De tre myndigheterna MUST, FRA och Säpo anordnar en CTF samt event på Armémuseumet. Du kan redan nu anmäla dig till CTF:en och eventet på undutmaning.se.
CTF står för Capture The Flag och är en typ av tävling där deltagaren ska försöka lösa utmaningar inom olika områden och hitta ”flaggor” för att bevisa att man klarat av utmaningen.
Det fysiska eventet går av stapeln på torsdag den 28:e april klockan 16-21 och CTF:en startar 2022-04-09 kl 08:00. Det finns även en tillhörande Discord-server för att ställa frågor.
Totalt finns det 24 st utmaningar och de områden som gäller för utmaningarna är bl.a. inom IT-forensik, krypto och programmering. Arrangörerna lovar att vissa av utmaningarna är riktigt svåra att lösa.
Eva Björkman som jobbar på Säpo berättar om denna CTF:
Genom denna gemensamma CTF lyfter vi inte bara upp den enorma kompetens som våra medarbetare har, utan vi ger också potentiella medarbetare en liten inblick i våra verksamheter.
Igår släpptes två nya rapporter från FRA, Försvarsmakten, MSB, Polismyndigheten och Säkerhetspolisen. Dessa rapporter finns bifogade nedan och heter:
Cybersäkerhet i Sverige – Hot, metoder, brister och beroenden
Cybersäkerhet i Sverige – Rekommenderade säkerhetsåtgärder
Jag har läst båda rapporterna och de ger en allmän och övergripande bild över cybersäkerhetsläget. Det framgår också i rapporten att den är just avsiktligt generaliserad samt riktar sig till samtliga offentliga som privata verksamheter. För oss som är djupt nere i träsket så tycker jag att rapporten är lite väl för generell, dock så bör du läsa rapporten med rekommenderade säkerhetsåtgärder.
Rapporten tar upp problem som kan uppstå till följd av utkontraktering och kompetensbrist. Men även beskriver de olika aktörerna som utför cyberattacker såsom statsunderstödda grupperingar, kriminella aktörer och ideologiskt motiverade.
Även tas olika initiala attacker upp såsom vattenhålsangrepp, angrepp mot exponerade tjänster, lösenordsattacker, spearphishing och phishing.
Rapporterna innehåller också ett antal felaktigheter och konstiga antaganden som verkar representera enskilda individers tyckande. Men att producera rapporter hjälper inte Sveriges motståndskraft mot cyberhot. Det viktiga är att cybercentret når en operativ effekt skyndsamt.
Ett modus som rapporten tar upp och viktigt att tänka på är att mer och mer attacker sker mot privatpersoner med viktiga befattningar. Syftet kan vara att hitta information för utpressning eller ta sig vidare in på en organisations system:
Angrepp sker även direkt mot individers personliga it-utrustning.
Det finns också givetvis många organisationer som bör läsa under rubrikerna rekommenderat arbetssätt som återfinnes under samtliga 9 rekommendationer.
Rapporten Cybersäkerhet i Sverige – Hot, metoder, brister och beroenden kan du ladda hem här:
Rapporten Cybersäkerhet i Sverige – Rekommenderade säkerhetsåtgärder kan du ladda hem här:
Ett återkommande tema på denna blogg är att skriva några rader gällande den årsrapport som FRA publicerar. Årsrapporten för året 2019 släpptes igår Torsdag den 20:de.
Årsrapporten ger oss en inblick i en verksamhet som omfattas av mycket sekretess. Men först, på uppmaning av FRA: lös kryptot nedan.
KODSXTTUMEVSXENXTEÄOGSUXRKCR
KTFIEHIALÖGRXTPAREHIEXNXSENT
Årsrapporten inleds av ett förord av FRA:s nya generaldirektör Björn Lyrvall som varit på plats sedan några veckor tillbaka. Från tiden att Dag Hartelius avgick tills det att Björn var på plats så var Charlotta Gustafsson tillförordnad GD (och numera överdirektör).
Rapporten går även igenom nya initiativet Sommarlovön där 15 stycken gynmnasieungdomar fick testa på att hacka och försvara en fiktiv myndighet. Som hjälp hade eleverna experter från FRA:s avdelning för cyberverksamhet.
Samverkan är en viktig del och det nya säkerhetscentret nämns givetvis i rapporten också, även framhålls det att NCSC ofta framhålls som en väl fungerade enhet.
Cyberförsvarspodden och Tekniskt Detekterings- och Varningssystem (TDV) nämns också samt att fler verksamheter har fått systemet installerat. Jag har tidigare skrivit om TDV här på bloggen ett antal gånger.
Nygamla hot såsom gråzons-problematiken och icke-linjär krigföring (hybridhot) tas också upp.
Under förra året har det kommit ny lagstiftning som tydligt klargör att FRA:s underrättelserapporter inte får användas i en brottsutredning och i rättsskipning. Detta gör att FRA kan rapportera även under en pågående förundersökning.
Här nedan du ladda hem årsrapporten i sin helhet (PDF)
Detta är en sammanfattning av förmiddagens pass under Cyberförsvarsdagen 2020. Du kan läsa om eftermiddagen här
Inledning
Dagen började med att två generaldirektörer, en generalsekreterare och chefen för Försvarsmaktens LEDS CIO pratade om vad som är normalläge och vad som är gråzon.
Enligt FRA så befinner vi redan i en gråzon och detta ser FRA genom sin signalspaning såsom TDV-systemet. Angriparna är ute efter våra innovationer och konkurrenskraft instämmer Robert Limmergård.
De stora resurserna har statsunderstödda aktörer men enskilda små hacker-aktörer
Cybersäkerhetscentrets viktigaste uppgift enligt paneldeltagarna:
Björn Lyrrvall – Genom samverkan kan vi bättre skydda våra system
Dan Eliasson – Vi jobbar nära med andra myndigheterna och poolar våra resurser och får då bättre detekteringsförmåga
Robert Limmergård – Viktigt att vi inte häller ner informationen i ett stort svart hål.
Lennart Kvannbäcken – Viktigt att det finns personal i form av kött och blod och att samverkan blir mer än bara papper.
Annika Avén frågar panelen om bra exempel på samverkan mellan myndigheter och civila samhällen. Några exempel på bra samverkan som lyfts upp är FIDI-grupperningarna, arbetet via DIGG samt att bara denna dag är ett bra exempel. NSIT lyfts också upp som en bra gruppering, mycket av infrastrukturen ägs av den privata sidan.
Paneldebatt: Hotbild – Ansvar – Övningar
Moderator Martin Waern, Scandinavian Risk Solutions (SRS)
Lägesbild och hotbild
Inledningstal inför passet är Jan Berg som är chef för TDV på FRA berättar om hur hotbilden förändrats på 20 år samt att det finns runt hundratalet aktörer i dagsläget.
Hur mycket resurser behövs det för att bedriva denna typ av cyberattacker? Det finns otroligt många verktyg som open-source men även kommersiella verktyg.
Vad är det för aktörer som håller på med datorintrång? Grupperingar som är löst eller hårt knutna till olika stater, drivs av ekonomiska och politiska motiv. Agendan spelgas i den underrättelseinhämtning som genomförs.
Intressant kreativt scenario som Jan tar upp är intrånget mot den svenska dopingorganisationen. Man såg det nästan komma eftersom samma aktör troligtvis genomfört attacker mot WADA, World Anti-Doping Agency.
CloudHopper (APT10) samt Operation Soft cell är två intressanta operationer som visar på när antagonister går på tjänsteleverantörer.
Det tar i snitt 200 dagar innan ett intrång upptäcks, vad får det för konsekvenser för Er frågar sig Jan Berg på FRA. Ha ett långsiktigt arbete för det har aktörerna.
Panelsamtal: Signalskydd och hotbilden – är vi på rätt väg?
Panelen består av följande personer:
Jan Berg, FRA
Jens Bohlin, Tutus
Roger Forsberg, MSB
Peter Eidegren, Försvarsmakten
Många affärsdrivna verksamheter tänker inte först och främst på hotbilden när man försöker vara kreativa.
Nya signalskyddsföreskrifter finns nu på plats och har tidigare bara gällt för myndigheter. Andra verksamheter har tidigare använt signalskydd men inte varit reglerade av föreskrifterna. Men nuförtiden omfattar instruktioner och föreskrifter många fler organisationer.
Det finns bra och tydliga rutiner för Sveriges signalskydd, och det skapar förtroende berättar Peter Eidegren. Vad som också är nytt är att MSB som tidigare haft ansvaret för tilldelning av signalskydd så erbjuds nuförtiden enbart nyttjanderätt (en typ av lån).
Roger Forsberg berättar att MSB har möjlighet att besluta vilka som har tillåtelse att nyttja signalskydd. Man tecknar då en överenskommelse med MSB, signalskydd är av Svenskt nationellt säkerhetsintresse.
Man har även en plan framöver och anskaffar system samt försöker lägga dem på hyllan, men ibland kan de ta upp till ett år att få kryptosystem.
Jens Bohlin berättar om industrins utmaningar med att ta fram kryptosystem. Det är viktigt att jobba agilt och parallellt så inte utvärderingen av kryptosystem tar för lång tid och systemen är föråldrade när de väl kommer ut.
Behövs det verkligen fyra myndigheter som är ansvariga för krypto i Sverige frågar sig Martin? Det finns givetvis effektivitetsvinster säger Jens.
