DDoS-attacker

En överbelastningsattack (eller DDoS-attack – Distributed Denial of Service) syftar till att göra en digital tjänst otillgänglig genom att översvämma den med trafik. Det handlar inte om att utnyttja en teknisk sårbarhet eller lura en människa att klicka på fel länk – utan om att överlasta infrastrukturen så att tjänsten kraschar eller blir extremt långsam. Det är en ren störningsattack där mängden trafik är själva vapnet.

Dagens DDoS-attacker är oftast distribuerade – det vill säga att trafiken kommer från tusentals olika källor samtidigt. Det gör attacken mycket svårare att blockera, eftersom det inte går att stoppa en enskild IP-adress utan att riskera att även legitim trafik påverkas. Angripare använder ofta så kallade botnät, nätverk av infekterade datorer, servrar eller IoT-enheter, som utan ägarens vetskap kan fjärrstyras för att delta i attacken.

Verksamheter med högt publikt värde eller samhällsviktig information är särskilt utsatta. Det gäller exempelvis kommuner, myndigheter, banker, nyhetsmedier eller vårdgivare. Målet är ofta att påverka tillgängligheten – att hindra medborgare från att få information, lämna in ansökningar eller genomföra betalningar. När det finns ett högt symboliskt värde i att störa tjänsten blir dessa mål särskilt attraktiva för angripare.

Dagens samhälle är starkt digitaliserat. Mycket av vår kommunikation, informationsspridning och samhällsservice sker via nätet. Om dessa digitala tjänster slås ut – även tillfälligt – kan det påverka allt från informationsflöden till krishantering, vårdbokningar eller banktjänster. En DDoS-attack kan därför snabbt bli ett allvarligt samhällsproblem, även om inga system egentligen har blivit “hackade”.

Skyddsnivån varierar kraftigt. Vissa organisationer har avancerade skydd via externa leverantörer eller molnbaserade DDoS-skydd, medan andra förlitar sig på grundläggande nätverksskydd. Ett grundproblem är att det krävs både kapacitet att ta emot mycket trafik och intelligens att kunna skilja på legitim och skadlig trafik. Det är svårt, särskilt för mindre organisationer, att skydda sig fullt ut på egen hand.

Till skillnad från exempelvis ransomware-attacker, där syftet ofta är ekonomisk vinning, är DDoS-attacker oftare politiskt eller ideologiskt motiverade. Historiskt har vi sett att aktivistgrupper (”hacktivister”) och statsstödda grupperingar ligger bakom många DDoS-attacker – särskilt i orostider eller i samband med samhällspåverkan. Kommersiellt motiverad cyberbrottslighet riktar sig i regel mot attacker där det går att tjäna pengar.

Det finns flera tekniska och organisatoriska åtgärder, här är några av dem:

• DDoS-skydd via molnleverantörer (t.ex. Azure DDoS Protection, Cloudflare, Akamai) som filtrerar trafik innan den når verksamhetens egna system.
• Webbapplikationsbrandväggar (WAF) som kan blockera trafik baserat på mönster och regler.
• Statisk kriswebb, en förenklad informationssida som snabbt kan aktiveras och ersätta den ordinarie webbplatsen vid driftstörningar.
• Incidentplanering, så att det finns tydliga rutiner och kontaktvägar om en attack inträffar.

Det första och viktigaste steget är att larma IT- eller driftleverantör så att trafiken kan analyseras och eventuella skydd aktiveras, sedan bör dessa steg följas:

1. Informera internt, så att berörda delar av verksamheten vet att det rör sig om en pågående störning.
2. Aktivera eventuella reservlösningar – som statisk kriswebb eller alternativ informationsspridning.
3. Dokumentera händelsen, inklusive tidsförlopp och tekniska observationer. Det är avgörande både för utredning och framtida förbättring.