Det moderna kriget pågår för fullt

Cyberattacken mot svenska företag för ett par veckor sedan kan liknas vid en krigshandling. Attacken reser frågan: Hur ska företag och samhälle skydda sig?

Nyligen avslöjades en omfattande cyberattack mot flera svenska företag. Attackerna hade ett ovanligt sofistikerat tillvägagångssätt. De riktade sig nämligen i första hand mot en speciell kategori säkerhetsleverantörer, närmare bestämt mot företag som på sina kunders uppdrag övervakar deras nätverkstrafik för att upptäcka attacker med hjälp av elak kod. Leverantörernas hela affärsidé bygger på total tillit, eftersom kunderna lämnar ut hela sitt nätverk.

Avslöjandet fick stort genomslag i media som “Operation Cloud Hopper”. En av dem som låg bakom avslöjandet var konsultföretaget PwC, som har flera viktiga slutsatser att förmedla efter det inträffade.

För det första fanns det leverantörer som ville mörka att de var utsatta. Här ska tilläggas att en majoritet av de attackerade uppskattade att attackerna avslöjades. Men det finns all anledning för kunder till den här kategorin säkerhetsföretag – och till moln- eller outsourcingleverantörer i allmänhet – att se över sina avtal och regelbundet följa upp vad de säger om säkerhet.

För det andra genomfördes attackerna av en hackergrupp med namnet APT10, som av allt att döma är baserad i Kina och är mycket välorganiserad. Det går inte att utesluta att gruppen är statligt finansierad. Det är alltså dags att avfärda uppfattningen att hackergrupper är något som organiseras av nördar.

För det tredje visar attackerna att industrispionage inte längre riktar sig mot stora företag som Saab och Ericsson, utan också mot mindre innovativa företag. Dessa äger kanske immateriella tillgångar med ett oerhört stort värde för större marknader som den kinesiska.

För det fjärde genomfördes och lyckades attackerna med traditionellt nätfiske. Detta innebär att någon medarbetare klickar på en länk bifogad till ett mejl eller besöker en kontaminerad webbsajt.

Operationen visar på brister på flera nivåer, inte bara på behörighetshantering och skydd, utan också på nivåerna som rör upptäckt och respons. Hur lång tid den elaka koden var verksam innanför skyddet innan den upptäcktes framgår inte.

Att cyberattacker av det här slaget blir allt vanligare illustreras av att försvarsalliansen Nato numera jämställer cyberförsvaret med försvaret till sjöss, i luften och på land. Nyligen inrättade Nato ett stort utbildnings- och utvecklingscenter för cyberförsvar i Talllin.

För en säkerhetsleverantör som Clavister med sitt ursprung i just skydd med brandväggen som den ursprungliga produkten är attackerna inget oväntat. Företaget har sedan lång tid breddat sitt produktutbud, bland annat med hjälp av artificiell intelligens. Detta för att effektivare upptäcka när angrepp lyckas, vilket det gör förr eller senare. Det görs även i syfte att automatisera aktiviteterna för att begränsa skador och återställa system.