiktiga kostnaden är förlusten av förtroendet för egna system
Han menar att detta leder till något mycket värre än bara den direkta konsekvensen och kostnaden för en attack. Den egentliga och långsiktiga kostnaden är förlusten av förtroendet för det egna systemet, och en misstro som kan sprida sig till andra organisationer.
Enligt Charl van der Walt finns det tre systematiska risker som ligger till grund för att den typ av hack som Solarwinds-attacken representerar, överhuvudtaget är möjlig.
– Vi kan inte hålla jämna steg med angriparna, utvecklingskurvan pekar 45 grader uppåt och de systematiska faktorerna spelar angriparna i händerna. Oddsen är helt klart på deras sida och intrång är en “när”-fråga och inte en “om”-fråga.
Tre systematiska risker
Det första problemet är att stater investerar i offensiv hacking och offensiv teknik. Detta menar Charl van der Walt är illa för den generella cybersäkerheten. Det för att teknologi, kompetens och erfarenhet läcker ut och slår tillbaka.
Den andra systematiska risken är den så kallade säkerhetsskulden: i princip alla företag och organisationer skjuter kostnaden för it-säkerhet på framtiden, och väljer att låna från säkerheten och lägga pengarna på andra saker. De tenderar att tänka på risk och påverkan från ett endimensionellt perspektiv, men det fungerar inte så. Risken och påverkan delas mellan företag och effekterna påverkar inte bara den egna organisationen utan även andra.
– Den här uppbyggnaden av säkerhetsskulden har i stort sett pågått sedan internets gryning. Till slut är organisationen säkerhetsmässigt bankrutt, och en närmast oundviklig incident tvingar organisationen att betala ett högt pris. Om inget händer, har du helt enkelt tur, säger Charl van der Walt.
Den tredje systematiska skulden är det ömsesidiga beroendet mellan dels olika it-system och olika organisationers it-system, dels mellan IT och affärsverksamheten. IT är affärsverksamheten och den ovan nämnda säkerhetsskulden blir en affärsskuld. En it-incident är i själva verket en affärsincident.
Charl van der Walt anser att vi som samhälle måste ändra hur vi tänker kring risk. Vi måste börja förstå de systematiska faktorerna, förändra vår säkerhetskultur, våra värderingar och normer. Det här är naturligtvis ingen enkel uppgift, och många saker, som det ömsesidiga beroendet, är här för att stanna.
Måste sluta luta sig mot regelefterlevnad
Företag och organisationer behöver också upphöra med att luta sig mot regelefterlevnad och standarder, eftersom vi lever i en allt mer dynamisk värld där motståndaren hela tiden är ett rörligt mål. Företag och organisationer måste också ställa krav på systemleverantörerna. Även på de som levererar it-säkerhet, så att köparen säkerställer att de inte introducerar ännu mer risk.
– Det här kräver en ny taktik kring leveranskedjan av it-säkerhet, och leverantörerna av programvaror har för dålig uppmärksamhet på detta. Hur kan kunden säkerställa att produkten är säker?, frågar sig Charl van der Walt.
– På kort sikt kommer attackerna att fortsätta, och vi måste helt enkelt ha en mer pragmatisk syn på den akuta situationen. Jag anser till exempel att vi måste sluta betala lösensummor för ransomware, även om det så innebär att företaget går under. Det är något vi inte ska uppmuntra med till exempel försäkringar. Jag tror vi måste diskutera möjligheten att blockera det, men det kan leda till omfattande konsekvenser och måste övervägas noggrant. Det finns också andra alternativ, som att stater tar en mer aktiv roll för att spåra och störa cyberbrottsekosystem.
Det som stals var tilliten
Det som verkligen stals och äventyrades i Solarwinds-fallet, menar Charl van der Walt, var tilliten. Och brist på tillit är smittsamt och kan få svåra ekonomiska konsekvenser.
Orange Cyberdefense och Charl van der Walt arbetar med processer och människor för att skapa en positiv “feedback loop” – ett cykliskt paradigm där man tillsammans med kunderna arbetar med informations- och underrättelsedriven analys, och kontextualisering av data som människor och organisationen kan agera på.
– Det är inte en silverkula, men det ger dig ett bättre utgångsläge i en volatil miljö, och om något händer får man inte samma spridningseffekter som annars, säger Charl van der Walt.
Det är något vi inte ska uppmuntra med till exempel försäkringar. Jag tror vi måste diskutera möjligheten att blockera det, men det kan leda till omfattande konsekvenser och övervägas noggrant. Det finns också andra alternativ, som att stater tar en mer aktiv roll för att spåra och störa cyberbrottsekosystem.
Se webcast "Tre systematiska faktorer som ligger bakom attacker där Solarwinds är ett exempel" på Youtube