Det sårbara digitala samhället

Det är mycket bra att DN i artikelserien Det sårbara digitala samhället har granskat IT-säkerheten och pekat på några av de brister som omger oss i allt från bredbandsmodem, webbkameror, skrivare, arbetsplatsdatorer, styrsystem för vattenkraftverk, webbplatser och bloggar, fastigheters styrsystem till polisens oförmåga att hantera IT-relaterade brott.

DN:s rapportering om det sårbara digitala samhället visar att vi inte verkar ha lärt oss någonting om IT-säkerhet. Gamla misstag upprepas, igen och igen. 1989 skrev Clifford Stoll boken ”En hacker i systemet” (The Cuckoo's Egg: Tracking a Spy Through the Maze of Computer Espionage).

DN:s rapportering om det sårbara digitala samhället visar att vi inte verkar ha lärt oss någonting om IT-säkerhet. Gamla misstag upprepas, igen och igen. 1989 skrev Clifford Stoll boken ”En hacker i systemet” från 1989 (The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage).

Några av de inblandade parternas reaktioner har varit häpnadsväckande naiva och okunniga. Bredbandsbolaget menade att säkerheten i deras modem fortfarande var hög då ”det krävs en teknisk kunnig person för att kunna ta sig in på det sättet”. Comhem förnekade att deras modem var osäkra och backade först efter att ha fått se en film där tidningen hackar deras modem. Comhems råd till sina kunder är att vara ”försiktiga där ute” och att man ska ha ett ”bra virusskydd”. Mantrat att man ska ha brandväggar och uppdaterade antivirusprogram upprepas i TV av en företrädare för MSB. Problemet är att det inte hjälper, i synnerhet inte när en angripare har tagit kontroll över modemet och ändrat DNS-inställningarna. Antivirusprogram skyddar inte mot okänd skadlig kod. Brandväggar ger mycket sällan ett skydd när väl en skadlig kod finns på insidan.

Undersökningen av sårbara Flash- och Javaversioner hos företag, myndigheter, kommuner och landsting är en indikator att i det stora hela klarar vi inte av att hålla en acceptabel hygien i internetanslutna IT-system. Vän av ordning kan påminna oss om att internetanslutna IT-system sällan innehåller extremt skyddsvärda uppgifter (t ex som omfattas av sekretess och som rör rikets säkerhet). Vad är problemet? Det kan ändå finnas ett stort behov av att systemen ska kunna användas. Organisationer har i varierande grad ett behov av tillgängliga IT-system för att kunna leda och följa upp sina verksamheter. Uppgifternas konfidentialitet står sällan i proportion till verksamheternas behov av tillgängliga IT-system. Vinklingen avseende FRA tycker jag var lite fånig men följer medielogiken. Nackdelen är att någon kan bli uppgiven och säga något i stil med ”om inte FRA kan skydda sina IT-system, hur ska då vi kunna det?”

En organisations IT-system som inte alls innehåller någon uppgift som omfattas av sekretess kan fortfarande vara av mycket stor betydelse för att organisationen ska kunna genomföra sin verksamhet. Säkerhetspolisen har t o m krav på IT-säkerhet i IT-system som särskilt ska skyddas mot terrorism, även om systemen inte är avsett för uppgifter som omfattas av sekretess och som rör rikets säkerhet (se kapitel 4 i Säkerhetspolisens vägledning om säkerhetsskydd).

Som Stefan Pettersson skriver om på bloggen Springflod behöver inte alla sårbarheter i IT-system åtgärdas. Om en extern angripare kan utnyttja sårbarheter för att ge sig åtkomst till och ta kontroll över IT-system kan hen dock påverka IT-systemens tillgänglighet negativt. Användarna kan uppleva detta som att IT-systemen blir långsamma, ger återkommande felmeddelanden eller helt slutar att fungera. Sådana attacker kan, beroende på vilken verksamhet det är fråga om, vara ett hot mot rikets säkerhet.

Det är inte bra att att vi som informationssäkerhetskollektiv inte förmått oss att höja blicken från säkerhetsprodukter till arkitekturfrågor. Hur bygger vi säkra IT-system? Det är 2014 fortfarande möjligt att i e-post sända in okänd skadlig kod till en organisations interna IT-system och få den att exekvera där. Så lätt ska det inte vara för en angripare.

DN:s rapportering om det sårbara digitala samhället visar att vi inte verkar ha lärt oss någonting om IT-säkerhet. Gamla misstag upprepas, igen och igen. 1989 skrev Clifford Stoll boken ”En hacker i systemet” (The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage) [köp den hos Adlibris, Bokus eller Amazon] om hur han upptäckte och spårade ett intrång i ett forskningslaboratorium i USA. Det är en läsvärd bok om ett av de första dokumenterade intrången i IT-system. Modemen i boken har bytts ut mot fiber- och ethernetkablar, WLAN och LTE. Datorerna i dag är mindre, snabbare och billigare. I övrigt är sig mycket likt.

Vad behövs för att dessa misstag inte ska upprepas? Det finns inget enkelt svar utan förbättringar krävs på flera plan. På konferensen Rätt Säkerhet 2014 tyckte Erik Wennerström (särskild utredare i NISU) att det allmänna borde kunna ställa tuffare krav vid upphandling. Upphandlarna är för försiktiga för att ställa säkerhetskrav på leverantörer av tjänster och varor. Där kan vi bli bättre.

En annan del handlar om styrning genom t ex lagstiftning. MSB får för vissa statliga myndigheter föreskriva bestämmelser om informationssäkerhet. I en enkätundersökning som MSB låtit genomföra svarade 84 procent att de har en informationssäkerhetspolicy. Enkäten undersökte endast befintligheten av en policy och inte deras kvaliteter. För att kunna undersöka kvaliteten i myndigheternas informationssäkerhetsarbete behöver MSB mandatet att genomföra tillsyn, ett mandat som de nu saknar.

Åh, jag är med i tidningen!

Åh, jag är med i tidningen! Jag tillfrågades om att delta i en intervju men avstod.

I lördagens DN citeras ett av mina tweets. ”DN:s undersökning visar att många inte tar infosäk på allvar. Driftorganisation måste hantera kända sårbarheter med rutiner och verktyg.” Det jag avsåg var att driftorganisationer måste ges ekonomiska, personella och tekniska förutsättningar för ordning och reda i IT-systemen. Det handlar bl a om att ha kunskap om vilka hård- och mjukvaror som ingår i systemen för att kontinuerligt kunna uppdatera program och konfigurationer för att motverka kända sårbarheter. IT-system är sällan statiska utan förändras under sin livstid och kan därför komma att se helt annorlunda ut än när de togs i drift. En driftorgansiation som enbart agerar i efterhand, på användarnas felanmälningar, för att hålla systemen vid liv kommer inte kunna agera när sårbarheter i hård- och mjukvaror blir allmänt kända.

Pierre Anderberg, en av mina kolleger i Högkvarteret, skriver på Twitter att IT-organisationer generellt inte tas på allvar. När dessa är underdimensionerade för förvaltning ger det bristande drift och framsynthet. Han menar vidare att många organisationer har svårt att se till livscykelkostnaderna för system och att nya IT-projekt prioriteras före vidmakthållande av befintliga IT-system. Min tolkning är att de som har till uppgift att se helheten, gör just inte det.

DN:s Kristoffer Örstadius har gjort ett bra arbete. PTS och MSB har påbörjat granskningar. Den ansvarig ministern Anders Ygeman (S) vill nu införa obligatorisk incidentrapportering i någon form. Troligen är det redan något som ligger halvfärdigt på Regeringskansliet då MSB redan 2012 tagit fram ett förslag. De juridiska aspekterna är komplicerade. Förhoppningsvis kan uppmärksamheten för frågorna leda till att andra konkreta förslag som expertmyndigheterna tidigare har lämnat till regeringen kan komma att genomföras.

DN:s avslöjanden är en cyberfis i cyberrymden. Bristerna i samhällets informationssäkerhet är, enligt min erfarenhet, mycket mer omfattande och mycket mer allvarliga än vad de flesta någonsin kan föreställa sig. Artikelserien gör dock nytta som en uppmaning till politiker, myndighetschefer och företagsledare att sätta sig in hur det verkligen ser ut. Den egna rosaskimrande självbilden om säkerhetsläget är kanske inte den som de som faktiskt arbetar med informationssäkerheten har? Organisation och ansvarsförhållanden är klassiska felgrepp. Är det IT-chefen som ansvarar för IT-säkerheten och rapporterar om det till VD? Är myndighetens säkerhetsskyddschef underordnad chefsjuristen eller kanslichefen? Det kanske inte är bra – för informationssäkerheten.

En uppenbar risk är att politiker, myndighetschefer och företagsledare eller deras underställda prioriterar ner skyddsåtgärder när IT-system tas fram. Begrepp som ”risktagning” och ”nyttohemtagning” yttras. Lätt att säga och lätt att besluta, när den som beslutar överlåter de potentiella konsekvenserna av säkerhetsbrister till nästkommande beslutsfattare. Det leder ofelbart till framtida tidningsavslöjanden om det digitala sårbara samhället.

/Kim Hakkarainen

1 kommentar

Publicerad i IT-säkerhet, Säkerhetskultur, Säkerhetsledning, Säkerhetsskydd

En kommentar till Det sårbara digitala samhället

  1. Jag finner det märkligt att man i sin iver från regering och myndighetshåll har ett ökat fokus på informationssäkerhet samtidigt som man utan säkerhetstanke ger Trafikverket i uppdrag att sälja kommunikationstjänster på den öppna marknaden. Det är den sk överkapaciteten i Trafikverkets fibernät längs främst järnvägen som skall tas tillvara. Näringsdepartementet har via årligt regleringsbrevet gett Trafikverket i uppdrag att erbjuda (sälja) överkapacitet på en öppen marknad. Det sägs finnas både svenska och utländska kunder i nätet. Stora svenska, skandinaviska och internationella operatörer och företag sägs vara kunder. Den avdelning inom Trafikverket som sköter detta svarar utan omsvep på frågor om kopplingspunkter och kapaciteter till de flesta som frågar. Och det är klart de gör, för uppdraget är tydligt: ”att erbjuda kommunikationstjänster”. Vidare är mycket av avtalen och informationen förmodligen offentliga om man efterfrågar den på rätt sätt. Trafikverket har ansvar för några av rikets viktigaste infrastrukturer som järnväg, väg men också den långsiktiga samordningen/planeringen av luft och vatten infrastruktur.

    Att vilket företag, person eller främmande makt som helst kan ganska enkelt få information om hur Trafikverkets fibernät är kopplade och sitter ihop med övriga aktörer/operatörer samt stadsnät är lite märkligt. I samma fibernät har man förmodligen styrningen av järnväg och väg samt administrativ IT för myndigheten. Det känns märkligt att man tillåter denna potentiella exponering genom att driva en relativt liten verksamhet för att utnyttja sk överkapacitet (som ändå verkar byggas när avtal sluts) och samtidigt riskerar IT-säkerheten på en av Sveriges viktigaste infrastrukturer. Näringsdepartementet, MSB, PTS och andra myndigheter har nära kontakt med Trafikverket i överkapacitetsfrågan och driver på om att använda liggande infrastruktur i tron att den gör stor samhällsnytta. Det känns något osäkert om den lilla nytta och återbäring som kapacitetsförsäljningen ger till staten, står i proportion till den säkerhetsrisk som verksamheten innebär. Konstigt att ingen utreder, fokuserar eller ifrågasätter detta ur ett säkerhets- eller försvarsperspektiv.

    http://www.trafikverket.se/tjanster/Natkapacitetstjanster/

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *