Natten mot den 2 december tog sig en grupp hackers in i hotellkoncernen Nordic Choices system i form av en så kallad supply chain-attack. Det skedde via ett mejl med en fil som en anställd lurades att ladda ner. Viruset spred sig, och låste systemen som hanterar bokningar, in- och utcheckning och skapandet av nya rumsnycklar. Personalen tvingades använda papper, penna och whiteboardtavlor. Nordic Choice fick snart besked av hackarna att de ville ha 44 miljoner kronor för att systemen skulle återställas.
Den senaste tiden har media rapporterat flitigt om hackerattacker mot företag och myndigheter. Attacken mot Nordic Choice är kanske den som kommer närmast vad ett modernt fastighetsbolag, med tjänster för delning av lokaler, digitala nycklar och så vidare, kan komma att utsättas för.
[ Annons ]
Och det har redan hänt.
Christoffer Börjesson, affärsutvecklare på Stronghold och tidigare digital chef på Fastighetsägarna, berättar att det åtminstone skett så nära som i Baltikum och Norge.
– I ett fall så blev det en ransomattack som gjorde att system i fastigheten låstes, det fungerade inte att öppna upp dörrarna på morgonen och tekniska system som hiss och ventilation gick inte igång. Fastighetsbolaget fick då mejl om att betala en summa för att de skulle öppna upp systemen igen, säger Christoffer Börjesson.
I ett annat fall kom hackarna åt det webbaserade styrsystemet och la en blockering på inloggningsfönstret så att man inte kunde logga in i systemen.
– Man kom in i fastigheten i det fallet, men hade inte möjlighet att förändra något i systemet. Även här var det en summa som krävdes, berättar Christoffer Börjesson.
Kanske har redan något svenskt fastighetsbolag attackerats. En så kallad ransomware-attack kan slå till mot vitala funktioner. Till exempel skulle låstaggen till portarna sluta fungera, hissarna stå stilla och värmen och elen stängas av i fastigheterna. Inte minst kan fastighetsföretag hantera en hel del information som är känslig ur integritetssynpunkt.
– Absolut, det ligger helt i linje med ett tänkbart scenario när det gäller den här typen av kriminalitet, säger Per Maniette, säkerhetsskyddschef på Sweco.
Han har tidigare jobbat med säkerhetsskydd inom Försvarsmakten och fortifikationsverket och är förtrogen med hotbilder som riktas mot Sverige och samhället, särskilt inom cyberarenan.
Även om det i skrivande stund inte finns någon känd attack mot ett svenskt fastighetsbolag menar han att det oundvikligen kommer att bli ett problem i framtiden.
– Om man tänker på organiserad brottslighet som är inriktad på att infiltrera eller få ut pengar för att finansiera sin kriminella bana, så tror jag definitivt att fastighetsvärlden, både bolag och ägare, är en måltavla för snabba cash, säger Per Maniette.
Digitaliseringen rusar på med många nya tjänster som fastighetsbolagen vill erbjuda sina kunder, bolagen vill också kunna hantera sina ärenden och ha övervakning på sina fastigheter, helst i samma system. Men allt som är uppkopplat mot nätet för med sig sårbarhet.
– Det behövs ingen större kunskap för hackarna att hämta hem skadliga källkoder på Darknet. Det är ganska enkelt för dem att köpa och sedan använda koderna mot företag, säger Per Maniette.
Särskilt intressant var det att de så snabbt och enkelt kunde flytta fram sig i bostadskön.
Sommarens attack mot Coops kassasystem, samt mot hotellkedjan Nordic Choice och Kalix kommun i början av december är tre exempel på hur verksamheten kan lamslås om man saknar skydd.
I SVT:s program ”Hackad” visade man hur fyra hackare relativt enkelt tog kontrollen över alla portkoder och bostadskön hos kommunala Helsingborgshem.
– Det programmet visade hur sårbar man är med digitaliseringen när man inte implementerat skyddsmekanismer. Särskilt intressant var det att de så snabbt och enkelt kunde flytta fram sig i bostadskön. Obehagligt, säger Per Maniette.
Vad som är viktigt att komma ihåg är att själva infrastrukturen är annorlunda jämfört med många andra aktörer.
–Jag tänker på, utöver de administrativa it-systemen, främst på allt från elektroniska lås, larmsystem och ventilation och värme som också styrs och övervakas över internet. Detta gör att jag bedömer att behovet och komplexiteten kring cybersäkerhet gör att fastighetsbranschen skiljer sig från andra branscher.
