Ett återkommande tema på denna blogg är att skriva några rader gällande den årsrapport som FRA publicerar. Årsrapporten för året 2019 släpptes igår Torsdag den 20:de.
Årsrapporten ger oss en inblick i en verksamhet som omfattas av mycket sekretess. Men först, på uppmaning av FRA: lös kryptot nedan.
KODSXTTUMEVSXENXTEÄOGSUXRKCR
KTFIEHIALÖGRXTPAREHIEXNXSENT
Årsrapporten inleds av ett förord av FRA:s nya generaldirektör Björn Lyrvall som varit på plats sedan några veckor tillbaka. Från tiden att Dag Hartelius avgick tills det att Björn var på plats så var Charlotta Gustafsson tillförordnad GD (och numera överdirektör).
Rapporten går även igenom nya initiativet Sommarlovön där 15 stycken gynmnasieungdomar fick testa på att hacka och försvara en fiktiv myndighet. Som hjälp hade eleverna experter från FRA:s avdelning för cyberverksamhet.
Samverkan är en viktig del och det nya säkerhetscentret nämns givetvis i rapporten också, även framhålls det att NCSC ofta framhålls som en väl fungerade enhet.
Cyberförsvarspodden och Tekniskt Detekterings- och Varningssystem (TDV) nämns också samt att fler verksamheter har fått systemet installerat. Jag har tidigare skrivit om TDV här på bloggen ett antal gånger.
Nygamla hot såsom gråzons-problematiken och icke-linjär krigföring (hybridhot) tas också upp.
Under förra året har det kommit ny lagstiftning som tydligt klargör att FRA:s underrättelserapporter inte får användas i en brottsutredning och i rättsskipning. Detta gör att FRA kan rapportera även under en pågående förundersökning.
Här nedan du ladda hem årsrapporten i sin helhet (PDF)
Detta är en sammanfattning av förmiddagens pass under Cyberförsvarsdagen 2020. Du kan läsa om eftermiddagen här
Inledning
Dagen började med att två generaldirektörer, en generalsekreterare och chefen för Försvarsmaktens LEDS CIO pratade om vad som är normalläge och vad som är gråzon.
Enligt FRA så befinner vi redan i en gråzon och detta ser FRA genom sin signalspaning såsom TDV-systemet. Angriparna är ute efter våra innovationer och konkurrenskraft instämmer Robert Limmergård.
De stora resurserna har statsunderstödda aktörer men enskilda små hacker-aktörer
Cybersäkerhetscentrets viktigaste uppgift enligt paneldeltagarna:
Björn Lyrrvall – Genom samverkan kan vi bättre skydda våra system
Dan Eliasson – Vi jobbar nära med andra myndigheterna och poolar våra resurser och får då bättre detekteringsförmåga
Robert Limmergård – Viktigt att vi inte häller ner informationen i ett stort svart hål.
Lennart Kvannbäcken – Viktigt att det finns personal i form av kött och blod och att samverkan blir mer än bara papper.
Annika Avén frågar panelen om bra exempel på samverkan mellan myndigheter och civila samhällen. Några exempel på bra samverkan som lyfts upp är FIDI-grupperningarna, arbetet via DIGG samt att bara denna dag är ett bra exempel. NSIT lyfts också upp som en bra gruppering, mycket av infrastrukturen ägs av den privata sidan.
Paneldebatt: Hotbild – Ansvar – Övningar
Moderator Martin Waern, Scandinavian Risk Solutions (SRS)
Lägesbild och hotbild
Inledningstal inför passet är Jan Berg som är chef för TDV på FRA berättar om hur hotbilden förändrats på 20 år samt att det finns runt hundratalet aktörer i dagsläget.
Hur mycket resurser behövs det för att bedriva denna typ av cyberattacker? Det finns otroligt många verktyg som open-source men även kommersiella verktyg.
Vad är det för aktörer som håller på med datorintrång? Grupperingar som är löst eller hårt knutna till olika stater, drivs av ekonomiska och politiska motiv. Agendan spelgas i den underrättelseinhämtning som genomförs.
Intressant kreativt scenario som Jan tar upp är intrånget mot den svenska dopingorganisationen. Man såg det nästan komma eftersom samma aktör troligtvis genomfört attacker mot WADA, World Anti-Doping Agency.
CloudHopper (APT10) samt Operation Soft cell är två intressanta operationer som visar på när antagonister går på tjänsteleverantörer.
Det tar i snitt 200 dagar innan ett intrång upptäcks, vad får det för konsekvenser för Er frågar sig Jan Berg på FRA. Ha ett långsiktigt arbete för det har aktörerna.
Panelsamtal: Signalskydd och hotbilden – är vi på rätt väg?
