11. desember 2021, Kronos, et arbeidsstyrkeadministrasjonsselskap som betjener over 40 millioner mennesker i over 100 land, fikk en frekk oppvåkning da den innså at Kronos Private Cloud ble kompromittert av et løsepenge-angrep. Dette var bare begynnelsen på en rekke hendelser som skulle følge. Frem til i dag mangler millioner av ansatte hundrevis eller til og med tusenvis av dollar ettersom Kronos-programvaren ikke klarer å forene seg etter angrepet.
Men ved å forstå virkningen av dette løsepengevareangrepet, og metodene bak det, kan selskaper bedre planlegge og stramme inn innsatsen for nettsikkerhetsbeskyttelse for å forhindre eller minimere effekten av slike angrep i fremtiden.
Hvordan Kronos Ransomware-angrepet skjedde
Som mange andre selskaper som har vært utsatt for løsepengeprogram de siste årene, har Kronos vært sparsommelig med detaljene. Pressemeldingen sier ganske enkelt at den ble klar over "uvanlig aktivitet som påvirker UKG-løsninger ved bruk av Kronos Private Cloud" og "tok umiddelbar handling" og fastslo at det var et løsepenge-angrep.
Ved ransomware-angrep, datasystemer blir infisert med skadelig programvare som låser eller krypterer tilgang til filer eller data inntil løsepenger er betalt. Men disse løsepengene kan være ganske høye, og det er ingen garanti for at tilgangen vil bli returnert. Når det gjelder Kronos, er det rapporter om at løsepengene ble betalt, men det tok over en måned før systemet var fullstendig gjenopprettet og enda lengre tid for kundene å prøve å avstemme dataene sine i etterkant.
Ransomware kan spre seg på en rekke måter, inkludert gjennom phishing-e-post eller fra å besøke et infisert nettsted. Og med trussellandskapet i stadig utvikling, dukker det opp nye metoder for infeksjon, for eksempel utnyttelse av webservere. Generelt er strategien til dårlige aktører å sikte mot det svakeste leddet. Og ofte er den svakeste lenken menneskelig – det vil si at det er Jesse i finans som ble lurt av spam og klikket på feil lenke.
I tilfellet Kronos vet vi kanskje ikke nøyaktig hvordan bruddet skjedde, men påvirkningen ble følt vidt og bredt. Ikke bare skadet det økonomien og omdømmet til Kronos selv, men det gjorde betydelig skade på alle virksomhetene og organisasjonene som stolte på Kronos som en tredjepartsleverandør.
Fallout
Kronos brukes av titusenvis av forskjellige selskaper og organisasjoner på tvers av flere sektorer for å spore arbeidstimer og utstede lønnsslipper. Det aktuelle angrepet berørte 2,000 av disse virksomhetene, og det skjedde under en av de mest kaotiske tidene av året – i desember, når bonuser pleier å forfalle og når ansatte virkelig regner med at lønnsslippene deres er pålitelige.
Just tenk hvor mye rot bedriften din ville vært inne hvis alle ansattes lønnsdata ble borte i flere uker. Bedrifter måtte prøve å lage midlertidige manuelle løsninger, og mange ansatte gikk glipp av lønnsslipp i løpet av ferien. Så når systemet var online igjen, var det jobben med å legge inn de manuelle dataene og avstemme poster. Dette var kostbart i økonomiske termer så vel som i form av tid og moral.
Legg merke til hvordan virkningen av dette angrepet skadet ikke bare Kronos, men de mange virksomhetene som stolte på Kronos-programvaren, for ikke å snakke om de ansatte i disse virksomhetene.
Dette er et godt eksempel på tredjepartsrisiko.
Så mye som bedriften din kan ha alle sine cybersikkerhetsender på rad, er bedriften din fortsatt i fare hvis du stoler på en leverandør som har sikkerhetshull. Å beskytte organisasjonen din mot et løsepenge-angrep som ligner på det som skjedde med Kronos betyr å gå lenger enn bare å beskytte organisasjonen din mot skadelig programvare. Du må sørge for at alle leverandører du stoler på er nøyaktig vurdert for sikkerhetsrisikoer også.
Håndtering av tredjepartsrisiko
For å bidra til å fjerne tredjepartsrisikoer, og forhindre at du opplever et lignende løsepengevareangrep som Kronos, her er nøkkeltrinnene for å forstå og administrere tredjepartsrisikoene dine:
Trinn 1: Identifiser leverandørene dine: Du må vite hvem alle leverandørene dine er før du kan utføre en risikoanalyse. For noen organisasjoner kan listen være liten. For andre kan det ta en stund å spore opp og katalogisere alle leverandører.
Trinn 2: Analyser risiko for hver leverandør: Vurder sikkerhetsstillingen til hver leverandør og finn den relative risikoen de utgjør for din kritiske drift og infrastruktur.
Trinn 3: Prioriter leverandører basert på risiko: Når du forstår risikoen forbundet med hver leverandør, kan du kategorisere leverandører basert på deres generelle betydning for virksomheten din og eventuelle trusler de utgjør. Dette vil hjelpe deg med å løse de mest kritiske problemene først eller finne ut hvor en endring i leverandørprioritering vil være mer fordelaktig.
Trinn 4: Overvåk kontinuerlig: Bare å sjekke inn med hver leverandør én gang er ikke nok. Med alle bedrifter i disse dager, er teknologi og konfigurasjoner i stadig utvikling, det samme er trussellandskapet. Kontinuerlig overvåking av tredjepartsrisiko vil varsle deg hvis noe endres og gjøre deg i stand til å handle deretter.
Nettsikkerhetstrusler vil alltid være øverste i tankene ettersom trussellandskapet utvikler seg og nettkriminelle bruker nye angrepsvektorer. Men å være i forkant av disse truslene med riktig tredjeparts risikostyring, sikkerhetsvurderinger fra leverandører og identifisere sikkerhetsstilling av din egen virksomhet vil bidra til å forhindre at du blir den neste overskriften om et offer for løsepengevareangrep.
