Under helgen hände det som vanligtvis inte händer. Gemene man i Sverige pratar helt plötsligt om hackerattacker runt middagsbordet.
Det går naturligtvis att raljera friskt i ämnet, men det finns naturligtvis en bakomliggande allvarlighet i det faktum att flera stora och viktiga tjänster påverkats av senaste veckornas DDoS-attacker.
I media uttalar sig företrädare med att man drabbats av en attack – det är här jag vill blanda mig in i diskussionen och utmana just att man ”drabbats”.
En tjänst som 1177.se ska inte kunna ”drabbas” av en lyckad DDoS-attack. Sker det så har man misslyckats i sina förberedelser och i sitt skydd. För det går att skydda sig mot attacker – det handlar i slutändan trots allt bara om pengar och kostnader i slutändan.
Riskanalysen
Varje organisation som har ett någorlunda strukturerat säkerhetsarbete har naturligtvis genomfört riskanalyser. Och på 2020-talet är DDoS absolut en del av de risker som ska diskuteras.
Här vill jag ta upp en av de brister jag ofta ser i svenskars riskbedömning – vi har en tendens att titta alldeles för mycket på sannolikhet och mindre på konsekvens. Det spelar kort sagt inte så stor roll hur höga konsekvenserna blir för hot som man bedömer har mycket låg sannolikhet.
Dessutom tenderar vi också att blanda in motiv i vår bedömning av sannolikhet. Jag har suttit i många riskanalyser där frågan ”men varför skulle någon vilja utsätta just oss för det? Vi håller ju så låg profil.”.
Som jag ser det ska en riskanalys vara krass och inte minst i scenariot med DDoS-attack måste man helt bortse från motivfrågan. Den (grupp) som attackerar en tjänst behöver helt enkelt inte nödvändigtvis ha några som helst motiv att attackera just vår tjänst. Senaste veckornas händelser har visat att de cyberkriminella attackerar svenska sajter för att de på ett eller annat sätt hör till Sverige. Sannolikt ett relativt ovanligt sannolikhetsunderlag i riskanalyser runtom i landet.
Fokus på konsekvens
För att bedöma om man har ett adekvat skydd eller inte är det i DDoS-frågan viktigast att fokusera på konsekvensen av en lyckad attack. Driver man en verksamhet där hela eller största delen av intäkterna kommer från onlineförsäljning är det en viktig utgångspunkt. Detsamma om man är en allmän aktör som förser befolkningen med olika grad av kritiska tjänster. Till exempel om man driver 1177.se eller SJ.se. Men även andra tjänster har seglat upp som de facto kritiska i större eller mindre omfattning – exempelvis kan problem med BankID eller Kivra ställa till en hel del för en vanlig medborgare.
Det går att vara proaktiv, men inte att vara reaktiv
Just DDoS-attacker är lite speciella – det är nämligen mycket svårt, för att inte säga omöjligt att agera reaktivt när attacken väl är igång. Om servrarna eller Internetförbindelsen väl är överbelastad är det i normalfallet inte så mycket man kan göra, mer än att hoppas på att attacken snart ebbar ut.
Det går dock att agera proaktivt. Men det är förknippat med en kostnad. Det går att skydda sig genom att exempelvis köpa in teknisk utrustning som i viss mån skyddar mot DDoS-attacker. I annat fall kan man gå till sin Internetoperatör som kan leverera ett mer avancerat och mer heltäckande skydd. För de riktigt stora så kallade Giga-attackerna fungerar dock bara skydd genom de riktigt stora drakarna, Akamai och Cloudflare till exempel. Och de skydden är kostsamma. Så igen, tillbaka till riskanalysens konsekvensbedömning. Det är bara genom att konsultera den som man kan fatta ett välgrundat beslut om vilken skyddsnivå man behöver ha.
Och som sagt, strunta i motivfrågan – den kan mycket väl visa sig vara helt irrelevant.
