Så gör du när det otänkbara händer

Förra våren drabbades Asitis, ett av företagen i Gothia Science Park, av ett dataintrång. Vad gör man när det händer? Och vad gör man sedan?
Här berättar Ingi Jonasson, VD Asitis, om vad det var som hände och delar med sig av såväl insikter som tips för ökad säkerhet.

Vad var det som hände?
- Vi är målsägare i en pågående rättegång och kan inte delge detaljer om exakt hur intrånget gick till, men det skedde via e-post, berättar Ingi Jonasson. Meddelandet skickades till en medarbetare på Asitis och kom från en känd avsändare, där intrång redan hade skett och vars e-post intrånget hade tagit över. E-postmeddelandet var formulerat med hänvisning till ett pågående ärende. Som bilaga fanns en excel-fil som såg ut att innehålla underlag i det aktuella ärendet. I själva verket innehöll filen skadlig kod som gjorde det möjligt att komma åt medarbetarens e-post.

Mailboxen - en sårbar punkt
Den gängse bilden av dataintrång är en hackare som på ett finurligt sätt forcerar brandväggar för att ta sig in i organisationers datasystem. I själva verket handlar det oftast om enklare metoder för att lura folk och komma åt deras e-post. I en mailbox finns i regel tusentals mail från flera år. Om ett intrång kan leta runt i dessa finns det stor risk att information kan pusslas ihop för att utvidga intrånget.
– Den enskilt viktigaste försiktighetsåtgärden är förmodligen att vara försiktig vid öppnande av e-post och med vilken information som skickas via e-post. Det handlar både om vad du som användare skickar och vad du tar emot. Extra känsligt är anvisningar om uppkopplingar till externa system och att skicka lösenord i klartext tillsammans med övriga inloggningsuppgifter.

Arbeta systematiskt, agera inte panik
När intrånget konstaterades agerade Asitis snabbt och systematiskt. Första åtgärd var att stänga av all in- och utgående trafik samt att säkra all kundrelaterad information. Nästa steg var att ta in experter för att ta reda på hur intrånget skett och att säkerställa att ingen skadlig programvara fanns på Asitis servrar.
– Det snabba och stegvisa agerandet gjorde vi både för verksamhetens skull och för att bidra med underlag till brottsutredning. Att städa i panik innebär att man riskerar att förstöra såväl bevis som värdefull information kring vad som skett.
- Vid ett dataintrång är det självklart att göra polisanmälan, det är ett allvarligt brott. I vårt fall fick vi dessutom direkt mycket värdefull information och hjälp från polisen för att spåra tillvägagångssättet och för att förhindra vidare skada.

Var öppen och transparant - med hänsyn till omständigheterna
Efter intrånget valde Asitis att begränsa kommunikation till kunderna till ett fåtal personer, framför allt ledning och IT-säkerhetspersonal.
- Primärt informerade vi om det inträffade och delade med oss av information för att våra kunders IT-personal skulle kunna vidta åtgärder och genomföra kontroller i sina respektive systemmiljöer. Vi höll dem sedan löpande informerade om vilka åtgärder som vidtogs för att ta kontroll över situationen.
Den öppna, men begränsande kommunikationsstrategin, baserades på ärendets känslighet och begäran om diskretion från Polisen.
– Kunderna visade stor förståelse och hjälpsamhet vilket samtidigt innebar att vi minimerade risken för läckage, som inte gynnar någon under en pågående utredning. Vi höll även vår personal kontinuerligt uppdaterad för att undvika spekulationer och ryktesspridning. Jag är så grymt imponerad av Asitis personal, som inte läckt ut information till utomstående under mera än ett års tid från det inträffade tills offentliggörande i samband med att åtal vecktes nu i september. Fantastisk lojalitet mot företaget och mot varandra.

Ökad medvetenhet, tydlighet och kultur
Det som hände på Asitis kan hända vilken verksamhet som helst, som använder e-post i sin kommunikation.
– Ett effektivt sätt att minska riskerna är att skapa en kultur, ett beteende baserat på medvetenhet, som hjälper till att stödja verksamhetens säkerhetspolicys.
Ingi Jonasson understryker vikten av att inte överdriva riskerna.
– Rädda och ängsliga medarbetare är inte rationella. Medvetna och trygga medarbetare i en kultur som implementerar tydliga regler och policies kommer däremot att bidra till en ökad säkerhet och även till att de intrång som sker kan hanteras på ett sätt som innebär minimal skada för verksamheten.
- Intrånget orsakade naturligtvis störningar i Asitis verksamhet under den tid situationen bringades under kontroll. Vi led ingen direkt finansiell skada men det uppkom kostnader i samband med att vi anlitande externa säkerhetsspecialister.
Sedan april 2016 har Asitis kontinuerligt sett över företagets säkerhet.
– Det gäller såväl tekniska åtgärder som utbildning av vår personal, avslutar Ingi.

Asitis lärdomar och tips om säkerhetsarbete

  • intrång är sällan tekniskt raffinerade, det handlar mer ofta om lurendrejeri som lite finare omnämns som social engineering
  • säkra fortast möjligt företagets IT-miljö och accesser till andra system/intressenter
  • gör polisanmälan – dels kan du få bra tips av polisen, dels måste vi alla hjälpas åt att lagföra dem som ägnar sig åt denna brottslighet
  • var öppen och tydlig i kommunikation, men värdera noga vilka som ska informeras
  • strikta och tydliga regler som implementeras och skapar trygga och medvetna medarbetare
  • dualitet vid extern tillgång och inloggning till verksamhetens system
  • skicka inte och ta inte emot login och lösenord i mail – du utsätter dig själv och andra för risker