Månedens udvalgte: Tre lektier fra angrebet på Colonial Pipeline - Cyberangreb på kritisk infrastruktur

27. maj 2021 - Colonial Pipeline blev i starten af maj udsat for et ransomware-angreb, der havde alvorlige konsekvenser bl.a. for forsyningen af brændstof til den amerikanske østkyst. I denne Månedens Udvalgte sætter Jacob Herbst fokus på i hvert fald tre af de ting, som denne hændelse kan lære os.

Fredag den 7. maj 2021 blev it-systemerne hos Colonial Pipeline i USA ramt af et ransomware-angreb. Colonial Pipeline driver en af USA’s største rørledninger for raffinerede olieprodukter og løber fra den mexicanske golf og op langs den amerikanske østkyst med afstikkere til de større byer. Rørledningen transporterer bl.a. hovedparten det brændstof, der anvendes på østkysten.

På grund af ransomware-angrebet vælger Colonial Pipeline at lukke deres rørledninger ned, hvilket i løbet af nogle få dage medfører mangel på brændstof forskellige steder på østkysten bl.a. med hamstring, tørlagte tankstationer og omlagte flyvninger som konsekvens. Ifølge det foreløbigt oplyste, ramte ransomware-angrebet kun de administrative it-systemer hos Colonial, men da det ikke længere var muligt at afregne leverancerne, og man ikke kendte omfanget af angrebet, vælger man fra Colonial Pipelines side af at lukke alt ned – herunder også selve rørledningen – med henvisning til sikkerhedsmæssige årsager.

Colonial Pipeline begyndte at reetablere driften ca. en uge efter angrebet og var i fuld drift igen i løbet af et par uger. Forinden, da situationen så værst ud, nåede den amerikanske præsident bl.a. at erklære det for en national nødsituation for at kunne sikre forsyningen af brændstof.

Vi kender naturligvis ikke alle detaljerne i angrebet og det fulde efterspil endnu, men historien omkring ransomware-angrebet på Colonial Pipeline indeholder alligevel en række bemærkelsesværdige og tankevækkende elementer, som vi kan lære af.

Manglende forberedelse og overblik

Da angrebet rammer Colonial Pipeline, vælger de at lukke alle systemer – herunder også selve rørledningen. Uanset om dette er på grund af manglende adgang til de administrative systemer, så de ikke vil være i stand til at få betaling for deres produkter, eller om det – som oplyst – skyldes usikkerhed om hvor “dybt” angrebet havde ramt, virker det som om, de ikke har haft ordentligt styr på, hvordan de skulle håndtere situationen. Dette understreges også af, at der går næsten en uge før produktionen kan genstartes – dette på trods af angrebet virker til at være begrænset, og de har haft masser af hjælp til rådighed bl.a. fra de amerikanske myndigheder.

Det virker umiddelbart som om, der har manglet en beredskabsplan for, hvordan forretningen kan køre videre, og hvordan man kunne komme hurtigt, sikkert og effektivt tilbage i drift. Det virker også som om, der har manglet en hel basal overvågning, der kunne vise, hvad der rent faktisk var foregået i deres infrastruktur – altså hvilke systemer som angriberne havde haft adgang til.

At dette har været situationen, understreges også af, at topchef for Colonial Pipeline Joseph Blount meget hurtigt efter angrebet vælger at efterkomme angribernes krav om løsesum og betale 75 bitcoins svarende til ca. 4,4 mio. USD eller ca. 26,7 mio. danske kroner, hvilket i sig selv er en af de største kendte ransomware-løsesummer.

Dette giver dem adgang til et dekrypteringsværktøj, men det er kommet frem, at man alligevel ender med at genetablerer de fleste systemer fra backup. Så betalingen virker ikke til at være sket pga. manglende mulighed for restore af data.

Et helt grundlæggende element i alle beredskabsplaner i forhold til ransomware bør være at undgå at betale, hvis det overhovedet er muligt – og kun betale som en absolut sidst udvej. Dette er for ikke at understøtte kriminelle og undgå at fremstå som et alt for let offer.

Set udefra virker det derfor meget underligt, at der betales så meget og så hurtigt, og at man tilsyneladende kunne være kommet i drift ud fra den eksisterende backup. Det er svært ikke at fornemme en ledelse, der er gået i panik på grund af manglende overblik over angrebet og en manglende beredskabsplan – og derfor vælger at betale i et desperat håb om, at det løser alle deres problemer.

Dårlig samvittighed hos angriberne

Det kommer hurtigt frem, at angrebet er udført af en kriminel hackergruppe kaldet Darkside, der opererer fra Østeuropa eller Rusland. Da konsekvenserne af angrebet – og formentlig ikke mindst opmærksomheden fra de amerikanske myndigheder – går op for dem, får de meget travlt med at lægge afstand til angrebet bl.a. ved at understrege, at de “kun” gør det for pengenes skyld, og at det i øvrigt var en af deres “affiliates” dvs. partnere, som udfører angreb med deres værktøjer og i deres navn, som stå bag angrebet, og de fremadrettet vil være mere kritiske i forhold til, hvem de samarbejder med, og hvem de angriber.

Det kommer i denne forbindelse også frem, at Darkside er en relativ ny kriminel ransomware-gruppe, dog med forbindelser til tidligere ransomware-grupper og ved at spore bitcoin-betalinger til deres bitcoin-konti, kommer man frem til, at de bare indenfor de seneste måneder har tjent over 90 mio. USD i løsesum fra ransomware.

Nogle dage efter angrebet på Colonial Pipeline er den amerikanske præsident Biden ude at kommentere på angrebet og lover bl.a., at de amerikanske myndigheder vil gøre alt i deres magt for at få fat i dem, som står bag angrebet.

Kort efter denne udmelding annoncerer Darkside selv, at de lukker deres ransomware-“forretning”, bl.a. fordi de har mistet kontrollen over deres serverinfrastruktur. Det er på nuværende tidspunkt uklart, om det rent faktisk er myndighederne, der har fået lukket deres servere, eller om det er Darkside selv, som bruger denne forklaring som en slags exit-strategi, da det også er kommet frem, at en række af deres samarbejdspartnere klager over manglende betaling fra gruppen.

Det er dog en rimelig antagelse at tro, at Darkside-gruppen på nuværende tidspunkt bittert fortryder angrebet på Colonial Pipeline pga. den opmærksomhed, det har givet de hos amerikanske myndigheder – og det faktum at samtlige agenter hos FBI og andre myndigheder helt sikkert nu ser en pågribelse af dem som stærkt karrierefremmende.

Sårbar, digitaliseret kritisk infrastruktur

Ransomware-angrebet ramte ifølge det oplyste de administrative it-systemer hos Colonial Pipeline, men afbrød alligevel deres produktion dvs. transport af brændstof. Dette er en tydelig reminder om, hvor sammenhængende og integreret vores digitale infrastruktur ofte er – og ikke mindst hvor meget der efterhånden er digitaliseret.

Efterhånden som mere og mere af vores fysiske infrastruktur bliver digitaliseret, bliver den også mere sårbar overfor cyberangreb. Desværre viser al erfaring, at denne udvikling ofte sker glidende, uden man undervejs får overvejet mulige konsekvenser og vurderet risikoen ordentlig. Samtidig bygger meget produktionsstyring på gammel teknologi, som ikke bare kan udskiftes, men samtidig ikke indeholder ordentlige sikkerhedsfunktioner. Konsekvensen af dette er, at vi ofte ender med en forældet infrastruktur med mangelfuld sikkerhed, der styrer noget af det mest kritiske i vores samfund.

Det har været offentligt fremme, at der flere gange i løbet af de senere år er påpeget alvorlige sikkerhedsproblemer hos Colonial Pipeline. Om dette stadig er tilfældet, er svært at sige med sikkerhed ud fra det oplyste, men betragter man forløbet af hændelsen, tyder rigtigt meget på, at det desværre var tilfældet.

Lektien fra angrebet

Når jeg kigger på forløbet af hændelsen omkring Colonial Pipeline, er der i hvert fald tre vigtige forhold, der står klart:

  • Det er virker som om Colonial Pipeline har været helt og aldeles uforberedte på et angreb på mange forskellige niveauer. Meget tyder på, at deres grundlæggende sikkerhed ikke har været i orden, og det virker heller ikke til, de har sikkerhedsovervåget deres infrastruktur.

    Men ikke mindst tyder meget på, de ikke har haft en ordentlig beredskabsplan for håndtering af en alvorlig cyberhændelse – og at de derfor handler i panik og bl.a. derfor vælger at betale løsesum til de kriminelle.

    Hvis de havde haft styr på disse helt basale ting – f.eks. ved at have forholdt sig til de overordnede faser i NIST Cybersecurity Framework – burde forløbet havde været et helt andet – og betaling til en kriminel gruppe undgået.
  • Darkside-gruppen, der er de kriminelle bag angrebet, lader til at have lukket sig selv ned. Og jeg vil ikke blive overrasket, hvis vi på et eller andet tidspunkt i de kommende år ser de amerikanske myndigheder anholde og retsforfølge nogle af de personer, der står bag angrebet.

    Dette er en understregning af, at det rent faktisk er muligt at forfølge de cyberkriminelle, hvis der afsættes ressourcer til det. Det er således vigtigt, at det bliver gjort tydeligt, at cyberkriminalitet kan have meget konkrete konsekvenser, f.eks. at man kan blive fanget og kommer i fængsel. Tydelige konsekvenser vil ikke afskrække alle, men forhåbentlig kunne tage brodden af de mest alvorlige angreb.

    Så helt generelt et ønske om mere fokus fra myndighederne og meget mere samarbejde på tværs af lande for at bekæmpe cyberkriminalitet.

  • Nedelukningen af rørledningen hos Colonial Pipeline og afbrydelsen af brændstof forsyningen til den amerikanske østkyst understreger endnu engang, hvor sårbar den kritiske infrastruktur kan være overfor cyberangreb.

    Dette angreb bør derfor være endnu en reminder om, at sammenkoblingen af digitale og fysiske systemer i den virkelige verden kræver særlig omtanke – og ikke mindst særligt fokus på cybersikkerhed. Der er desværre alt for mange kritiske systemer, som er voldsomt sårbare, og det er vigtigt, at de bliver ordentlig beskyttet, før det går galt, og vi (igen) ser alvorlige forstyrrelser. Efterhånden som den fysiske verden bliver mere og mere digital, og dermed mere og mere sårbar, vokser risikoen også for, at angreb kan have alvorlige konsekvenser og i sidste ende koste liv.

Winston Churchill er krediteret for at have sagt: “Man skal aldrig lade en god krise gå til spilde.” Og med en let omfortolkning gælder det også i forhold til cybersikkerhed. Den amerikanske præsident har således brugt hændelsen hos Colonial Pipeline til at udsende en Executive Order med krav til forbedret cybersikkerhed hos de amerikanske myndigheder. Denne indeholder i øvrigt en lang række krav, som vi alle sammen bør implementere.

På samme måde vil jeg også opfordre til, at vi andre bruger en sådan hændelse til at forbedre vores egen cybersikkerhed, så vi ikke bliver det næste offer – og som minimum ved, hvad vi skal gøre, hvis vi bliver ramt.

Det særlige ved denne hændelse er, at den sætter fokus på nogle af de områder, ledelsen i virksomheden er nødt til at tage stilling til – det omfatter bl.a. beredskabsplaner og lavpraktiske spørgsmål som politik for betaling af løsepenge og afpresning til kriminelle. Derfor er en case som denne velegnet som løftestang til at få sat cybersikkerhed på agendaen også hos ledelsen.

Læs mere fra Jacob

Månedens udvalgte: Sikkerhed i cloudtjenester kommer ikke af sig selv

Cloudtjenester er blevet en del af næsten alle moderne it-løsninger. De seneste år har cloudtjenester fået kæmpe succes, da de har været med til at understøtte virksomhedernes ændrede behov. Men hvad bør man være opmærksom på? Det kommer Jacob Herbst med nogle bud på i denne Månedens Udvalgte.

Månedens udvalgte: Samfundssind og Coronapas

I denne Månedens Udvalgte fortæller Jacob Herbst om deltagelse i forskellige Advisory Boards, nedsat under Coronapandemien, som er med til at rådgive omkring smittesporingsappen og nu det nye Coronapas. Men hvordan kan det ene blive en succes, når det andet måske ikke helt levede op til potentialet?

Månedens Udvalgte: Ransomware – sådan beskytter du dig

Som opfølgning på Månedens Udvalgte i november vil Jacob Herbst i denne måned igen stille skarpt på enorme cybertrussel, Ransomware udgør og samtidig komme med nogle konkrete bud på, hvad man som virksomhed eller organisation kan gøre, for at mindske risikoen fra ransomware.