Ransomware-angreb i den offentlige sektor er blevet mere og mere almindelige i de seneste år, og offentlige myndigheder, sundhedsorganisationer og uddannelsesinstitutioner er hyppige mål. Den offentlige sektor har dog altid været et mål for cyberkriminelle, der har til hensigt at stjæle data og forvolde kriminel skade. Dette bekræftes af Verizon i deres Data Breach Investigations Report 2020 (DBIR), hvor den offentlige administration er en af de mest målrettede brancher, og ransomware er den mest udbredte angrebstype. En rapport fra Darktrace er enig og fastslår, at i 2020 var "lokale myndigheder det største mål for ransomware-angreb".
Ransomware er en farlig og lumsk malware-type, der bliver mere og mere udbredt i alle brancher. De ondsindede aktører bag malware bliver også mere og mere dygtige til at udtrække en løsesum, ikke kun ved at kryptere data, men også ved at stjæle dem. Her ser vi på den indvirkning, som ransomware har på den offentlige sektor, og hvad der kan gøres for at afbøde denne indvirkning.
Hvorfor den offentlige sektor er udsat for risiko for ransomware-angreb
Det kan være vanskeligt at få oplysninger om det reelle omfang af cyberangreb i offentlige kontorer. Tilbage i 2019 foretog sikkerhedsleverandøren SolarWinds imidlertid en anmodning om informationsfrihed. De data, der blev returneret, havde nogle interessante indsigter: Mens omkring en tredjedel af respondenterne ikke havde oplevet nogen cyberangreb, oplevede et stigende antal over 1000 målrettede angreb.
De fleste af disse angreb var i form af phishing og malware. Dette skete på trods af, at de havde traditionelle cybersikkerhedsforanstaltninger som firewalls og antivirusprogrammer på plads. Undersøgelsen viser klart, at den offentlige sektor er på cyberkriminelles radar, og ransomware, som er en af de aktuelle foretrukne malware-angreb, er en alvorlig trussel mod sektoren.
De seneste højt profilerede angreb som f.eks. ransomware-angrebet på forsyningsselskabet Colonial Pipeline i USA viser, hvor langt ransomware-bander går. Ved dette cyberangreb blev data ikke blot gjort utilgængelige ved hjælp af kryptering og dermed forstyrret driften, men de blev også stjålet og brugt som pressionsmiddel til at lægge pres på dem for at få dem til at betale løsesummen.
En rapport fra IBM X-Force viste, at 59 % af ransomware-hændelserne involverede dataekfiltrering, før krypteringen fandt sted. Colonial Pipeline var et godt mål for ransomware, da den spiller en kritisk infrastrukturrolle. På samme måde er offentlige servicevirksomheder en kritisk infrastruktur, der leverer vigtige borgerserviceydelser, som er dataafhængige: dette punkt er ikke gået tabt for ransomware-bander.
Offentlige tjenester som skoledistrikter, sundhedsinstitutioner og endda lokale råd er alle mål for ransomware-angribere. Et angreb for nylig involverede Irlands sundhedssystem. Angrebet, der mistænkes for at være udført af en hackerbande kendt som Wizard Spider, efterlod hospitalerne uden computere i over en uge.
På samme måde som ved angrebet på Colonial Pipeline krypterede hackerne data og stjal store mængder information for at øge presset for at få dem til at betale 20 millioner dollars (14 millioner pund) i løsepenge. I 2020 endte et ransomware-angreb, der ramte Redcar and Cleveland Council, med at koste rådet anslået 10 mio. pund: De påløbne omkostninger omfattede nedetid og reduktioner i håndhævelsesindtægter.
Ransomware-as-a-service i den offentlige sektor
Den offentlige sektor dækker en lang række forskellige typer organisationer fra sundhedsvæsenet til lokale råd, politiske beslutningstagere og skoler. Den offentlige sektor giver derfor trusselsaktører en række muligheder for ikke blot at forstyrre og afpresse, men også for at stjæle data.
Lindy Cameron, administrerende direktør for det britiske National Cyber Security Centre (NCSC), sagde for nylig i en tale ved Royal United Services Institute (RUSI) Annual Security Lecture, at stigningen i ransomware skyldes en "kumulativ effekt", da organisationer ikke formår at håndtere de stadig mere sofistikerede ransomware-angreb.
Organisationer i den offentlige sektor er i fare for at blive udsat for disse mere sofistikerede angreb, der omfatter "Ransomware-as-a-Service (RaaS)". Disse ransomware-"kits" gør det meget lettere at skabe ransomware-kampagner. Alle, der ønsker at være med i ransomware-aktionen, kan gøre det for et månedligt gebyr og en andel af løsesummen.
I sin tale bemærker Cameron, at RaaS giver næring til stigningen i antallet af ransomware-angreb. Nogle af disse RaaS-kits er specielt designet til at ramme regeringen og den offentlige sektor. Et eksempel er Eking RaaS, som Darktrace har identificeret som værende brugt til at angribe offentlige tjenester i APAC-regionen.
Sådan beskytter du den offentlige sektor mod ransomware-angreb
DBIR påpeger, at i 85 % af databruddene er et menneske involveret. Den menneskelige faktor er tydelig i mange cyberangrebstyper, herunder ransomware; et forkert klik på en ondsindet e-mail er ofte begyndelsen på ransomware-mareridtet.
I takt med at ransomware-angriberne fokuserer på datatyveri og kryptering, bliver "mennesket i maskinen" stadig vigtigere som en vej ind i en organisation. Phishing er en af hackernes foretrukne angrebsvektorer, fordi det virker. I den seneste DBIR for 2021 påpeger Verizon, at phishing og ransomware igen var fremherskende; hvad angår angreb på offentlige administrationer, er social engineering den foretrukne vertikale metode, der anvendes i 69 % af bruddene.
Levering og infektion af ransomware sker ad flere veje, men som nævnt er phishing en af de mest almindelige. En undersøgelse med data om administrerede tjenester viste, at 54 % af ransomware-angreb begyndte med en phishing-e-mail: Dårlig brugerpraksis (27 %) og manglende sikkerhedsuddannelse (26 %) var de næstmest almindelige problemer, der førte til ransomware-infektion.
Forebyggelse af ransomware-angreb i den offentlige sektor
Forebyggelse af ransomware i den offentlige sektor handler om at reducere risikoen. Sikkerhedsrisikoen reduceres ved hjælp af en socioteknisk tilgang; på samme måde som hackere angriber den offentlige sektor og andre brancher ved hjælp af social engineering og tekniske sårbarheder.
At afhjælpe de centrale vektorer for ransomware-infektion begynder med en ekstraordinær sikkerhedskultur. Det sker ved at give alle medarbejdere effektiv uddannelse i sikkerhedsbevidsthed. Dette suppleres ved at bruge de bedste sikkerhedsværktøjer, der opfylder kravene i sikkerhedsstandarder og -regler som f.eks. ISO27001.
Ransomware-angreb i den offentlige sektor vil fortsætte, indtil organisationer holder op med at blive inficeret og med at betale løsepenge. I datafhængige sektorer som f.eks. den offentlige sektor kan det sidste være et svært valg at træffe. Det betyder, at der skal etableres strukturer for at mindske chancerne for en vellykket ransomware-infektion.