Roger avlutar paneldebatten och berättar om att dagens kryptosystem kan lösa många av organisationernas behov upp till nivå kvalificerat hemlig. Det gäller att vara kreativ och mycket går att köra över IP såsom IP-telefoni samt video.
Panelsamtal: Hur håller vi igång vårt fungerande samhälle?
Moderator: Torsten Bernström, CGI
Panelen består av följande deltagare:
Överste Patrik Ahlgren, Försvarsmakten
Mattias Wallén, SRS
Martin Allard, 4C Strategies
Martin berättar angriparen angriper oss där vi är som svagast och tar upp fel faktorer för fungerande försvar:
Försvarsmakt
Förtroende
Försörjningsberedskap
Fortifikation
Förfogande
När man arbetar med en utredning så har man ett direktiv att utgå ifrån. Och vill man annat får man prata med departementet.
Patrik berättar om vad en kvalificerad aktör kan ställa till med i samhället och att det inte går att åstadkomma 100%-ig säkerhet. Man måste räkna med bortfall. Ett exempel är att det måste finnas alternativa metoder för betalningar.
Alla i Sverige har ett ansvar att bidra till försvarsviljan anser Patrik. Ett robust samhälle går inte att bygga med den moderna tekniken, det är en utopi.
Svagheterna finns inte alltid där man tror och det ser ut som en lasagne och inte som stuprör säger Mattias. Lyfter upp dolda beroenden såsom OpenSSL samt sårbarheten Heartbleed.
En bra grundsäkerhet är att tjänsteleverantörerna klarar av de kända säkerhetshoten berättar Patrik.
Finns det en idé om K-företag 2.0, frågar moderatorn Torsten till Martin. Det finns flera skäl till att den inte går att införa systemet såsom upphandlingsregler. Regler runt konkurrens och EU är några delar som gör det svårare. Vilka företag ska omfattas om krigsplaceringar frågar Martin publiken.
Gemensamma privat-offentliga övningar för ett stärkt cyberförsvar
Moderator: Torsten Bernström, CGI
Paneldeltagare:
David Olgart, Försvarsmakten
Erik Biverot, lagledare LockedShields
Daniel Vikström, Afry
David börjar med att berätta om övningen SafeCyber och Försvarsmaktens beroenden av olika företag och organisationer. Övning leder till att stärker cyberförsvarsförmågan.
Teknisk incidenthantering och rapportering. Kopplade mot diskussionsövningen
Riskhantering och beslutsfattande
Genomförde forskning. Hur genomför man effektivt incidenthantering?
Forskning på lägesuppfattning.
De mjuka delarna var också viktiga och att folk lärde känna varandra och den viktigaste erfarenheten var att fler ville köra övningar.
Erik berättar om CCDCOE och övningen Locked Shields samt att det var 23 tävlande lag från olika nationer.
Sverige hamnade på tredje plats under 2019 och det är otroligt bra då enbart Tjeckien och Frankrike hamnade före. Hela miljön är öppen och inget hemligt hanteras.
Hur organiserar sig ett tillfälligt sammansatt team är intressant forskning nämner Daniel och något som Gazmend Huskaj forskar på.
Moderatorn Torsten frågar panelen hur kunskapen sprids från övningar: David tipsar om FOI:s rapport som går igenom samt nämner MSB:s handbok för övningar.
Man måste vara ödmjuk säger Erik och detta är en kompetensdriven faktor, mycket hänger på vilka individer vi får tag på. Informella kunskapsöverföringen är också viktig säger Erik.
Nationellt Cybersäkerhetscenter – Storbritannien
Moderator: Richard Oehme, Knowit
En talare från brittiska UK Nation Cyber Security Center, NCSC berättar om Storbritanniens satsning och vad de har lärt sig om de senaste tre åren.
De försöker göra det enklare för företag och privatpersoner att använda Internet säkert. De försöker också bli mer transparenta och är en del av GCHQ, FRA:s motsvarighet i Storbritannien. Om en attack mot elnätet skulle inträffa så skulle det vara till NCSC som folk skulle vända sig till.
De har projekt just nu för att säkra upp smarta elnät och kritisk infrastruktur inom området smarta städer. Annat de har utgivit är en broschyr för småföretagare om cybersäkerhet.
En annan lyckad satsning som nämns är Exercise in a box som gör det enkelt för små företag och organisationer att öva. Allt är givetvis gratis som NCSC gör:
Exercise in a Box is an online tool from the NCSC which helps organisations test and practise their response to a cyber attack. It is completely free and you don’t have to be an expert to use it.
En av det mest intressanta sakerna jag tyckte hon nämnde var automatiskt nedtagning av phishing-webbsajter samt möjlighet att stoppa andra attacker automatiskt, går under namnet Active Cyber Defence (ACD).
Säker rekursiv DNS som de utvecklat tillsammans med civila sektorn som blockerar osäkra sajter (PDNS).
Ett tydligt mandat och en budget var två av framgångsfaktorerna för det brittiska cybersäkerhetscentret men även att de är samlokaliserade med GCHQ.
Totalförsvarets forskningsinstitut (FOI) har släppt en ny rapport om säkra leverantörskedjor för styrsystem. Rapporten visar på en ny trend när det gäller leverantörsskedjor som representeras av ett växande antal specialiserade leverantörer. Kedjan från leverantör till driftsatt industriellt informations- och kontrollsystem (ICS) blir då lång och komplex.
Rapporten går igenom olika regulatoriska krav såsom NIS-direktivet, Cyber Security Act och även branschpraxis samt rekommendationer från bl.a. ISO/IEC, MSB, FRA och CPNI.
Även intressanta saker såsom ansvarförhållanden och förtroendenivåer mellan operatörer och leverantörer tas upp i rapporten och hur dessa förhåller sig mellan olika standarder.
Rapporten är på 52 sidor och kan hittas här som PDF:
Säkra leverantörskedjor går under benämningen Supply Chain Cyber Security på engelska. Författare till rapporten är Erik Zouave och Margarita Jaitner.
Detta inlägg sammanfattar eftermiddagen på Cyberförsvarsdagen 2019 som anordnas av SOFF tillsammans med MSB, FRA och Försvarsmakten. Förmiddagen kan du läsa om här.
Den internationella kontexten och dess påverkan på Sverige
Moderator: John Ahlmark, kommunikatör FRA
Supply Chain Security
Pia Gruvö, chef avdelningen för krypto och it-säkerhet Must
Pia berättar hur allt hänger ihop, för när jag började för 30 år sedan i branschen så fokuserade vi på algoritmer i kryptoapparaterna. Sedan blev det fokus på lådorna och nu tittar vi också på Supply Chain Cyber Security. Vi är bl.a. rädda för exfiltration via bakdörrar eller om man stänga ner eller styra system via bakdörrar.
Högassuransprodukter är de produkterna vi måste ha mest företroende för. Sådana produkter är exempelvis kryptoprodukter och vi väljer framförallt svenska produkter och detta har nu även Regeringen insett.
Ett exempel där det gick fel är en kryptoleverantör som anlitade en underleverantör som tillverkade kretsar. Och maskinen för att tillverka dessa kretsar var anslutna mot internet.
Man måste köpa komponenter från andra länder till kryptosystem. Då måste vi bygga system så att om det följer med en bakdörr så blir den isolerad och inte kan göra någon skada. Försvar på djupet är viktigt samt de mest kritiska produkterna måste komma från företag som man har förtroende för.
Outsourcing
Kommendör Jan Kinnander, Chef för Säkerhetskontoret på MUST
Jan börjar med att berätta om vad MUST är och de tre delar som MUST består av och att han är chef för den militära säkerhetstjänsten. Pia är chef för en av delarna under mig som jobbar med krypto och it-säkerhet, vi har också en enhet som jobbar med kontraspionage samt en del som jobbar med säkerhetsskydd.
Han berättar även att underrättelsetjänster är lata, de tar den enklaste vägen in när de vill göra intrång. Det är ett högt tryck när det gäller intrång mot underlverantörer och det beror på flera saker såsom att det är många ägg i samma korg, många har ett svagare skydd än exempelvis än en myndighet. Även kan en leverantör ha flertalet underleverantörer. Att säkerhetspröva utländsk personal är ett stort problem då vi inte har lika mycket information.
Just när det gäller leverantörer så ingår detta i säkerhetsskyddsförordningen från och med 1:a April 2018. Som tillsynsmyndighet har vi större möjligheter att exempelvis att stoppa en upphandling.
Brister som Jan Kinnander, Chef för Säkerhetskontoret på MUST ser gällande outsourcing:
Säkerhetsanalys
Säkerhetsprövning av personal
Tidsförhållanden
Och tillstryker att ansvar inte kan outsourcas. Är det här slutet för outsourcing? Nej, men vi måste ha en större transparens. En större kunskap vilka krav som ställs på myndigheten och hur dessa uppfylls.
Utkontraktering och överlåtelse av säkerhetskänslig verksamhet – Förslag till kompletteringar till den nya säkerhetsskyddslagen
Stefan Strömberg, särskild utredare Utredningen om vissa säkerhetsskyddsfrågor
Säkerhetsskyddslagstiftningen har utvidgats och omfattar en utökad skyldighet att ingå säkerhetsskyddsavtal. Tidigiare så behövdes exempelvis inte säkerhetskyddsavtal vid samarbeten exempelvis. Men samarbeten som går fortlöpande mellan myndigheter är dock undantagen. Nya säkerhetsskyddslagen har även nya tångsmedel. Viktigt är även en proportionalitet
Stefan berättar om skillnaden mellan lag och förordning.