Väl inne i fastigheten har det varit enkelt att logga in på nätverk utan säkerhetstänk.
Om man inte har nån som helst backup kommer kostnaden för den förlorade informationen, som är alternativet om man inte betalar, garanterat vara högre än lösensumman. Då är det ganska naturligt att man går utpressarna till mötes, menar Per Maniette.
– Om man får sina system låsta eller att de hotar med att gå ut med personuppgifterna hos de som bor i fastigheten, så tror jag att väldigt många skulle välja att betala, framför att blotta sina svagheter och få dåligt rykte. Det är ju ingen som vill.
Christoffer Börjesson och hans medarbetare har gjort tester i några fastigheter, där man kan se att många tekniska nät varit öppna utan kontroller.
– Företag har ju ofta stöd för att stoppa ransomattacker eller hindra obehörig kod att komma in. Men väl inne i fastigheten har det varit enkelt att logga in på nätverk utan säkerhetstänk, där oberoende system eller kod har kunnat köras, berättar han.
Per Maniette har svårt att uppskatta i vilken omfattning det sker utbetalningar I Sverige, men att det genomförs är högst sannolikt.
Så du tror att det finns ett stort mörkertal?
– Det gör det säkert. Nu gör jag bara antaganden, men jag känner till väldigt många fall från utlandet där man betalat för att få låsa upp sina it-system igen. Man har inte haft back up eller de säkerhetssystem som behövdes. Efter det gör man nog en granskning av skyddet och tar in de konsulter som behövs för att stärka upp säkerheten.
Det är extra viktigt med ett bra skydd, beroende på vilka hyresgäster man har, till exempel myndigheter eller annan verksamhet som benämns som säkerhetskänslig.
– Om man har ett av Skatteverkets kontor som hyresgäst och vill ta reda på vilken typ av inpasseringssystem de har, så är det säkert ihopkopplat med fastighetsägaren. Skatteverket har säkert själva ett bra skydd, men kanske kan hackarna gå in hos en annan aktör och få reda på den informationen?
Man känner sig nästan som en foliehatt, men det går inte att ge upp.
Som fastighetsägare måste man därför göra en analys av vad de kriminella kan vara intresserade av. Det vill säga, vilka hyresgäster har man, vad är farligast och vad är det troligaste som kommer att hända, och utifrån det sätta in skyddet. Det kan gälla allt från kölistor till värmesystem, el, hissar, lås, hur hyresgästerna betalar sin avgift eller hur de använder boendeappar.
Hackarna kommer alltid att kunna ta sig in, så det är grundläggande att alltid ha en beredskap och en back up ifall en attack sker.
– Jag inser att det här är väldigt mörk och dyster bild; man känner sig nästan som en foliehatt, men det går inte att ge upp. Det är bättre att göra någonting, istället för ingenting, säger Per Maniette.
FYRA TIPS FRÅN PER MANIETTE
- Ha en dedikerad person, eller helst fler, som ansvarar för att det systematiska it-säkerhetsarbetet är anpassat för verksamheten och att ni har identifierat vad som absolut inte får hända.
- Anlita konsulter som enbart jobbar med it-säkerhet. Låt dem komma med rekommendationer, bygg upp ett it-system och en förvaltning av det, där ni sedan
tar över driften. - Ställ krav på att leverantörerna av it-systemen uppdaterar programvaror och antivirusprogram, och har säkerhetskopior så att det går snabbt att återskapa kapad information.
- Klicka aldrig på länkar i mejl, även om det verkar vara från en avsändare du känner till. Lyft för säkerhets skull telefonen och kolla.
Källa: Per Maniette, säkerhetsskyddschef på Sweco
”ANMÄL HACKERATTACKERNA DIREKT”
Många företag som utsätts för ransomware-attacker väljer att betala och hoppas kunna gå vidare med sin verksamhet. Det är ett stort misstag, säger Jan Olsson, kriminalkommissarie och polisens expert på cyberbrott.
Jan Olsson, kriminalkommissarie på polisens nationella operativa avdelning (NOA), är expert på cyberbrott och vill att bolag i betydligt högre grad ska anmäla hackerattacker, från stora till små.
– De slutar inte så länge folk betalar.
