På mässan Scanautomatic och Processteknik 2024 samlades experter från Plantvision och Truesec för att diskutera det förändrade hotlandskapet och hur industrin kan stärka sitt försvar. Josef Forsman, konsult på Plantvision, samtalade med Kevin Widlund, Lead OT Analyst på Truesec SOC, och Nicklas Keijser, Threat Research Analyst på Truesec, om hur hotaktörer arbetar idag och vad företag måste göra för att skydda sig.
”Det spelar ingen roll om du är ett stort eller litet företag – alla är måltavlor idag. Vi ser dagligen hur hotaktörer letar efter sårbarheter att exploatera,” konstaterar Nicklas Keijser.
Hur går cyberattacker till? – en organiserad brottslighet
Förr var cyberattacker ofta slumpmässiga och riktade mot privatpersoner genom enkla virus eller phishing-mejl. Idag är det en organiserad brottslighet med en tydlig struktur, där olika grupperingar har specialiserat sig på specifika delar av en attack.
Angreppet inleds ofta av en Initial Access Broker – en aktör vars enda uppgift är att hitta en väg in i företagets system. Det kan ske via phishing (mejl med skadliga länkar eller bifogade filer), exploatering av sårbara applikationer eller fjärrstyrningstjänster som har dåliga säkerhetsinställningar. När inkräktarna väl fått en fot in i systemet säljs åtkomsten vidare på illegala marknadsplatser till andra kriminella aktörer som genomför själva attacken.
”Det finns en illegal marknad där access till företag säljs. Cyberkriminella grupper fungerar som organiserade företag där vissa specialiserar sig på intrång, andra på utpressning och ransomware, och vissa enbart på kryptering och publicering av stulen data,” förklarar Kevin Widlund.
När en attack väl startar kan den eskalera snabbt. Vissa avancerade hotaktörer kan från första intrånget kryptera hela företagets system på bara ett par timmar.
De vanligaste bristerna – och hur man skyddar sig
Trots den växande hotbilden har många industriföretag fortfarande en bristande cybersäkerhetsstrategi. Några av de vanligaste säkerhetsluckorna är:
- Brist på segmentering mellan IT och OT – IT-system (administrativa system, e-post, molntjänster) och OT-system (styr- och produktionssystem) är ofta sammankopplade utan tydlig separation. Om en angripare får tillgång till IT-nätverket kan denne lätt sprida sig vidare till känsliga OT-system och därmed få kontroll över kritisk infrastruktur.
- Dålig synlighet och monitorering – Många företag saknar verktyg för att övervaka nätverkstrafik och identifiera misstänkta aktiviteter i realtid.
- Bristfälliga säkerhetskopior – Att sakna en välstrukturerad backup-plan gör att företag inte kan återställa sin verksamhet efter en attack utan att betala lösensumman.
För att skydda sig krävs en flerskiktsstrategi. De tre viktigaste åtgärderna är:
- Monitorering och övervakning – Genom att analysera nätverkstrafik och upptäcka avvikelser kan hot identifieras och stoppas innan de orsakar skada.
- Exponering och sårbarhetshantering – Företag måste kartlägga vilka system och tjänster som är exponerade mot internet och säkerställa att dessa är skyddade och uppdaterade.
- Backup och återställning – Att ha säkerhetskopior som är isolerade från det övriga nätverket (air-gapped backups) är avgörande för att kunna återställa verksamheten vid en attack.
”Att ha en stark säkerhetsstrategi handlar inte bara om teknik – det handlar om att skapa en medvetenhet i hela organisationen och att implementera strukturerade processer,” säger Widlund.
Betala inte lösensumman
När en attack är ett faktum kan företag hamna i en pressad situation där hotaktören kräver en lösensumma för att låsa upp krypterade system. Många företag överväger att betala för att snabbt få tillbaka sin data, men det är sällan en långsiktig lösning.
”Vår starka rekommendation är att aldrig betala lösensumman. Dels för att man göder brottsligheten, men också för att det inte finns några garantier att man faktiskt får tillbaka sin data,” säger Keijser.
I många fall kan data återställas genom alternativa metoder, och att ge efter för utpressning stärker bara hotaktörernas affärsmodell. Dessutom kan företag som betalar en lösensumma bli prioriterade måltavlor för framtida attacker.
Framtidens cyberhot – och hur vi möter dem
Cyberhoten utvecklas snabbt och attackerna blir allt mer sofistikerade. Men samtidigt förbättras även försvarsmetoderna, och företag som arbetar proaktivt med cybersäkerhet kan minimera risken för intrång.
En av de största utmaningarna framöver är supply chain-attacker, där angripare riktar in sig på leverantörskedjan för att få tillgång till flera företag genom ett enda intrång. Därför blir det allt viktigare att ha tydliga säkerhetskrav även på externa partners och leverantörer.
Industrin måste också bli bättre på incidenthantering – att ha en tydlig handlingsplan för hur man ska agera om en attack inträffar kan vara avgörande för att minimera skadorna.
Men frågan kvarstår: Är din verksamhet redo att möta framtidens cyberhot – eller är det bara en tidsfråga innan ni blir nästa måltavla?
Vill du veta mer om hur vi kan hjälpa dig och din verksamhet inom cybersäkerhet, IT/OT och digital transformation?
