Nej, 2016 var inget bra år – men det är de aldrig

Det är lätt att få för sig att 2016 var det värsta året någonsin på cybersäkerhetsområdet. Och nej, 2016 var inget bra år. Men jag tror inte att någon i den här branschen helt ärligt kan komma ihåg ett bra år, skriver F-Secures Skandinavienchef Xerxes Malekani i sin årskrönika.

Författare: F-Secure Business Security Insider
Datum: 22.12.2016
Lästid: 4 Minuter

Världens största DDoS-attack. Miljarder av användarnamn och lösenord har läckt ut. Ransomware överallt. Uppkopplade smarta enheter som förslavas av angripare och tvingas lyda deras minsta kommando. Det är lätt att få för sig att 2016 var det värsta året någonsin på cybersäkerhetsområdet…

Och nej, 2016 var inget bra år. Men jag tror inte att någon i den här branschen helt ärligt kan komma ihåg ett bra år. De är alla dåliga. I slutet av varje år kan man nästan alltid sammanfatta det hela med att ”hoten blir fler, riskerna större och skurkarna listigare”.

2016 kan ha verkat omtumlande och chockerande – rentav skrämmande – för många, men för oss har det mest varit business as usual. De flesta av våra etablerade sanningar gäller fortfarande; cyberbrottslingarna blir mer professionella och de tenderar att fokusera sina ansträngningar där det ger bäst utdelning till lägsta möjliga risk. Många incidenter kunde ha förhindrats – eller åtminstone förhindrats att orsaka så stor skada – med tämligen små och okontroversiella insatser.

Flera av de saker som fått störst genomslag i medierna under året är sådant som cybersäkerhetsbranschen talat om och varnat för under lång tid.

  • IoT-angrepp. Att Internet of Things skulle bli en måltavla är inte oväntat, vi är många som likt vår forskningschef Mikko Hyppönen ser uppkopplade enheter som sårbara enheter snarare än som smarta enheter, vilket är det epitet de oftast brukar föräras. Att Mirai-botnätet fått så stor uppmärksamhet kan förhoppningsvis leda till att tillverkarna tar säkerhet på större allvar och gör säkerhetsarbetet till en del av sina processer under utvecklingen, istället för att ha det som det är idag – som en eftertanke.
  • Ransomware. Cyberkriminella är flockdjur, såtillvida att de alltid går dit pengarna tar dem, och i år har det tveklöst varit ransomware som lockat mest. Denna plåga har under året drabbat alla från enskilda konsumenter till storföretag, myndigheter och viktiga samhällsfunktioner. Men ransomware är egentligen inget nytt och råden för att skydda sig är inte direkt okända – se över ditt end-point-skydd och försök att fokusera på proaktivt säkerhetsarbete snarare än att fastna i det reaktiva.
  • DDoS-attacker. Mirai-botnätets överbelastningsattack mot DNS-leverantören Dyn gjorde att mängder av servrar och tjänster var otillgängliga under lång tid. Det var historiens största överbelastningsattack, men det var trots allt anmärkningsvärt att så många stora aktörer blev så lamslagna – att så många var helt beroende av en enskild DNS-leverantör. Förhoppningsvis lärde de sig en läxa, om än en onödigt dyrköpt sådan.
  • Hack och lösenordsdumpar. Med uppmärksammade hack mot bland andra DNC i USA och stora databasdumpar från exempelvis Yahoo har 2016 varit året då hackande blivit mainstream. Frågan är hur snabbt organisationer, myndigheter och företag kan lyfta sitt säkerhetsarbete – för påfallande ofta är det orimligt enkelt att komma in i deras system. Förövarna behöver sällan ens anstränga sig och hitta kreativa metoder för att lyckas.

På ett sätt är det beklämmande att så många varnat för just de här sakerna under så lång tid, men att de ändå kan få så stort genomslag – och inte minst att så många verkar bli så förvånade över att de får det.

Ett år definieras dock inte bara av det som det talats mest om, om det som synts mest och som skapat mest kaos. I ett längre perspektiv är det lika viktigt att fundera över de saker som hamnat i skymundan när annat pockat på uppmärksamhet. Och i den här kategorin återfinner vi dessvärre integritetsfrågorna. Från att ha varit hett debatterade såväl i medier som i den politiska världen har det varit oroväckande tyst under 2016. Visst är det en aspekt av diskussionen kring de stora läckorna som blivit kända under året, men det är långt ifrån hur det sett ut de senaste åren.

Debatten är fortfarande levande, men den förs i mindre sammanhang – och den dyker sällan upp till ytan och in i offentlighetens strålkastarljus.

Om jag får komma med en önskan inför 2017 så är det att vi – både som ”vi i branschen” och som ”vi, som samhälle och som enskilda samhällsmedborgare” tar tag i den här frågan. För det finns oroväckande tendenser på flera håll i världen om där man tycker att det är okej att offra den personliga integriteten på trygghetens altare. Men det går att öka säkerheten utan att göra avkall på den personliga integriteten, att det så ofta sker är beklagligt och inget vi vill vara med och medverka till.

På det området är jag faktiskt full av hopp inför 2017. Det är ofrånkomligt att vi kommer att få se ytterligare debatt kring implementeringen av EU:s datalagringsdirektiv GDPR. Där finns en del som behandlar just hantering av personuppgifter och eftersom det snart bara är ett år kvar till direktivet börjar gälla så kommer många organisationer att tvingas ta tag i de här frågorna under nästa år.

För egen del kan jag knappt bärga mig.

Med förhoppningar om ett tryggt och säkert 2017,

Xerxes Malekani, Skandinavienchef på F-Secure

 

Bild:[Larry Qian, Flickr – redigerad]


Lämna ett svar

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s