”Svårt att skydda sig mot överbelastning”

Uppdaterad
Publicerad

Okunskap och dålig beredskap kan förvärra problemen när myndigheter och företag utsätts för överbelastningsattacker. Att skydda sig helt mot attacker ser experterna i Sverige som en omöjlighet – men det finns skydd att köpa.

-Jag är inte förvånad över gårdagens attack.

Det säger Anders Hansson, tillförordnad chef på Cert-se, en avdelning inom Myndigheten för samhällsskydd och beredskap, som arbetar med IT-säkerhet på myndigheter och företag.

Nätattacker mot hemsidor

Cert-se var en av det tiotal svenska myndighets- och företagssajter som igår utsattes för så kallade ddos-attacker som gjorde sidorna otillgängliga för allmänheten.

-Det är svårt att skydda sig eftersom det kostar för mycket. Någonstans måste man lägga sig platt för trycket, säger Anders Hansson.

IT-säkerhetsexperten Anne-Marie Eklund-Löwinder på stiftelsen för Internetinfrastruktur, .SE,  säger till och med att hon väntat på attackerna eftersom säkerheten på området är eftersatt.

-Man kan jämföra med säkerheten för penninghantering. Bankrån blev mindre vanliga när man började skydda sig mot dem men det ledde också till att attacker mot värdetransporter blev vanligare. Man flyttar helt enkelt fokus till den del av kedjan där det är lättast att komma åt och det finns ännu inga bra motåtgärder mot den här typen av attacker, säger Eklund-Löwinder.

Satsa på snabb tillgänglighet

Båda hon och Anders Hansson på Cert-se menar att det viktiga, när man inte kan skydda sig mot attacker, är att istället satsa krutet på att så snabbt som möjligt göra sajten tillgänglig.

-Då måste man veta vad som händer, vem man ska ringa och hur man går till väga. Men vi märker av en villrådighet och att man kanske inte ens vet om systemen är outsourcade och vem man i så fall ska kontakta för att få hjälp, säger Anders Hansson.

Han understryker vikten av att logga trafiken för att kunna analysera vad som hänt och dra lärdom av det inför framtiden. Cert-se har tagit fram en incidenthanteringsprocess där ”identifiera, begränsa och förebygga” är huvuddragen. Anders Hansson lyfter dock fram en skyddsåtgärd som mer viktig än andra:

-Kontaktlistor – så att man med en gång vet vem man kontaktar när något händer. Det tar längre tid om man inte är förberedd.

Anne-Marie Eklund-Löwinder tipsar om att ha en alternativ sajt förberedd med begränsad information som kan visas om den vanliga hemsidan blir onåbar. 

Skydd för 5.000 dollar i månaden

Det finns internationella företag som hävdar att de kan skydda mot ddos-attacker. Ett av dem är amerikanska IT-säkerhetsföretaget Prolexic.

-Bland våra kunder hittar man till exempel energiföretag och några av de största bankerna i bland annat Frankrike och Storbritannien, säger företagets VD Scott Hammock.

Företagets prissättning för skyddet varierar med vilken typ av företag de ska skydda och hur pass komplex deras hemsidor är.  Scott Hammock säger att priset beror på risken – men att Prolexias miniimikostnad per månad är 5.000 dollar, cirka 35.000 kronor.

-Det finns andra som tar 100 dollar i månaden för att skydda din sajt, så vi tillhör kanske de dyrare, säger Scott Hammock, som berättar att företaget skickar illasinnad trafik genom något av företagens ”tvättcenter” innan den skickas vidare till företagets klienter.

”Finns alltid vägar att sänka”

Men Anders Hansson på Cert-se är skeptisk till om skyddet är värt pengarna.

-Jag tror inte att all teknik i världen skulle kunna rädda företag och myndigheter från den här typen av attacker – det finns alltid vägar att sänka deras sajter, säger Anders Hansson som tror att vi får vänja oss vid fler attacker.

-För vissa är ju det här ett sätt att demonstrera som ibland kan kopplas i hop med till exempel en politisk agenda och sympatierna för demonstrationerna kommer antagligen att växa.

Säkerhetsarbete som inte följs upp

Anne-Marie Eklund-Löwinder, som rankas som en av Sveriges främsta IT-säkerhetsexperter, tycker att det generellt bör ställas högre krav på IT-säkerheten.

-Jag tycker att alla system som är samhällsviktiga ska vara säkra. Man har antagligen redan egna rekommendationer för hur man ska arbeta med säkerheten men det är ingen som följer upp hur arbetet ser ut. Dessutom är det inte alla myndigheter och kommuner som har kompetens för att ta hand om sin säkerhet och när den delen läggs ut på någon så kan avtalen se olika ut och man har kanske inte koll på om det finns ett reservsystem att koppla över till om man blir utsatt för en attack.

-Varför tror du att företag och myndigheter inte gör mer för att skydda sig?         

-Svårt att svara på. Det finns en medvetenhet kring problemet och jag möter ofta folk med rynkade pannor men ändå är IT-säkerhet inte alltid en fråga som blir prioriterad. Det kan till exempel handla om att det kostar pengar eller en känsla av att ”det där händer inte oss.” Men man kommer bli tvungen att ta tag i  problemet och det är viktigt att man gördet till en ledningsfråga. Det är så pass enkelt att utföra de här attackerna att säkerhetsläget är som nattgammal is – den kan spricka när som.   

Fakta

Fakta: Nätattacker och ddos

  • En ddos-attack (Distributed Denial of Service) slår oftast mot ett datorsystem eller nätverk genom att konsumera all tillgänglig bandbredd. Ett stort antal kapade datorer, så kallade botnets, deltar i attacken och den kan därför inte avvärjas genom att stänga ute enskilda IP-adresser.
  • Datorerna kapas genom att användaren ovetande installerar ett litet program, till exempel en trojan, som gör det möjligt att fjärrstyra datorn. Ägarna är sedan inte medvetna om att datorn används vid nätattackerna. (TT)

Så arbetar vi

SVT:s nyheter ska stå för saklighet och opartiskhet. Det vi publicerar ska vara sant och relevant. Vid akuta nyhetslägen kan det vara svårt att få alla fakta bekräftade, då ska vi berätta vad vi vet – och inte vet. Läs mer om hur vi arbetar.

Nätattacker mot hemsidor

Mer i ämnet