Jan Olsson känner inte till att något fastighetsbolag ska ha blivit drabbat, men enligt en undersökning av Svensk Handel har tio procent av deras anslutna företag drabbats under 2021.
– Det är i huvudsak två typer av attacker: de som riktar sig mot speciella företag och de som riktar sig mot allt som rör sig. Eftersom sådana här attacker är jämnt fördelade över olika branscher, så är det ganska sannolikt att fastighetsägarna också utsatts. Men vad skadekonsekvenserna blivit vet vi ju inte, eftersom ingen anmält, säger Jan Olsson.
Oviljan rent generellt bland företagare att polisanmäla cyberattacker gör polisens arbete mycket svårt. Det är en bråkdel av alla angrepp som kommer till myndighetens kännedom.
Det finns flera skäl till att större företag inte anmäler, enligt Jan Olsson.
– En stor anledning är att de inte vill gå ut med att de blivit attackerade, för att de tror att de kommer tappa kunder, och att presumtiva kunder kan tro att de har dålig säkerhet och inte är någon samarbetspartner för framtiden. Man håller nere det här för att inte sänka aktievärdet på företaget.
Anmäler man inte, så finns det inte, och finns det inte kan vi inte göra något för att bromsa problemet.
Många företag tycker dessutom att det inte är någon idé att anmäla, eftersom utredningarna ofta läggs ner. Men enligt Jan Olsson så är utredningarna nästan alltid multinationella och gränsöverskridande, ofta Är det samverkan mellan fem-sex länder. Därför lägger man ner det i det enskilda landet, men skickar informationen till Europol för att få till ett större samarbete. Genom de anmälningarna kan man sedan komma åt aktörerna som står bakom det på ett internationellt plan.
– Det kan kännas konstigt för det enskilda företaget att fallet läggs ner, men det är inte lönlöst ändå, för utan informationen hade vi inte kunnat få dem fällda. Det gäller allt från sommarens Coop-attack och nedåt kan man säga. Det är absolut nödvändigt att anmäla, annars blir det väldigt, väldigt svårt. Anmäler man inte, så finns det inte, och finns det inte kan vi inte göra något för att bromsa problemet.
För om företagen fortsätter att betala kommer brotten aldrig att sluta genomföras, i och med att det lönar sig så pass väl.
– Det är ofattbara summor det rör sig om. Ett av Sveriges största it-säkerhetsbolag, Truesec, hade 2020 en kund som valde att betala en summa på nästan 300 miljoner kronor för att få tillgång till sina system igen. Varför ska hackarna då inte fortsätta?
Jan Olsson inskärper att om man betalar lösensumman så finansierar man samtidigt fortsatt brottslighet.
– Det kommer drabba både dig och dina kollegors företag. Dessutom finansieras annan brottslighet som terrorism, människohandel, narkotika, you name it! Det är som med covid-vaccineringen just nu – konsekvenserna av att inte vaccinera sig kan bli väldigt stora för andra, säger Jan Olsson.
Fyra av fem som betalar blir angripna igen.
Dessutom blir man sällan av med problemet genom att betala, enligt Olsson.
– Fyra av fem som betalar blir angripna igen, eftersom de hamnar på en ”shitlist” över företag som är värda att attackera igen. Det blir en ond cirkel.
Han vill också slå hål på myten att företagen tappar kunder. Både Coop och Norsk Hydro som utsattes för ett massivt angrepp var transparanta och gick ut med information om utpressningsförsöket, men de upplevde ändå inte ett stort kundras.
– Efter attacken har Coops omsättning och kundunderlag ökat. Det blir ju värre om du döljer det, och så läcker det ut ändå, för det gör det alltid. Då kommer säkerligen dina kunder att byta leverantör eller vad man nu jobbar med. Så man har faktiskt ingenting att förlora på att vara transparant.
Det finns trots allt ett ljus i mörkret för drabbade företag, i form av webbsidan www.nomoreransom.org.
– Det är en organisation som består av Europol och Europas alla polismyndigheter samt stora it-säkerhetsföretag där man gemensamt och gratis hjälper företag som drabbats. Man lägger upp de nycklar som man lyckats klura ut, för att företag ska kunna använda dem. För ett år sedan hade de sparat in åtta miljarder kronor åt företag i uteblivna förluster tack vare den här hjälpen. De har inte lösningar på alla varianter, men alla som attackerats bör gå in där det första de gör. Det kostar ju inget.