Försvarsmakten och Säkerhetspolisen blir samordningsmyndigheter för tillsynsmyndigheter. Nytt är även en anmälningsskyldighet samt sanktionsavgift som beslutas av tillsynsmyndigheten.
Säkerhetsskyddschefen blir obligatorisk för alla verksamheter som driver säkerhetsskyddad verksamhet men yttersta ansvaret är hos GD eller VD. Avtalet är också en viktig del och inte bara nya säkerhetsskyddslagen.
Panelsamtal – Hur ändrar vi säkerhetsbeteendet?
Christer Samuelsson, head Cyber security CGI
kmd Jan Kinnander, chef säkerhetskontoret Must Försvarsmakten
Pia Gruvö, chef avd. krypto och it-säkerhet Must Försvarsmakten
Stefan Strömberg, särskild utredare
Först berättar Christer att han är från det privata och att samverkan är viktigt och att vi förstår varandra mycket bättre och vi förstår våra brister vilket är bättre vid våra upphandlingar.
Moderator John Ahlmark från FRA frågar Stefan om de nya lagarna och om de verkligen behövs. Och Stefan säger att det eg. är lite tråkigt att detta behövs men har tyvärr blivit ett måste. Avdramatisera genom att göra det till en fråga för alla som jobbar på ett företag.
Jan säger att regelverket är värdelöst. Det är att det används på rätt sätt, det handlar om attityder och kunskap.
John frågar om nya regelverket kan hämna istället för att ge verkan? Javisst kan det var så men vi måste alla prata om detta.
Pia är den som fått flest frågor under sitt tal. Och många handlar om ett land 10 timmar mot öst och eventuella bakdörrar, men Pia framhåller att eventuellt är läckorna efter Snowden som är det stora problemet. Alla bakdörrar som NSA stoppat in i produkter.
Tjänstemannaansvar? Vi måste komma rätta till med problemen och inte hänga ut någon. Många gånger har det också handlat om en kommunikationsfråga, gällande exempelvis inom Transportstyrelsen säger Jan.
Metoder och verktyg för cyberförsvar
Moderator: Annika Biberg, principal security consultant Nixu
MITRE:s attackramverk ATT&CK – Processer och tekniker för att upptäcka angripare inne i ditt nätverk
Mattias Almeflo, principal security consultant Nixu
Mattias berättar om ramverket ATT&CK som utvecklats av det oberoende och icke vinstdrivande företaget MITRE. Förkortningen står för Adversarial Tactics, Techniques and Common Knowledge. Ramverket fokuserar mycket på post-exploitation, dvs redan när angriparna finns i nätverket.
Även så bygger ramverket helt på empirisk data och är således rejält underbyggt. Det som ATT&CK även gör är att den går att använda för att attribuera och spåra till angripare på exempelvis landsnivå. 43% av alla attacker går att härleda till specifika länder.
LOLBins är fillösa attacker och har funnits sedan 2014 och där ser man en ökning. Mer än hälften av alla attacker enligt en källa använder LOLBins såsom Powershell.
”Living of the land” och detta är något som ATT&CK hjälper till att upptäcka. TTP:er används för detta och togs fram efter den första APT1-rapporten, Mattias använder även Biancos ”Pyramid of Pain”:
Bästa av allt är att det är gratis och du kan även använda ATT&CK för att göra benchmarks för att jämföra IT-säkerhetsprodukter.
CIS20 grundläggande kontroller och exempelvis en IT-säkerhetsprodukter såsom Tripwire kan visa på att dessa två inte täcker upp allt genom att titta i ATT&CK.
Panelsamtal – Vad kan ATT&CK bidra med idag?
Mattias Almeflo, principal security consultant Nixu
Robert Jonsson, btr. chef CERT-SE/MSB
Ammi Lovén, seniorkonsult Secana
Moderatorn Annika frågar om det här är ett bra ramverk? Ja tycker både Robert och Ammi och Robert tillägger att det är bra för att alla pratar samma språk. MSB använder inte själva men berättar gärna för andra hur de ska arbeta.
Mattias, har du några praktiska exempel på hur man ska ta till sig ramverket? Ja, exempelvis när man arbetar med härdning av system så kan man när man är klar med härdningen se om man åtgärdad allting. Även kan du testa din förmåga att upptäcka attacker och vart era luckor är.
Ammi tycker även att ATT&CK-ramverket kan användas för övningar.
Mattias säger att Lockheed Martins Cyber Kill Chain och ATT&CK överlappar även. Ena utesluter inte det andra och man bör inte lägga alla ägg i samma korg.
Att säkerställa Sveriges framtida cyberförmåga
Moderator: Klas Lindström, VD och grundare 4C Strategies
Framtidens säkra IT-miljöer
Madeleine Kempe, cyber security program manager Saab
Madeleine berättar om framtidens utmaningar och hur vi ska hantera arvet. Vi har nya system som ska utvecklas och vi måste även ta hand om legacy. Vi har bl.a. KSF 3.1 och ISO-27000 att förhålla oss till. Men snart även säkerhetsskyddslagen och NIS-direktivet.
Fyra principer för säkra lösningar enligt Madeleine Kempe som är cyber security program manager på försvarsföretaget Saab:
Säkerhet från grunden
Standard
Kategorisera, klassificera
Tydlig styrning
Panelsamtal – Hur stärker vi Sveriges cyberförsvarsförmåga?
Lars Nicander, enhetschef ISSL och CATS FHS
Dag Ströman, chef CSEC FMV
övlt Patrik Ahlgren, chef Cyberförsvarssektionen LEDS CIO Försvarsmakten
Madeleine Kempe, cyber security program manager Saab
Dag ströman säger att vi måste anta att angriparna är i våra system. Klas frågar Patrik vad som är viktigt för Sveriges cyberförsvarsföråga och Patrik berättar att alla måste vara medvetna om hotet. Man måste konstruera dessa system med säkerhet i åtanke och inte hela jobba reaktivt.
För Försvarsmaktens del så måste vi ha funktionalitet i våra system så vi behöver alla tre förmågor. Vi behöver även förmågor att attackera och skydda IT-system säger Patrik Ahlgren.
Men hur ska privata aktörer få koll på hotet? Jo vi alla myndigheter såsom MSB, Försvarsmakten och Säkerhetspolisen har ett gemensamt ansvar.
Lars Nicander säger att vi måste ha en cybersäkerhetskoordinator hos statsrådsberedningen i Regeringen. Vi har haft 7 st utredningar och alla har lagt fram en strategi. Bästa svepskälet till att vi inte har det är att alla säger att vi har ansvarsprincipen.
Dag tycker att vi ska skapa en nationell styrmodell för cybersäkerhet istället för att använda silosar och alla uppfinner eget.
Kanske titta på den norska modellen med en myndighet som har större ansvar. Patrik tror dock inte på en ny myndighet, men absolut på en cybersäkerhetskoordinator. Främst för att koordinera cybersäkerheten inom Regeringskansliet. Vart leder resan med ett cybercenter?
Alltid viktigt med kommunikation mellan totalförsvarsmyndigheter. Dag frågar vilken som skulle vara den allvarligaste incidenten? Alla produkter som innehåller samma sårbarhet som kan utnyttjas av en angripare: monokultur. En angripare skulle kunna slå djupt och brett.
Politikerdiskussion
Moderator: Johan Wiktorin, director intelligence PwC
Niklas Karlsson (S) Ordförande Försvarsutskottet
Beatrice Ask (M) Vice Ordförande Försvarsutskottet
Daniel Bäckström (C) Ledamot Försvarsutskottet
Johan frågar hur vi skapar en sund säkerhetskultur i Sverige? Säkerhetskulturen är väldigt varierande beroende på vem man pratar med. Man måste öka medvetenheten på ett bredare plan. Vid rekrytering av chefer och det är alldeles för dyrt när det går åt skogen. Vi hade förr fluor-tanten men vi måste nu ha en cyber-tant säger Beatrice. Någon som kommer och påminner om och om igen. Vi är väldigt naiva idag och man behöver bara säga Transportstyrelsen eller Svenska kraftnät.
När det gäller internationella diskussioner om cyberattacker så pågår det fria kriget och Kina är inte intresserade av att diskutera detta.
Attacker mot det politiska systemet är också farligt. Läckta medlemsdatabaser från partier är inte bra och även när människor utger sig för att vara Beatrice Ask.
Vilka är de värsta attackerna? En mycket snabb aggregerad attack som slår ut mycket innan vi hinder reagera. Attacker mot hälso- och sjukvårdssystem som kan släcka liv. Attacker mot logistik och transporter i samhället.
Siggesigge var ett lösenord som användes inom valrörelsen för något år berättar Niklas. Scenarion som bygger på att grupper som ställs mot grupper är ett problem och att det inte går att lita på information som man får säger Beatrice.
Beatrice lärde sig på 112-dagen att man ska öva analogt. Man blir då ställd!
Niklas säger att våra mediavanor förändras och vår konsumtion blir digitaliserad och individualiserad.
Är 5G ett nationellt säkerhetsintresse? Det är en komplicerad och svår fråga säger Beatrice och den har många bottnar. Vad är det värsta scenariot och hur kan det hända?
När det kommer snabba kriser i samhället så är inte alltid våra budgetsystem förberedda. Det är givetvis billigare att investera i flygplan än att skogen brinner ner.