Panelen består av följande personer:
Jan Berg, FRA
Jens Bohlin, Tutus
Roger Forsberg, MSB
Peter Eidegren, Försvarsmakten
Många affärsdrivna verksamheter tänker inte först och främst på hotbilden när man försöker vara kreativa.
Nya signalskyddsföreskrifter finns nu på plats och har tidigare bara gällt för myndigheter. Andra verksamheter har tidigare använt signalskydd men inte varit reglerade av föreskrifterna. Men nuförtiden omfattar instruktioner och föreskrifter många fler organisationer.
Det finns bra och tydliga rutiner för Sveriges signalskydd, och det skapar förtroende berättar Peter Eidegren. Vad som också är nytt är att MSB som tidigare haft ansvaret för tilldelning av signalskydd så erbjuds nuförtiden enbart nyttjanderätt (en typ av lån).
Roger Forsberg berättar att MSB har möjlighet att besluta vilka som har tillåtelse att nyttja signalskydd. Man tecknar då en överenskommelse med MSB, signalskydd är av Svenskt nationellt säkerhetsintresse.
Man har även en plan framöver och anskaffar system samt försöker lägga dem på hyllan, men ibland kan de ta upp till ett år att få kryptosystem.
Jens Bohlin berättar om industrins utmaningar med att ta fram kryptosystem. Det är viktigt att jobba agilt och parallellt så inte utvärderingen av kryptosystem tar för lång tid och systemen är föråldrade när de väl kommer ut.
Behövs det verkligen fyra myndigheter som är ansvariga för krypto i Sverige frågar sig Martin? Det finns givetvis effektivitetsvinster säger Jens.
Roger avlutar paneldebatten och berättar om att dagens kryptosystem kan lösa många av organisationernas behov upp till nivå kvalificerat hemlig. Det gäller att vara kreativ och mycket går att köra över IP såsom IP-telefoni samt video.
Panelsamtal: Hur håller vi igång vårt fungerande samhälle?
Moderator: Torsten Bernström, CGI
Panelen består av följande deltagare:
Överste Patrik Ahlgren, Försvarsmakten
Mattias Wallén, SRS
Martin Allard, 4C Strategies
Martin berättar angriparen angriper oss där vi är som svagast och tar upp fel faktorer för fungerande försvar:
Försvarsmakt
Förtroende
Försörjningsberedskap
Fortifikation
Förfogande
När man arbetar med en utredning så har man ett direktiv att utgå ifrån. Och vill man annat får man prata med departementet.
Patrik berättar om vad en kvalificerad aktör kan ställa till med i samhället och att det inte går att åstadkomma 100%-ig säkerhet. Man måste räkna med bortfall. Ett exempel är att det måste finnas alternativa metoder för betalningar.
Alla i Sverige har ett ansvar att bidra till försvarsviljan anser Patrik. Ett robust samhälle går inte att bygga med den moderna tekniken, det är en utopi.
Svagheterna finns inte alltid där man tror och det ser ut som en lasagne och inte som stuprör säger Mattias. Lyfter upp dolda beroenden såsom OpenSSL samt sårbarheten Heartbleed.
En bra grundsäkerhet är att tjänsteleverantörerna klarar av de kända säkerhetshoten berättar Patrik.
Finns det en idé om K-företag 2.0, frågar moderatorn Torsten till Martin. Det finns flera skäl till att den inte går att införa systemet såsom upphandlingsregler. Regler runt konkurrens och EU är några delar som gör det svårare. Vilka företag ska omfattas om krigsplaceringar frågar Martin publiken.
Gemensamma privat-offentliga övningar för ett stärkt cyberförsvar
Moderator: Torsten Bernström, CGI
Paneldeltagare:
David Olgart, Försvarsmakten
Erik Biverot, lagledare LockedShields
Daniel Vikström, Afry
David börjar med att berätta om övningen SafeCyber och Försvarsmaktens beroenden av olika företag och organisationer. Övning leder till att stärker cyberförsvarsförmågan.
Teknisk incidenthantering och rapportering. Kopplade mot diskussionsövningen
Riskhantering och beslutsfattande
Genomförde forskning. Hur genomför man effektivt incidenthantering?
Forskning på lägesuppfattning.
De mjuka delarna var också viktiga och att folk lärde känna varandra och den viktigaste erfarenheten var att fler ville köra övningar.
Erik berättar om CCDCOE och övningen Locked Shields samt att det var 23 tävlande lag från olika nationer.
Sverige hamnade på tredje plats under 2019 och det är otroligt bra då enbart Tjeckien och Frankrike hamnade före. Hela miljön är öppen och inget hemligt hanteras.
Hur organiserar sig ett tillfälligt sammansatt team är intressant forskning nämner Daniel och något som Gazmend Huskaj forskar på.
