Kryptomaskar och deras konsekvenser. Åtgärder för cybersäkerhet utifrån fallen WannaCry och NotPetya.

Författare:

  • Erik Zouave
  • Erik Svensson
  • Jonas Magnusson

Publiceringsdatum: 2019-06-28

Rapportnummer: FOI-R--4774--SE

Sidor: 56

Skriven på: Svenska

Forskningsområde:

  • Krisberedskap och civilt försvar

Nyckelord:

  • kryptomaskar
  • WannaCry
  • NotPetya
  • cybersäkerhet
  • cyberhygien
  • kontinuitetshantering
  • resiliens
  • NIS-direktivet

Sammanfattning

Denna rapport undersöker, genom öppna svenska och engelska källor, vilka konsekvenser kryptomaskarna WannaCry och NotPetya haft för organisationer internationellt i sektorer definierade i NIS-direktivet. Rapporten undersöker varför incidenter uppstod och vilka åtgärder som drabbade organisationer och ansvariga myndigheter vidtog. Störningar i organisationers primära tjänsteleveranser till följd av kryptomaskarna ter sig ha varit begränsade och konsekvenserna var främst ekonomiska. Inga dödsfall eller allvarliga konsekvenser för allmän säkerhet har identifierats. Främst administrativa system verkar ha drabbats. Organisationer som till hög grad var beroende av administrativa system för den primära tjänsteleveransen fick allvarligare störningar i tjänsteleveransen. Rapporten visar att bristande cyberhygien gjort organisationer sårbara samt bidragit till kryptomaskarnas spridning, särskilt i fallet WannaCry. NotPetyas mer avancerade spridningsmekanism var svårare att förutse och förebygga, vilket ökar vikten av kontinuitetshantering. Genom alternativa arbetsrutiner hanterade vissa organisationer incidenter väl, trots störningar i IT-system. Rapporten identifierar åtgärder som höjt organisationers förmåga att förhindra och hantera kryptomaskar; åtgärder som höjer nivån av cyberhygien och kontinuitetshantering, samt förbättrar informationsdelning i incidenthantering. Då störningarna i tjänsteleveranser stundvis var lindriga väcks frågor om liknande incidenter skulle uppfylla incidentrapporteringskrav. Kombinerat med kryptomaskars spridningshastighet väcker detta vidare frågor kring effektivt och tidigt lägesbildskapande vid utbrott av skadlig kod och påvisar vikten av informationsdelning.