Kompetensförsörjning?
En specifik utbildning inom försvaret såsom tolkskolan för de som är intresserad av cybersäkerhet. Försöker bygga en rekrytering på frivillighet inom Hemvärnet.
Myndigheter som upptäcker saker såsom FRA måste även ha befogenheter att agera. Underrättelseförmågan är central i sammanhanget och ställer krav på tid och ledningssystem. Vi måste också bygga upp det psykologiska försvaret, bygga upp en vilja att försvara vårat land.
Kopplingen mellan hybridkrigföring, AI och forskning är viktig och FOI kommer att få mer pengar. Biologiska vapen är också något som oroar oss i statsrådsberedningen.
Detta är den första delen av två från Cyberförsvarsdagen 2019. Detta inlägg sammanfattar förmiddagen och vill du läsa om eftermiddagen kan du göra det här.
Inledningstal av Robert Limmergård, SOFF. Robert berättar att det är fjärde året nu som Cyberförsvarsdagen går av stapeln och han ställer sig frågan: Vad är nytt?
Panelsamtal
genmaj. Fredrik Robertsson, CIO Försvarsmakten
Dan Eliasson, GD MSB
Dag Hartelius, GD FRA
Robert Limmergård, Generalsekreterare Säkerhets- och försvarsföretagen (SOFF)
Hur skapar vi en bättre försvarsförmåga?
Samverkan och dialog. Ingen löser detta problem själv utan det är myndigheter och företag tillsammans.
Dan Eliasson, GD MSB
Så handlingsorienterade som möjliga. MSB:s jobb är att säkerställa bredden i cyberskyddet och nämner även totalförsvarsplaneringen.
En driver är att skapa robusta och hållbara system som även fungerar i kris. Vi myndighetschefer kommer att jobba tillsammans.
Dag Hartelius, GD FRA
Samtliga talare nämner ett nationellt cybersäkerhetscenter.
Sveriges välstånd är beroende av vår industri och export. Sverige är attraktivt och FRA jobbar med att förhindra industrispionage bland annat.
Bilden är inte längre nattsvart när det gäller
cybersäkerhet.
Fråga från moderator till Fredrik: Vilken roll skulle FM ha
i ett cybersäkerhetscenter?
FM skulle bygga ett samarbete utifrån befintliga roller.
Dag: Våra uppdragsgivare förväntar oss att vi gör mer.
Snabbare upptäcka och åtgärda och presentera en lägesbild när det gäller
cyberhotet. Vilka förmågor har vi tillsammans vi myndigheter.
Fråga från moderatorn: Vad har hänt, vad är det som är nytt?
Dag från FRA berättar att vi har gjort mycket för att upptäcka hot.
Rekryteringsutmaningar som alla vi har, det är en tuff arbetsmarknad.
Sommarlovön är ett nytt initiativ av FRA för att väcka intresse bland 15-16
åringar berättar Dag Hartelius som är generaldirektör (GD) på FRA.
Dag berättar även om att Riksbanken som FRA jobbar med att
hjälpa inom cybersäkerhetsområdet blir bättre. Det är sällan FRA berättar om
vilka uppdragsgivare som de har men just när det gäller Riksbanken.
Framtidens digitala ekosystem
Moderator: Jonas Stewén, Combitech
Daniel Jaurén, FRA
För cirka 10 år sedan så började digitaliseringen och allt
skulle kopplas upp, och det gick fort och fel. Väldigt stark förmågeutveckling
på CNE-området hos många länder.
Attackerna mot Sverige styrs av en nationell agenda, vilket
är också en ny trend. De vill uppnå en effekt snarare än att genomföra
informationsstölder.
Länder som bedriver en aktiv utrikespolitik kommer också att
lämna spår på cyberarenan. Fler aktörer och en snabb höjning av lägstanivån hos
aktörerna. Våg 2 och 3 när det gäller aktörerna kommer att gå mycket snabbare
och bli en mer integrerad del i deras verksamhet.
Vad är det som angrips då? Man går inte direkt mot sitt mål,
det är en oerhört komplex bild än att titta direkt på skyddsvärdena.
Vi som underrättelsetjänst lägger en bild. Vi samlar på
bitar och lägger ett pussel, vi måste se till att dessa pusselbitar inte
försvinner från Sverige.
Vad kan FRA göra då? Givetvis kan vi samarbeta, men jag
skulle vi slå ett slag för hotbildsperspektivet och angriparperspektivet. Våra
angripare kanske vet mer om vad som är skyddsvärt. De mål som klarar sig bäst
mot angrepp är de som kan lära sig från tidigare hack och måla upp en hotbild.
Ja, du kommer att bli hackad! Den offensiva sidan kommer att vinna. Vi kommer
inte att kunna stoppa hacken men vi kommer att kunna hitta dom tidigt.
Hur jobbar FRA med hotinformation? Vi jobbar dels proaktivt
då vid stödjer myndigheter och statligt ägda bolga. Vi jobbar även reaktivt med
TDV-sensorer och SIGINT. Givetvis larmar vi även om hotaktörer går mot mål i
Sverige som inte omfattas av TDV-sensorerna.
Robert Jonsson, MSB / CERT-SE
Robert berättar först hur de nordiska CERT-organisationerna
är organiserade. I norden har vi ett samarbete som heter Nordic CERT
Cooperation (NCC) som bygger på ett MOU samt överenskommelse inom nordiska ministerrådet.
På EU-nivå så delar vi operativ information i ett samarbete som heter EGC,
European Governmental CERTs.
Ett globalt nätverk som heter International Watch and
Warning Network (IWWN). Och i samband med NIS-direktivet så skapades CSIRTSs
Network (CNW) som är på EU-nivå. Även är detta samarbete en bas för ENISAs
övningsserie Cyber Europe. Värdefullt forum för nationer som inte har haft en
CERT tidigare.
Övriga forum som CERT-SE jobbar med är FIRST och TF-CSIRT.
Men vad gör man då i samarbeten? Man delar information, med
stöd av exempelvis trafikljusprotokollet (TLP). Specifika incidenter såsom
WannaCry och även på automatiserat sätt med MISP-plattformen.
Jacob Henricsson, Foreseeti
Börjar med att prata om Robin Blokkers citat från förra året
där han ansåg att vi måste börja fixa sårbarheter från 90-talet först. Sen
berättar han om att allt blir uppkopplat. Det blir mycket billigare att ha
SIM-kort i alla saker och koppla upp dom och även GPS-brickor blir billigare.
De största hoten är fortfarande samma som de gamla. Jacob
visar en bild från OWASP Topp 10 från 2010 och visar hur den nya från 2017 ser
ut.
Men vad kan vi göra åt detta då? Om vi inte digitaliserar
det så behöver vi inte hålla koll på cyberhoten. Det blir mycket dyrare att
hacka det.
Vanliga cybersäkerhets problem som Foreseeti ser är:
Gamla produktionssystem med många användare
Återanvändning av användarkonton
Platta nätverk
Bra segmentering – men kortsluts genom lönndörrar
Kombinerade sårbarheter
Alla deltagare: Vilken kompetens saknas? Vi måste göra
cybersäkerheten sexigt igen säger Robert. Faktum kvarstår vi kommer att
digitalisera saker vare sig vi vill eller inte säger Daniel, vi måste bli bra
kravställare vi inköp.
Erik Nordman, Inledningstalare och Säkerhetschef och säkerhetsskyddschef vid Svenska kraftnät inleder.
Vad är skyddsvärt? Det är våra samhällsviktiga funktioner
som måste vara på plats. Vad är då skyddsvärt på SVK? 150-200 stamnätsstationer
som är som en ryggrad i elnätet. Men vad
just om dessa stationer är skyddsvärt? Är det lokaliseringen? Är det dess
funktion i elnätet?
SVK:s driftcentral är själva hjärnan i elnätet. Det är här
man ser till att det är exakt 50hz i elnätet, och att detta är skyddsvärt är
helt självklart. Men vad exakt runt just detta är skyddsvärt? Dom här sakerna
behöver man givetvis utreda och göra en bra analys.
Ungefär 70 personer har jobbat med att reda ut frågor som dessa
under 2018. Vad är viktigt ur vilket perspektiv? Vart behöver vi lägga vårat
skydd.
Panelsamtal – Förhållandet mellan NIS och nya säkerhetsskyddslagen – Vad är samhällsviktiga tjänster och vad är säkerhetskänslig verksamhet?
Erik Nordman, Säkerhetschef och säkerhetsskyddschef vid Svenska kraftnät
Vilka utmaningar står vi inför frågar Matilda till panelen.
Martin påpekar på att prioritera och fokusera på det som är viktigt, våga
prioritera bort också.
Nya säkerhetsskyddslagen och NIS-direktiven är olika och
fokuserar på olika saker. Det är viktigt att skapa ett förtroende för digitala
tjänster och skapar förutsättningar för den inre marknaden.
Säkerhetsskyddslagstiftningen har företräde före
NIS-direktivet. Det finns även ett stort överlapp när det gäller åtgärder,
såsom säkerhetskultur. Mycket av detta handlar om en bra grund.
Många pekar på utmaningar med NIS och nya lagstiftningen.
Systematisk och metodiskt informationssäkerhetsarbete är en bra grund för allt
arbete och låta analysen ta sin tid men inte glömma att ta till åtgärder också.
Det kommer att se ut annorlunda imorgon och det måste vara ett kontinuerligt
arbete säger Annette Norman på Justitiedepartementet.
