Hot att skydda sig mot
Hej Tomas Djurling, på vår myndighet har vi diskuterat det här med riktade attacker. Hur stort problem är det egentligen och vad kan man göra åt det?
Svar: Du tar upp ett problem som är den stora utmaningen för alla som arbetar med säkerhet de kommande åren.
Det finns vägar att gå men det krävs ett helt nytt tillvägagångssätt och ett helt nytt tankesätt än vad de flesta är vana vid. För att kostnaderna för säkerhet inte ska skena iväg, gäller det att arbeta metodiskt och strategiskt från första början med denna stora utmaning.
Dagens situation
Riktade attacker mot företag och myndigheter tillkom på allvar för 7-8 år sedan och de har bara blivit värre. Det som hänt det senaste året är att angriparna inte ger sig, utan försöker ta sig in tills de lyckas.
Tidigare gav angriparen ofta upp efter första eller andra försöket, nu fortsätter man tills man är inne och gjort det som avsågs med intrånget. Det blir hela tiden vanligare med kombinationen av extern attack med hjälp av insiders. Då det iranska kärnkraftsverket Bushehr blev smittat av Stuxnet så kom det in i de interna systemen med hjälp av ett USB minne.
Den vanligaste anledningen till dagens intrång är informationsstölder eller att förstöra eller förändra informationen.
Aktörerna bakom de riktade attackerna
Eftersom de lite mer avancerade attackerna utförs av organiserad brottslighet och av andra stater, så är i stort sett all information av intresse. Detta faktum gör att all offentlig och privat verksamhet är potentiella mål för angriparna.
De verksamheter som har viktiga samhällsfunktioner är ett prioriterat mål för andra stater. Den mest kända attacken som utfördes av någon stat riktad mot ett annat land är Stuxnet. Stuxnet är gjord för att hitta och ta över industriprocesser, för att sedan slå ut produktionen. Denna attack visar hur långt andra stater är beredda att gå för att uppnå sina mål och syften.
Stuxnet är idag ute på internet och sprids över världen. Eftersom Stuxnet har en avancerad uppgraderingsfunktion kan den uppgraderas för nya mål och uppgifter. Denna mask/trojan är en automatisering av delvis riktade attacker. En naturlig följd av Stuxnet är att det kommer att komma liknande maskar som riktas in mot olika samhällsfunktioner eller sektorer. En mask som är gjord för att stjäla, manipulera eller förstöra information och kunskap inom t.ex. energiförsörjningen, transportsektorn, det monetära systemet, vatten och livsmedelsförsörjningen etc.
Sverige kommer sannolikt inte att vara det primära målet för en sådan attack, men vi kommer att bli utsatta eftersom det är maskar och trojaner som utför attackerna. Attacker som bearbetar en viss sektor överallt i världen där de kommer åt.
Att det sedan länge bedrivits verksamhet runt om i världen för att plantera trojaner i olika länders myndighetssystem och andra kritiska samhällsfunktioner borde inte vara någon överraskning för någon.
Det som är en överraskning är att så få verksamheter faktiskt vidtar relevanta åtgärder för att skydda sig. Varför offentlig och annan verksamhet inte vidtar några åtgärder beror sannolikt på:
1. att man inte riktigt tagit åt sig eller insett att detta är ett växande problem.
2. att man förlitar sig på sina brandväggar
3. att man inte vet hur man ska hantera detta problem.
Dessa brottslingar/stater är det hot myndigheter verkligen måste skydda sig emot. Att bara använda sig av brandväggar som skydd räcker inte idag. Detta oavsett vilket märke eller modell du har på dina brandväggar.
För en medveten angripare tar det några minuter att ta sig förbi en brandvägg. Väl inne i det interna nätverket är säkerheten ofta väldigt svag. Det är oftast helt okrypterad trafik i det interna nätverket och datorer är dåligt säkerhetsuppdaterade, vilket gör att en angripare bara behöver undersöka datatrafiken i nätverket för att komma åt lösenord och annan information som passerar. Denna nätverksinformation möjliggör sedan att angriparen har kontroll över utrustning och information.
