Fredagen den 18 augusti råkade de danska driftleverantörerna CloudNordic och Azerocloud ut för det man som driftoperatör aldrig någonsin vill råka ut för – ett cyberangrepp som i praktiken slår undan fötterna fullständigt för den verksamhet man som företag bedriver. Angriparna lyckades kryptera såväl primärsystems data som på de system som innehåller säkerhetskopior.
Ransomwareattacker inträffar då och då och en av de viktigaste insikterna vi måste ha och förhålla oss till är att det kan hända oss – vilken dag som helst. Naturligtvis är det bästa att ha så robusta processer och skyddsåtgärder på plats så att man inte ens råkar ut för det, men facit är ändå tydligt – även de som tycker sig ha ett robust proaktivt säkerhetsarbete på plats drabbas.
Jag har själv haft den tveksamma förmånen att ha sett exempel på ransomwareattacker på nära håll. Spontant kan det kännas som ett misslyckande, men där och då måste man inse att det nu de facto har skett och att förlorat data måste återställas. Det är detta jag anser är knäckfrågan: Data som går förlorat måste kunna återställas.
Får jag frågan om vad man borde lägga krutet på om man skulle tvingas välja; robust och vattentätt proaktivt skytt mot cyberangrepp eller robust och vattentät säkerhetskopiering säger jag utan att blinka att det säkerhetskopiering är vägen att välja om man nu bara skulle få välja ett.
Det är oerhörd komplicerat att i ett proaktivt perspektiv se alla möjliga och omöjliga risker och angreppsvektorer som man skulle behöva skydda sig mot – det kräver mycken erfarenhet, även av det slaget som innebär att man har varit där, mitt i det, när ”skiten träffat fläkten”. Det är som att fundera ut vilka svagheter som kan finnas i en hundrafemtio mil lång landgräns. Och fundera ut vilka hot som kan komma att dyka upp där längs vägen.
Av naturliga skäl är det enklare att hålla koll på de risker och sårbarheter man kan ha internt. Att räkna ut hur ofta och på vilket sätt man måste säkerhetskopiera till exempel. Samt, räkna ut hur man kan sätta upp så vattentäta skott som möjligt mellan primärdata och säkerhetskopierat data. Förr var det enkelt – säkerhetskopiorna fanns på band och om illvillig kod förstörde primärdata var det bara att återläsa från bandet. Det första exemplet jag själv fick se på nära håll var VBS/Loveletter under år 2000 – den drabbade organisationen kunde dock göra precis det – backupbandet hämtades från kassaskåpet och allt förlorat data kunde återställas. Lesson learned då var att det inte var en god idé att organisationens IT-ansvariga hade administrativa mappningar (C$, D$ osv) mot Windows-servrarna direkt från sin arbetsdator. Praktiskt, absolut – men en gigantisk risk med facit i hand.
Säkerhetskopieringsvärlden har gått igenom ett antal förändringsresor på de drygt 23 år som gått sedan VBS/Loveletter, men ibland känns det som om vi längs vägen glömt bort grundläggande risker. Vi vet innerst inne att det bästa är att det är vattentäta skott mellan primärdata och säkerhetskopia (som i ett band man plockar ur en bandstation eller en bandrobot) men ändå tycker vi inte sällan att det duger med snapshots i lagringslösningen eller att säkerhetskopiera ett Windows-baserat datacenter mot en Windows-baserad disklagring i samma administrativa domän som primärlagrat data. Med andra ord, kan angriparen ta ägarskap över primärsystemen man denne även ta ägarskap över säkerhetskopiorna.
Vad som tekniskt skett bakom kulisserna hos CloudNordic vet vi inte i detalj än, mer än just det faktum att angriparna även lyckades kryptera säkerhetskopior och således omöjliggöra återställning av förlorat data. Det tråkiga är att företaget högst sannolikt kommer att upphöra att existera – det är vad som händer med företag i allmänhet som förlorar allt data, och i synnerhet driftleverantörer där kunderna förlorar allt data. Men det riktigt otäcka ligger i sekundära följder – finns det risk att kunder till CloudNordic går samma öde tillmötes? Igen, vi har inte sett vidden av det som skett ännu men jag håller tummarna för att kunder inte drabbas hårdare än att de kan resa sig.
Modus operandi är idag i många fall att mycket lång tid tillbaka innan själva angreppet (läs: månader) plantera ransomware och timebomb i systemen – allt för att de även ska följa med säkerhetskopior av till exempel fulla virtuella servrar. Med andra ord är det riskfyllt att förlita sig på enbart säkerhetskopiering av virtuella maskiner.
Sourcing komplicerar. Inte sällan använder man sig av en IT-driftleverantör där helhetsansvar för såväl drift som säkerhetskopiering ligger hos en och samma leverantör. Men kom ihåg att ansvaret trots allt är ditt – visst kan det finnas avtal som säger att det är leverantörens ansvar, men förloras allt data och det inte går att återläsa så är det där och då bara din egen organisation som står där och måste hantera förlusten och dess följdverkningar. Det är inte säkert att din organisation överlever länge nog att ställa adekvata juridiska och ekonomiska krav gentemot driftleverantören.
Slutsats
Det är svårt, för att inte säga omöjligt att helt skydda sig mot att råka ut för cyberangrepp. Den scenen förändras dagligen och att hänga med i svängarna och löpande koppla hot mot egna sårbarheter är oerhört komplicerat. Utgå från tesen att du och din organisation kommer att drabbas.
Att kunna återläsa data i flera generationer är en nyckelfråga. Ja rentav en överlevnadsfråga. Det måste säkerställas att oavsett hur man förlorar primärdata så måste det kunna återställas från säkerhetskopia. Och detta oavsett var ens primärdata befinner sig – disk i fysisk server, ett lagringssystem eller i molnet. Kom ihåg att ansvaret i slutet av dagen är ditt som ägare av data och information – det ansvaret kan aldrig outsourcas.
Är information och data en nyckel i din organisation – gör allt för att säkra. Använder ni en IT-driftleverantör där säkerhetskopiering ingår – ställ frågor, be leverantören redogöra för exakt hur säkerhetskopior skyddas från dylika situationer. Välj allra helst att ha olika leverantörer av IT-driften i sig och säkerhetskopiering.
Det är informationen som måste kunna återläsas. Backup av hel virtuell maskin minskar tiden det tar att återställa funktion av en virtuell server, men på köpet får man då också med sig risken att även de säkerhetskopierade virtuella maskinerna innehåller samma skadlig kod och att de backuperna är brända. Fokusera på informationens återläsbarhet för sig utifrån ett överlevnadsperspektiv och funktioners snabba återställning för sig.