Shodan Monitor

Shodan Monitor

Shodan är en onlinetjänst som har funnits sedan 2009 och söker kontinuerligt av hela internet med omfattande portskanningar. Tjänsten är omtyckt och ger bra statistik samt har en sökfunktion som visar sådant som organisationer exponerar mot internet.

För några veckor sedan så släppte Shodan en ny intressant funktion som går under namnet Shodan Monitor. Med hjälp av Monitor kan Er organisation övervaka den internet-exponering ni har och få notifieringar över händelser.

Även för mig som konsult kan detta vara intressant då jag kan övervaka mina kunder och meddela dem om något nytt suspekt dyker upp eller som ett OSINT-verktyg vid RedTeam och penetrationstester.

Det går att lägga upp nya nät och övervaka via webbgränssnittet som återfinnes på monitor.shodan.io eller direkt via CLI och det python-program som Shodan tillhandahåller (byt ut APIKEY mot din nyckel och ALERTID mot det ID som returneras)

sudo pip install shodan
shodan init APIKEY
shodan alert create "My Production Networks" 198.20.0.0/16 8.20.5.0/24
shodan alert triggers
shodan alert enable ALERTID malware

När du skriver shodan alert triggers så kan du se vilka larm du kan slå på eller av. Listan ser ut enligt följande:

Du kan även ange ”any” och då får du larm för samtliga ovan kategorier:

shodan alert enable ALERTID any

Innan du kan övervaka några IP-nummer så måste du först bli betalande medlem. Jag valde den nivå som heter Freelancer och gör att jag kan lägga upp övervakning 5120 IPs och kostar 59$ per månad (ca 560 kr). Övriga nivåer är enligt följande:

  • $299 /månad (2 865 sek) ger dig 65536 IPs
  • $899 /månad (8 614 sek) ger dig 300000 IPs

Efter några timmar dyker det första larmet upp i min E-post. Relativt ointressant men som tur var så finns det även en möjlighet att vitlista vissa portar, så här ser mailet ut:

Och längst ner så finns länken ”Ignore this event in the future”.

Andra användningsområden för Shodan Monitor kan också vara för nät som ingår i Bug Bounty-program. Du får även använda tjänsten i kommersiellt syfte.

Samtliga argument till shodan alert för den som kör med python-mjukvaran:

Det är även möjligt att erhålla realtidsdata via shodan stream på följande sätt:

Video med demo:

Aktiva attacker mot Oracle WebLogic

En ny säkerhetsbugg har identifierats i Oracle WebLogic och utnyttjas just nu av angripare på Internet för att installera kryptominers. Sårbarheten är ett serialiseringsproblem och har fått CVE nummer 2019-2725. CVSS base score ligger på hela 9.8.

Du bör uppgradera till version 10.3.6 (?) och en patch för version 12.1.3 kommer på måndag uppger Oracle.

SANS ISC som kör en Weblogic honeypot fick upp följande meddelande:

####<Apr 28, 2019 10:47:02 PM UTC> <Error> <HTTP> <0aa00a61ebfc> <AdminServer> <[ACTIVE] ExecuteThread: '0' for queue: 'weblogic.kernel.Default (self-tuning)'> <<WLS Kernel>> <> <> <1556491622309> <BEA-101019> <[[email protected][app:bea_wls_internal module:bea_wls_internal.war path:/bea_wls_internal spec-version:null]] Servlet failed with IOException
java.io.IOException: Cannot run program "wget": java.io.IOException: error=2, No such file or directory

Angriparen försöker här köra wget, men wget finns inte installerat på systemet. Även finns det indikationer på att Muhstik Botnet samt Sodinokibi ransomware nyttjar säkerhetsbuggen.

ISC har även publicerat en PCAP-fil med denna förfrågan:

Threat Hunting med Maltrail

Maltrail är en open-source mjukvara för att upptäcka skadlig kod, skriven i programspråket python. Mjukvaran består av en serverdel och en klientdel som kan köras fristående.

Maltrail kan titta på nätverkstrafik och larma om något av följande matchar någon av de medföljande listorna:

  • HTTP Host Headers
  • DNS-uppslag
  • IP-adresser
  • URL
  • User-agent

För att installera Maltrail så klonar du bara hem Git-repot och installerar beroenden såsom python-pcapy. Jag kör dessa tester på en Raspberry Pi och det fungerar fint.

