Betydelsen av cybersäkerhet
1234567890 och inne. Foto: Kacper Pempel
Ett flertal incidenter under senare år visar att cybersäkerhet är ett område där kunskaperna behöver höjas bland svenska företag och myndigheter. Kvartal bad Patrik Fältström skriva en artikel som förklarar vad cybersäkerhet är och hur man kan arbeta med det. Patrik Fältström var med och byggde internet i Sverige och är en ledande auktoritet på cybersäkerhet. Han har rådgivit flera svenska regeringar i IT-relaterade frågor.
AV PATRIK FÄLTSTRÖM | 12 NOVEMBER 2020
Publicerades ursprungligen i Kvartal
Cybersäkerhet, vad är det? Link to heading
Det beror på, är det enkla svaret. Det är problematiskt att ha en diskussion om aktuella ämnen. Populära ord som används ofta blir tagna för givet. Man förväntas förstå vad de betyder. Tyvärr förstår inte alla vad orden betyder och om det kombineras med en oro att ställa frågor hamnar diskussioner alltför ofta fel. Har vi otur fattas dessutom beslut baserat på oförstånd, eller oro, eller båda i kombination.
Om detta händer när det gäller säkerhet är det extra oroande.
Låt oss börja med ordet Cyberincident. Det är en incident där någon medvetet vill påverka it-baserad information eller informationssystem. Denna person kallas antagonist. Själva påverkansoperationen består av ett antal olika steg. Men innan jag förklarar dessa, låt mig ge lite exempel på på olika attacker.
2018 fick rederiet Maersk problem, vilket bland annat lamslog Göteborgs hamn. De drabbades av trojanen Notpetya. Programvaran tog sig in genom att vara del av en uppdatering som kom från en programvaruleverantör. Efter detta spred sig trojanen mellan datorer när de väl var inne på Maersk nätverk, och krypterade hårddiskarna.
1177 var ett annat känt fall. Där var det en lagringsenhet där samtal lagrats som kunde nås utan lösenord från internet. Intrånget var enkelt, filerna gick att komma åt direkt via webbläsare, och kopiering av filer var enkelt genom att hämta filerna med webbläsaren. Filerna innehöll inspelade telefonsamtal med personer som ringt 1177, vilka låg helt fritt nåbara på internet.
Incidenten relaterad till Gunnebo, som inträffade i oktober, verkar (enligt det som publicerats publikt) ha skett genom ett intrång via en skärmdelningsprogramvara som en anställd installerat för att göra sitt eget arbete enklare. Denna programvara kunde användas av en antagonist efter att ett mycket enkelt lösenord gissats. Från den datorn gick det att komma åt en stor mängd filer som sedan kopierades till olika platser på internet. Filerna innehöll beskrivningar av säkerhetsinstallationer av till exempel bankvalv, och följden blev att dessa beskrivningar blev spridda på internet.
I alla dessa tre fallen fanns ett visst perimeterskydd, som skyddar mot intrång (som jag kallar steg 1), men väl på insidan fanns inget skydd mot aktiviteter för att hitta information (steg 2) och själva attacken (steg 3). Min erfarenhet är att det är i attackens steg 2 och 3 som de största svagheterna finns.
För att en Cyberincident ska ske måste som steg 1 antagonisten få ett fotfäste. Det finns några traditionella sätt att lyckas med det. Att använda kända fel i gammal programvara är ganska lätt. Sökmotorer som Shodan kan användas för att se vilka fel som finns. Mer avancerat är att använda ännu ej publikt kända fel, så kallade Zero-day. Andra alternativ är att använda svagheter eller felaktigheter i konfiguration (som i fallet 1177) vilket kan ge möjlighet till fjärrinloggning. Det kan också gå att gissa lösenord till system som inte har tillräckligt säker inloggningspolicy (genom multifaktorautenticering).
Ett separat problem, som tangerar till dåliga lösenord, är anställda som gör sitt liv enklare. De använder verktyg som skapar svagheter i ett annars bra skydd. Möjlighet till fjärrkontroll (som i fallet Gunnebo), automatiska, scriptade inloggningar och annat. Verktyg och konfiguration som helt enkelt gör det enklare för anställda att göra sitt jobb. Det behöver inte finnas osämja mellan den anställde och arbetsgivaren, tvärtom. Den anställde tror den gör något bra. Motsvarande metoder kan naturligtvis medvetet användas av insider, före detta eller olyckliga anställda.
Slutligen en av de mest populära attackerna, är så kallad ”phishing” eller ”spear phishing”. Phishing innebär att det skickas mejl eller visas webbsidor som ser ut att vara riktiga som lurar mottagaren att klicka på länkar ladda ner ett dokument eller program och på det sättet få in en trojan. Som alla de mejl som ser ut att komma från Postnord som spritts. Spear Phishing är motsvarande men mail riktade till anställda på ett företag som ser ut att komma från företagets vd. Alldeles för många operativsystem, webb- och mejlläsare har ett relativt svagt skydd mot denna typ av attacker. Många skydd är bara i form av meddelanden som beskriver den risk som finns, vilka användaren bara klickar “ok” på.
När det väl finns ett fotfäste finns sedan i steg 2 önskemål om att röra sig horisontellt, att hitta informationen på insidan. Skydd är ofta svagare vid attacker från insidan än utsidan. Attacker kan använda motsvarande metoder som beskrivits för första steget, men verktyget behöver inte vara lika avancerat. Målet är att hitta information eller tjänster och se till man kan komma åt dessa.
I tredje och sista steget genomförs attacken. Historiskt har exfiltration varit det vanligaste, det vill säga att information förs ut från organisationen till den som vill ha den. De senaste åren har vi även sett så kallad ransomware, där hårddiskar krypteras och på det sättet blir gisslan mot en avgift, ofta bitcoin. Som sista steg städar en trojan eller antagonist ofta efter sig genom att rensa loggfiler och andra digitala spår för att göra det svårare att förstå i efterhand vad som hänt. Vanligt är också att det installeras bakdörrar som gör en ny attack mot samma mål enklare.
Efter denna beskrivning av en attack och dess tre steg, låt oss titta på hur man försvarar sig.
Vad är Cybersäkerhet? Det är ett mycket vanligt ord i dagens debatt. Kungl. Ingenjörsvetenskapsakademien slog fast att det finns så många olika definitioner att man vid varje användning bör definiera vad som menas. Vidare att det finns relationer mellan orden Informationssäkerhet, IT-säkerhet och Cybersäkerhet.
Informationssäkerhet är all säkerhet som berör information. Oavsett hur informationen hanteras. Det må vara på papper eller digitalt. IT-säkerhet är den delmängd av informationssäkerhet som är digital. Slutligen är Cybersäkerhet den delmängd av IT-säkerhet där en antagonist medvetet är ute efter att stjäla information eller att förstöra. Cybersäkerhet innebär alltså att någon medvetet vill förstöra eller stjäla information.
Övergripande finns naturligtvis också ordet säkerhet. Ett av de mest odefinierade ord som finns. Ett tips är att om någon som pratar med dig använder ordet säkerhet ska du fråga vad personen menar. Kan inte personen förklara vad den menar utan att du förstår, då kanske inte personen förstår själv. Kanske var det en sådan situation i Transportstyrelsen eller någon annan av de incidenter som släpats runt i media senaste åren? Att alla pratade om säkerhet, men ingen tog upp frågan om man var överens om vad man menade.
Men vad innebär säkerhet? För mig innebär säkerhet en hel mängd saker. I grunden är det att ha kontroll över det man håller på med. Att saker fungerar. Att rätt information är tillgänglig för rätt person eller funktion vid rätt tidpunkt, och inget annat. Låt mig ge en checklista som kan hjälpa till. Mer exakt hur man löser var och en av dessa kan variera. Det måste man bestämma själv.
