Den 11 december 2021, Kronos, ett personalhanteringsföretag som servar över 40 miljoner människor i över 100 länder, fick ett oförskämt uppvaknande när den insåg att Kronos Private Cloud äventyrades av en ransomware-attack. Detta var bara början på en rad händelser som skulle följa. Än i dag saknar miljontals anställda hundratals eller till och med tusentals dollar eftersom Kronos-mjukvaran inte lyckas förenas efter attacken.
Men genom att förstå effekten av denna ransomware-attack, och metoderna bakom den, kan företag bättre planera och skärpa sina ansträngningar för cybersäkerhetsskydd för att förhindra eller minimera effekterna av sådana attacker i framtiden.
Hur Kronos Ransomware-attacken hände
Liksom många andra företag som drabbats av ransomware-attacker de senaste åren har Kronos varit sparsamt med detaljerna. Dess pressmeddelande säger helt enkelt att det blev medvetet om "ovanlig aktivitet som påverkar UKG-lösningar med Kronos Private Cloud" och "vidtog omedelbara åtgärder" och fastställde att det var en ransomware-attack.
I ransomware-attacker, datorsystem blir infekterade med skadlig programvara som låser eller krypterar åtkomst till filer eller data tills en lösensumma betalas. Men dessa lösensummor kan vara ganska branta och det finns ingen garanti för att tillgången kommer att returneras. I fallet Kronos finns det rapporter om att lösensumman betalats, men det tog över en månad innan systemet var helt återställt och ännu längre tid för kunderna att försöka stämma av sina uppgifter i efterdyningarna.
Ransomware kan spridas på en mängd olika sätt, inklusive genom nätfiske-e-post eller genom att besöka en infekterad webbplats. Och med hotlandskapet som ständigt utvecklas, dyker det upp nya infektionsmetoder, såsom webbserverexploatering. Generellt sett är dåliga aktörers strategi att rikta in sig på den svagaste länken. Och ofta är den svagaste länken mänsklig — det vill säga, det är Jesse inom finans som blev lurad av spam och klickade på fel länk.
När det gäller Kronos vet vi kanske inte exakt hur intrånget uppstod, men påverkan kändes vida omkring. Det skadade inte bara Kronos självts ekonomi och rykte, utan det skadade också alla företag och organisationer som förlitade sig på Kronos som en tredjepartsleverantör.
Fallout
Kronos används av tiotusentals olika företag och organisationer inom flera sektorer för att spåra arbetstimmar och utfärda lönecheckar. Attacken i fråga påverkade 2,000 XNUMX av dessa företag, och det hände under en av de mest kaotiska tiderna på året – i december, när bonusar brukar förfalla och när anställda verkligen räknar med att deras lönecheckar är pålitliga.
Nyligen tänk hur mycket det är ditt företag skulle vara med om alla anställdas löneuppgifter försvann i flera veckor. Företag var tvungna att försöka skapa tillfälliga manuella lösningar, och många anställda missade lönecheckar under semestern. Sedan när systemet väl var online igen, var det jobbet att ange den manuella data och stämma av poster. Detta var kostsamt i ekonomiska termer såväl som i termer av tid och moral.
Observera hur effekten av denna attack skadade inte bara Kronos, men de många företag som förlitade sig på Kronos programvara, för att inte tala om de anställda i dessa företag.
Detta är ett utmärkt exempel på tredje parts risk.
Så mycket som ditt företag kan ha alla sina cybersäkerhetsankor i rad, är ditt företag fortfarande i riskzonen om du litar på en leverantör som har säkerhetsluckor. Att skydda din organisation från en ransomware-attack som liknar den som hände Kronos innebär att gå längre än att bara skydda din organisation från skadlig programvara. Du måste se till att alla leverantörer du litar på är noggrant utvärderade för säkerhetsrisker också.
Hantera tredje parts risk
För att hjälpa till att ta bort risker från tredje part och hindra dig från att uppleva en liknande attack mot ransomware som Kronos, här är de viktigaste stegen för att förstå och hantera dina risker från tredje part:
Steg 1: Identifiera dina leverantörer: Du måste veta vilka alla dina leverantörer är innan du kan utföra en riskanalys. För vissa organisationer kan listan vara liten. För andra kan det ta ett tag att spåra och katalogisera alla leverantörer.
Steg 2: Analysera risk för varje leverantör: Bedöm säkerhetsställningen för varje leverantör och avgör den relativa risken de utgör för din kritiska verksamhet och infrastruktur.
Steg 3: Prioritera leverantörer baserat på risk: När du väl förstår risken förknippad med varje leverantör kan du kategorisera leverantörer baserat på deras övergripande betydelse för din verksamhet och eventuella hot de utgör. Detta hjälper dig att ta itu med de mest kritiska frågorna först eller avgöra var en förändring av leverantörsprioritering skulle vara mer fördelaktig.
Steg 4: Övervaka kontinuerligt: Det räcker inte att bara checka in med varje leverantör en gång. Med alla företag i dessa dagar utvecklas teknik och konfigurationer ständigt, liksom hotbilden. Kontinuerlig övervakning av tredje parts risk kommer att varna dig om något förändras och göra det möjligt för dig att agera därefter.
Cybersäkerhetshot kommer alltid att vara i fokus när hotbilden utvecklas och cyberbrottslingar använder nya attackvektorer. Men att ligga steget före dessa hot med korrekt tredjepartsriskhantering, leverantörssäkerhetsbedömningar och identifiera säkerhetsställning av ditt eget företag kommer att hjälpa till att förhindra att du blir nästa rubriknyhet om ett offer för ransomware-attacker.