Och när du startar upp Maltrail för första gången så laddas 68 stycken olika publika listor hem med IOCer:

Förutom att sniffa nätverkstrafik direkt mot ett interface så kan köra sensor.py mot en pcap-fil på följande sätt:

$ sudo python sensor.py -i /data/pcap/trace_2018-12-15_14.54.33.pcap

Och vill du se vad som larmar direkt till konsollen kan du starta Maltrail på följande sätt med –console:

sudo python sensor.py -i /data/pcap/trace_2018-12-15_14.54.33.pcap --console

En annan sak som jag noterar är att dessa 68 st listor som laddas hem innehåller hela 1 396 712 st IOC:er samt att det pcap-filter som används som standard är enligt följande:

udp or icmp or (tcp and (tcp[tcpflags] == tcp-syn or port 80 or port 1080 or port 3128 or port 8000 or port 8080 or port 8118))

Vilket den observanta läsaren kan se att HTTPS tcp port 443 exempelvis inte finns med, dock all ICMP och UDP. Som standard kontrollerar inte maltrail http-host headern men detta kan snabbt ändras i maltrail.conf som du bör ta en titt på. Du kan även ändra pcap-filtret i konfigurationsfilen, men då tar analysen givetvis längre tid.

Att analysera en 2.2GB pcap-fil med min Raspberry Pi 3 Model B+ tog cirka 3 minuter. Då hade jag satt USE_HEURISTICS till false samt CHECK_HOST_DOMAINS till true, främst för att USE_HEURISTICS gav så många false-positives.

För den som gillar trevliga webb-gränssnitt så finns det även ett till Maltrail och startas upp med server.py:

Sedan är det bara att surfa till IP-adressen där du har Maltrail installerat och port 8838. Du måste även logga in med användarnamn och lösenord som är satt till admin/changeme! som standard. Går givetvis att ändra i konfigg-filen, och server.py stödjer även SSL/TLS.

Följande bild är en skärmdump på en dag där det identifierats 145 st threats:

Maltrail larm

Majoriteten av larmen som dykt upp under mina tester är klassificerade som medium eller low. Och precis som vid Threat Hunting så är det viktigt att följa upp varför just dessa larm uppstår. Vid denna vidare analys kan det vara intressant att kolla källan som framgår samt om du har rådata i pcap:ar kvar så bidrar även detta till större framgång.

Ett annat tips är att kolla datakällor såsom Zoomeye, Censys.io och Shodan där dessa IP-nummer eller domäner kan identifieras.

Docker Hub hackade

Inatt så hackades tjänsten Docker Hub. Enligt många var det bara en tidsfråga innan just Docker Hub skulle hackas. Det är nämligen så att de templates för operativsystem som den populära mjukvaran Docker använder hämtas hem från Docker hub. Sedan några år är Alpine Linux den standard Linux-dist som används av Docker.

Om en bakdörr skulle läggas in i något av de mer populära avbildningsfilerna såsom Alpine på Docker Hub så skulle troligtvis tusentals installera denna avbildning automatiskt.

I sitt utskick så meddelar Docker att mindre än 5% av kontona kan ha blivit röjda vilket rör sig om ungefär 190 000 konton. Även bör dessa konton återställa sina länkade Bitbucket samt GitHub-konton. Du kan nämligen länka dessa tredjepartstjänster mot ditt Docker Hub-konton via oauth, för automatiska byggen.

På HackerNews klagar många på hur just integrationen mot Github fungerar och att det krävs skriv samt läsrättigheter till hela kontot (om man inte använder Github Apps). Även så vore det trevligt om Alpine var ett reproducerbart bygge för att öka transparensen och göra det lättare att upptäcka bakdörrar. Dock finns det inget som tyder på att bakdörrar har lagts in i detta skede.

Meddelanet som skickades ut:

Facebook underlättar för whitehats

Facebook har nu infört en ändring i dess mobila appar som underlättar för den som vill inspektera trafiken från apparna till Facebooks servrar.

Tidigare har Facebook anammat strikt TLS-pinning och således försvårat för den som vill titta på underliggande protokoll och försöka identifiera säkerhetsbrister inom Facebooks Bug Bounty-program.

Men med denna nya inställning så kan du slå av pinning och tillåta egna TLS-certifikat. Även kan du tillåta att Facebooks förfrågningar går igenom en proxy, själv gillar jag Burp Suite.

Inställningarna gäller för Messenger, Facebook samt Instagram och hittas under menyn Settings och sedan Whitehat Settings:

Och så här ser det ut via webbläsare och Facebook.com där du först måste aktivera denna funktion:

Nationell handlingsplan för samhällets informations- och cybersäkerhet

Samverkansgruppen för informationssäkerhet (SAMFI) har nu släppt en nationell handlingsplan för samhällets informations- och cybersäkerhet. Handlingsplanen består av 77 förslag på åtgärder och kommer att uppdateras årligen under åren 2019 fram till 2022.

Följande myndigheter har varit med och tagit fram handlingsplanen:

  • Myndigheten för samhällsskydd och beredskap (MSB)
  • Försvarets radioanstalt (FRA)
  • Försvarets materielverk (FMV)
  • Försvarsmakten
  • Post- och telestyrelsen (PTS)
  • Säkerhetspolisen
  • Polismyndigheten

Dock ska rapporten inte ses som en komplett redovisning av alla de åtgärder som de olika myndigheterna avser att genomföra inom sina respektive verksamheter på informations- och cybersäkerhetsområdet.

De 77 förslag som presenteras i rapporten på åtgärder ansluter till Sveriges nationella strategi för samhällets informations- och cybersäkerhet (skr. 2016/17:213).

Strategin omfattar sex strategiska prioriteringar:

  • Säkerställa en systematisk och samlad ansats i arbetet med informations och cybersäkerhet
  • Öka säkerheten i nätverk, produkter och system
  • Stärka förmågan att förebygga, upptäcka och hantera cyberattacker och andra it-incidenter
  • Öka möjligheterna att förebygga och bekämpa it-relaterad brottslighet
  • Öka kunskapen och främja kompetensutvecklingen
  • Stärka det internationella samarbetet

Här kan du ladda hem handlingsplanen som PDF:

Test av OnionShare 2

För cirka ett år sedan så skrev jag om OnionShare som gör att du kan dela filer anonymt över Tor-nätverket. Det har nu kommit en ny version som innehåller en mängd nyheter och förbättringar som jag tänkte kolla närmare på.

Den största och kanske mest intressanta nyheten i OnionShare version 2 är att du nu kan ta emot filer. Du kan alltså starta upp en anonym webbserver på Tor-nätverket som kan ta emot filer från en eller flera personer. Den som skickar filer till dig kan exempelvis använda sig av Tor Browser.

OnionShare stödjer nu även nästa generations .onion-adresser även kallat v3 där SHA1/DH/RSA1024 är utbytt mot SHA3/ed25519/curve25519 samt andra säkerhetshöjande åtgärder.

Som standard när du delar ut filer så förutom .onion-adressen som temporärt genereras så genereras även en url-slug som består av 2 ord diceware (obligatorisk xkcd-länk). För att ingen ska kunna forcera dessa två ord så fanns det en räknare som kontrollerade hur många 404-not found som anropats.

Om denna räknare var mer än 20 st felaktiga URL:er (404:or) så stängdes utdelningen ner, och just detta kan vara ett problem om du har en utdelning som många ska kunna ta del av. Säg att du vill exempelvis vill dela något offentligt på Twitter utan att webbservern stänger ner. Därför finns det nu stöd för publika fildelningar, eller offentligt läge. Då stängs denna funktion av som stänger ner webbservern vid för många 404:or.

OnionShare finns nu också översatt till 12 språk där ett av dessa språk är svenska. OnionShare stödjer inte https, men det gör inte så mycket eftersom Tor är end-to-end krypterat så länge trafiken håller sig inom nätverket och inte går ut via en exit-nod.

Become a Patron!

Än så länge finns inte OnionShare version 2 med i Tails, men det kommer nog så småningom. Värt att notera är att OnionShare inte ska ses som ett alternativ till SecureDrop, även om du kan köra OnionShare headless.

OnionShare är utvecklat i Python och använder sig av webbramverket Flask.

Så här ser OnionShare 2 ut på macOS och på svenska vid en uppstart:

Väljer jag sedan att dela ut en fil så ser det ut enligt följande:

Och för den som besöker ovan URL med Tor Browser så ser det ut så här:

När du startar upp en anonym mottagningstjänst för filer ser det ut så här efter jag tagit emot testssl.sh:

Och för den som laddar upp filer via Tor Browser ser det ut så här:

Allvarlig RCE-sårbarhet i Drupal

computer code and system attacks. Conceptual online security background

Populära open-source CMS:en Drupal släppte precis ett antal kritiska säkerhetspatchar som gäller RCE (Remote Code Execution).