Väl inne tar det inte lång stund innan angriparen tar full kontroll över det interna nätverket.
Jag hör ibland från offentliga verksamheter och dess anställda att: Vi behöver inte skydda oss så mycket, därför att ”vi inte har viktig eller känslig information som någon skulle vilja stjäla” eller att: ”busen kan ju ringa till registraturen och begära ut informationen, så skickar vi det till dem”.
Vad görs idag för att skydda vårt samhälle?
Samtliga delar av det offentliga Sverige har funktioner och verksamheter som är viktiga för Sverige. Enligt de krav som ställs på bl.a. offentlig verksamhet är att verksamheten måste fungera, även under kriser och vid svåra påfrestningar.
MSB och andra myndigheter ställer krav på de olika samhällsaktörerna för att de ska öka säkerheten i sina verksamheter. Detta arbete går mycket långsamt. De krav som ställs från MSB och andra bygger på traditionell säkerhet på en alldeles för låg nivå. De skyddsåtgärder som föreslås kommer i de flesta fall inte att skydda verksamheten vid en riktad attack.
MSB, tidigare KBM, hade tanken att det är bättre att det görs något, än ingenting alls inom säkerhetsområdet för den offentliga verksamheten i Sverige.
Detta är svaret på frågan varför de lägger kraven på säkerhet på en så låg nivå. De kanske har rätt i sin ansatts men resultatet blir att det skapas en falsk känsla av säkerhet. En säkerhet som inte existerar. Samhället lägger ner enorma summor på säkerhet varje år utan att säkerheten nämnvärt förbättras. De skattepengar som läggs på säkerhet i våra offentliga verksamheter används inte på ett effektivt sätt. Besparingspotentialen inom säkerhetsarbetet är mycket stor samtidigt som säkerheten i verksamheter kan höjas.
Hur ska vi gå vidare?
I korta drag ska vi enligt mitt sätt att se det, göra på följande sätt.
Eftersom vi inte kan förhindra att angriparen kommer att kunna ta sig in i våra interna nätverk och datorer, om de vill. Vi har inte heller råd att investera enorma belopp i samhället för att försöka att hålla dem borta från våra system och nätverk. Även om det fanns oändliga resurser så finns ingen 100 procentig säkerhet.
Det vi måste göra för att skydda vårt samhälle utan att investera orimliga summor på säkerhet är följande.
Vi måste bygga system för att upptäcka när en angripare attackerar oss och samtidigt logga vad som sker i nätverk och datorer. Vi måste således upptäcka när attacken sker och i samband med det begränsa skadan genom att bl.a. stänga ner förbindelsen där attacken kommer ifrån. Vi måste därför upptäcka attacken när den sker. De loggar vi skapar måste vara konstruerade på ett sådant sätt att du i efterhand i minsta detalj kan avgöra vad som hänt och vilken information som stulits, förvanskats eller förstörts.
Vitalt i detta sammanhang är att man skyddar sina loggar så att det inte går att manipulera loggarna i samband med attacken. Manipulering av loggar görs vid de flesta attacker idag. Angriparen tar bort informationen i loggarna som skapats i samband med attacken. Detta för att försvåra upptäckt av intrånget och uppspårning av angriparna.
Det är först när du har kommit så här långt som du kan göra en menbedömning värd namnet. En menbedömning som bygger på fakta och kunskap, inte på gissningar och antaganden, som det gör idag.
Man kan idag inte upptäcka samtliga attacker i realtid, men man kan med lite nya tankegångar och lite nya tekniklösningar ko
mma mycket långt.
Säkerhet idag är ofta att man köper tid. Du köper tid för att hinna upptäcka att något är på gång.
Samhället måste även ställa högre krav på den privata sektorns företagssäkerhet. I slutändan är det frågan om arbetstillfällen i Sverige som annars kommer att gå förlorade.
Lycka till med säkerhetsarbetet.
Tomas Djurling