Så sannolikt är hotet av ett riktat cyberangrepp

Sannolikheten för att ett svenskt företag år 2018 drabbas av ett riktat cyberangrepp är något mer sannolikt (0,0347%) än att en 1-2km stor asteroid träffar jorden (0.001%)[note]http://www.risk-ed.org/pages/risk/asteroid_prob.htm[/note]. Alltså fortfarande inte särskilt sannolikt…

Men vi tar det från början…

Det började med en Tweet:

https://twitter.com/cstromblad/status/1045636328279461889

Hotet om det riktade cyberangreppet dyker allt oftare upp i medierna och det är inte heller sällan vi läser om spektakulära och avancerade cyberangrepp. Vi skulle nästan kunna tro att hotlandskapet består av endast avancerade aktörer som är ute efter just din organisation.

Samtidigt måste vi konstatera det ofrånkomliga faktumet att medier ofta låter sig vägledas av sensationalism eftersom det driver läsare och det i sin tur innebär större intäkter. Kombinerat med människans tillgänglighets-bias (eng. availability heuristics/bias) så är det inte konstigt att cyberdomänen uppfattas som mycket hotfull.

I den här artikeln tänkte jag diskutera det riktade cyberangreppet och mer specifikt försöka bottna i sannolikheten för ett sådant. Trevlig läsning och hör gärna av dig med tankar och funderingar.

Innan vi börjar, ett varningens ord

Det här är ett svårt ämne att diskutera. Dels för att underliggande data är spretiga, bristfälliga och tämligen ovanliga. Och dels för att det finns pengar att tjäna på dess förekomst, något Ross Andersson kanske skulle kalla perversa incitament.

Detta inlägg är ett första försök att analysera och skapa en bättre förståelse för det riktade cyberangreppet, och ännu finns det mycket kvar att göra. Hjälp till, återkoppla och se till att underliggande data blir bättre och mer representativt.

Sverige och sannolikheten för ett riktat cyberangrepp

År 2017 fanns det totalt 1 119 813 företag i Sverige fördelat över enmans-, mikro-, små, medelstora och stora företag. För att göra mängden företag någorlunda hanterbara och måste vi göra någon form av reduktion av antalet.

Låt oss därför exkludera ett stort antal företag (mikroföretag) och företag med endast en anställd vilka tillsammans representerar cirka 819 999 + 259 049 (1 079 048) företag. Ser vi istället till de små (34 117), medelstora (5 589) och stora (1 059) företagen (från 10 anställda till fler än 250) talar vi istället om totalt 40 765.

Om vi utgår ifrån de siffror som ISTR (se avsnittet om Rapporter för mer information om denna källa) redogör om 280 riktade angrepp per år skulle sannolikheten för ett riktat cyberangrepp mot något av alla dessa företag landa på ungefär 0.68%. Men 280 riktade angrepp gäller för världen, hur stor del av dessa ska vi anta är riktade mot Sverige? För att få fram några siffror föreslår jag att vi vänder oss till BNP. År 2017 stod Sverige för 0.67% av världsekonomin, på en 23:e plats. ¹

Resonerat så här får vi istället ett genomsnittligt antal riktade angrepp mot Sverige på cirka 1.876 angrepp per år. Den nya sannolikheten blir alltså 0.0046%. Och då har vi inte ens tagit höjd för vad dessa företag gör och om de ens överhuvudtaget skulle utgöra måltavla.

Ett försök att förbättra uppskattningen om antalet riktade angrepp

ISTR säger (ungefär) 280 riktade cyberangrepp, men det är troligen i underkant. Symantec är en leverantör som förvisso är stor men representerar givetvis långt ifrån alla företag. En bättre uppskattning skulle kunna utgå ifrån Symantecs marknadsandelar, och sedan estimera antalet riktade angrepp utifrån detta. Hur ser det då ut?

Kanske så här? På Gartner Endpoint Security finns flertalet leverantörer representerade. Antag att antalet recensioner är någorlunda representativt för företagets marknadsandelar, totalt 3 466 recensioner. Symantec har fått 399 av dessa vilket skulle innebära att de har en ungefärlig marknadsandel på runt 11%. Givet detta skulle de också upptäcka 11% av de riktade angreppen.

Med dessa nya siffror skulle vi kunna uppskatta antalet riktade angrepp, i världen till cirka 2545. Så istället för att 280 riktade cyberangrepp utförs varje år är det istället 2545. Hur förändrar detta hotet om ett riktat cyberangrepp för svenska företag och organisationer?

Jo, istället för 1.68 angrepp skulle det utföras cirka 15.27 riktade cyberangrepp per år mot Sverige. Och antaget tidigare siffror om antalet företag får vi en sannolikhet på 0.0374%.

Förbättringspotential finns

Det finns givetvis utrymme att förbättra den här initiala uppskattningen. Vi skulle kunna:

Kategorisera företag utifrån bransch och “trolighet” för angrepp

Vi skulle dels kunna kategorisera alla dessa företag och utifrån dessa kategorier försöka avgöra om de är intressanta måltavlor och helt enkelt filtrera bort dom från gruppen av troliga mål.