Bristen gäller enbart om något av följande är uppfyllt:

  • The Drupal 8 core RESTful Web Services (rest) module enabled and allow PATCH or POST requests, or
  • Another web services module enabled, like JSON:API in Drupal 8, or Services or RESTful Web Services in Drupal 7.

Uppgradera snarast till version 8.6.10 eller 8.5.11 där fix för denna sårbarhet finnes. Observera att versioner före 8.5.x är end-of-life och ej erhåller säkerhetsfixar.

Sårbarheten har fått CVE-2019-6340 och mer information finnes på Drupal.org.

Analys av 1177-läckan

1177 vårdguiden

Igår så tipsade en anonym person sajten Computer Sweden att miljontals inspelade samtal till vårdupplysningstjänsten med telefonnummer 1177 låg tillgängliga för allmänheten på en webbserver. Denna server har används som backup-server av företag som upphandlats av tre landsting.

Servern är en gammal Apache-server som bland annat verkade ha mjukvaran ownCloud och går under namnet NAS, Network Attached Storage. ownCloud gör att du kan sätta upp din egen molntjänst on-prem (hos dig själv).

Vid upphandlingen av leverantören så ställdes ett antal krav hur denna känsliga information skulle vara tillgänglig. Bl.a. skulle SITHS-kort användas för att komma åt informationen (se länkar nedan).

Men trots dessa krav på leverantören, hur kunde det går fel? Jag gissar på att ingen följt upp och kontrollerat kraven med hjälp av tillsyn. Skulle återkommande penetrationstester eller automatisk sårbarhetsskanning genomföras så skulle det inte troligtvis inte ha hänt. Något som bl.a. kreditkortsstandarden PCI-DSS ställer krav på.

Även så rekommenderar vi som jobbar med säkerhet både hängslen och livrem. Det som har hänt här är att företaget troligtvis kopplat något fel eller genomfört en felaktig konfiguration, jag tror inte heller att filerna legat uppe sedan 2013. Utan att misstaget genomfördes någon gång förra året under 2016. Men ett enda misstag ska inte få denna typ av konsekvenser, därav bör det finnas mer skydd exempelvis kryptering på filnivå. I detta fall kan hårddisken varit krypterad men det spelar ingen roll när webbservern visar katalogerna och gör filerna tillgängliga för nedladdning.

Har någon laddat hem filerna och lyssnat? Givetvis. Minst två personer, den som tipsade Computer Sweden samt journalisten. Även finns det stor chans att filerna cachats på diverse ställen ute på Internet. Dock kan loggfiler finnas kvar och gör det möjligt att spåra nedladdningar.

Sådana här läckor är givetvis otroligt allvarliga och kan leda till fara för liv och lem.

Tyvärr är nog detta enbart toppen av ett isberg när det gäller cybersäkerhet inom vårdsektorn.

Källor:

Uppdatering: Vi vet nu lite mer och servern verkar ha varit online sedan 2016 då någon ”stoppade in internetkabeln”.

Cyberförsvarsdagen 2019 eftermiddag

Detta inlägg sammanfattar eftermiddagen på Cyberförsvarsdagen 2019 som anordnas av SOFF tillsammans med MSB, FRA och Försvarsmakten. Förmiddagen kan du läsa om här.

Stöd mitt bloggande via Patreon: https://www.patreon.com/kryptera

Den internationella kontexten och dess påverkan på Sverige

Moderator: John Ahlmark, kommunikatör FRA

Supply Chain Security

Pia Gruvö, chef avdelningen för krypto och it-säkerhet Must

Pia Gruvö

Pia berättar hur allt hänger ihop, för när jag började för 30 år sedan i branschen så fokuserade vi på algoritmer i kryptoapparaterna. Sedan blev det fokus på lådorna och nu tittar vi också på Supply Chain Cyber Security. Vi är bl.a. rädda för exfiltration via bakdörrar eller om man stänga ner eller styra system via bakdörrar.

Högassuransprodukter är de produkterna vi måste ha mest företroende för. Sådana produkter är exempelvis kryptoprodukter och vi väljer framförallt svenska produkter och detta har nu även Regeringen insett.

