Vi har alla haft dem; oönskade mejl från en obskyr adress där de berättar om sig själva följt av önskemål om att ladda ner diverse bilagor. Om du har otur och faktiskt väntar på en bilaga från denna person kan det gå snabbt att klicka innan du känner lukten av cyberhot. Och det kanske inte händer något heller, mer än att du blir lite förvirrad. Om du har tur.

Det är svårt att veta när bilagan väl har öppnats om hackarna fått en fot in i enheten. De ligger och väntar i BIOS eller någon annanstans, utan att virusskannern upptäcker dem, tills de ger sig in i företagets centrala system, eller hoppar vidare till större partners eller system.

Mindre företag har inte resurser eller den expertis som krävs för att stå emot alltmer avancerade och listiga attacker som utnyttjar verksamhetens svagaste punkter. Mänskliga fel – folk som klickar på något de inte borde – är vägen in för ca 80% av attackerna.

“Med 400 000 nya cyberattacker varje dag som enbart syftar till att hitta en väg in för ytterligare attacker mot hela verksamheten, är ett hot som måste tas på allvar”, understryker han.

Organiserad brottslighet

“Folk föreställer sig att hackare är 20-åringar i hoodies som jobbar från sina sovrum på natten”, säger Ian Pratt, HPs globala säkerhetschef, som nyligen var i Norge under IDC:s cybersäkerhetskonferens på Hotel Continental. “I verkligheten utförs attackerna av kriminella organisationer, strukturerade som vilken IT-verksamhet som helst.”

Pratt berättar att dessa organisationer har olika avdelningar och specialister. Vissa jobbar med betet – mejlen och webbsidorna som ska lura dig att klicka – medan andra letar efter svagheter i säkerhetssystemen, eller använder artificiell intelligens för att utveckla nya sätt att hacka sig in på.

“Vissa av dessa attacker kräver betydande investeringar för att sätta upp av de cyberkriminella”, säger Pratt och säger att det fortfarande är bra affärer, eftersom det finns miljarder att tjäna. “Vi borde vara oroliga eftersom de har råd att rekrytera personer som är mycket kapabla.”

Många av dessa har också statliga kopplingar. Myndigheterna i vissa länder blundar för vad som händer, i utbyte mot tillgång till expertis och tjänster. “Detta är Hacking-as-a-Service”.

AI-driven kapprustning

Det traditionella sättet att identifiera och stoppa virus och skadlig programvara är via ett centralt register. För att komma runt systemet måste de kriminella bara göra saker på ett lite annorlunda sätt än tidigare.

Antivirusprogram uppdaterar snabbt det lagrade registret. Men det finns alltid en “dag noll”; alltså det ögonblick som en attack med okänd skadlig programvara lanseras. Och hackare blir mer och mer uppfinningsrika. Till exempel använder de AI för att spotta ut nya virusversioner som inte känns igen av antivirusprogrammen.

Den svagaste länken är dock alltid användaren själv, i och med den mänskliga faktorn som finns att klicka på länkar/bilagor man uppfattar som ofarliga.

“Några av de kriminella organisationerna har börjat ta till sig maskininlärningstekniker”, säger Pratt. Detta gör det bland annat möjligt för dem att gå in i e-postkonversationer du har med befintliga kontakter, och skriva att de skickar en uppdaterad version av en känd bilaga eller känt dokument. Sedan ska det mycket till för att mottagaren inte öppnar den när det verkar komma ifrån en känd adress.

“Tack vare AI kan de automatisera sådana sofistikerade attacker. Just nu är det bara ett litet antal som gör detta, men vi vet att det inte kommer att dröja länge innan dessa verktyg och tekniker kopieras av alla andra”, säger Pratt.

Små företag är ett lukrativt mål

Ändå finns det många små och medelstora företag som tror att hackarna inte är intresserade av just dem och deras affär.

“Det finns separata grupper som är specialiserade på små och medelstora företag”, säger Ian Pratt. “De kräver kanske inte miljontals dollar i lösensumma, men att tjäna några tusen dollar från ett antal företag, genom helautomatiska processer i stor skala, är en mycket lukrativ affärsmodell.”

Säkerhetschefen förklarar hur hackerföretag kan använda AI och maskininlärning för att attackera mängder av små och medelstora företag per dag. “Attackerna är kanske inte särskilt sofistikerade, men även om mindre än en procent av småföretagen faller för det är det fortfarande hundratusentals dollar i vinst.”