Wannacry visar på ökade risker med iot-system

Sent på fredagseftermiddagen förra veckan började det att rassla till i min mobil. Myndigheter, företag och privatpersoner hade drabbats av ett stort it-angrepp – igen.

När jag började nysta i attacken befarade experterna att många, många fler system skulle drabbas i och med att arbetsveckan drog igång igen på måndagen. Som tur är verkar den fortsatta spridningen efter helgen vara begränsad.

Men ändå: Tidiga rapporter visar att runt 300 000 system världen över hittills har blivit smittade av datormasken som har fått namnet ”Wannacry”.

De första maskinerna som infekterades på fredagen fanns på sjukhus och kliniker i Storbritannien. Att utrustning som används på sjukhus går att kapa i en attack av det här slaget visar tydligt hur sårbart vårt samhälle blivit när allt fler maskiner kopplas upp.

Experter som jag har talat med lyfter fram ett tydligt problem: Många av de äldre internet of things-prylarna därute – exempelvis magnetröntgenmaskiner, skrivare och bankomater – körs fortfarande med Windows Xp. Det är ett system som kom 2001, och som Microsoft inte längre officiellt ger support till.

– Det kan också vara så att man inte alltid vill uppdatera programvaran på dessa maskiner, eftersom det kan leda till att systemen inte längre fungerar som de ska med andra delar i en produktionskedja. Det gör att det inte är så lätt som man kan tro för företag att åtgärda sårbarheten, säger säkerhetsexperten Joachim Strömbergson.

Kort efter attacken skickade Microsoft ut en ”patch” – det vill säga en uppdatering – som åtgärdade sårbarheten i Windows Xp. Till saken hör att teknikjätten täppte till sårbarheten i senare versioner av Windows i och med en säkerhetsuppdatering som släpptes i mars.

Men eftersom uppdateringen inte installeras automatiskt var systemen hos många företag och privatpersoner fortfarande sårbara när Wannacry slog till. Ett svenskt exempel är Timrå Kommun. 70 datorer kapades – på grund av att deras it-leverantör hade missat att uppdatera systemen, uppger kommunen.

Wannacry är inte den första – och inte heller den sista – attacken som riktas mot ett civilt system som Windows. Angreppet var inte heller riktat mot ett specifikt mål utan slog till mot allt och alla, som det verkar.

I går gick säkerhetsföretaget Bitdefender ut med en uppmaning till Microsoft om att införa tvingande uppdateringar av Windows. Utmaningarna är stora, bland annat regelmässiga, när det gäller ett eventuellt införande av en sådan åtgärd. Men både teknikjättarna och it-leverantörer behöver ta ett större ansvar – särskilt när det gäller skyddet hos viktiga system hos sjukhus och kommuner.

Men det löser inte alla problem. En större utmaning är att öka kunskapen om hot av det här slaget hos alla som använder datorer.

Efter attacken inför nu Timrå Kommun en obligatorisk kurs i data- och informationssäkerhet för sina anställda. Den sortens insatser kan bli ett litet men ack så viktigt steg för att öka beredskapen.

Läs mer: