Utvecklingen på cyberområdet går fort. Fler och fler attacker blir kända. Om det beror på att det blvit fler attacker, skyddet har förbättrats så att fler upptäcks eller att rapporteringsviljan har ökat är oklart.
De stora antivrusföretagen Kaspersky och Symantec har på varsitt håll lyckas dechiffrera Stuxnet och rapporterar att Stuxnet är en del av något större. I själva verket har någon konstruerat en grundplattform som kan moduleras för attack (Stuxnet) eller spionage/spaning (Duqu) eller något annat okänd i tre olika varianter. Ansvariga vid företagen liknar koncepten vid biltillverkning, där tillverkaren från samma bottenplatta kan bygga olika modeller för att vara kostnadseffektiva i produktionen. Alla de sju olika filerna hade symbolen ~d i sitt namn, varför samlingsnamnet på mjukvaruplattformen är Tild~d eller Tilded. Ingen av experterna som Christian Science Monitor intervjuat tror att upptäckten kommer innebära att tillverkaren blir identifierad av denna.
I en annan del av världen utsattes nyligen säkerhetskonsultbolaget Stratfor för en attack som det lösa nätverket Anonymous anklagas för. Genom att skaffa sig tillträde till användardatabasen har någon lyckats komma över cirka 850000 olika användaruppgifter avseende lösenord. De cirka 75000 betalande kunderna har i samband med detta fått sina kreditkortsnummer röjda och därmed sammankopplade till lösenord som kanske kan användas i andra sammanhang. The Guardian har låtit en expert undersöka den lista som ligger ute på databasen och rapporterade häromdagen att 221 anställda inom brittiska försvaret och 242 NATO-tjänstemän på det här sättet löper risk att få sina uppgifter utnyttjade för dunkla syften. Cirka 19000 personer associerades till den amerikanska .mil-adressen. Represententer för den brittiska regeringen framhåller att det inte finns någon risk för de egna systemen och att det brittiska Computer Emergency Response Team ger råd och riktlinjer för hantering av systemen.
En annan, potentiellt farligare, hackning har gjorts mot israeliska privatpersoner av någon som påstår sig vara saudier med signaturen oXOmar. Genom att ta sig in i 80 olika hemsidor för shopping under 6 månaders tid, så har kring 400000 israeliska kreditkontouppgifter blivit exponerade. Den biträdande israeliske utrikesministern, Danny Aylon, kallar det hela för en terroristhandling och att Israel kan slå tillbaka mot den som underminerar Israels cybersuveränitet. Han kan bli bönhörd, eftersom israeliska hackare påstår sig ha gjort samma sak mot saudiska medborgare och bara väntar på rätt ögonblick att tillkännage sin framgång. Det hela skulle enkelt kunna eskalera på ett otäckt sätt om de olika hackarna mer systematiskt gav sig på samhällstjänster som banker och elsystem.
Behovet av internationella konventioner och lagstiftning är betydande. Ett väldigt stort problem i sammanhanget är möjligheten att koppla individer till IP-adresser vid aktuell tidpunkt för olika slags dataintrång. Om intrånget kommer från ett annat land är det just nu i princip omöjligt om inte det landets myndigheter occh operatörer vill eller kan samarbeta. De oklara gränserna i moderna konflikter är ett problem för att kunna klassificera aktörer och genomföra åtgärder inom ramen för ett rättsamhälle.
Hur ser det ut i Sverige? Vi ligger bra till både tekniskt och konceptmässigt när det gäller skydd, men stuprör mellan sekqtorer och myndigheter begränsar möjligheterna till koordinering. Inte mycket har hänt sedan Försvarsutskottet i april 2000 i samband med ett yttrande om propositionen Ett informationsamhälle för alla; uttalade:
”Försvarsutskottet delar regeringens uppfattning att ansvaret för informationssäkerheten även fortsättningsvis skall ligga hos de myndigheter, företag och organisationer som har det normala verksamhetsansvaret. Ställningstagandet är – som anförs i motion T29 – okontroversiellt. Informationssäkerheten kan inte betraktas som något annat än en normal del av verksamheten. Denna ordning är emellertid inte tillräcklig. Tvärsektoriella hot kräver tvärsektoriella lösningar. Ansvarsfrågorna i ett mer nationellt perspektiv måste nu äntligen klaras ut.
