Den 11. december 2021, Kronos, en arbejdsstyrkeadministrationsvirksomhed, der servicerer over 40 millioner mennesker i over 100 lande, modtog en uhøflig opvågning da det indså, at Kronos Private Cloud var kompromitteret af et ransomware-angreb. Dette var kun begyndelsen på en række begivenheder, der skulle følge. Stadig den dag i dag mangler millioner af medarbejdere hundreder eller endda tusindvis af dollars, da Kronos-softwaren ikke forenes efter angrebet.
Men ved at forstå virkningen af dette ransomware-angreb og metoderne bag det, kan virksomheder bedre planlægge og stramme deres indsats for cybersikkerhedsbeskyttelse for at forhindre eller minimere virkningerne af sådanne angreb i fremtiden.
Hvordan Kronos Ransomware-angrebet skete
Som mange andre virksomheder, der har været udsat for ransomware-angreb i de seneste år, har Kronos været sparsom på detaljerne. Dets pressemeddelelse siger blot, at det blev opmærksom på "usædvanlig aktivitet, der påvirker UKG-løsninger ved hjælp af Kronos Private Cloud" og "tog øjeblikkelig handling" og fastslog, at det var et ransomware-angreb.
I ransomware-angreb, computersystemer bliver inficeret med skadelig software der låser eller krypterer adgang til filer eller data, indtil en løsesum er betalt. Men disse løsepenge kan være ret stejle, og der er ingen garanti for, at adgang vil blive returneret. I tilfældet Kronos er der rapporter om, at løsesummen blev betalt, men alligevel tog det over en måned, før systemet var fuldt gendannet og endnu længere tid for kunderne at forsøge at afstemme deres data i kølvandet.
Ransomware kan spredes på en række forskellige måder, herunder gennem phishing-e-mails eller fra at besøge et inficeret websted. Og med trusselslandskabet i konstant udvikling, dukker nye infektionsmetoder op, såsom webserverudnyttelse. Generelt er dårlige aktørers strategi at målrette mod det svageste led. Og ofte er det svageste led menneskeligt – dvs. det er Jesse i finanssektoren, der blev narret af spam og klikkede på det forkerte link.
I tilfældet Kronos ved vi måske ikke præcist, hvordan bruddet opstod, men påvirkningen kunne mærkes vidt og bredt. Det skadede ikke kun Kronos selvs økonomi og omdømme, men det gjorde betydelig skade på alle de virksomheder og organisationer, der stolede på Kronos som tredjepartsleverandør.
Faldet
Kronos bruges af titusindvis af forskellige virksomheder og organisationer på tværs af flere sektorer til at spore arbejdstimer og udstede lønsedler. Det pågældende angreb ramte 2,000 af disse virksomheder, og det skete i en af de mest kaotiske tider på året - i december, hvor bonusser plejer at forfalde, og hvor medarbejderne virkelig regner med, at deres lønsedler er pålidelige.
Bare forestille sig, hvor meget rod din virksomhed ville være med, hvis alle ansattes løndata forsvandt i flere uger. Virksomheder måtte forsøge at skabe midlertidige manuelle løsninger, og mange medarbejdere gik glip af lønsedler i løbet af ferien. Så snart systemet var online igen, var der opgaven med at indtaste de manuelle data og afstemme optegnelser. Dette var dyrt i økonomisk henseende såvel som i form af tid og moral.
Bemærk hvordan virkningen af dette angreb skadede ikke kun Kronos, men de mange virksomheder, der var afhængige af Kronos-software, for ikke at nævne de ansatte i disse virksomheder.
Dette er et glimrende eksempel på tredjepartsrisiko.
Så meget som din virksomhed kan have alle sine cybersikkerhedsænder på række, er din virksomhed stadig i fare, hvis du stoler på en leverandør, der har sikkerhedshuller. At beskytte din organisation mod et ransomware-angreb, der ligner det, der skete med Kronos, betyder, at du går ud over blot at beskytte din organisation mod malware. Du skal sikre, at alle leverandører, du stoler på, også vurderes nøjagtigt for sikkerhedsrisici.
Håndtering af tredjepartsrisiko
For at hjælpe med at fjerne tredjepartsrisici og forhindre dig i at opleve et lignende ransomware-angreb som Kronos, er her de vigtigste trin til at forstå og administrere dine tredjepartsrisici:
Trin 1: Identificer dine leverandører: Du skal vide, hvem alle dine leverandører er, før du kan udføre en risikoanalyse. For nogle organisationer kan listen være lille. For andre kan det tage et stykke tid at opspore og katalogisere alle leverandører.
Trin 2: Analyser risiko for hver leverandør: Vurder sikkerhedspositionen for hver leverandør og bestem den relative risiko, de udgør for din kritiske drift og infrastruktur.
Trin 3: Prioriter leverandører baseret på risiko: Når du forstår risikoen forbundet med hver leverandør, kan du kategorisere leverandører baseret på deres overordnede betydning for din virksomhed og eventuelle potentielle trusler, de udgør. Dette vil hjælpe dig med at løse de mest kritiske problemer først eller afgøre, hvor et skift i leverandørprioritering ville være mere fordelagtigt.
Trin 4: Overvåg kontinuerligt: Det er ikke nok at tjekke ind hos hver leverandør én gang. Med alle virksomheder i disse dage udvikler teknologi og konfigurationer sig konstant, ligesom trusselslandskabet er det. Kontinuerlig overvågning af tredjepartsrisiko vil advare dig, hvis noget ændrer sig, og gøre dig i stand til at handle i overensstemmelse hermed.
Cybersikkerhedstrusler vil altid være top of mind, efterhånden som trusselslandskabet udvikler sig, og cyberkriminelle bruger nye angrebsvektorer. Men at være på forkant med disse trusler med korrekt tredjepartsrisikostyring, sikkerhedsvurderinger af leverandører og identifikation af sikkerhedsstilling af din egen virksomhed vil hjælpe med at forhindre dig i at blive den næste overskriftsnyhed om et offer for ransomwareangreb.