-
Att ha en förmåga som innebär att saker fungerar även under stress
Saker ska fungera som förväntat. Information ska vara åtkomlig som förväntat. Och inte på något annat sätt. Även om saker går sönder, även under en attack, även om en annars betrodd person medvetet eller inte medvetet förstör. -
Att ha gjort en risk- och sårbarhetsanalys (RSA) så man känner sina risker
I grunden består en risk- och sårbarhetsanalys av en uppräkning av hot eller situationer som man är orolig för. För varje sådan situation beskrivs sannolikheten för att det kan inträffa, och dessutom vilken konsekvens händelsen får om den inträffar. Enkelt beskrivet kan man säga att risk är (sannolikhet x konsekvens). -
Att ha åtgärder på plats som sänker sannolikhet och/eller minskar konsekvens för varje situation i sin RSA
I den RSA som skapats ser man vilka händelser som skulle innebära störst risk. Metodiskt kan man gå igenom dessa och undersöka vilka åtgärder som kan minska risk eller minska konsekvens. Slutligen att välja vilka åtgärder man väljer att implementera. Målet är att minimera mängden överraskning vid en incident. Ju mer man planerat, övat och implementerat åtgärder, desto bättre. -
Att den risk (sannolikhet x konsekvens) som är beräknad återfinns i övergripande affärsplan eller motsvarande
Även om det skulle gå att bygga bort alla risker går det inte i praktiken. En webbaserad tjänst måste vara ansluten till internet, för annars kan kunder inte använda tjänsten. Att koppla bort tjänsten från internet för att minska risk för intrång är därför ingen åtgärd man kan använda. Om man gör en tjänst extremt stabil kan den bli så dyr att implementera att man aldrig får intäkter som överstiger kostnaderna. Vilka åtgärder man till slut beslutar att implementera måste därför finnas i affärsplanen eller annat underlag för beslut som ledningen för organisationen måste ta. Det är viktigt att fattade beslut gällande risker är kända. Val av hur problem ska lösas kan delegeras, men aldrig ansvar. -
Att ha processer, kunskap och kompetens att ta hand om en incident när den inträffar
När, inte om, en incident inträffar gäller det att man kan hantera den. Naturligtvis kommer det alltid finnas okända saker som inträffar, och om inget annat är det en överraskning att incidenten inträffar precis när den sker. Att reaktionstiden måste vara kort vid detta tillfälle gäller oavsett vilken typ av incidenter det gäller, och oftast är största felet att vänta för länge med att bestämma att det är en incident. Att man inte trycker på den röda knappen snabbt nog. Kompetens kan man antingen ha internt eller så kan man ta hjälp utifrån. -
Att ha så mycket planerat i sin RSA att överraskningar (okända saker) minimeras, det ska vara kända saker som händer, inte okända
Ju bättre RSA är, desto lättare att hantera händelsen. Det ska vara ett medvetet val att inte ha bättre skydd än vad man har för just det incidenten beror på. Därmed är man medveten om att felet kan inträffa. När något inträffar vid sådana tillfällen kan därför redan planerade och inövade processer och handgrepp användas. Dessutom, ju mer som kan övas i förväg, desto färre saker måste uppfinnas under incidenten, vilket underlättar. Man bör också öva att ha en incident, det vill säga själva incidentprocessen ska övas. Man ska veta vem som ska leda incidenten, hur den dokumenteras, hur den avslutas och liknande praktiska saker. Glöm inte bort uthållighet. Incidenter kan pågå under lång tid. Det är viktigare än vad man tror att se till att personal kan sova, äta, och bytas ut. -
Att under en incident kunna komma tillbaka till god funktionalitet
Målet med aktiviteter under en incident är att först komma tillbaka till bra funktion och sedan komma tillbaka till normalläge. Samtidigt ska man naturligtvis skriva dagbok och samla information så man kan förstå vad det var som hände. Svara på grundfrågor som vad det är som är trasigt, och hur man kan lösa problemet? Ibland sjösätter man en temporär lösning, för att sedan i ett senare läge återställa det riktiga systemet. Det viktiga för gruppen som arbetar med incidenten är att den fokuserar genom att vara överens om vilket mål man har. Denna fokusering är mycket viktig. Annars kan man bli fast i incidenten under alldeles för lång tid genom att olika åtgärder motarbetar varandra. -
Att efter en incident skapa en rapport, så kallat post mortem, som föreslår förändringar som minskar sannolikhet eller konsekvens vid liknande typ av händelse
När incidenten stängts, vilket kan vara långt innan man är tillbaka vid normalläge, måste man noga gå igenom den. Vad tror man hände? Var det fel i den risk- och sårbarhetsanalys som använts? Fanns det fel som kunde ha åtgärdats? Finns det förbättringar som kan göras? Även incidentprocessen i sig ska ses över. Har den fungerat? Kunde man kommit tillbaka till funktion snabbare? Fungerade kommunikationen? Har rätt parter (interna såväl som externa) fått den information de förväntade sig? Alla dessa frågor måste man besvara för att slutligen få en åtgärdslista som kan vara riktigt lång. Denna lista ska ses över och rullas in i den normala listan över förändringar och prioriteras precis som vilka önskemål som helst.
När sedan allt detta är gjort, och oavsett om incidenten var “på riktigt” eller vid en övning, så ska man börja om från början. Man ska se över sin RSA, rulla in åtgärder i form av förbättringar, och återigen vara på tårna. Detta kallas att man har ett kontinuerligt säkerhetsarbete. Att över tiden vara beredd, att minimera risken för att bli överraskad. Den bästa situationen är att inte vara överraskad när en incident inträffar. Vid sådana situationer säger man att denna risk var inom accepterad riskaptit.
Patrik Fältström är teknik- och säkerhetsskyddschef på Netnod. Fältström är medlem i Kungl. Ingenjörsvetenskapsakademien och sitter i ICANN Security and Stability Advisory Committee där han tidigare var ordförande.