Det är utskottets mening att den utredare som nu arbetar måste lämna förslag till hur en tvärsektoriell samordning för IT-säkerhet och skydd mot informationskrigföring i Sverige bör utformas.
Utskottet erinrar om riksdagens tidigare tillkännagivande i frågan (bet. 1995/96:TU19). Försvarsutskottet utgår således från att regeringen snarast därefter återkommer till riksdagen med förslag som redovisar de konkreta åtgärder – och eventuella författningsförslag – som behövs för ett mer samlat ansvarstagande för Sveriges informationssäkerhet än hittills.”
I den svenska debatten saknas också det offensiva perspektivet. Som jag skrivit tidigare, så finns det flera likheter med flygkrigföring som vi måste förhålla oss till för att kunna ta ställning. Utmaningen blir att utforma ett IT-försvar med reell förmåga utan att trampa på individens rättigheter. Här finns det anledning att följa Finland som ligger längre fram i tankeprocessen.
Du vet väl om att du kan följa oss på Facebook: Försvar och Säkerhet och på Twitter @Forsvarsakerhet
Din beskrivning av läget i Sverige visar hur eftersatt det här området är. Detta är en av Sveriges främsta forum för säkerhetspolitik och omvärldsanalys ur ett säkerhetsperspektiv. Men du använder begreppet ”informationssäkerhet” på ett sätt som gör att man verkligen undrar hur många som kan definiera begreppet.
Begreppet kan jämföras med arméregementen. Där finns materiel skyddad och tillgänglig. Endast behöriga kommer in och materiel kan endast flyttas på ordnade sätt enligt vissa rutiner. Alla aktiviteter är hårt reglerade. Informationssäkerhet reglerar ungefär samma aspekter av information.
Men eftersom bloggen handlar om säkerhetspolitik så måste förstås diskussionen vidgas långt utöver begrepp som informationssäkerhet. Om ett symmetriskt eller asymmetriskt hot uppträder i informationsarenan med en tydlig avsikt att tillfoga skyddsvärda objekt och resurser (i informationsarenan) skada, i ett andra syfte att tillskansa sig resurser – så är Sverige katastrofalt dåligt skyddat.
Det går inte att gå in på exakt varför och hur i ett öppet forum men dessa missförhållanden bör granskas.
@Max. Stort tack för konstruktiv kritik. Jag citerade bara ur Försvarsutskottets yttrande. Du får gärna utveckla din avslutning så gott det går.
Anonymous förnekar att de skulle ha hackat stratfor, eftersom de (iaf de som uttalar sig för anonymous i det här fallet…) tycker att Strafor är typ det bästa sedan skivat bröd. De skyller på en agent provocateur och att det hela luktar lite HBGary.
Länk:
http://www.tgdaily.com/security-features/60413-anonymous-denies-stratfor-hack
Jag kan nämna en företeelse och det är sammanvävningen av privat och offentlig sektor inom ICT. Det finns idag en rad privata företag som staten anlitar på det här området. Man behöver bara fundera på vad enskilda befattningshavare i dessa bolag skulle kunna utsättas för och vad det i sin tur skulle kunna leda till för staten och ytterst för befolkningen. Jag vill inte peka ut några enskilda bolag och personer men det är ganska lätt att anskaffa den informationen från öppna källor.
Dessutom är det idag relativt enkelt att åsamka skada eller skapa trovärdiga hot om skada på samhällsviktig infrastruktur via informationsarenan. Det har vi redan sett många exempel på.
Det går inte i öppna informationsskällor finna någon trovärdig politik eller grundlig strategi för att möta den här typen av hot.
Hot inom informationsarenan präglas av ”hotet inifrån” där svaga länkar återfinns innanför (brand)väggarna vilket utnyttjas av illasinnade aktörer.