Det är rätt att inte skriva i lagstiftningen i detalj vad
som är Sveriges säkerhet.
Tillsynen förutsätter att det finns ett tydligt regelverk
att hålla sig till och det är något som regeringen jobbar på just nu.
Ansvar i AB Sverige – Hur bygger vi en effektiv privat-offentlig samverkan för Sveriges cyberförsvar?
Moderator: Richard Oehme, director cyber security & critical infrastructure protection PwC
Panelsamtal – Hur kan myndigheter och företag stödja varandra i arbetet kring en effektiv samverkan mot ökad cyberförsvarsförmåga?
Åke Holmgren, avd. chef cybersäkerhet och skydd av samhällsviktig verksamhet MSB
Mats Wallinder, Riksbanken och ordförande FSPOS
Pernilla Rönn, chef cyber security Combitech
Generalmajor Fredrik Robertsson, CIO Försvarsmakten
Åke påbörjar passet med att inledningstala och berätta om
privat-offentlig samverkan. Många av arenorna för samarbeten är kopplade till
SAMFI-myndigheterna som jobbar med cybersäkerhet.
Men varför är det då viktigt med privat-offentlig samverkan?
Jo, det handlar om ett gemensamt ansvarstagande. Det underlättar för att snabbt
upprätta en lägesbild för att hantera allvarliga störningar. Det är viktigt att
vi bygger oss starka redan innan någon händer. Det bygger även tillit och
förtroende samt en gemensam kunskap.
De äldsta forumen för samverkan inom MSB heter FIDI och skapades 2004. De heter FIDI-SCADA, FIDI-FINANS, FIDI-TELEKOM, FIDI-DRIFT och VIDI-VÅRD.
Mats Wallinder berättar om vad som är skyddsvärt vid
riksbanken. Det finansiella systemet är globalt och vi är beroende globalt. Vad
är då privat-offentlig samverkan inom finansiella tjänster? FSPOS är ett
nätverk som bygger på frivilligt deltagande där 12 organisationer ingår i
dagsläget.
FSPOS har en styrelse och har en verksamhetsidé som går ut
på samverkan, övningar, kartläggningar och dela information för att stärka den
finansiella sektorns förmåga att möta hot och hantera kriser. Medlemmarna är
främst privata aktörer såsom Nasdaq, Svenska bankföreningen och Euroclear.
Sedan i paneldebatten så berättar Fredrik om övningen SAFE
Cyber 2018 och de frågeställningar som dök upp där. Hur kommunicerar vi
exempelvis? Övningen är ett table-top spel utan tekniska moment. Det är svårt
att öva saker om man inte har fullt förtroende säger även Fredrik. Det var en
bra övning med små resurser, vi ha ner relativt lite tid och pengar. Vikten att
hantera formalia, vilken information kan vi delge andra och hur ska de gå till?
Övningar kan oftast svara på dom frågorna.
Pernilla Rönn på Combitech nämner EU-TIBER som är ett bra ramverk för att skapa resiliens, främst inom den finansiella sektorn. Tiber-ramverket handlar om hur man implementerar Threat Intelligence-based Ethical Red Teaming.
Enkla rutiner kan vara ett bra resultat från samverkan.
Exempelvis en checklista som alla organisationer kan ta med sig hem och ge
hjälp.
Resursfrågan kommer också att styra samarbeten i framtiden
anser Richard och bollar vidare till Åke. Men just när det gäller
totalförsvaret är det ett större ansvar. Samarbeten ska göras i dialog och inte
tvinga fram samarbeten, förtroenden är viktigt.
Ingen myndighetsutövning är önskvärd i samarbeten mellan
offentlig och privat samverkan.
Myndigheten FRA har precis släppt sin årsrapport för verksamhetsåret 2018 och jag har läst den. Rapporten trycker mycket på hur FRA medverkar till att höja den nationella säkerheten när det gäller cyberförsvar. Även har fokus inom myndigheten legat på påverkansoperationer runt valet.
Statliga cyberattacker pågår ständigt och ökar
FRA årsrapport 2018
Fler myndigheter och statligt ägda företag har installerat det tekniska detektionssystemet TDV och en ny ändring som FRA jobbar på är att även ha möjlighet att avbryta pågående attacker. Rapporten pekar på att TDV har under året lyckats upptäcka flertalet avancerade intrångsförsök mot svenska mål.
Ett nytt signalspaningsfartyg är under uppbyggnad och byggs i Polen av varvet Nauta, detta nya fartyg kommer att ersätta HMS Orion. Detta nya fartyg kommer även ha en ny teknikplattform som parallellt utvecklas och införskaffas.
Att främmande stater angriper Sverige och kartlägger totalförsvaret samt identifierar samhällets sårbarheter är något som framgår i rapporten. Även framgår det att spioneri där forskningsresultat, utvecklingsprojekt och patentansökningar används för att hitta genvägar av företag i andra länder.
Tittar vi på hur angrepp kan se ut där angriparen vill få fotfäste i nätverk under en längre tid och vid ett senare tillfälle vill påverka samhällsviktiga funktioner skriver FRA enligt nedan citat. Detta kräver dock att det otillbörliga tillträdet kan överleva under flera år och min bedömning är att supply chain (inköpskedjan) då påverkas med hjälp av exempelvis hårdvaruimplantat.
Att skaffa sig otillbörligt tillträde till de nätverk som styr samhällsviktig verksamhet kan också göras med målet att vid ett senare tillfälle störa eller slå ut samhällsviktiga funktioner.
Säkerhets- och Försvarsföretagen (SOFF) ordnar tillsammans med MSB och Försvarsmakten årligen ett konferensevent – Cyberförsvarsdagen. I år 14 februari med tagline ”Cybersäkerhet i nationens intresse”. Enligt SOFF: ”På deltagarlistan finns bland annat cirka 140 personer från ett 20-tal myndigheter, cirka 120 personer från ett 50-tal företag samt en stark uppställning från bland riksdagen och departementen.”
Jag heter Robin von Post och blev utlånad av Sectra, utsänd av Kryptera.se för att sitta i publiken och grubbla och fånga essensen av det som presenterades.
Ledningarna har fått verkligen fått säkerhet på sina bord!
En Norgehistoria – Det har gjorts ett intrång med administrativ behörighet och ”kontaminerat” ett norskt sjukhus. Men man kan inte stänga ner sjukhuset och få bort intrånget. Man är för beroende av driften.
Vi måste ta in i våra riskmodeller att störningar kan användas för att distrahera
Säkerhet är en löpande process men vi jobbar väldigt hårt med att öka den grundläggande nivån på säkerhetsnivån – En bra bas att stå på. Viktig uppgift för MSB.
Det är viktigt med samverkan – Sverige är ett litet land. Det är bra – för då kan vi bygga tillit!
Fredrik Robertsson, CIO Försvarsmakten
Administrativa – Informationssäkehets-strategi fastslagen.
Även praktiska saker pågår inom försvarsmakten.
Regleringsbrevet sedan ett antal år – Jobbar hårt med uppdraget att bygga ett cyberförsvar.
SPELPLANEN
Inledning, Peter Hultqvist, Försvarsminister
Sverige är ett av de mest uppkopplade i världen. Vilar på digitala grunder.
Cyberattacker med typiskt politiska mål. Val o elförsörjning o finansiell.
Även Sverige har drabbat av attacker (Media – enskilda företag)
Med grund i Försvarspolitiska beslutet 2015 byggs en robust cybersvarsförmåga.
Denna skall kunna verka både i fred och krig. FM & FRA jobbar gemensamt för att skapa det som kallas – ”Aktiv förmåga”.
Kritisk infrastruktur – drar nytta av men blir även sårbar på grund av teknikutvecklingen
Arbetet i att skydda ”det MEST skyddsvärda” initieras i Regleringsbrev 2018
Säkerhetstjänst – Signalspaning – Försvarsmakten
FRA kan under en månad se 10000 ”Aktiviteter med skadlig kod som kan härledas till de aktörer som FRA följer”.
Vi är utsatta för informationsinhämtning kring Sveriges Försvarsförmåga, Politiska intentioner, Svensk forskning
Där ÄR fortfarande för lätt att lyckas med Spear Phishing o Denial of Service-aktiviteter
Ännu mer allvarligt – slå ut kritiska funktioner i samhället!
Aktiva förmågan bidrar till en så kallad ”tröskeleffekt”
Hultqvist pushar för värdet av Sensorer för att detektera angrepp
Militära försvaret BEROENDE av att det civila samhället stöttar. Viktigt konstaterande – svårare att dra gränsen mellan civil/militär – Stärkt Totalförsvar viktigt!
Säkerhetsskyddsförordningen har förändrats så att Försvarsmakten eller Säkerhetspolisen skall involveras när man skall utkontraktera verksamhet.
Förändringstakten är exceptionell! Men viktigt att se VAD som ändras och vad som består!
Fundamenta kvarstår i försvarspolitiken – Stater har alltid arbetat med informationsinhämtning o påverkan för att på så sätt uppnå strategiska o taktiska fördelar. Cyber är bara en ny domän.
Antagonistiska aktörerna har ALLTID funnits där!
Hög kompetens är en svensk styrka!
Moderator: Vad är kritisk framgångsfaktor i offentlig privat samverkan
PH: Medvetenhet föder aktivitet!
Moderator: Valår – Specifika aktiviteter?
PH: Bygga stegvis o långsiktigt. Stabilitet för att nå rätt resultat.
Richard Oehme, Director, PwC, tidigare enhetschef MSB – Upptakt & Nuläge
Cybersäkerhet har gått från 10 till 4:e plats på ledningsnivån i en årlig PwC-undersökning.
IT-utvecklingen pågår i expressfart – Vidtagna säkerhetsåtgärder hänger INTE med. Det kräver en ny inställning! Tar upp tex. avbrott 2016 i Flygtrafikledningen och i sjukhusmiljöer, apotekssystem.
Richard pushar för DNSSEC – Karta över Sverige. Det ser bra ut – OK, men inte bra.
Pushar även för MSB-kartan från CERT.se – Infekterade datorer i Sverige.
Detta är en fråga om Grundhygien i samhället!
Listar hotaktörer:
Nationalstater
Hacktivister
Organiserad Brottslighet
Cyberterrorister
Insiders
Upseendeväckande attacker:
2010 – Stuxnet – Anden släpptes ut ur flaskan
2017 – Cloud Hopper – Även Sverige drabbat
På Darkweb finns sedan några år – Steg för steg-verktyg för att bygga ditt skräddarsydda attackkod – visar skärmbilder.
Vi har även viktiga globala beroende – Undervattenskablar! Vi har haft störningar på dessa både pga naturkatastrofer och mänskliga. Taiwan 2006 – Stor jordbävning förstörde en mängd undervattenskablar
Sabotage utanför Afrika. Kanske är en Svart Svan? Hur mycket av samhällskritiska funktioner skulle sluta fungera?
Riktar blicken mot Cyber Supply Chain-risker – Antagonister kommer rikta sig på de svagheter som finns i denna kedja!
6 september – Israel hackade in och injicerade falska radarbilder i det syriska luftövervakning för att ostört kunna bomba bort en fabrik som man trodde byggts för att anrika uran.
Min något dystra bild – Om någon VILL stänga ner Sverige – så KAN de göra det.
MEN vi är ett litet land som kan göra mycket tillsammans!
Måste även lösa upp knuten mellan privat o offentlig samverkan.
Erik Wennerström, GD Brå, Strategi och Avgränsning/Begränsning
Nationell Säkerhetsstrategi fyller drygt ett år! Signalerar – En robust förmåga hos försvaret
NISU-utredningen
Nationell strategi för samhällets informations- och cybersäkerhet
· EU (nästa område som glidit ur regeringens grepp)
Fråga: Varför har inrapporteringen till CERT.se MINSKAT sedan sedan obligatoriska kravet på incidentrapportering trädde i kraft?
Erik: Passar vidare denna fråga till MSB
MSB: Pass
Hosuk Lee-Makiyama, ECIPE, Ekonomiska effekter av spionage
Fakta: ALLA länder spionerar.
Dock – Få länder som spionerar på kommersiella verksamheter i syfte att ge informationen till sina lokala konkurrenter. Detta har blivit handelspolitisk fråga! Mn har gjort beräkningar att detta kostar 55 miljarder euro per år. Hur kan vi veta detta? STASI-arkiven ger oss vilka ekonomiska effekter spionage ger.
Kina kan öka sin export med 30% mha Spionage.
Konstaterade fall i Europa – 12 fall – Tillverkning Kemikalier, Biltillverkning mm Skruv&Mutter. Det är ”vanliga” industrier som drabbas.
8 från Kina
2 från Ryssland
Vad leder sanktioner och åtgärder till?
Kina stänger ner sin marknad! Och Europa åker med på samma badvatten som USA.
Panel – SÄPO/FRA/FM – Hotbilden idag o vikten av att samverka!
Dag Hartelius, GD FRA
Fredrik Robertsson CIO FM
Charlotte von Essen, bitr GD SÄPO
DH: Hotet utvecklas o växer. Efterfrågan på stöd från FRA från den mest skyddsvärda verksamheten ökar.
CvE: Säkerhetsskyddet – Vi har 600 verksamheter som vi har ansvar o tillsyn över.
Vi ser framförallt 3 saker
· Bristande säkerhetskultur
· Otillräckliga säkerhetsanalyser – saknar insikt i vad som skall skyddas o hur
· Bristfällig utkontraktering
DH: Cloud Hopper avancerat angrepp av en statsaktör.
Tyvärr så måste man sprida sina behörigheter – när man utkontrakterar.
FR: Samverkan. I praktiken? På regeringens uppdrag möts o samverkar vi OFTA.
Detta bygger en medvetenhet o förståelse.
CvE: Samhället behöver jobba med:
· IT- och Informationssäkerhet
· Personalsäkerhet (man måst se till att man har lojal och kompetent personal)
· Fysisk säkerhet
FR: Snabbhet! Det är ett problem vi behöver addresser. Vi är inte konstruerade för att hantera dessa snabba förlopp.
CvE: Måste nyttja vår GEMSAMMA kraft för att bemöta utmaningen.
FR: Viktigt att hitta modeller för att ta tillvara på spetskompetenser i privat verksamhet!
CvE: Valår – Erfarenhet från tidigare valrörelser tas i beaktande. SÄPO har uppdrag att skydda förtroendet för valprocessen och att det kan genomföras på ett säkert sätt.
Öka medvetenheten runt information kan påverkas och hur man skall skydda sig.
DH: Påverkansoperationer. Blanda annat informationsstölder – vi stöttar Säpo!
Vi måste även värna den svenska kryptoindustrin!
FR: Lägstanivån behöver hissas upp! Framförallt kring samhällskritiska verksamheter.
FR: Plikt är EN väg in för att lyckas med kompetensförsörjning – men vi måste se bredare på utmaningen!
UNDER ATTACK
Pål Wrange, Professor Stockholms Universitet, Risker verktyg och politik – en internationell överblick
Som Cybermedborgare ser man dock inte världskartan med gränser.
Måste sätta Regler o Normer o ansvar för stater!
Medel för samarbete – Bindande o icke-bindande regler – Informellt samarbete o Trakter
Det är dock mycket vaga regler o oklart hur nuvarande regler kring suveränitet i cyberrymden
Kan man svara på ett cyberangrepp med ett kinetiskt?
Är påverkansoperationer legala?
Finns en mängd besvarade frågor i cybervärlden!
GGE klargjorde vissa grunder, MEN det blev inte konkret.
Det man dock fastslog 2013 var att Folkrätten GÄLLER
INGA Internationella traktater – saknas Bindande avtal!
Talar tyst om vad man anser…
Folkrätten skapas genom att ”Ngn gjorde så här” – Är det OK? – den diskussionen pågår inte.
Spioneri KAN utgöra suveränitetskränkningar – men otydligt.
Problem uppstår vid attribuering. Man må ha välgrundande misstankar.
Tex Estland 2007. Hade Ryssland ett sekundärt ansvar för att privata aktörer inte attackerar?
Vad är det då som pågår:
· FN: Group of governmetal Experts (GGE)
Rapport 2013 – men 2017 strandade dessa diskussioner pga konflikter mellan stormakter och definition av Terrorism. Behovet kvarstår dock.
· International Code of Conduct – Rysslands förslag
· FN har Internet Governance Forum (EJ politiskt)
· ITU – Tekniskt
· UNESCO
· G7/G20 – informella organ – diskuterar cybersäkerhetsfrågan på sistone
· NATO – 2014 Cyberförsvarspolicy
· 2016 – EU/NATO avser öka koordineringen – Konkret men ej normskapande.
· Tallinnmanualen – dock:
Folkrättsexperter inbjudna – akademisk produkt.
Refereras till pga i brist på annan tolkning av folkrätt i cyberrymden
· OECD
· OSSE – 2013 Ministerråd antog förtroendeskapande åtgärder. FÖRTROENDE! Arbetar med att konkretisera o realisera. Feature är att samarbetet med Ryssland fungerar här
· EU
Cyber Diplomacy Toolbox
· GCSC (Holländskt initiativ)
· Global Conference on Cyber Space
· Privata – Microsoft
En Digital Genévekonvention
Attribueringsinstutition
Avslutande:
Det ÄR en fragmenterad bild
Gemensamt
Man vill ha ett välfungerande Internet
Motsättningar
USA Ryssland Kina – Stormaktskonflikt
Skiftande teknisk kapacitet
David Olgart, Utvecklingsledare FM, Artificell Intelligens
Tittar på beslutsstöd mha AI – FOI hjälper till
Linköping – Tex automatisera konfiguration o styrning av CRATE (Cyber Range)
Överförd hotbild i pga pågående insatser. Personal på plats påverkas via social medier!
Cyberförsvar syftar till en Tröskeleffekt.
Bild på Cyberförvars-AI: Gulmarkerat (juli 2017)
· AGI
· AI for IT Operations
· Deep Learning
· Machine Learning
· Predictive Analytics
Utmaningar i försvarsmakten!
· Man måste bygga system som klarar sig utan kopplingar till uppkopplade system : On Prem-lösningar!
Behov
· Hjälp av industrin
· Moderna ledningssystem o effektiva
Konsekvenser
· Genomgripande digitalisering (men med hänsyn till skyddsbehov) ger automatisering
· Omdömeslöst AI! :o
· Dokumentstyrt till Datacentrerat
Vägen framåt
· Processer – Personal – Teknik
· AI för drift o förvaltning
· AI för upptäckt av tidigare okända sårbarheter i hård o mjukvara
· Kompetensförsörjning viktig
· Prov o Försök för att se vad vi har för status – Digitala Stabsassistenter!