Ett exempel där det gick fel är en kryptoleverantör som anlitade en underleverantör som tillverkade kretsar. Och maskinen för att tillverka dessa kretsar var anslutna mot internet.

Man måste köpa komponenter från andra länder till kryptosystem. Då måste vi bygga system så att om det följer med en bakdörr så blir den isolerad och inte kan göra någon skada. Försvar på djupet är viktigt samt de mest kritiska produkterna måste komma från företag som man har förtroende för.

Outsourcing

Kommendör Jan Kinnander, Chef för Säkerhetskontoret på MUST

kmd Jan Kinnander MUST

Jan börjar med att berätta om vad MUST är och de tre delar som MUST består av och att han är chef för den militära säkerhetstjänsten. Pia är chef för en av delarna under mig som jobbar med krypto och it-säkerhet, vi har också en enhet som jobbar med kontraspionage samt en del som jobbar med säkerhetsskydd.

Han berättar även att underrättelsetjänster är lata, de tar den enklaste vägen in när de vill göra intrång. Det är ett högt tryck när det gäller intrång mot underlverantörer och det beror på flera saker såsom att det är många ägg i samma korg, många har ett svagare skydd än exempelvis än en myndighet. Även kan en leverantör ha flertalet underleverantörer. Att säkerhetspröva utländsk personal är ett stort problem då vi inte har lika mycket information.

Just när det gäller leverantörer så ingår detta i säkerhetsskyddsförordningen från och med 1:a April 2018. Som tillsynsmyndighet har vi större möjligheter att exempelvis att stoppa en upphandling.

Brister som Jan Kinnander, Chef för Säkerhetskontoret på MUST ser gällande outsourcing:

  • Säkerhetsanalys
  • Säkerhetsprövning av personal
  • Tidsförhållanden

Och tillstryker att ansvar inte kan outsourcas. Är det här slutet för outsourcing? Nej, men vi måste ha en större transparens. En större kunskap vilka krav som ställs på myndigheten och hur dessa uppfylls.

Utkontraktering och överlåtelse av säkerhetskänslig verksamhet – Förslag till kompletteringar till den nya säkerhetsskyddslagen

Stefan Strömberg, särskild utredare Utredningen om vissa säkerhetsskyddsfrågor

Stefan Strömberg

Säkerhetsskyddslagstiftningen har utvidgats och omfattar en utökad skyldighet att ingå säkerhetsskyddsavtal. Tidigiare så behövdes exempelvis inte säkerhetskyddsavtal vid samarbeten exempelvis. Men samarbeten som går fortlöpande mellan myndigheter är dock undantagen. Nya säkerhetsskyddslagen har även nya tångsmedel. Viktigt är även en proportionalitet

Stefan berättar om skillnaden mellan lag och förordning.

Försvarsmakten och Säkerhetspolisen blir samordningsmyndigheter för tillsynsmyndigheter. Nytt är även en anmälningsskyldighet samt sanktionsavgift som beslutas av tillsynsmyndigheten.

Säkerhetsskyddschefen blir obligatorisk för alla verksamheter som driver säkerhetsskyddad verksamhet men yttersta ansvaret är hos GD eller VD. Avtalet är också en viktig del och inte bara nya säkerhetsskyddslagen.

Panelsamtal – Hur ändrar vi säkerhetsbeteendet?

  • Christer Samuelsson, head Cyber security CGI
  • kmd Jan Kinnander, chef säkerhetskontoret Must Försvarsmakten
  • Pia Gruvö, chef avd. krypto och it-säkerhet Must Försvarsmakten
  • Stefan Strömberg, särskild utredare

Först berättar Christer att han är från det privata och att samverkan är viktigt och att vi förstår varandra mycket bättre och vi förstår våra brister vilket är bättre vid våra upphandlingar.

Moderator John Ahlmark från FRA frågar Stefan om de nya lagarna och om de verkligen behövs. Och Stefan säger att det eg. är lite tråkigt att detta behövs men har tyvärr blivit ett måste. Avdramatisera genom att göra det till en fråga för alla som jobbar på ett företag.

Jan säger att regelverket är värdelöst. Det är att det används på rätt sätt, det handlar om attityder och kunskap.

John frågar om nya regelverket kan hämna istället för att ge verkan? Javisst kan det var så men vi måste alla prata om detta.