Motivbilden skiljer sig inte från konventionella hot. Många ”ondsinta” aktörer är fattiga och lite förenklat: avundsjuka. Men effekten av genomförda attacker är svårare att begränsa än attacker i t.ex. markarenan.
Idag finns mörka eller svarta nät av typen TOR tillgängliga för alla som vill hota eller skada. Ingenting görs för att möta eller hejda. Slå är omöjligt. Underrättelser bedrivs förvisso men scenarioutveckling saknas mig veterligen. Mycket av den teknik som banditerna använder uppfinns, utvecklas och vårdas här i Sverige.
HBGary och enskilda hackare i Anonymous ligger i krig med varandra. Eller så har de iscensatt ett krig. Perfekt marknadsföring för båda.
Det värsta med hackerkriget (mellan hackers och stater/It-säkföretag är att lojaliteterna skiftar så snabbt. Men hackers är i sig inte ett hot mot nationell säkerhet. Detta visar Daniel Goldberg och Linus Larsson i boken ”Svenska Hackare”.
Hackare och hackares metoder kan däremot användas av illasinnade i syfte att komma åt information. Informationen kan sedan användas i ett underrättelsearbete som i sin tur kan användas vid en attack mot samhällsviktiga funktioner i syfte att tvinga till sig/stjäla resurser. Även utpressningsscenario är vanliga.
Håll utkik efter boken ”Revolution” av Carl Bluhm. Den handlar om hur internationell organiserad brottslighet använder hacker-metoder för att komma åt information i syfte att pressa de skandinaviska (”blåögda”) länderna på pengar. Boken kommer ut om något år.
@Max. Stort tack för att du delar med dig av dina kunskaper. Vad skulle de viktigaste åtgärderna vara för att öka skyddet för vitala funktioner, enligt din mening?
Jag tror att internationell lagstiftning och konventioner är en ohållbar lösning. Även ifall det mot förmodan går att få till gör oförmågan att verkligen kontrollera vem som står bakom aktiviteten, att dessa konventioner i slutändan skulle bli värdelösa.
Nu kommer jag att låta som en intetsägande politiker som missbrukar ord som ”comprehensive” och ”koordinerad”, men det måste finnas en cyberbyrå med ansvar för HELA Sverige. Att göra en distinktion mellan civil och militärt cyberskydd ger ingenting (något som Anders Lindberg tyckte vid fråga). En cyberattack kan likaväl rikta sig mot civila mål med med militär ”avsikt”.
Den förmågan som byggs upp måste båda båda jobba med prevention, genom att test-attackera skyddssystemet, samt till krishantering – motsv CERT-team.
Ehm, och så långt tror jag mina åsikter om cybersäkerhet sträcker sig. Något som gör området extra dynamiskt är att utvecklingen kan gå mycket fortare än konventionell rustning.
Det förebyggande arbetet att nå en tillräcklig nivå av IT-säkerhet är av stor betydelse. Påståendet att vi, när det gäller skydd, ligger bra till både tekniskt och konceptmässigt kan i få avgränsade fall vara korrekt. De fundamentala bristerna i IT-säkerhet delar vi dock, enligt min mening, med resten av världen.
En sådan brist är att frågor om tilltro till säkerhetsegenskaperna i ett IT-system ges för lite utrymme. Fokus ligger på funktionella säkerhetskrav (t ex kravet att ett användarkonto låses efter flera på varandra följande misslyckade inloggningsförsök). Att ställa krav på och verifiera med en tillräcklig grad av tilltro att ett IT-system faktiskt har de önskade säkerhetsegenskaperna (assuranskrav) görs sällan eller inte tillräckligt väl. Det handlar inte enbart om att utvärdera de önskvärda säkerhetsegenskaperna utan även om att med en nivå av säkerhet avgöra förekomsten av icke önskvärda egenskaper. IT-säkerhet kan här liknas med utveckling och användning av kryptologiska funktioner där det är lätt att göra fel och där oupptäckta misstag kan leda till röjande eller förvanskning av den information som ska skyddas. Sveriges Certifieringsorgan för IT-säkerhet (CSEC) arbete med säkra IT-produkter är i detta avseende flera steg i rätt riktning. Även säkerhetskontoret vid den militära underrättelse- och säkerhetstjänsten (MUST) arbetar med kravställning av såväl funktionella säkerhetskrav som assuranskrav på säkerhetsfunktioner i IT-system. Även andra aktörer bör använda sådan kravställning och verifiering av säkerhetsegenskaper.