Paneldiskussion
David Olgart, FM
Alexandra Larsson, Combitech
Robin Blokker, FRA
Christer Samuelsson, CGI
Moderator: Hur bygger vi en proaktiv förmåga?
RB: Jag är ju ute och säkerhetsgranskar ganska mycket. Det vore bra om vi fixar 90-talets problem först!
Moderator: Hur förbättra förmågan att upptäcka om man blir hackad?
RB: Bashygien o loggar!
Moderator: e-kronans införande vad ser vi för utmaningar?
RB: Jag hoppas vi har kvar riktiga pengar ”just in case”
Moderator: Vad kommer ett fullt utbyggt TDV att bidra till?
RB: Öka detekteringsförmågan av de MEST kvalificerade hoten mot de MEST känsliga verksamheterna.
Moderator: Gynnar AI angriparen eller försvararen?
DO: Vi brukar titta på att Angripare arbetar i grafer – försvarare i checklistor
RB: Datorprogram som krigar. Den som har bäst program o programmerare vinner.
Moderator: Vad är ni mest rädda för?
CS: AI får inte sätta behörigheter!
AL: AI skall ligga i linje med människors värderingar o inte i konflikt!
RB: Sverige inte vaknar i tid. Underminerar oss NU i lågintensivt
Och vi har en utmaningar! Svag förmåga pga sämre möjlighet till central styrning. Ref till Erik Wennerströms erodering av statens direktstyrningsförmåga – gör det svårt för cybersäkerheten!
RB: Som uppföljning på Cloud Hopper skrev vi en rekommendation – Bland annat pekar vi på att säkerhetsansvaret inte KAN delegeras. Om du släpper in ngn annan i ditt hus – se till att du har koll på va de gör. Övervakning!
Sarah Backman, Secana, När krisen är ett faktum – Cyberkrishantering
· Suddar ut gränser mellan mil-civ – geografiska – sektorer, nivåer
· Utvecklats pga dåligt cyberförsvar
· Motivation till ökade preventiva åtgärder först i efterhand!
Den generella Krishanteringsprocessen
· Detection
· Sense-making
· Decision-making
· Coordination
· Meaning-making
· Communication
· Accountability/Learning
Detection/Sense-making
Responsgrupper tillkallas alldeles för sent – Skalar inte upp i tillräcklig omfattning.
Det gäller allmänt i kris men specifikt cyberkriser.
Decision making & coordination
Vem ÄGER krisen? Spänner över många aktörer
Beslutsfattare förstår inte tekniska aspekter
Erfarenhet saknas
Gemensamma ramverk saknas
Meaning-making/Communication
Svårt rama in o beskriva krisen
Hitta bra medel för kommunikation svårt
Frame:as i politiskt syfte
Potential
· Förståelse för att det inte är en fråga OM utan NÄR en cyberkris inträffar
· Preventivt arbete är värt det!
· Ökad medvetenhet och cyberhygien av största betydelse
· Ökat engagemang från ledning – Top-Down
· Ökad Övningsverksamhet
· Mer forskning om mänskligt o Mgmt o samverkan – Komma ikapp fokus på teknik
· Bättre strukturer för informationsdelning nationellet/internationellt
Pia Gruvö, MUST, Krypto
Krypto ÄR annorlunda
· Ett dåligt implementerat krypto – lämnar inga spår. Man kan vara avlyssnad utan att det märks!
· Man talar inte OM för varandra när man lyckats knäcka systemen.
· Man kan inte täppa till det som skickats historiskt om man blivit knäckt.
· Svårt område att samarbeta på!
· Man kan inte granska in säkerhet i efterhand!
Säkerhetsskyddsförordningen (1996:663)
· Hemliga uppgifter får endast krypteras med kryptosystem som godkänts av Försvarsmakten
Kryptosystem består av
· Kryptoapparat
· Kryptonycklar
· Regelverk
Top Secret – Skydda gigabitsänd information i 95 år framåt mot statsfinansierade aktörer
Man tittar på:
· Algoritm/protokoll
· Nyckelhantering
· Röd-Svart-separering
· Design
· Hård/Mjukvara
· RÖS-skydd
· Tamper-protection
· Utvecklingsprocesser
· Assurans
· …
En angripare skall hitta en nål i en höstack – När vi godkänner ett kryptosystem för rikets säkerhet skall vi garantera ”Höstacken har INGA Nålar”!
Vi jobbar med att ta fram ett helt nytt system – Meddelandekrypto – SG R SG TS/S
Moderator: Vilka utmaningar har vi framåt?
PG: Hitta processer så att vi kan hänga med tekniskt!
Samt göra det så användarvänligt som möjligt!
Carolina Dackö, Mannheimer Swartling, Tandlöst regelverk mot ekonomiskt Spionage
Internationell Handelsrätt – Legitim handel av varor o tjänster.
Regelverk mot Ekonomiskt Spionage
Det är RÄTT oreglerat.
Nationellt Säkerhetsintresse används för exportkontroll/importkontroll – Foreign Invest Screening
Tyskland Italien Frankrike – Reglemente på EU
Chinese Intelligence Law
Lagstiftning kom i juli. Lagkrav på företag att hjälpa till med informationsinhämtning till kinesiska myndigheter. Luddigt skriven men vi VET att den är bred i sin tillämpning.
En förlängd arm av staten in i det privata.
Ekonomiskt Spionage, angripbart?
Är spionage lagligt – eller är det ”Inte olagligt”… Otydligt reglerat.
Handelssanktioner skulle kunna användas som motåtgärd.
Som alltid: Tekniken ligger långt framför oss – Juridiken trampar på att hitta tolkningar o definitioner.
Centraliserad Myndighet viktigast! Få lite tänder i lagstiftningen!
Panel: Hur Höjer man säkerheten i sin organisation?
Patrik Ahlgren, FM Cybersektionen
Jacob Henricson, Foreseeti
Sara Backman, Secana
Moderator: Vad är det värsta som kan hända? Vad skall vi skydda?
SB: ”Major Breakdown” i Kritisk Infrastruktur. Hur länge klarar en större stad sig utan el?
Moderator: Vad är Försvarsmaktens roll kring säkerhet i civila samhället?
PA: Vi inriktar oss på de resurser som vi är beroende av för att kunna lösa VÅR verksamhet – inkluderande civil infrastruktur.
Moderator: Hur kan vi lyckas få bättre samverkan mellan offentlig o privata aktörer?
JH: Vi ser att Holland o UK har långtgående samarbeten mellan privat offentlig verksamhet!
PA: Tycker att vi skall närma sig andra länders lösningar med försiktighet. Vi har olika konstitutioner, olika ekonomiska muskler. Vi måste ta de lösningar som är bäst för OSS.
SB: Det måste vara en dubbelsidig vinst i samarbetet. Både parter måste se fördelen.
Moderator: Hur Skyddar man sin organsation?
SB: 1) Avsätt Resurser 2) Utbilda 3) Öva
JH: Ett stort slag i luften för sunt förnuft. Debattartikel i Svenskan i höstas. Kontroll på vad som är skyddsvärt! Alla inblandade vara medvetna om vad vi skyddar. Valprocessen –
PA: Satsa inte ALLT på en lösning – är du Bank ha två betallösningar. Kontinuitetsplanering/Reservmetoder – Om det blir svart – vad gör du DÅ?
Moderator: Vem skall göra detta?
PA: Varje myndighet o aktör har ett ansvar att detektera och skydda sin verksamhet!
JH: Varje Chef.
SB: Ytterst Ledningar o chefer. Även varje medarbetare måste känna sitt ansvar.
Moderator: Hur mycket för säkerhet kosta?
PA: Vilka värden skall skyddas? Analysen måste göras. Åtminstone.
SB: Kontinuitetsplanering – sätta en Riskaptit
JH: 4-7% av budget på sin IT-säkerhet (enligt rapporter från tex. PwC). Men viktigt att veta VAR man satsar?
ELEFANTEN I RUMMET
Björn Palmertz, CATS, FHS, Den svagaste länken – Social engineering och människans psykologiska processer ur ett påverkansperspektiv
Människor är kognitiva snåljåpar
90-talet bytte man till synen att de troligare är Motiverade taktiker.
Flexibelt olika tekniker – Motivation o målsättning ger olika strategier –
Tidsbrist, Mental belastning, Irrelevant information, Låg kunskapsnivå -> Snabba tankar med låg precision
Syftet med Social Engineering: Påverka någon att göra en handling som gynnar påverkaren.
Tips – Kurs: Influence and Social Power
Grundstrategier:
· Ömsesidighet – Vi får ngt o vill ge tillbaka
· Åtagande o konsekvens – Fortsätter tycka göra som vi gjort. Annars skulle samhället bli så skumt om alla byter åsikt o beteende hela tiden.
· Socialt Bevis – Större tillit till de som verkar dela dina värderingar
· Sällsynthet – Låg tillgänglighet/Låg kvalitet. Sällsynta värderas HÖGRE
· Auktoritet – De flesta följer auktoritet. Både hierarkiskt o expert. Språkbruk/Titlar används
Finslipa processer för att finna även svaga signaler på ett pågående angrepp
EN åtgärd för att stävja social engineering: Kommunicera! En Öppen dialog ger en beredskap. Och en möjlighet att tänka till.
