Lommas nya larm

– Det är lätt att invaggas i en falsk säkerhet och tro att virusskydd räcker, men det skyddar mot kända och till viss del okända hot. Riktade hot har virusskydd svårare att hantera. Det är här som EDR-skydd, Endpoint Detection & Response, kommer in som istället tar hand om riktade och okända hot, säger Patrik Flensburg, it-och servicechef, Lomma kommun.

F-Secures Rapid Detection & Response bygger på sensorer och machine learning som tittar på användarbeteenden. När systemet märker ett onormalt beteende skickas informationen upp i F-Secures moln. Där bedöms säkerhetsnivån på larmet, ibland kan användaren stoppas direkt och ibland skickas ett larm till Lomma kommuns it-avdelning om vad som hänt.

– Som kommun har vi väldigt många olika program och applikationer, vilket gör att vi ibland får se falska positiva larm. Då tittar vi på det, godkänner beteendet, och nästa gång känner programmet igen att larmet är falskt. ML:en lär sig konstant vilket innebär att ju fler källor vi har, desto smartare blir lösningen. Det blir ett proaktivt skydd, inte reaktivt.

200 dagar till 30 minuter

Det största orosmolnet för Lomma kommun är zero day-attacker. I en sådan kan hackare exempelvis mejla en skadlig länk som en användare klickar på. Då kan angriparen ta över datorn, aktivera malware på den, och utvidga sitt hack vidare till servrar eller andra datorer. Under 2019 registrerade F-Secures globala nätverk 5,7 miljarder attacker, en ökning på 470 procent jämfört med föregående år.

– På en tidigare arbetsplats utnyttjade hackare en sårbarhet vilket gjorde att vårt nät låg nere i två veckor, och det ledde till stora kostnader. Ett liknande scenario skulle vara förödande i Lomma då det kan landa i att omsorgen exempelvis inte kan komma åt sina journalsystem. Därför är det ytterst viktigt att vi har kontroll på vår miljö och investerar i en typ av försäkring, vilket blir en väldigt liten kostnad jämfört med om något skulle hända.

– Det finns inget system som kan stoppa samtliga attacker, därför behöver vi ett system som arbetar utifrån den insikten. Tidigare har det tagit i snitt 200 dagar att upptäcka en attack, idag 50 till 75 dagar, men med EDR kan det ta mindre än 30 minuter.

Vilka är nackdelarna?

– Du behöver lägga en del tid på systemet och undersöka larmen för att trimma mot systemen som finns i din verksamhet, men det finns ett antal leverantörer som levererar motsvarande som tjänst, till exempel Atea. Då behöver du ingen förkunskap utan leverantören varnar dig då ett reellt larm uppstår.

– Sedan går nackdelen hand i hand med en väldigt stor fördel, nämligen att all dataanalys sker i deras moln, inte på våra servrar. Samtidigt som vi alltid har tillgång till företagets molntjänster, säger Patrik Flensburg. 

För vilka verksamheter är det här mest intressant?

– På F-Secure ser vi att riktade attacker sker i allt större utsträckning även sker mot mindre företag och organisationer, så det är inte längre enbart de stora bolagen som behöver skydd som EDR. Det handlar mycket om hur sårbar verksamheten är när hela sin miljö är otillgänglig och utifrån det bestämma sig om man behöver utökat skydd för att få bättre visibilitet i sin miljö, säger Johan Jarl, säkerhetsexpert på F-Secure.