En annan brist är användningen av osäkra arkitekturer i IT-system. Fokus ligger, enligt min mening, fortfarande med en större vikt på enskilda säkerhetskomponenters egenskaper och mindre på helheten i IT-system och hur IT-system samverkar med varandra. Det behövs mer goda exempel eller författningsstyrda krav för att utvecklare, IT-arkitekter, IT-säkerhetsansvariga m fl ska höja blicken och se helheten.
Min erfarenhet är att det finns företag och myndigheter som har en undermålig IT-säkerhet och i vissa fall inte kan sägas uppfylla minimikrav. Något tillspetsat verkar tilltron till IT-säkerhetsegenskaper bestå i att läsa de specifikationer som Dustin tillhandahåller innan man trycker på köpknappen. Jag tror att denna undermåliga IT-säkerhet delvis kan förklaras med en övertro på den egna förmågan samt brister i IT-säkerhetskompetens. En IT-säkerhetschef vid en svensk myndighet bör ha en kompetens som motsvarar Chief Information Assurance Officer-utbildningen vid Försvarshögskolan.
Max sade;
”Hackare och hackares metoder kan däremot användas av illasinnade i syfte att komma åt information. Informationen kan sedan användas i ett underrättelsearbete som i sin tur kan användas vid en attack mot samhällsviktiga funktioner i syfte att tvinga till sig/stjäla resurser. Även utpressningsscenario är vanliga.”
Menar du det där Wikileaks? Om någonting man säger inte tåler ljuset så ska man inte sätta det på pränt! Man ska ha så lite hemligheter som möjligt. Lita på att sitt folk kan läsa och lösa en situation utan detaljstyrning. Det kallas för uppdragstaktik. Ledningstaktik leder kontraproduktivt till omfattande byråkrati, och agenterna kan ändå inte förväntas läsa all den ihopsamlade nedskrivna materielen. Ju mindre som finns nedskrivet i hemlighet och ju mer som är öppen information (dessa två faktorer är direkt relaterade till varandra), desto mindre kan hamna i fel händer. Genom att vara selektiv och öppen i högre grad, så får man fria händer att ägna sig åt väpnad strid om det kommer till det, utan att låta sig styras av vare sig FML eller ett överflöd av hemlig information som man pliktskyldig har samlat på sig. Då blir man effektivare och överbelastar inte hjärnan med för striden ovesäntligheter. Det är det svenska sättet att tänka. Naturligtvis är det upp till varje land och militär organisation hur mycket som ska finnas på pränt som ”classified information”, man kommer inte någonsin undan att en del saker måste vara hemliga. Det allvarligaste med cyberhotet är den ekonomiska skada den kan åstadkomma.
Roger Klang, Lund Scaniae Sverige
@Max:
Det är inte mitt problem om amerikanarna inte kan hålla sina hemligheter hemliga. Wikileaksaffären borde handla om bristen på amerikansk säkerhet för hemligstämplat material, inte om svensk öppenhet och rättspraxis! Amerikanarna ska inte stifta lagar i mitt land, lika lite som ryssarna ska göra det med sin historierevisionism-lag som gäller utanför Rysslands gränser, tillexempel i Baltikum drabbas historiker av denna. Förstår du detta?
Mvh Roger Klang
Roger: Nej, jag syftar inte på Wikileaks. I övrigt tycker jag du har rätt, hemlig-trenden är mycket oroväckande. Jag delar din uppfattning och lägger till följande: Imperialism i alla former är kontraproduktivt, även för befolkningen i de länder som utövar imperalismen.
