Ett intrång räcker – men vad händer sen?
I tidigare inlägg skrev jag att cybersäkerhet inte primärt handlar om att förhindra angrepp, utan om att skapa förutsättningar för att hantera dem. Det är inte en fråga om om, utan när ett dataintrång sker – och hur det kan begränsas. Här blir nätverkssegmentering inte bara teknisk strategi, utan ett uttryck för ett systematiskt förhållningssätt till risk, åtkomst och intern struktur.
Vi ser återkommande exempel på hur ransomware inte tar sig in genom de mest centrala systemen, utan genom perifera. Det är inte kassadatorn, bokföringsprogrammet eller CAD-stationen som är initialt mål – det är en uppkopplad telefon, en oskyddad skrivare, en tillfällig uppkoppling utan åtkomstkontroll. När intrånget väl är etablerat handlar det om hur långt angriparen kan röra sig internt.
Här återkommer vi till frågan om zoner – logiska avgränsningar inom nätverk där kommunikation är definierad och begränsad. Låt oss titta tillbaka på de tre tidigare exemplen – hemmet, det lilla företaget och caféet – och se vad som händer när ett intrång sker, och vad segmentering faktiskt kan åstadkomma i praktiken. Vi gör så att vi återbesöker case:n från del 2.
Hemmet – spel, surfplattor och delade nätverk
I hushållet med fyra personer finns en blandning av personliga och delade enheter: mobiler, tv, konsoler, arbetsdatorer. Det är inte ovanligt att alla dessa ligger i samma trådlösa nätverk – inklusive NAS-enheter eller molnsynkade mappar. Ett barn installerar ett spel med bakdörr. En fjärraktör får åtkomst. Därifrån skannas nätverket, åtkomliga resurser identifieras, och inom minuter kan bilder, dokument eller arbete krypteras.
Med ett separat gästnätverk – eller ett dedikerat nät för barnens och IoT-enheter – hade det initiala intrånget saknat åtkomst till resten av nätverket. Inga gemensamma kataloger. Ingen spridning till arbetsstationerna. Ingen vidare rörelse.
Det lilla företaget – funktionell samlokalisering, logisk sammanblandning
I industribyggnaden finns en VD som hanterar kommunikation, en ekonomiansvarig med känsliga uppgifter och en konstruktör som arbetar med CAD. Allas enheter delar nätverk med trådlösa accesspunkter som satts upp för att täcka produktionsytan. En anställd öppnar en bifogad fil från ett phishingmejl. En exekverbar fil installeras. Ransomware aktiveras.
Här blir den avgörande frågan: kan det som sker på en användarklient nå övriga delar av nätverket? Utan segmentering: ja. Med segmentering: nej – eller åtminstone betydligt svårare. Hade användarklienterna legat i ett separat nätverk, med tydliga brandväggsregler, hade attacken stoppats innan ekonomi- och konstruktionsdatorn ens blivit synlig i nätverksskanningen.
Caféet – gästfrihet utan isolering
Kassasystemet är uppkopplat. Administrationen sker från en bärbar dator. Samtidigt ansluter gäster till det öppna nätverket med okända enheter – ibland hundratals olika per vecka. En av dem har redan skadlig kod installerad. Så snart enheten ansluter börjar trafik genereras i det lokala nätverket: upptäckning, skanning, försök till åtkomst.
Här är segmentering inte en rekommendation – det är en nödvändighet. Gästnätet ska inte ha åtkomst till kassan. Kassan ska inte svara på broadcast-trafik. Administration ska ske från ett isolerat arbetsnät, inte från samma SSID som används för allmänheten. Att detta är ovanligt i små verksamheter är inte ett tekniskt problem – det är ett systemproblem. Och ett utbildningsproblem.
… Det här är exempel där nätverkssegmentering inte kräver ny utrustning, utan en annan förståelse för vad ett nätverk är. Inte en sluten kabelbärare, utan en struktur för åtkomst, kommunikation och i förlängningen: angreppsvektorer.
Att segmentera ett nätverk är inte att tekniskt ”skydda något”. Det är att konstruera en topologi där skydd är möjligt. Där angrepp inte blir systemiska. Där lokal skada förblir lokal.
Det här är systemtänkande. Och det börjar, som så ofta, med att formulera rätt fråga: vem behöver egentligen nå vad – och varför?