Moderatorn Torsten frågar panelen hur kunskapen sprids från övningar: David tipsar om FOI:s rapport som går igenom samt nämner MSB:s handbok för övningar.
Man måste vara ödmjuk säger Erik och detta är en kompetensdriven faktor, mycket hänger på vilka individer vi får tag på. Informella kunskapsöverföringen är också viktig säger Erik.
Nationellt Cybersäkerhetscenter – Storbritannien
Moderator: Richard Oehme, Knowit
En talare från brittiska UK Nation Cyber Security Center, NCSC berättar om Storbritanniens satsning och vad de har lärt sig om de senaste tre åren.
De försöker göra det enklare för företag och privatpersoner att använda Internet säkert. De försöker också bli mer transparenta och är en del av GCHQ, FRA:s motsvarighet i Storbritannien. Om en attack mot elnätet skulle inträffa så skulle det vara till NCSC som folk skulle vända sig till.
De har projekt just nu för att säkra upp smarta elnät och kritisk infrastruktur inom området smarta städer. Annat de har utgivit är en broschyr för småföretagare om cybersäkerhet.
En annan lyckad satsning som nämns är Exercise in a box som gör det enkelt för små företag och organisationer att öva. Allt är givetvis gratis som NCSC gör:
Exercise in a Box is an online tool from the NCSC which helps organisations test and practise their response to a cyber attack. It is completely free and you don’t have to be an expert to use it.
En av det mest intressanta sakerna jag tyckte hon nämnde var automatiskt nedtagning av phishing-webbsajter samt möjlighet att stoppa andra attacker automatiskt, går under namnet Active Cyber Defence (ACD).
Säker rekursiv DNS som de utvecklat tillsammans med civila sektorn som blockerar osäkra sajter (PDNS).
Ett tydligt mandat och en budget var två av framgångsfaktorerna för det brittiska cybersäkerhetscentret men även att de är samlokaliserade med GCHQ.
Myndigheten FRA har precis släppt sin årsrapport för verksamhetsåret 2018 och jag har läst den. Rapporten trycker mycket på hur FRA medverkar till att höja den nationella säkerheten när det gäller cyberförsvar. Även har fokus inom myndigheten legat på påverkansoperationer runt valet.
Statliga cyberattacker pågår ständigt och ökar
FRA årsrapport 2018
Fler myndigheter och statligt ägda företag har installerat det tekniska detektionssystemet TDV och en ny ändring som FRA jobbar på är att även ha möjlighet att avbryta pågående attacker. Rapporten pekar på att TDV har under året lyckats upptäcka flertalet avancerade intrångsförsök mot svenska mål.
Ett nytt signalspaningsfartyg är under uppbyggnad och byggs i Polen av varvet Nauta, detta nya fartyg kommer att ersätta HMS Orion. Detta nya fartyg kommer även ha en ny teknikplattform som parallellt utvecklas och införskaffas.
Att främmande stater angriper Sverige och kartlägger totalförsvaret samt identifierar samhällets sårbarheter är något som framgår i rapporten. Även framgår det att spioneri där forskningsresultat, utvecklingsprojekt och patentansökningar används för att hitta genvägar av företag i andra länder.
Tittar vi på hur angrepp kan se ut där angriparen vill få fotfäste i nätverk under en längre tid och vid ett senare tillfälle vill påverka samhällsviktiga funktioner skriver FRA enligt nedan citat. Detta kräver dock att det otillbörliga tillträdet kan överleva under flera år och min bedömning är att supply chain (inköpskedjan) då påverkas med hjälp av exempelvis hårdvaruimplantat.
Att skaffa sig otillbörligt tillträde till de nätverk som styr samhällsviktig verksamhet kan också göras med målet att vid ett senare tillfälle störa eller slå ut samhällsviktiga funktioner.
FRA släppte precis sin årsrapport för föregående år och trycker detta år på att antalet cyberattacker ökar. Genom sin signalspaning så ser myndigheten att en kvalificerad angripare nästan alltid kan hacka sig in i målet, det är bara en fråga om tid.
Förutom cyberattacker mot kritisk infrastruktur så riktar sig även främmande makt mot följande mål:
Försvarsförmåga och försvarsplanering
Svenska säkerhetspolitiska avsikter
Statshemligheter
Industrihemligheter
Forskningsresultat
En annan viktig slutsats som FRA drar är att med hjälp av signalspaning så kan vi lära oss om angriparnas angreppssätt, mål och verktyg. Detta kan sedan omsättas för att bygga relevanta skyddsåtgärder för att skydda svenska myndigheter och statligt ägda bolag.