Kim: De åtgärder du beskriver är mycket bra. Det jag dock vill lägga till är att eftersom detta är en blogg om Krigskonster så tror jag inte det räcker att tänka i termer av Informationssäkerhet (och absolut inte i termer av IT-säkerhet). Här handlar det om att beskriva en fiende och ett scenario och möta detta med strategi – precis som alltid när vi pratar säkerhetshot och hantering fientligt sinnade krafter.
Försvar och säkerhet: Du är själv inne på ett viktigt område: ”stuprören” mellan myndigheterna. MSB bör ha ledartröjan men de saknar nyckelkompetens som finns på FRA, FOI, MUST, SÄPO och på olika håll inom Försvarsmakten.
En vanlig missuppfattning är att individens integritet hotas av att myndigheter samarbetar men det beror ju VAD de samarbetar om. Handlar det om metod, forskning, utveckling, övning el dyl så är det av godo. Tyvärr sker inte det i tillräcklig omfattning. Varför? Det saknas politiska styrningar som i sin tur beror på kunskapsbrister hos politiker. Dessutom är massmedia ointresserade av området. Man är mer intresserade av att någon faktiskt spränger sig själv under julhandeln – om man spetsar till det.
@Max:
När du uttrycker dig så, så håller jag med. Tyvärr så är det nog antingen brist på intresse, att folk och ledare inte är patrioter, alt att man har en politisk övertygelse som gör att man förnekar Sverige och svenskar, som SVT/SR/UR, som gör att vi är kulturlösa. Vi förlitar oss på alla förutom oss själva vilken typ vi än är. Utom jag som är patriot.
Roger klang
Roger: Om du är patriot så bör du väl skriva SKÅNE och inte SCANIAE?
Skämt åsido, jag tror inte detta har så mycket med patriotism att göra.
Som medborgare och skattebetalare i ett demokratiskt land måste man förhålla sig till grundlag, riksdag, regering, domstolsväsen och massmedia. Angrepp mot dessa måste försvaras. Även när det sker i informationsarenan.
Sverige är ett föregångsland avseende utveckling av hårdvara och i viss mån mjukvara och management inom ICT. Däremot är vi ett u-land vad beträffar reglerat användande av dessa resurser och förmågor. Ibland upplever jag att vi skapat Frankensteins monster. ICT-sektorn i Sverige har växt oerhört snabbt och livskraftigt och risken finns att det blir ett monster som vänder sig mot oss. Hur reglerar man det utan att döda det?
Om vi vill att sektorn skall fortsätta leva och frodas måste vi fundera på hur vi skall reglera den så att den inte blir en fristad för kriminella oavsett vilken nationalitet, kultur eller religion de har.
Ytterligare ett konkret förslag för att komma vidare är att definiera vad som är skyddsvärda objekt i informationsarenan. Vem gör det idag? Vem forskar eller utreder sådant? MSB? PTS? KTH? HD?
Stuxnet är väl ett av få virus som har medfört ökad säkerhet?
Det störde i princip bara ett antal maskiner som man visste fanns i det iranska kärnvapen programmet.
Tillverkaren av maskinerna gav serienumren till en demokratisk stat, som samarbetade med en annan demokratisk stat för att utveckla programvaran.
Det är allmänt känt vem tillverkaren var och vilka de samverkande demokratiska staterna var men man ska ju inte sprida rykten…
@Max:
Aha, men det finns en knorr på varför jag använder det latinsk-svenska Scaniae (inte det latinsk-engelska Scaania). Jag är patriot inte lokalpatriot och jag vill heller inte ge vare sig danskar, britter eller amerikaner som önskar se en splittring mellan Skåne och resten av Sverige vatten på sin kvarn! Scaniae var det rikssvenska namnet på skåne med ett a istället för två som lätt kan tolkas som det skånska ”eåo”. Inget fel på övriga skåningar, men jag vill inte att den äldre danskvänliga mentaliteten ska stanna kvar. Ungefär så. Voila – patriot.
Mvh Roger Klang