Enligt ISTR utgör motivet underrättelseinhämtning 90% av alla riktade angrepp och i det här sammanhanget handlar det om forskning, tillverkningskunskap osv. Du ska alltså hantera någon typ av exceptionellt åtråvärd kunskap. Exempelvis om du är leverantör av militär- och försvarsteknologi, eller underleverantör till en sådan. Och är du verksam i länder som är politiskt “känsliga” ökar sannolikheten.

Bättre definitioner av vad som ska anses vara ett riktat angrepp

Det riktade cyberangreppet är givetvis mycket potent som diskussionsämne, men det finns också en hel del oklarheter i begreppet. Vi skulle kunna spendera lite tid att bottna i en slags definition och vilka kriterier som skulle behöva vara uppfyllda för att få kategoriseras som ett riktat cyberangrepp.

Övriga ansatser till att förbättra underlagen

Det finns högst troligen många andra saker som kan förbättra den här uppskattningen. Vi får se, kanske uppdateras den i ett framtida inlägg. Nå väl, nog om det.

Rapporter och övriga underlag

Jag vill försöka vara så transparent som möjligt i det resonemang du har läst. Detta gör det också möjligt för dig att hjälpa till att förbättra underliggande uppskattningar och övriga antaganden.

Först och främst vill jag kort nämna de datakällor jag använt mig utav. Följande källor ligger till grund för den här artikeln:

• En av de publika källor som finns tillgänglig där riktade cyberangrepp diskuteras är Internet Security Threat Report (ISTR) från Symantec.

• Mandiant (ägs av FireEye) M-Trends är en rapport som mer uttryckligen fokuserar på avancerade aktörer, men ger dessvärre inga direkta siffror endast en uppsjö av procentsatser.

• Accenture publicerar en rapport de kallar State of Cyber Resilience och nämner riktade angrepp i absoluta tal men dessa är hämtade från intervjuer…

Jag har utöver det här läst igenom flertalet rapporter från bland annat F-Secure, Kaspersky men inte riktigt kunnat hitta några siffror att använda.

State of Cyber Resilience

Enligt rapporten har de påträffat 232 riktade cyberangrepp. Dessvärre finns det ingenting om hur de definierar ett riktat angrepp varför siffrorna bör tas med en rejäl nypa salt. Vidare menar Accenture att 87% av dessa angrepp förhindrades av de utsatta organisationerna vilket jag gör mig ännu mer obekväm med de här siffrorna.

Underlagen baseras på 4,600 intervjuer från organisationer i 19 branscher och 15 länder (Nord och Sydamerika, Europa, och Asien).

Accenture skriver ingenting om metodiken bakom rapporten. Den är baserad på intervjuer som Accenture har genomfört, men vi vet ingenting om de frågor som organisationerna fått besvara eller för den delen hur de svarat.

Jag betraktar den här rapporten med ganska mycket skepticism. I min värld är den ett mer omfattande försäljningsdokument än vad den är en representativ beskrivning av cybervärlden. Men den är ju “gratis”… och det är klart att Accenture vill försöka tjäna pengar på sitt arbete.

Symantec Internet Security Threat Report

Symantec har totalt 175 miljoner klienter (eng. endpoints) och 126 miljoner övriga attacksensorer i sitt insamlingsnätverk. Vi vet dessvärre ganska lite om dessa klienter och hur de är fördelade geografiskt. 175 miljoner klienter betyder självklart inte att 175 miljoner organisationer är representerade.

Bland dessa miljoner enheter har de kunnat identifiera ungefär 280 riktade angrepp. Jag får fram dessa siffror genom att multiplicera 20 med 14. I det här sammanhanget är 20 det genomsnittliga antalet aktiva grupper och 14 det genomsnittliga antalet organisationer de angriper varje år.

Av alla rapporter är ISTR den jag anser inger mest förtroende, de är tydliga med vilka svagheter rapporten har och svårigheterna med att exempelvis generalisera underlag om riktade angrepp.

Spekulationer från min sida

Det är ytterst ovanligt (som i fallet av Symantec) att de faktiskt redogör för antalet riktade angrepp. Exempelvis M-Trends skriver endast %-satser och aldrig absoluta värden. Eftersom Symantec snarare är undantag än regel får detta mig att bli konspiratorisk. Det finns onekligen starka incitament hos många (de flesta) av dessa tjänste- och produktleverantörer att hausa upp hotet då deras intäkter hänger på detta.

Min kanske uppenbara konspiratoriska tanke är att hotet om riktade angrepp helt enkelt inte är så särskilt stort. Därför måste många av dessa leverantörer lyfta fram de mer spektakulära händelserna istället för verkligheten som verkar tala ett annat språk.

Oavsett kvarstår den i mitt tycke ofrånkomliga slutsatsen att sannolikheten för det riktade cyberangreppet mot svenska företag och organisationer är extremt låg… nu kvarstår bara det relativt enkla arbetet med att räkna ut konsekvenserna från ett riktat cyberangrepp. Men det måste ni tyvärr själva göra eftersom jag inte kan generalisera kostnaderna för detta. Eller jo det kan jag nog göra faktiskt, men ni får onekligen bättre precision i uppskattningen om ni gör den själva.

Referenser