Attack mot BankID – så hanterades angreppet
Publicerad: 2021-09-23
Senast ändrad: 2024-10-07
På kvällen den 23 februari 2021 utsattes BankID-systemet för ett allvarligt överbelastningsangrepp via internet. Det här berättar företagets säkerhetschef Andreas Bergqvist om incidenten.
Med sina över åtta miljoner användare i Sverige och 17 miljoner genomsnittliga inloggningar per dygn är det ingen överdrift att kalla BankID den mest kritiska delen av det svenska samhällets digitala infrastruktur.
Under tidsperioderna 19:45-20:15 och 21:45-22:10 den aktuella aftonen kunde BankID-användarna uppleva problem med att logga in eller att svarstiderna var längre än normalt.
– Detta scenario både övar vi på och har väl etablerade processer samt skydd mot. Så när väl attacken riktades mot oss så var all relevant personal mycket snabbt på bollen att avvärja den. Vi arbetade aktivt med att se till att alla skydd som behövdes hela tiden var aktiva och med det säkerställdes att våra slutanvändare kunde använda vår infrastruktur även fast attacken pågick, förklarar Andreas Bergqvist..
Kommunikation och transparans
Andreas Bergqvist pekar på att en viktig aspekt när en verksamhet blir utsatt för en nätattack är att behålla lugnet och stödja sig på de förberedelser som man gjort och se till att rätt kompetens jobbar med rätt sak.
– I vår hantering är kommunikation en väldigt viktig del, att alla som undrar får svar för att skapa både en förståelse av vad som händer och vad vi gör för att lösa problemet. Transparens är bra när det kommer till dessa typer av händelser, säger Andreas Bergqvist.
Överbelastningsangrepp
Ett överbelastningsangrepp kallas på it-språk för en ddos-attack. Förkortningen ddos uttyds ”distributed denial of service” och innebär att en tjänst på nätet bombarderas med en enorm mängd datatrafik, vilket då hindrar användare från att ansluta till tjänsten. I vissa fall kryper hastigheten, bandbredden, ned till snigelfart. Ddos-attacker kan dessutom utföras i utpressningssyfte. Vid just den här attacken förekom inga meddelanden eller krav på lösensumma från angriparna, vilket gör syftet är höljt i dunkel. Därutöver är det svårt att klarlägga vilka förövarna är och var i världen de befinner sig.
– Attacken skedde med hjälp av ett så kallat botnet, en samling av datorer som en angripare kapat och med hjälp av dem skickar massiva datamängder för att på så sätt överbelasta våra system. Det är en form av attack som i sig är väldigt svår att spåra då de kapade datorerna är utspridda i olika länder och de personer och företag som äger dem vet i regel inte om att just deras dator är med i en cyberattack, säger Andreas Bergqvist.
Kapade datorer
I och med systemet hanterar drygt 5 000 företag, myndigheter och organisationer som använder BankID för identifiering och underskrift i sina e-tjänster är det rimligt att anta att några av tjänstens egna kunder helt omedvetet var en del av attacken.
– Angripare som använder sig av botnets gör det för att det är ett kraftfullt verktyg som kan anpassas relativt enkelt och kan användas till olika former av cyberangrepp, allt ifrån överbelastningsattacker till informationsstölder. Det är också svårt att spåra då ett botnät kan bestå av tusentals datorer och servrar från ovetande privatpersoner och företag, placerade i flera olika länder. Detta gör att arbetet för brottsbekämpande myndigheter blir mycket svårt när det kommer till att försöka hitta personerna bakom, säger Andreas Bergqvist.
Angriparna varierar tillvägagångssätt
Överbelastningsattacker är ett hot mot alla verksamheter som har en digital närvaro på nätet och det är viktigt att man planerar, övar och har verktyg att sätta mot när en sådan attack inträffar.
– Som en del i Sveriges digitala infrastruktur ser vi givetvis många attacker av den här sorten. Det som många misstar sig på är att de tror att alla överbelastningsattacker går att likställa med varandra. Så är det inte, angripare försöker hela tiden att ändra tillvägagångssätt för att försöka slå ut digitala måltavlor och det är därför det är så viktigt att man har ett väl inövat försvar samt att hela tiden se över de digitala skydden, menar Andreas Bergqvist.
Viktigt samarbete
Samarbete bland de verksamheter som hanterar skyddsvärd information, eller bekämpar de som vill stjäla densamma, är mycket betydelsefullt för att effektivt kunna försvara sig mot digitala hot.
– Självklart samverkar vi med andra, både företag och myndigheter. Det ger en god beredskap. Vi polisanmäler alltid brott som riktas mot oss, vilket vi givetvis även gjorde i detta fall. Jagär av uppfattningen att för få företag väljer att anmäla när de utsätts för ett cyberbrott, säger Andreas Bergqvist.
Extrem upptid
Den så kallade upptiden för BankID-tjänsten är imponerande 99,99 procent på ett år, vilket i internetsammanhang är liktydigt med en superstabil leverans av datapaket över nätet.
– Med snart 20 års erfarenhet och mycket hög expertis inom säkerhet och teknik kan våra användare, företag och myndigheter lita på Bankid. Vår målsättning är att fortsatt utveckla och erbjuda digital identifiering och elektronisk underskrift som är snabb, säker och värnar om användarnas integritet, avslutar Andreas Bergqvist.
Tips på hur du använder BankID på ett säkert sätt
- Läs alltid texten som visas i BankID-appen och kontrollera var du loggar in och vad du skriver under. Är du osäker, välj avbryt.
- Lämna aldrig ut koder från BankID till någon annan.
- Använd aldrig ditt BankID på uppmaning av någon annan person.
- I BankID-appen kan du se vilka identifieringar och underskrifter du gjort. Kolla historiken.
Artikel ur tidningen Tryggare Samhälle .