En brett upplagd kartläggning som konsultbolaget PwC gjort i samarbete med BAE och National Cyber Security Centre avslöjade härom veckan stora säkerhetsluckor hos säkerhetsleverantörer. En kinesisk hackergrupp, med namnet APT10, lyckades genom nätfiske ta sig in hos leverantörer av nätövervakningstjänster. Operationen fick brett genomslag i media som ”Operation Cloud Hopper”.

PwC kan av olika skäl inte offentliggöra vilka leverantörer det rör sig om, men frågan blir extra känslig eftersom de här leverantörernas affärsidé bygger på tillit. Attacken riktar sig nämligen mot molnbaserade tjänster för övervakning av nättrafik hos kunder, men också mot vanliga molnleverantörer.

Det här är en säkerhetsmarknad som är i stark tillväxt och kallas mis-marknaden, vilken är en förkortning av managed IT security services. Leverantörerna, som har stora egna datacenter kallas msp:er, vilket på engelska står för managed sercurity service providers.

Frågan är extra känslig därför att attackerna lyckades få tillgång till information hos kunderna genom att få access via msp:erna. Rolf Rosenvinge, som är säkerhetsexpert på svenska PwC, uppger att de flesta msp:er var villiga att samarbeta när intrången avslöjades, men det fanns undantag.

– Det fanns msp:r som initialt inte ville medge att de var utsatta, säger Rolf Rosenvinge.

Hans slutsats är att företag bör se över sina avtal med msp:er, och här har cio:n en central roll att spela.

– Cio:n är ofta den som förhandlar om kontrakten, och det inträffade visar tydligt att en bra leverans handlar om så mycket mer än tillgänglighet för tjänsterna, säger han.

Han anser det också vara oroväckande att attackerna har genomförts med traditionellt nätfiske.

– Här är det brister på flera nivåer, inte bara på behörighetshantering och skydd, utan också på nivåerna som rör upptäckt och respons.

Angreppen har riktat sig främst mot företag i Japan och Europa, där svenska företag finns bland de angripna. Rolf Rosvinge vill korrigera den gängse bilden av industrispionage.

– När det gäller industrispionage så är den gängse bilden att det handlar om företag som SAAB och Ericsson, men det stämmer inte. Attackerna riktar sig mot många fler branscher och även mot mindre företag, säger han.

Läs också: 6 sätt som hackare lurar folk för att komma in på företagen

Han tar som exempel ett litet forskande företag som kanske tagit fram en metod som kan öka utfallet för en viss gröda med tre procent.

– Tre procent i svenskt jordbruk är kanske inte så mycket, men för jordbruket i ett land som Kina är en sådan metod oerhört värdefull.

Att Kina nämns i sammanhanget beror på att hackergruppen APT10 med stor sannoliket har sin bas där. Det tror även PwC, som också anser att den förmodligen har statligt stöd.

– Vi har inte kommit över några löneslippar, men det vi vet visar att APT10 är ytterst välorganiserad. Det här är inget som drivs av amatörer, säger han.

Fakta

1. Avtalen med msp:er bör ses över. Ska göras regelbundet. Vilka är garantierna mot ett angrepp av spiontrojaner?

2. Förbättra metoder och organisation för upptäckt och respons. I det här fallet var det PwC som påpekade för msp:erna att de fått in spiontrojaner.

3. Industrispionage kan drabba många – inte bara jättar som SAAB och Ericsson.