Coop, Aktieinvest, Mediamarkt, Vestas, Nolato, Acne… It-attackerna mot företag som har blivit publikt kända har duggat allt tätare den senaste tiden. Den svenska polisen hade i mitten av oktober fått in 259 anmälningar från personer och företag som först hackas och sedan pressas på pengar. Det är hundra fler anmälningar än hela förra året, och mörkertalet tros vara stort, rapporterade Di tidigare i höst.
Martin Jartelius är säkerhetschef på Outpost 24, ett av Europas ledande cybersäkerhetsföretag med 300 anställda efter att ha gjort ett par förvärv i år. 90 procent av bolagets omsättning kommer från den internationella verksamheten.
Han ser att den långa raden av attacker mot större företag som det rapporterats om den senaste tiden är tecken på såväl fler attacker generellt, och att företagen i ökad utsträckning kommunicerar om angreppen.
”Företagen har blivit lite mer öppna med att berätta. Men det är också väldigt svårt att dölja att du råkar ut för en ransomware-attack. Hade det varit för fem-tio år sedan, när dataintrång handlade om att kanske stjäla värdefull information för att sälja vidare, syntes det inte. Men om fabriken står stilla eller om sajten ligger nere efter en ransomware-attack så är det svårt att dölja”, menar Martin Jartelius.
Under hösten har det dock också rapporterats att misstänkta bakom såväl attacken mot Coop i somras och mot Norsk Hydro för ett par år sedan har gripits av polis.
”Ja, nu har några av killarna som sysslar med det här åkt dit och vi ser ett ganska tydligt mönster att utredande myndigheter börjar lära sig hur man kan identifiera de som hanterar kryptotransaktionerna och därmed har en möjlighet att identifiera människorna som är involverade i dessa kriminella aktiviteter.”
Martin Jartelius beskriver hur flera hela hackergrupper internationellt har försvunnit den senaste tiden efter till synes lyckosamma myndighetsingripanden.
”Så det som ingen trodde var görbart för bara ett par år sedan börjar blir rimligt genomförbart i dag. Dels tack vare att det internationella samarbetet på cyberområdet börjar blir bättre och mognare och likna det vi redan har inom droghandel och vapen- och människosmuggling.”
Han beskriver också hur mycket enklare det har blivit för cyberförbrytarna jämfört med tidigare med dels dagens ransomware och dels kryptovalutorna. ”Ransomware är den nya digitala pandemin”, menar man på Outpost 24.
En av drivkrafterna bakom detta är framväxten av ransomware-as-a-service. Det vill säga en prenumerationsbaserad affärsmodell precis som för så många andra it-tjänster i dag, som sänker tröskeln ytterligare för cyberbrottslingar att ta sig in i ransomware-branschen.
”De kriminella kan göra på samma sätt som till exempel den som ska sätta upp en e-handel för att sälja något, det vill säga köpa in all service.”
I somras förvärvade Outpost 24 företaget Blueliv baserat i Barcelona som arbetar med ”threat intelligence”, däribland underrättelseverksamhet på darknet.
”Ja, vi har en verksamhet nere i Spanien med killar som är experter på att hitta, identifiera och övervaka de här grupperna på darknet.”
”Det är en ständig katt och råtta-lek. Löser vi det här med ransomware så kommer säkert någon på något annat. Men det är åtminstone inte i dag samma ensidiga övertag för förövarna som tidigare, och det beror på bättre samarbete och informationsutbyte mellan länder och myndigheter.”
Enligt polisens nationella it-brottscentrum betalar runt 80 procent av företagen hela eller delar av lösensumman, rapporterade Di tidigare i höst.
”Det låter väldigt högt, men jag kan tänka mig att det är vanligt i de fallen där det handlar om att hela verksamheten står still och det står mellan att betala eller att inte finnas imorgon, då har du egentligen inget val.”
”Jag kan förstå de som väljer att betala i den situationen”, säger Martin Jartelius och jämför ransaomwareattacker med kidnappningar, och att det här kan handla om liv och död för företagen.
”Det finns i dag till och med förhandlingstjänster där man kan få stöd med ekonomisk förhandling med angriparna för att kunna få till ett rimligt pris så att ens företag kan överleva. För angriparna å andra sidan handlar det ju om att maximera sin vinst, och 10-20 procent av första budet är ju bättre än ingenting, så det handlar allt oftare om en förhandling mellan två parter.”
I takt med den eskalerande cyberhotsbilden ökar också intresset för cyberförsäkringar.
”Men om företagen köper cyberförsäkringar istället för att minska sannolikheten för angrepp, då är ju problemet kvar eftersom incitamentet att göra någonting åt det upphör.”
I en färsk rapport från PwC som årligen undersöker försäkringsbranschens syn på risker är det också för första gången i undersökningens åttaåriga historia cyberhoten som toppar försäkringsbranschens oroslista.
”Allt fler cyberincidenter gör att frågan har hamnat högt på agendan. Försäkringsbolagen påverkas nu i högre grad av att deras produkter ska täcka kundernas skador vid cyberattacker och användning av utpressningsprogram”, kommenterar Morgan Sandström, branschansvarig försäkring, PwC Sverige.