Pia är den som fått flest frågor under sitt tal. Och många handlar om ett land 10 timmar mot öst och eventuella bakdörrar, men Pia framhåller att eventuellt är läckorna efter Snowden som är det stora problemet. Alla bakdörrar som NSA stoppat in i produkter.

Tjänstemannaansvar? Vi måste komma rätta till med problemen och inte hänga ut någon. Många gånger har det också handlat om en kommunikationsfråga, gällande exempelvis inom Transportstyrelsen säger Jan.

Metoder och verktyg för cyberförsvar

Moderator: Annika Biberg, principal security consultant Nixu

MITRE:s attackramverk ATT&CK – Processer och tekniker för att upptäcka angripare inne i ditt nätverk

Mattias Almeflo, principal security consultant Nixu

Mattias Almeflo

Mattias berättar om ramverket ATT&CK som utvecklats av det oberoende och icke vinstdrivande företaget MITRE. Förkortningen står för Adversarial Tactics, Techniques and Common Knowledge. Ramverket fokuserar mycket på post-exploitation, dvs redan när angriparna finns i nätverket.

Även så bygger ramverket helt på empirisk data och är således rejält underbyggt. Det som ATT&CK även gör är att den går att använda för att attribuera och spåra till angripare på exempelvis landsnivå. 43% av alla attacker går att härleda till specifika länder.

LOLBins är fillösa attacker och har funnits sedan 2014 och där ser man en ökning. Mer än hälften av alla attacker enligt en källa använder LOLBins såsom Powershell.

”Living of the land” och detta är något som ATT&CK hjälper till att upptäcka. TTP:er används för detta och togs fram efter den första APT1-rapporten, Mattias använder även Biancos ”Pyramid of Pain”:

Bästa av allt är att det är gratis och du kan även använda ATT&CK för att göra benchmarks för att jämföra IT-säkerhetsprodukter.

CIS20 grundläggande kontroller och exempelvis en IT-säkerhetsprodukter såsom Tripwire kan visa på att dessa två inte täcker upp allt genom att titta i ATT&CK.

Panelsamtal – Vad kan ATT&CK bidra med idag?

  • Mattias Almeflo, principal security consultant Nixu
  • Robert Jonsson, btr. chef CERT-SE/MSB
  • Ammi Lovén, seniorkonsult Secana

Moderatorn Annika frågar om det här är ett bra ramverk? Ja tycker både Robert och Ammi och Robert tillägger att det är bra för att alla pratar samma språk. MSB använder inte själva men berättar gärna för andra hur de ska arbeta.

Mattias, har du några praktiska exempel på hur man ska ta till sig ramverket? Ja, exempelvis när man arbetar med härdning av system så kan man när man är klar med härdningen se om man åtgärdad allting. Även kan du testa din förmåga att upptäcka attacker och vart era luckor är.

Ammi tycker även att ATT&CK-ramverket kan användas för övningar.

Mattias säger att Lockheed Martins Cyber Kill Chain och ATT&CK överlappar även. Ena utesluter inte det andra och man bör inte lägga alla ägg i samma korg.

Att säkerställa Sveriges framtida cyberförmåga

Moderator: Klas Lindström, VD och grundare 4C Strategies

Framtidens säkra IT-miljöer

Madeleine Kempe, cyber security program manager Saab

Madeleine Kempe

Madeleine berättar om framtidens utmaningar och hur vi ska hantera arvet. Vi har nya system som ska utvecklas och vi måste även ta hand om legacy. Vi har bl.a. KSF 3.1 och ISO-27000 att förhålla oss till. Men snart även säkerhetsskyddslagen och NIS-direktivet.

Fyra principer för säkra lösningar enligt Madeleine Kempe som är cyber security program manager på försvarsföretaget Saab:

  • Säkerhet från grunden
  • Standard
  • Kategorisera, klassificera
  • Tydlig styrning

Panelsamtal – Hur stärker vi Sveriges cyberförsvarsförmåga?

  • Lars Nicander, enhetschef ISSL och CATS FHS
  • Dag Ströman, chef CSEC FMV
  • övlt Patrik Ahlgren, chef Cyberförsvarssektionen LEDS CIO Försvarsmakten
  • Madeleine Kempe, cyber security program manager Saab

Dag ströman säger att vi måste anta att angriparna är i våra system. Klas frågar Patrik vad som är viktigt för Sveriges cyberförsvarsföråga och Patrik berättar att alla måste vara medvetna om hotet. Man måste konstruera dessa system med säkerhet i åtanke och inte hela jobba reaktivt.

