Cyberhotet större än någonsin

Flödet i Colonial Pipelines oljeledningar – från raffinaderier vid Mexikanska golfen till konsumenter, företag och myndigheter i östra och södra USA – kan i bästa fall skruvas på manuellt igen om några dagar. Men det kan ta veckor eller månader att få ordning på IT-skadorna efter fredagens cyberangrepp.

Kranarna har strypts efter en så kallad ransom ware-attack, där angriparen – troligen en grupp som kallar sig Darkside – har krypterat avgörande information på Colonial Pipelines servrar och begärt en okänd lösensumma för att ge företaget tillgång till sin data igen.

Våg av attacker

Konsekvenserna kan snabbt bli stora. Genom den 885 mil långa ledningen flödar normalt 2,5 miljoner fat bensin, diesel, flygfotogen och villaolja per dygn. Försvarsmakten hämtar också bränsle ur ledningen och den försörjer dessutom USA:s största flygplats – Hartsfield Jackson-flygplatsen i Atlanta.

Detta är inte en betydande oljeledning. Det är oljeledningen, säger professor Amy Myers Jaffe, chef på forskningsinstitutet Climate Policy Lab, till Reuters.

Marcus Murray, grundare av det svenska cybersäkerhetsföretaget Truesec, ser attacken mot Colonial Pipeline som ett tecken i tiden. Han beskriver cyberattacker som den största risk svenska företag står inför i dag. Det gäller inte minst finansiella aktörer, som utsattes för en våg av attacker under sensommaren 2020 och fram till i vintras.

Enligt Murray anmäls omkring en femtedel av alla dataintrång till polisen, i samband med försäkringsärenden. Och bara en bråkdel blir kända i media.

Attackerna ökar dramatiskt. I Sverige gjorde vi 40 komplexa dataintrångsutredningar 2020, alltså stora utredningar. I år har vi gjort över 70 och vi är bara i början av maj.

Stora lösensummor

Ovanpå konsekvenser från produktionsstopp och skadad data hamnar även ofta kostnader för lösensummor. De kan snabbt svälla till enorma belopp om det finns en risk för skador för företaget när information sprids på nätet eller till främmande makt.

I den största utbetalningen av en lösensumma vi såg i fjol, där vi själv var inblandade, betalades det ut 300 miljoner kronor till angriparen.

Han vill inte avslöja vem det var som betalade lösensumman, men det var svenska intressen som hade drabbats, enligt Murray.

Hemarbete en riskfaktor

Hemarbete i pandemin har bidragit till att öka riskerna för cyberangrepp, då det finns sårbarheter i många så kallade VPN-lösningar för fjärranslutning som används vid distansarbete. En annan faktor som eldat på utvecklingen på senare år är bitcoin, som öppnat upp för mer effektiva och svårspårade betalningsflöden till och mellan kriminella aktörer.

Bitcoins styrka är att du kan ha en anonym plånbok, säger Murray.

Men alla transaktioner med en bitcoinplånbok finns loggade och om en användare gör ett felsteg kan alla historiska bitcoinaffärer kopplas till användaren.

Att spåra bitcointransaktioner har blivit ett nytt modus för att kartlägga angripare, säger Murray.

Kopplingar till Ryssland

Darkside, den grupp som nu uppges ligga bakom angreppet mot Colonial Pipeline, har enligt Murray starka kopplingar till Ryssland.

Enligt Murray är det vanligt med plattformar baserade i Ryssland då ryska myndigheter uppges se mellan fingrarna så länge inte ryska mål angrips eller så länge de får ta del av strategiskt användbar information.