Även framgår i årsrapporten att TDV (tekniska detekterings- och varningssystem) som vi skrivit om tidigare fortsätter att utvecklas. TDV är ett avancerat antivirus-system som tittar på signaturer i signalspaningen. Under 2016 har ytterligare ett antal verksamheter installerat systemet.
Begreppet cyberförsvar har även definierats tillsammans med Försvarsmakten enligt följande:
CYBERFÖRSVAR: En nations samlade förmågor och åtgärder till skydd för dess kritiska cyberinfrastruktur som syftar till att säkerställa kritiska samhällsfunktioner samt förmågan att försvara sig mot kvalificerade angrepp.
Försvarets Radioanstalt, FRA släppte igår sin årsrapport för 2015. Den pekar på att cyberangrepp mot Sverige ökar och att myndigheten har upptäckt intrång mot forskningsinstitutioner, industri och myndigheter.
Rapporten delger även en definition av cyberförsvar har tagits fram tillsammans med Försvarsmakten:
En nations samlade förmågor och åtgärder till skydd för dess kritiska cyberinfrastruktur som syftar till att säkerställa kritiska samhällsfunktioner samt förmågan att försvara sig mot kvalificerade angrepp.
Övrigt så berättar rapporten att TDV inte verkar utvecklas och installeras i stor omfattning (läs mer om TDV här). Även så belyses problemen med outsourcing och att mobilitet blir ett allt större problem för många organisationer, vilket även var något som togs upp under Internetdagarna 2015.
Samverkan mellan myndigheter är en viktig framgångsfaktor för ett effektivt svenskt cyberförsvar och under året så genomförde FRA penetrationstester mot ett tiotal myndigheter och statligt ägda bolag.
Dag Hartelius som är generaldirektör framhäver:
..parallellt med detta växer också cyberhoten i form av både underrättelseinhämtning och andra typer av cyberoperationer där vi får räkna med att det kan finnas hot som innebär att viktiga samhällsfunktioner för svensk säkerhet och välfärd kan störas eller slås ut.
Här kan du ladda hem FRA:s årsrapport för 2015 i sin helhet:
Att cyberspionage och elektroniska attacker är något som fler och fler stater ägnar sig åt och satsar resurser på är nog inget som någon missat. Säpo går nu ut och varnar för att omfattande cyberspionage genomförs mot svenska intressen.
Läckage från företag såsom Hacking Team visar att diktaturer men även länder såsom Sverige varit i kontakt med denna typ av företag som utvecklar verktyg och metoder för cyberspionage.
Tillvägagångssättet hos antagonisterna är vad som kallas death by a thousand cuts där flertalet små ledtrådar läggs ihop som i sin helhet kan få förödande konsekvenser. Attackerna genomför exfiltration av information genom olika typer av kanaler som är svåra och upptäcka och pågår under lång tid.
Säkerhetspolischef Anders Thornberg säger:
Vår bedömning är att cyberhotet mot företag och myndigheter i Sverige är omfattande och ofta målinriktat. Många angrepp upptäcks aldrig – eller så upptäcks de för sent. När det gäller cyberspionage är det svårt att se att någon tagit sig in i systemet och spionerat. Angriparnas mål är att gå in och få ut information utan att synas.
För att förebygga och förhindra brott på cyberarenan så genomför Säpo kontroller samt bistår som rådgivande resurs till myndigheter som innehar samhällskritisk information eller företag som är särskild skyddsvärda.
Säpo jobbar även nära tillsammans med andra myndigheter såsom Försvarets Radioanstalt, FRA, och Militära underrättelse- och säkerhetstjänsten, MUST, och har en gemensam arbetsgrupp, NSIT (Nationell samverkan till skydd mot allvarliga IT-hot).
Det är inte ofta som myndigheten Försvarets Radioanstalt (FRA) har ute annonser för kryptologer men nu finns det ute en annons där du bör inneha följande egenskaper:
Du har forskarutbildning i datalogi, matematik, matematisk statistik eller angränsande ämne. Alternativt har du en mer praktisk erfarenhet av kryptologi, datasäkerhet och datakommunikation på motsvarande nivå. Du har goda kunskaper i programmering.
Vi ser gärna att du har erfarenheter inom något eller några av följande områden:
Datorarkitektur och maskinnära programmering
Telekommunikation
Parallellprogrammering
Nätverkskommunikation
Du är
Eftersom du ska jobba med problemlösning på komplex nivå är det viktigt att du är analytisk och nytänkande, med vana att jobba mot högt ställda mål och förmåga att uppnå resultat. För att lyckas i jobbet krävs också att du har god samarbetsförmåga, bjuder på din kunskap och är nyfiken och vetgirig. Du är uthållig och förblir motiverad och effektiv vid eventuella bakslag.