Först och främst måste jag säga att detta verkligen var en bra rapport. Det jag särskilt gillade var de väldigt konkreta åtgärdsförslagen i slutet av rapporten uppdelade i tre kategorier av åtgärder; enkla, jobbigare och omfattande åtgärder (obs: namnen på kategorierna är mina!). Nog introduktion, här kommer mina ganska så ofiltrerade anteckningar från rapporten.

Anteckningar från rapporten

Sverige är omvänd top-5 av minst angripna länder med endast 16.1% angripna ICS-datorer. Ovan toppas vi av Danmark, Irland, Schweiz och Holland som har lägre antal angripna ICS-datorer.

Nordeuropa är totalt sett den minst angripna regionen i världen. Här finns det utrymme för spekulation. Beror det på att vi investerar mer i säkerhetsprodukter? Är vi inte intressanta måltavlor?

För oss i Sverige är det inte omöjligt att det finns en korrelation mot vår goda ekonomi och industrimognad. Och ska vi tro Global Cybersecurity Index för 2017 vilket utvecklas av International Telecommunication Union (ITU) är vi top-20 i världen på cybersäkerhet. Ett högt GDP har en stark korrelation mot antalet angripna ICS-datorer.

I rapporten gör Kaspersky en analys som visar att datorer som används i ICS-infrastrukturer blir angripna lika ofta som vanliga datorer i företagsnätverk.

Intrångsvektorer, vilka?

Hur blir datorerna infekterade? Som kanske förväntat handlar det om Internet, löstagbara lagringsmedier och e-post. Inga överraskningar där. Internet är också överlägset den vanligaste vägen in för skadlig kod (27.3%) jämfört med lagringsmedier (8.4%) och e-post (3.8%).

I norra europa ligger vi på 10.8% infektioner via Internet. Något som i min värld talar för att vi i större utsträckning lyckats hålla sådana här system borta från Internet.

Jag tycker de gör en mycket intressant observation när det gäller skadlig kod som distribueras via e-post. Som jag skrev för några rader sedan finns det en stark korrelation mellan ett högt GDP och antalet angripna ICS-datorer. Men för e-post finns det ingen som helst korrelation. Och det är väldigt intressant tycker jag. Varför? Kaspersky spekulerar om att det skulle kunna förklaras att oaktat nivån på cybersäkerhet i organisationen används antingen inga effektiva skydd mot skadlig kod genom e-post eller så är de inte konfigurerade ordentligt.

Min tolkning av det är att skadlig kod via e-post helt enkelt är svårt att skydda sig från. Det är antagligen helt enkelt alldeles för enkelt att dupera användare att öppna filer som tagit sig genom de då uppenbarligen ineffektiva skydden.

Vilka blir angripna?

De flesta attacker mot ICS-datorer är slumpmässiga och inte riktade. Många angrepp sker mot vanliga hemsidor som är sårbara där angriparen sedan laddar upp skadlig kod för att antingen köra någon form av kryptominer.

Åtgärdsförslag, enligt Kaspersky

Det här avsnittet i rapporten tycker jag faktiskt är guld. Det är väldigt konkret. Kategoriserat i tre överordnade grupper av åtgärder (enkla, jobbiga och omständiga). Vidare inom varje kategori är åtgärderna rangordnade, tack för det liksom! En prioriterad lista av lämpliga skyddsåtgärder.

Kaspersky rekommenderar följande (jag kortar ner, de skriver betydligt mer detaljer i rapporten och bör absolut läsas vid sidan av mina korta summerande rader): “Enklare” åtgärder:

  1. Installera AV (inte så oväntat kanske)
  2. Lämpliga brandväggsregler
  3. Spam- och phishingskydd
  4. AV i perimeter
  5. Utred användning av e-post på ICS-nätverket
  6. Utred användning av delning av resurser över nätverket på ICS-nätverket
  7. Utred användning av fjärradministration
  8. Stäng av eventuella fjärradministrationsverktyg som installeras med mjukvaran
  9. Utred användning av mjukvaror på ICS-nätverket
  10. Stäng av Windows Script Host
  11. Om möjligt, använd Windows GPO för att begränsa användandet av SeDebugPrivilege av lokala administratörer på ICS-system.

“Mer krävande” åtgärder:

  1. Etablera en process för att utbilda organisationens anställda i “cyber-hygien”
  2. Etablera en dedikerad cybersäkerhets-sektion för ICS
  3. Etablera rutiner och processer för att återkommande utreda och analysera cybersäkerheten för ICS-system
  4. Etablera en process för att åtgärda sårbarheter i system som är del av ICS-nätverket.
  5. Använd mjukvaror och produkter särskilt avsedda för att skydda ICS-system
  6. Använd verktyg för att rapportera säkerhetsincidenter i ICS-nätverket och automatiserade rutiner för att hantera sådana incidenter
  7. Etablera en rutin för att inhämta och hantera information avseende relevanta hot i syfte av att i god tid hantera nya typer av angrepp och förebygga incidenter.

Efter det här avsnittet har de ett ytterligare avsnitt som avser särskilt stora förändringar som kan vara svåra att genomföra på kort tid. De här förslagen får ni läsa själva istället.