”Tietoevry-attacken visar att intrång är oundvikliga”

Så om vi inte kan undvika framgångsrika it-attacker, vad kan vi göra då? Svaret är att vi istället måste göra allt vi kan för att minska effekterna av dem.

Den stora utmaningen är att it-infrastruktur i dag är väldigt komplex. Flera lager med mjuk- och hårdvara från olika leverantörer i en blandning mellan egna datacenter, molntjänster och outsourcing gör att det ofta saknas kontroll och överblick, vilket gör administration och felsökning tidskrävande. För att inte tala om hur besvärligt det är att snabbt kunna agera vid en it-attack. Man saknar även redundans i infrastrukturen vilket gör det svårt att agera för att skydda informationen samtidigt som man har dåliga verktyg för att minska spridningen av ransomware.

Även förhållandet mellan kunder och underleverantörer är komplext. De flesta it-system och applikationer driftas och utvecklas inte av företag och myndigheter själva, det sker hos underleverantörer. Den som slutligen drabbas – kunden – befinner sig långt ifrån det ställe där angreppet sker. EU:s nya it-säkerhetsdirektiv NIS2, som ska vara implementerat i oktober detta år, ställer tydliga krav på att samhällskritiska företag och myndigheter har koll på sina underleverantörer. För att klara det måste de öka sin tekniska kontroll och överblick – de behöver på ett enkelt sätt kunna styra sin övergripande it-infrastruktur.

Jag menar att svenska företag och myndigheter behöver förbättra fyra områden inom it-infrastrukturen för att snabbt kunna studsa tillbaka efter en framgångsrik it-attack och därmed minska de säkerhetsmässiga, ekonomiska och varumärkesmässiga effekterna. Och för att kunna följa direktiven i NIS2.

Detta behöver företagen och myndigheterna göra:

• Standardisera. Minska antalet leverantörer av både hård- och mjukvara för att på så sätt minska antalet angreppspunkter och även de sårbarheter som uppstår i skarven mellan komponenter och mjukvaror som kommunicerar med varandra.
• Minska beroenden mellan olika hård- och mjukvaror. It-avdelningar vågar sällan driftsätta säkerhetsuppdateringar direkt eftersom man först måste kontrollera alla beroenden i hård- och mjukvaran. En felaktigt genomförd patchning kommer, likt en framgångsrik it-attack, också att stoppa it-systemen från att fungera. Problemet är bara att under tiden som it-avdelningen testar säkerhetsuppdateringen hinner angriparna attackera just den sårbarheten som säkerhetsuppdateringen skulle lösa.
• Automatisera konfigurationer, inställningar och dokumentation. Genom att all mjukvara är uppsatt på exakt samma sätt kommer återställningen att bli enklare och kunna genomföras snabbare.
• Förenkla driften och därmed organisationen. Genom att använda teknik som förenklar driften kan it-avdelningarna beta av teknisk skuld (gamla surdegar och gammal teknik) och lägga mer tid på att skapa en robust och återställningsbar it-infrastruktur.

De företag och myndigheter som fortsätter att driva en komplex och okontrollerad it-infrastruktur riskerar att även fortsättningsvis drabbas av allvarliga konsekvenser när de drabbas av it-attacker, medan samhällskritiska företag och myndigheter kan få höga böter när de inte följer reglerna i det nya NIS2-direktivet.

Så det är dags att investera i dessa teknikområden som medger effektiv återställningen nu, för planeringen för nästa Tietoevry-liknande attack pågår redan.

Mats Ericson är regionchef för Sverige, Danmark och Island på Nutanix

Denna artikel var tidigare publicerad på tidningen telekomidag.se