Opinion

”Anmäl dataintrång annars väntar nya attacker”

Mikael Lagström CybersäkerhetsexpertTruesec
Mikael Lagström CybersäkerhetsexpertTruesec

DEBATT. Alla företag som utsatts för dataintrång är skyldiga att anmäla det. Den som låter bli riskerar att drabbas av nya utpressningsförsök med hot om att avslöjas. Anmäl därför alla attacker, skriver Mikael Lagström på Truesec.

För snart ett och ett halvt år sedan trädde GDPR-lagen i kraft, och branschen hoppades att vi skulle bli av med mörkertalet när det gäller utbredningen av intrång och cyberbrottslighet. Faktum är dock att vi inte sett någon större skillnad.

Det innebär inte att det är färre intrång, utan snarare att brotten inte anmäls. Mörkertalet kvarstår alltså och många kanske luras att tro att det inte är så vanligt att företag drabbas på bred front.

Olika lagar

Företag och organisationer ska anmäla dataintrång de drabbats av till olika myndigheter, baserat på vilken verksamhet de bedriver. Det är lite olika lagar som gäller olika verksamheter kring anmälningsplikt, exempelvis har vi GDPR som gäller ”alla”, NIS som gäller vissa och sedan har vi även Säkerhetsskyddslagen för organisationer med samhällsviktig verksamhet.

Vi blir ofta anlitade för att hjälpa organisationer när de drabbats av ett intrång. Under det senaste året har en stor del av dem varit i utpressningsform, så kallade Ransomeware-attacker. Företagens hela infrastruktur eller viktigaste servrar, databaser, system eller klienter är plötsligt låsta. Ett hot om utpressning kommer som ett brev på posten från antagonisterna som attackerat, krypterat och låst organisationen.

Enormt mörkertal

En av de första frågorna vi ställer är om och organisationen känner till var någonstans, eller till vem och på vilket sätt man ska anmäla det inträffade intrånget eller dataförlusten.

Vägen vidare därifrån ser ofta lite olika ut, men på ett eller annat sätt kommer bolaget så småningom upp på banan igen ur den digitala krisen. Trots att vi alltid som en del i arbetet informerar det drabbade företaget att de enligt lag är skyldiga att anmäla attacken, ser vi att väldigt få faktiskt anmäler. Det innebär ett enormt mörkertal som vi trodde skulle minska efter att de nya lagarnas börjat gälla.

Våg av utpressning

Att brotten inte anmäls ger de kriminella en ny möjlighet till utpressning. Nästa våg av utpressning ligger inte bara runt hörnet, utan har redan börjat sprida sig runt om i världen.

Ett känt sådant exempel är från det kanadensiska bolaget CarePartners, som i och för sig anmälde att de drabbats, men förminskade omfattningen i sitt uttalande. De försökte dölja fakta – varpå de fick ett nytt hot från den kriminella aktören om att publicera hela omfattningen av attacken om de inte betalade mer.

Uber attackerades igen

En liknande situation skedde redan 2017 när företaget Uber betalade sin utpressare 100 000 USD för att de skulle radera sina bevis för att en attack genomförts och att inte offentliggöra intrånget. Vilket angriparen ändå gjorde. Den totala kostnaden för Uber har blivit långt mycket högre än så, och flertalet ansvariga chefer har fått lämna sina positioner.

Att det främst verkar vara amerikanska bolag som drabbats kan bero på att de under längre tid än vi i Europa har haft motsvarande lagar om anmälningsplikt. Men med tanke på den kraftiga ökning av både större och mindre incidenter som vi på Truesec utrett under senaste året och att anmälningarna eller offentliggörandena inte har ökat i motsvarande grad ger det en tydlig indikation på att det bara är en tidsfråga innan nästa nivå av utpressning mot de redan drabbade företagen kommer. Eller vänta lite… det kanske de redan har gjort… fastän vi inte vet om det… ännu.

Det är dags att sluta bekymra sig över skam eller marknadsmässig badwill – anmäl dataintrång som du drabbas av. Annars lär nästa våg av utpressning välla in. Ge inte de kriminella angriparna den möjligheten.

Mikael Lagström

Cybersäkerhetsexpert

Truesec

Referenser:

CarePartners: https://nakedsecurity.sophos.com/2018/07/20/hackers-hold-80000-healthcare-records-to-ransom/

Uber: https://www.bloomberg.com/news/articles/2017-11-21/uber-concealed-cyberattack-that-exposed-57-million-people-s-data