Cybersäkerhet

Claes och hans kollegor ser till att trafiken flyter på nätet

En DDoS-attack översvämmar en webbplats med anrop från flera olika avsändare. Genom att störa eller stänga ner en hel verksamhet kan angriparen utpressa sin måltavla, uppnå politiska syften, eller helt enkelt sabotera för någon de tycker har gjort sig förtjänt av det. Claes Sahlström och hans kollegor håller koll på de stora trafikströmmarna på nätet, och tillsammans avvärjer de flera hundra överbelastningsattacker i månaden.

Storstad i nattljus

DDoS-teamet arbetar med att övervaka stora trafikströmmar så att inte prestandan i Telias core-nät äventyras. De säkerställer att rätt data når fram till kunder i privat och offentlig sektor och att skräp sorteras bort. Trafiken filtreras utifrån förutbestämda regler och misstänkt stora trafikströmmar styrs till någon av Telias Threat Management Servers (TMS).

Målet med en DDoS-attack är att sabotera vid ett enskilt kritiskt tillfälle, eller stänga ner all verksamhet för den man attackerar.

Det är tråkigt att mitt arbete ska behöva göras, men jobbet är stimulerande och det känns meningsfullt att veta att vi gör skillnad, säger Claes Sahlström som arbetar i Telia Cygates DDoS-team.

Så sabbar en DDoS-attack

Det är inte bara nättjänster och e-handel som påverkas av en DDoS-attack. Allting som använder samma förbindelse störs, som exempelvis att skicka mejl eller ha digitala möten. Även en fysisk produktion kan behöva stängas om det till exempel inte går att skriva ut några fraktsedlar.

Om nätet inte levererar är det mycket som slutar att fungera, vilket kan få stora ekonomiska konsekvenser, men även riskera liv och hälsa, säger Claes Sahlström.

En DDoS-attack kan jämföras med att det skickas oerhörda mängder post till en viss adressat. Om volymen plötsligt ökar från 500 till 5000 brev blir det överfullt både i brevbärarens väska och i mottagarens låda. Konsekvensen är att den riktiga posten inte får plats, och ställer till det både för den som utsätts och andra som kommunicerar över nätet. DDoS-skyddet kan beskrivas som en brandvägg som fokuserar på volymer snarare enskilda datapaket.

Skyddet appliceras när vissa tröskelvärden överstigs, och ger den vanliga brandväggen en chans att hinna med sitt jobb. Attackerna blir fler och allvarligare, säger Claes Sahlström.

När Rysslands inledde sitt anfallskrig mot Ukraina förändrades attacklandskapet. Antalet politiskt motiverade attacker har ökat, och de genomförs av nätverk som har stora resurser bakom sig. De riktar sig mot myndigheter och andra samhällsviktiga verksamheter, som sjukhus och banker, för att väcka oro och skapa instabilitet.

Vi ser att attackerna kommer i vågor utifrån vad som händer i världen, och när det exempelvis fattas beslut om vapenexport till Ukraina kavlar vi upp ärmarna, berättar Claes Sahlström.

Trots att allvarliga DDoS-attacker har ökat mest under de senaste åren, är merparten simpla. Den vanligaste typen av attacker handlar om att skapa sig fördelar i gaming och gambling på nätet. Idag kan vem som helst med ett kreditkort kan beställa en attack och alla verksamheter med en internetuppkoppling är en potentiell måltavla.

Det kan räcka med att förarga någon för att hamna i skottlinjen. Som att ett bussbolag dragit om en linje eller att försäkringsbolaget inte täcker vattenskadan säger Claes Sahlström.

Det är tråkigt att mitt arbete ska behöva göras, men jobbet är stimulerande och det känns meningsfullt att veta att vi gör skillnad.

Claes Sahlström

Telia Cygates DDoS-team

Grafik i lila

Få svar från en säkerhetsexpert

Ställ en säkerhetsfråga till oss så utlovar vi ett snabbt svar från någon som kan svara.

Få svar från en säkerhetsexpert