Verizon Business tillkännagav nyligen resultaten av sin 17:e årliga Data Breach
Investigations Report DBIR, som analyserade 8 302 säkerhetsincidenter i Europa, Mellanöstern och Afrika (EMEA), varav 6 005 (över 72 %) bekräftades vara intrång. Med anledning av rapporten fick Finanstid möjligheten att intervjua Phil Larbey, Associate Director of Threat Intel på Verizon Security Consulting Service.
Om vi tittar på det globala finansiella klimatet, levnadskostnader och saker som har format 2023 och 2024 – hur har det påverkat cyberbrottslighet i finanssektorn? Ny taktik?
Både årets och tidigare upplagor av DBIR (och tidigare upplagor av DBIR) har visat att motivationen bakom cyberattacker är överväldigande ekonomiska – 93 % i den senaste rapporten. Dessutom begås 68 % av alla attacker som ett led i organiserad brottslighet. Det globala finansiella klimatet, levnadskostnader, etc. tycks inte påverka denna typ av organiserad brottslighet då de saknar moralisk kompass och inte tar inte hänsyn till effekterna av deras brott. Deras enda mål är ekonomisk vinning, oavsett hur offret påverkas.
Angripare anpassar sig till den nivå av motstånd de sannolikt kommer att möta. När en Zero-day-sårbarhet blir känd, kan hotaktörer mobilisera attacker snabbt – främst via en initial skanning för att se vilka organisationer som verkar vara sårbara. DBIR visar också att organisationer är mycket långsammare att reagera på och korrigera nya sårbarheter, vilket ger angripare tid. Hela 60 dagar efter att en patch blir tillgänglig har nästan hälften av organisationerna fortfarande inte åtgärdat sårbarheten. Den genomsnittliga tiden för hotaktörer att agera på en ny zero-day-sårbarhet är 5 dagar.
Ransomware-attacker står för över 70 % av incidenter som är av mer komplex typ. Över 70 % av branscherna i rapporten säger också att det är den mest effektiva typen av attacker.
Data från årets DBIR, i finanssektorn, visat att systemintrång har ökat som ett attackmönster, kan detta kopplas till det geopolitiska klimatet?
I 2024 års DBIR-rapport ser vi att det har skett en betydande ökning av systemintrångsattacker i den finansiella sektorn. Ransomware är den huvudsakliga typen av attack när det kommer till systemintrång. Med tanke på ökningen av utnyttjade sårbarheter i år (exempelvis MOVEit zero day-sårbarheten) kommer angripare som använder utpressning att optimera attackerna så att de blir så effektiva som möjligt.
Med tanke på att MOVEit-applikationen används för att flytta känsliga personuppgifter, vilket det finns massor av inom finanssektorn, blir denna sektor sannolikt en måltavla, vilket jag misstänker är en orsak bakom ökningen.
Angående det geopolitiska klimatet. DBIR-rapporten är en vetenskaplig rapport, och i det avseendet finns inte utrymme för gissningar utan stödjande bevis. Min åsikt här är därför mer en personlig åsikt.
Elefanten i rummet är kanske den pågående konflikten mellan Ukraina och Ryssland. Utöver den fysiska konflikten finns det mycket rapporterade bevis på att cyberkrigföring också bedrivs. Detta har utvecklats till ett (Proxy) krig i sig inom hotaktörernas gemenskap. Hotgrupper som stöder Ryssland som engagerar sig i kampen mot Ukraina och vice versa – hotgrupper som stöder Ukraina engagerar inte bara Ryssland, utan även de hotgrupper som hjälper dem. Ett tvättäkta krig inom själva cyberhotsgemenskapen.
Själva proxykriget kan faktiskt förklara varför vi har sett en utjämning av utpressningsattacker under de senaste två åren eftersom värdefulla hotgruppsresurser ägnas åt denna proxykonflikt.
Jag tror att det finns två punkter att tänka på, för det första måste kostnaderna för proxykriget vara avsevärda. Det är inte otänkbart att den nivå av Ransomware som vi fortsätter att se inkluderar statliga aktörer som genererar de enorma medel som detta cyber proxy-krig behöver. För det andra, en verklig geopolitisk inverkan (som stöds av OSINT-bevis), är nivån av attacker som nu verkar utövas mot de nordiska länderna av Ryssland och allierade hotgrupper på grund av Sveriges och Finlands önskan att gå med i Nato, och Norge och Danmarks uttalade stöd för detta. Var och en av de nationella cybersäkerhetsbyråerna i dessa länder har varnat sina nationer för de ökade cyberrisker/attacker de ser.
Detta gäller inte finanssektorn enbart. Hela den offentliga och kommersiella sektorn upplever detta. Det vi ser är en verklig geodynamik snarare än sektordriven utsatthet.
Rapporten hänvisar till en ökning med 180 % av utnyttjandet av sårbarheter. Sverige har kommit väldigt långt med digitalisering. Är vi lika dåliga på cybersäkerhet som resten av världen?
Oavsett hur mycket den kommersiella världen använder sig av information för att försöka förstå vem, när och hur, för att stärka motståndskraften mot cyberbrott, är samma information lätt tillgänglig för hotaktörer. Detta gör att de kan anpassa de tekniker och verktyg som de använder, samtidigt som de också har information och möjlighet att dela med sig till varandra av vad som fungerar och vem som verkar vara mest sårbar.
Vissa vertikala sektorer sticker tydligt ut bland angripare, till exempel är hälso- och sjukvården samt finans-/försäkringssektorerna utsatta mål med tanke på den typ av data som är grundläggande för dessa sektorer.
Det finns fortfarande en betydande skillnad i cybersäkerhetsstandarder när det gäller tillgänglig budget, tillgängliga resurser och till och med organisationens kultur.
Även om ökad reglering påverkar, kan två organisationer med liknande verksamhet, som är av samma storlek och som verkar i samma region, ha helt olika motståndskraft. När du väl tar bort DDOS (som vanligtvis inte involverar en attack som gör intrång i en organisations infrastruktur – där skada på kritiska applikationer kan uppstå), visar DBIR oss att alla vertikala sektorer drabbas, snarare än en enskild sektor som drabbas mycket mer än andra.
Vi har redan sagt att Sverige troligen är måltavla för den politiska Nato-dynamiken. Jag misstänker att detta är en större drivkraft än att Sverige ses som ett tekniknav.
2024 DBIR belyser, genom den avsevärda ökningen (180 %) av utnyttjade sårbarheter under förra året, att säkerheten behöver utvecklas, och att mjukvaru-/applikationsutvecklare måste anta utmaningen med tanke på Zero Day-sårbarheterna. Om Sverige ser sig själv som ett “tekniknav”, måste man inse att trenden med nya sårbarheter i mjukvara/applikationer är allvarlig, och möta utmaningen fullt ut genom att bädda in säkerhet redan i designfasen av mjukvaran/applikationen.