Ann-Marie Eklund Löwinder, Internetstiftelsen Sverige, Outsourcing – Judas eller Frälsaren
Vi MÅSTE göra analysen.
Många myndigheter saknar relevant upphandlings/beställar-kompetens!
Starka o självständiga IT-avdelningar – som inte vill ta hjälp.
RRV-rapporten: IT-kostnaderna särredovisas inte.
IT-projekt tar tid – generellt 18-24 månader
Välkomnar SÄPO:s samrådsfunktion vid utlokalisering av IT-verksamhet.
Vi måste skriva väldigt bra avtal o överenskommelser! Har ni inte frågat efter det kommer ni inte att få det.
Ställ krav på att man får göra en revision
Ställ krav på rapporter av incidenter/tester/drift
Ställ krav på avslutsprocess
UNDVIK risken att din molnleverantör blir ett Hotel California – Check in but never leave!
Om man RÅKAR göra rätt – så är det FEL
Man skall VETA att man gjort rätt.
Ha INTE Bråttom!
Panel: VÄGEN FRAMÅT
Åsa Lindestam (S)
Hans Wallmark (M)
Daniel Bäckström (C)
Moderator: Vilken plats har cyberfrågorna inom partiet idag?
DB: Den TAR plats. Det går fort.
HW: Ökar i Raketfart. Speciell talesperson. Incidentdrivet. Transportstyrelsen viktig händelse.
ÅL: Mitt parti höjer upp denna fråga på en hög nivå. Vi TROR vi förstår men de gamla tankarna måste förnyas. Nya lagar. Svåra frågor.
Moderator: Hur påverkar dessa frågor er till vardags?
ÅL: Beredningsmöte – Lämna telefoner o iPads lämnas i låsta skåp.
HW: Jag kör fortf med papperskalender
HW: Vi behöver ett Nationellt Säkerhetsråd med ett övergripande ansvar. Svårt med starka myndigheter…
DB: Föreslagit ett närlingslivsråd för att kunna gynna en samverkan och informationsdelning.
HW: Vårt ansvar är att planera för Höjd beredskap o krig – kopplar till ALLA verksamheter – Delrapport 20 december. Öppna medvetenheten. ”Motståndskraft”
DB: Vart vill vi landa om 10 år? Inte bara se bakåt. Kompetensförsörjningen i alla olika storlekar av verksamheter. Kommunalt, privat, myndigheter.
ÅL: Vi i samhället behöver höja vår kompetens i allmänhet!
DB: signalera vikten av utbildning inom detta område!
HW: Det är en global konkurrens. Utbildningarna är fria för EU-medborgare. Och dessa delar vi
ÅL: Försvarsberedningen finns tankar kring hur styrkan i totalförsvaret hålls uppe. En svaghet är kommunerna.
DB: MSB måste sätta nivån för vad vi kan förvänta oss på kommunal nivå! Resursbristen är tydlig i det kommunala.
HW: Vid
· Kris
· Skymningsläge
· Krig
Då går man till stadshuset.
Länsstyrelser o kommuner – Bygga upp kompetens givet försvarsöverenskommelser. Precis i startgroparna.
Vilken plats kommer Cybersäkerhet kommer få i kommande valrörelse
DB: Växande! Engangemang o insikter stärks. Gråzonsproblematiken har ännu inte diskuterats.
HW: Jag skulle gärna att det vore Nr 1 – MEN det realistiska är att det kommer avgöras kring inrikespolitiska frågor med det som är närmast vår vardag.
Charlotte Svensson, Statssekreterare, justitiedep, Makten reflektioner
3 år sedan SLL hade en Utpressningstrojan
2 månader senare receptsystem nere på Apoteket
Teknikutvecklingen och ökad internationalisering. Vårt moderna samhälle ÄR komplext.
Sverige – har ALDRIG satsat så mkt på att rusta upp!
Förra årets undersökning – I stort sett ALLA svenska använder Internet.
98% av 6-åringar uppkopplade
66% av svenskarna Swishar pengar.
Detta ger enorma vinster – men också utmaningar!
Nationella Strategin –
6 prioriteringar!
Detta Implementeras nu – regeringen har beslutat om uppdrag som bidrar till målen skall uppnås.
Tar upp NIS-direktivet och hur det även inbegriper privata aktörer!
SÄPOs veto tas upp kring utkontraktering
Imorgon fattas beslut om en ny säkerhetsskyddslag. Träder i kraft 1 april 2019.
Regeringen tar nya initiativ:
· Nationell Kampanj mot småföretagare. Länsstyrelserna skall kunna stödja kommunerna
· Totalförsvaret skall återuppbyggas – syftar till att skydda civilbefolkningen och stödja militära försvaret.
Beredskap måste kunna hantera påverkanskampanjer/cyberattacker och som sedan eskalerar.
· 85 miljoner 2017
· 400 miljoner 2018
Kommuner länsstyrelser mfl kan anställa mer o genomföra övningar.
Försvarsberedningen föreslår ny myndighet för Psykologiskt försvar – regeringen välkomnar detta och detta utreds nu.
Moderator: Förtroende är bra – Kontroll är bättre! Hur följer ni upp alla dessa initiativ?
CS: Har en rad tillsynsmyndigheter som följer upp.
CS hade en diskussion med sina kollegor i UK. Deras kommentar var –
Ägna inte för mycket energi att bygga om myndigheter
Vi har välfungerande FRA, MSB, SÄPO. Så instifta en ny myndighet är INTE det första vi skall göra.
Moderator: Utbildningsplatser?
CS: Måste hjälpas åt för att visa hur viktigt det är med dessa funktioner – för det räcker inte med att utöka antalet platser – måste även fylla dessa!
Beatrice Ask, Talesperson i civilförsvars- och civilberedskapsfrågor (M), Maktens reflektioner
FRA kommer som flourtanten på besök till företag och kommuner och berättar vad man skall tänka på.
Min roll är att SAMLA frågor som spänner över massa verksamheter.
Stuprörsproblematiken behöver en Hängrännefunktion.
Har suttit med o granskat Transportstyrelsesituationen som del av KU – SÅ MKT DUMT man sett.
DOCK – Slänger en KÄNGA till Peter Hultqvist ang det fullkomligt galna i att ”förbjuda all utkontraktering”
Folk i vår ålder som lutar sig tillbaka och säger – det HÄR förstår inte jag – det får ungdomarna ta hand om. SKÄRP ER! Kompetensen måste upp på bred front!
Sverige är ett av de FÅ länder där man INTE ställer krav på Bankerna att ta emot kontanter!
Beatrice skickar med oss tre ”F” att begrunda efter denna konferens:
· Förvåning! Är det något som Förvånat ER? Den snabba förändringshastigheten! Agera! Även om du inte har all information.
F. Förskräckelse! Sjökablarna! Naivitet när jag granskat Transportstyrelsen. Källkritik o påverkan.
F. Förväntan! Goda möjligheter att göra mkt bra. Vi skall inte vara NAIVA men ANVÄNDA digitala verktyg o utkontraktering osv.
Moderator: Kan de dåliga upphandlingarna bero på krånglig LoU?
BA: Javisst – men man måste ju även använda huvet själv. Min uppfattning är att man skyller ifrån sig. Upphandlingsförmågan måste bli bättre!
Vi måste lyfta oss i alla nivåer – Flourtanten behöver påminna om Cyberhygienen!
Moderator: Vad är du mest rädd för?
BA: Att Sverige inte kan hävda sig i den stenhårda internationella konkurrensen!
Försvarsberedningen släppte för några dagar sedan en inriktning av totalförsvaret och utformningen av det civila försvaret för åren 2021–2025.
Det jag finner extra intressant är kapitel 10 som handlar om informations- och cybersäkerhet. Och med följande citat från dokumentet sammanfattar bra en av många utmaningar inom cybersäkerhetsområdet:
Det blir allt svårare att säga var den civila infrastrukturen slutar och var den militära börjar.
Inriktingsrapporten tar även upp att cyberattacker är ett allvarligt hot mot befolkningens liv och hälsa, samhällets funktionalitet och vår förmåga att upprätthålla våra grundläggande värden. Och med det avses att allt mer av våra vardagliga liv blir beroende av att digitala funktioner i finansiella system, elnät, sjukvård och mycket annat.
Rapporten trycker även på att vi måste bli bättre beställare genom att kravställa på cybersäkerhet redan vid upphandling och inköp. Även framgår det att it-relaterade incidenter och avbrott i cyberdomänen måste systematiskt rapporteras och analyseras.
Om it-infrastrukturen komprometteras och vi saknar förberedda alternativa åtgärder riskerar tilliten till samhällets institutioner och våra totalförsvarsansträngningar att skadas.
Ingen ny rapport upprättas utan att nämna påverkanskampanjer och framförallt nu innan valet. Samt att cyberattacker kan utgöra en delmängd där även desinformation sprids, överbelastningsattacker utförs som hindrar tillgång till information.
Även så framgår det i rapporten gällande att med en aktiv cyberförmåga så kan Sverige agera proaktivt för att upptäcka eller få information om ett cyberintrång, olika former av cyberattacker, en hotande cyberoperation, eller för att fastställa en cyberoperations ursprung.
Förutom att kunna skydda sina egna system, innebär det att Försvarsmakten ska ansvara för totalförsvarets aktiva cyberförsvarsförmåga.
Och att denna cyberförsvarsförmåga ska byggas upp under en dialog med FRA och Säkerhetspolisen samt försvarsunderrättelsemyndigheterna.