För Försvarsmaktens del så måste vi ha funktionalitet i våra system så vi behöver alla tre förmågor. Vi behöver även förmågor att attackera och skydda IT-system säger Patrik Ahlgren.

Men hur ska privata aktörer få koll på hotet? Jo vi alla myndigheter såsom MSB, Försvarsmakten och Säkerhetspolisen har ett gemensamt ansvar.

Lars Nicander säger att vi måste ha en cybersäkerhetskoordinator hos statsrådsberedningen i Regeringen. Vi har haft 7 st utredningar och alla har lagt fram en strategi. Bästa svepskälet till att vi inte har det är att alla säger att vi har ansvarsprincipen.

Dag tycker att vi ska skapa en nationell styrmodell för cybersäkerhet istället för att använda silosar och alla uppfinner eget.

Kanske titta på den norska modellen med en myndighet som har större ansvar. Patrik tror dock inte på en ny myndighet, men absolut på en cybersäkerhetskoordinator. Främst för att koordinera cybersäkerheten inom Regeringskansliet. Vart leder resan med ett cybercenter?

Alltid viktigt med kommunikation mellan totalförsvarsmyndigheter. Dag frågar vilken som skulle vara den allvarligaste incidenten? Alla produkter som innehåller samma sårbarhet som kan utnyttjas av en angripare: monokultur. En angripare skulle kunna slå djupt och brett.

Politikerdiskussion

Moderator: Johan Wiktorin, director intelligence PwC

  • Niklas Karlsson (S) Ordförande Försvarsutskottet
  • Beatrice Ask (M) Vice Ordförande Försvarsutskottet
  • Daniel Bäckström (C) Ledamot Försvarsutskottet

Johan frågar hur vi skapar en sund säkerhetskultur i Sverige? Säkerhetskulturen är väldigt varierande beroende på vem man pratar med. Man måste öka medvetenheten på ett bredare plan. Vid rekrytering av chefer och det är alldeles för dyrt när det går åt skogen. Vi hade förr fluor-tanten men vi måste nu ha en cyber-tant säger Beatrice. Någon som kommer och påminner om och om igen. Vi är väldigt naiva idag och man behöver bara säga Transportstyrelsen eller Svenska kraftnät.

När det gäller internationella diskussioner om cyberattacker så pågår det fria kriget och Kina är inte intresserade av att diskutera detta.

Attacker mot det politiska systemet är också farligt. Läckta medlemsdatabaser från partier är inte bra och även när människor utger sig för att vara Beatrice Ask.

Vilka är de värsta attackerna? En mycket snabb aggregerad attack som slår ut mycket innan vi hinder reagera. Attacker mot hälso- och sjukvårdssystem som kan släcka liv. Attacker mot logistik och transporter i samhället.

Siggesigge var ett lösenord som användes inom valrörelsen för något år berättar Niklas. Scenarion som bygger på att grupper som ställs mot grupper är ett problem och att det inte går att lita på information som man får säger Beatrice.

Beatrice lärde sig på 112-dagen att man ska öva analogt. Man blir då ställd!

Niklas säger att våra mediavanor förändras och vår konsumtion blir digitaliserad och individualiserad.

Är 5G ett nationellt säkerhetsintresse? Det är en komplicerad och svår fråga säger Beatrice och den har många bottnar. Vad är det värsta scenariot och hur kan det hända?

När det kommer snabba kriser i samhället så är inte alltid våra budgetsystem förberedda. Det är givetvis billigare att investera i flygplan än att skogen brinner ner.

Kompetensförsörjning?

En specifik utbildning inom försvaret såsom tolkskolan för de som är intresserad av cybersäkerhet. Försöker bygga en rekrytering på frivillighet inom Hemvärnet.

Myndigheter som upptäcker saker såsom FRA måste även ha befogenheter att agera. Underrättelseförmågan är central i sammanhanget och ställer krav på tid och ledningssystem. Vi måste också bygga upp det psykologiska försvaret, bygga upp en vilja att försvara vårat land.

Kopplingen mellan hybridkrigföring, AI och forskning är viktig och FOI kommer att få mer pengar. Biologiska vapen är också något som oroar oss i statsrådsberedningen.