Skjerpet trusselbilde gir økt etterspørsel etter backup med «ransomware rollback»
Det er en varm og skyfri julidag og solen glitrer over skjærgården i Oslofjorden. «Erlend» har akkurat startet sommerferien sin, og ser fram til å endelig nyte en hel dag med familien seilbåten uten jobbstress hengende over seg. IT-sjefen og teamet hans har nettopp lagt bak seg en noen svært utfordrende og spesielle måneder, der de har måttet jobbe på spreng for å sikre en trygg og effektiv overgang til hjemmekontor for selskapet deres.
Ikke før de så vidt har kommet seg utaskjærs vibrerer det i lomma til Erlend. Han titter ned på mobilen og blir overrasket idet han ser at det er en kollega som ringer.
«– Du må komme på kontoret. Alle systemer er nede, og det ser ut som et ransomware-angrep.»
Båten snus og kursen settes tilbake mot havna. På vei til kontoret raser tusen tanker gjennom hodet til Erlend. «Hvilke data har de fått tilgang til? Hva skal vi si til kundene våre? Bør vi betale? Hvor lenge kan kryptoviruset ha ligget inne i systemet? Er backupen vår trygg?»
Dramatisk endring i trusselbildet
På kontoret til Move AS hører de stadig historier med likhetstrekk til Erlends, men som aldri kommer ut i offentligheten. Move er et av de store IT-kompetansemiljøene i Norge, og er spesialister på denne problematikken.
Den siste tiden har vi sett en dramatisk økning av krypteringsvirus og ransomware. Samtidig har samfunnet blitt mye mer sårbare mot cyberangrep etter at mange har begynt å jobbe hjemmefra. Nettkriminalitet har for lengst overgått den globale narkotikahandelen i antall kroner, og hackerne opptrer stadig mer profesjonelt.
I realiteten er backup siste skanse for å kunne få tjenestene tilbake i produksjon, hvis man har blitt eksponert for et angrep.
– Vi ser at angrepene nå i større grad utføres av statlige aktører og profesjonaliserte kriminelle hackergrupper. Vi ser for eksempel at de sofistikerte hackergruppene har egne Help Desks som guider ofrene for ransomware i hvordan de skal betale ut løsepenger i kryptovaluta. De aller fleste angrepene blir holdt skjult av de rammede virksomhetene, forteller teknologidirektør Åsmund Berget i Move.
– I takt med at denne trusselen har vokst, ser at vi flere ønsker profesjonell hjelp. Backup har til tider blitt behandlet litt stemoderlig av IT-avdelingene. I realiteten er backup siste skanse for å kunne få tjenestene tilbake i produksjon, hvis man har blitt eksponert for et angrep. Vi har flere eksempler på at virksomheten har hatt backup, men at de ikke tør å kjøre «restore» etter et cyberangrep, i frykt for at også backupen er infisert.
Virksomhetskritisk å ha restore-funksjonalitet
Han opplever at stadig flere ønsker å benytte seg av deres Backup-as-a-Service (BaaS).
– Da kan de være sikre på at de beste industristandarder blir fulgt, samtidig som de heller kan bruke tiden sin på egen drift. Tjenesten vår har også innebygget flere funksjoner og ekstra barrierer som man vanligvis ikke har i tradisjonelle backupløsninger.
Move AS har utviklet en tjeneste som kan ivareta dette behovet med den nyeste og beste teknologien på markedet, og leverer det som en backup-as-a-service (BaaS). Løsningen dekker både lokale IT-installasjoner i eget datarom, samt de tjenestene som kundene installerer hos offentlige skyleverandører.
Løsningen vår har multi-cloud support og kan integreres med native funksjonalitet hos offentlige skyleverandører
– Vi tilbyr Backup-as-a-Service (BaaS) med dedikert backup-teknologi fra markedsledende leverandører. Move eier, drifter, supporterer og overvåker løsningen. All data lagres i Norge, og det er lett å få hjelp. Tjenesten leveres med SLA og databehandleravtale signert av Move, forteller han.
– Løsningen vår har multi-cloud support og kan integreres med native funksjonalitet hos offentlige skyleverandører, for eksempel Azure og Amazon native snapshots. Løsningen kan også utvides med Microsoft 365 backup, samt bygges ut med tjeneste for «Ransomware roll back». Vi leverer også en ren Microsoft 365 backup-løsning.
Han poengterer at selv om du bruker Microsoft 365 er det ikke sikkert at det blir tatt backup av dataene i skyen. Leverandøren tilbyr plattform, og du er selv ansvarlig for dataene og må ordne backup på egenhånd.
Kostmodellen til Move AS er PPU-lisenser (pay-pr-use) som faktureres per måned basert på datamengde. Move kan etter avtale overta ansvaret for administrasjon av gjenoppretting.
Basert på industristandarder og beste praksis
Backup-as-a-Service levert av Move følger en rekke prinsipper og industristandarder, blant annet 3-2-1-prinsippet kjent bra backupindustrien.
Industristandarden kjent som 3-2-1 anbefaler at man lagrer en ekstra kopi av backupdata på en annen lokasjon, og på en annen lagringsteknologi. På den måten vil man kunne beskytte den ene backup-kopien hvis kundens eget nettverk er blitt kompromittert. Tjenester fra Move er bygget etter dette prinsippet.
Berget forteller at de baker inn mange ulike mekanismer i løsningene.
– Vår løsning benytter et såkalt «Immutable File System», som gir et ekstra lag av sikkerhet. I tillegg kan man benytte WORM funksjonalitet som hindrer at backupdata slettes. Selv en bruker med administratorrettigheter vil ikke kunne slette data hvis denne funksjonaliteten benyttes. I tillegg til dette, vil man alltid ha en ekstra kopi av kundens backupdata liggende i datasentrene til Move. Dette er en løsning der kundedata vil ligge fordelt over tre datasentre. Det betyr at backupdata er sikret selv med bortfall av en av et helt datasenter. Tanken er å legge flest mulig hindringer i veien hvis man skulle bli utsatt for et angrep, avslutter Åsmund Berget.