Nätverket KOD

Lärdomar från cyberattacker mot kulturarvsinstitutioner

Vår gård. Klassrum med undervisning om textil.

Albin Larsson

, ,

Under de senaste åren har det skett flera uppmärksammade cyberattacker mot kulturarvsinstitutioner i vår omvärld, bland annat i Storbritannien, Tyskland och Nya Zeeland. Svenska kulturarvsinstitutioner kan i jämförelse verka ganska skonade, men tyvärr är det snarare så att vi inte talar om ämnet än att det inte har förekommit några incidenter eller sårbarheter.1

I brist på information från svenska institutioner, vad kan vi lära oss från hur Archives New Zealand, Museum für Naturkunde i Berlin, British Library med flera hanterade cyberattacker?

Ha alternativa kommunikationsverktyg

Vid angreppet mot British Library slogs telefoner, e-post, nätverk och även fysiska system ut2 . Deras krisgrupp fick sammanträda genom WhatsApp. Även vid angreppet mot Museum für Naturkunde slogs delar av den interna kommunikationsinfrastrukturen ut, till exempel deras e-post.

  • Om era kommunikationssystem ligger nere, kan lednings- och krisgrupper fortfarande sammanträda? 
  • Hur kan övrig personal ta del av information?
  • Om era elektroniska nyckelkort slutar fungera kan ni även då nå relevanta magasinsutrymmen och kontor?

Begränsa mängden känslig data

I fallet med Museum für Naturkunde i Berlin drabbades inte bara museets arbetsverktyg och infrastruktur utan angriparna kom också åt mängder med persondata tillhörande bland annat donatorer.

Att helt undvika att hantera persondata är mycket svårt om inte omöjligt men att tillämpa dataminimering kan drastiskt minska ens utsatthet, speciellt vid en incident. 

  • Vilken data har ni som är känslig?
  • Hur länge behöver persondata ni sparar finnas kvar?
  • Samlar olika system och verktyg in data i onödan (webbanalysverktyg, biljettsystem, etc)?

Externa leverantörer inte fria från problem

I november 2021 publicerades Log4Shell, en så kallad “0-day”-sårbarhet som var högst på allvarlighetsskalan. 0-day innebär att en sårbarhet blir känd innan eller samtidigt som lösningen blir känd. På ett ögonblick tvingades tusentals utvecklare världen över att planera om sin dag för att uppdatera system. Flera leverantörer av samlingsförvaltningsystem i Sverige drabbades. Om du känner till denna incident är det dock troligtvis för att tjänster som iCloud och Minecraft drabbades.

  • Har ni egna kopior på information som förvaltas av externa leverantörer/i molnet?
  • Har ni intern kompetens för att utvärdera och kravställa gentemot era leverantörer?
  • Hur klarar ni er om en leverantör har driftproblem i flera dagar?
  • Får ni ersättning när en leverantör har problem?

Se över åtkomst

I fallet med British Library har bristande kontroll över åtkomst och rättigheter pekats ut som en bidragande faktor till att intrånget kunde ske. Anställda och konsulter hade mer rättigheter än de nödvändigtvis behövde samtidigt som vissa system saknade skydd genom multifaktorautentisering.

  • Uppdaterar ni omgående rättigheter och åtkomst när någon slutar eller byter roll?
  • Ser ni regelbundet över och utvärderar åtkomst/rättigheter?
  • Har ni något system som tvingar er till dåliga lösenordsregler eller regelbundna lösenordsbyten?
  • Har ni något system som inte tillämpar multifaktorautentisering?

Publicera ert publika material på externa plattformar

För British Library tog det flera månader innan de kunde få upp en begränsad version av sitt katalogsök. Mångåriga insatser med öppenhet och uppladdningar till externa plattformar som Wikimedia Commons och Internet Archive gjorde att publiken hade tillgång till kopior av material på alternativa plattformar.

  • Tillämpar ni öppna licenser på media ni publicerar?
  • Tillämpar ni CC0 på metadata?
  • Publicerar ni eller någon tredjepart systematiskt och aktivt ert material på externa plattformar?

Utbilda personal

I flera nämnda fall pekas utbildning av personal ut som en viktig insats för att undvika framtida incidenter.

  • Har ni i närtid utbildat er personal i grundläggande IT-säkerhet?
  • Har er personal kännedom om dataminimering och hur känsliga data ska hanteras enligt lag och interna riktlinjer?
  • Har ni någon gång spelat ut ett krisscenario centrerat kring en hackerattack med lednings- eller krisgrupper?

Avslutningsvis

Idag kan såväl professionella hackergrupper som uttråkade tonåringar skanna ens tjänster och digitala infrastruktur med gratis verktyg. Det är ingen fråga om, utan när vi får ett prominent exempel i Sverige och sannolikheten att man förr eller senare drabbas inte går att bortse från. Vi kan dock påverka hur allvarliga incidenterna blir genom att arbeta vidare och lära oss av varandra i dessa frågor.

Hur gynnsamma blev dina svar på frågorna ovan?

Albin Larsson är mjukvaruutvecklare med fokus på kulturarv. Hans lösningar används av kulturinstitutioner av alla storlekar världen över.

Fotnoter

  1. Det digitala hotet mot museerna ökar. Museer & Omvärld, Riksantikvarieämbetet, 17 januari 2025. ↩︎
  2. Hackergruppen Rhysidas attack mot British Library. Wikipedia. ↩︎

Kommentarer

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Fler inlägg