Tänk efter före!
IT-attacken den 2 Juli gick som en löpeld över världen och påverkade bla Coop, men faktum är att många företag, stora som små påverkades svårt av attacken. Kaseya är en programvara som bl.a används av många IT-leverantörer för att se och hantera kunders IT-miljöer för att säkerställa tillgänglighet, prestanda och säkerhet för hela IT-miljön. En sårbarhet i programvaran gjorde att förövarna kunde starta en Ransomware-attack som krypterade Kaseya-servrarna och kundernas servrar och klienter som var uppkopplade vid tillfället.
Som drabbat företag har man i princip 2 alternativ.
- Betala och få en nyckel för att dekryptera informationen igen.
- Återläsa informationen från backup.
Många kunder har backup på Servrarna men inte klienterna. Förhoppningsvis fungerar backuperna för att återläsa affärsdata men klienterna måste ominstalleras.
Det är svårt att skydda sig till 100% mot attacker just ”den här vägen”. Kaseya är förmodligen en av världens säkraste programvaror under en lång tid framöver men nästa gång…för det blir en nästa gång så är det någon annan leverantör som använder en liknande programvara för att managera sin driftmiljö eller kundens egna inhouse servrar som drabbas.
Dessa programvaror är ofta nödvändiga för att kunna managera IT-miljöer på ett effektivt sätt.
Ransomware kan likväl komma in via ett mail eller en webblänk hos någon användare eller via en webb-länk sedan är skadan skedd.
Är det en användare med höga behörigheter så slår det ut det mesta.
Det INVOLVUS jobbar mycket med på våra kunder tillsammans med IT-leverantörerna då dessa attacker kommer att fortsätt i högra grad framöver är givetvis att se till att antivirus produkter finns och är uppdaterade, säkerhetsuppdateringar för Windows, implementering av MFA samt ev. behov av andra säkerhetshöjande produkter som leverantörerna erbjuder.
Men det är också viktigt att tänka efter före! Oavsett hur mycket skydd vi än köper av leverantörerna och implementerar i IT-miljön så är det ändå en stor risk att det händer igen.
Nedan finns ni några nycklar för att drabbas mindre hårt, men också för att säkerställa fortsatt arbete.
Ha alltid en Plan B när det händer. Diskutera hur Ni kan fortsätta arbeta om ingen data finns tillgänglig under flera dagar. Jobba fram en kontinuitetsplan kopplat till IT/verksamhet så ni vet hur ni skall agera när det händer och vilka andra ”verktyg” ni kan använda under tiden.
När det har hänt! Vad kan vi göra bättre till nästa gång det händer?
Ha en väldokumenterad miljö. Många företag och leverantörer slarvar med dokumentationen. Kräv dokumentation av din leverantör vid alla förändringar, nyinstallationer mm. Det underlättar återställningar men ger också en kostnadsbesparing överlag. Under denna IT-attack sätts alla på prov, kunder som IT-leverantörer. IT-teknikerna jobbar 24/7 och alla kunder vill få hjälp snabbt och bli prioriterade. I en väldokumenterad miljö kan du som kund göra en hel del själv för att snabbare komma igång igen.
Se över Era behörigheter. Ju högre behörigheter en användare har desto mer skada blir det i miljön.
Informera och utbilda Era användare kontinuerligt i IT-säkerhet för användare. Den mänskliga faktorn finns alltid med i spelet oavsett hur mycket skydd du har.
Be driftleverantören om en backup/återläsningsrapport minst en gång per år. Samma om du har egen miljö. Under denna attack så är det återläsning från backup som gäller för alla servrar/klienter som är drabbade och det är viktigt att säkerställa att backup/återläsning fungerar kontinuerligt.
Prata säkerhet med Era IT-leverantörer. Hur de jobbar och säkerställer just Er IT-miljö. Får ni vaga svar, byt leverantör.
De som klarat sig bäst i denna katastrof som kostar oerhörda pengar har kommit en bra bit på vägen kring ovanstående bitar.
Vill Ert företag ha hjälp i dessa dialoger, säkerställa att företaget har en ”Plan B” om katastrofen är ett faktum, kontakta INVOLVUS.