Taggat med: MSB

Säkra leverantörskedjor för styrsystem

Totalförsvarets forskningsinstitut

Totalförsvarets forskningsinstitut (FOI) har släppt en ny rapport om säkra leverantörskedjor för styrsystem. Rapporten visar på en ny trend när det gäller leverantörsskedjor som representeras av ett växande antal specialiserade leverantörer. Kedjan från leverantör till driftsatt industriellt informations- och kontrollsystem (ICS) blir då lång och komplex.

Rapporten går igenom olika regulatoriska krav såsom NIS-direktivet, Cyber Security Act och även branschpraxis samt rekommendationer från bl.a. ISO/IEC, MSB, FRA och CPNI.

Även intressanta saker såsom ansvarförhållanden och förtroendenivåer mellan operatörer och leverantörer tas upp i rapporten och hur dessa förhåller sig mellan olika standarder.

Rapporten är på 52 sidor och kan hittas här som PDF:

Säkra leverantörskedjor för styrsystem

Säkra leverantörskedjor går under benämningen Supply Chain Cyber Security på engelska. Författare till rapporten är Erik Zouave och Margarita Jaitner.

Bild på kontrollpanel av Patryk Grądys från Unsplash

Cyberförsvarsdagen 2019 förmiddag

Detta är den första delen av två från Cyberförsvarsdagen 2019. Detta inlägg sammanfattar förmiddagen och vill du läsa om eftermiddagen kan du göra det här.

Stöd mitt bloggande via Patreon: https://www.patreon.com/kryptera

Inledning. Moderator Annika Avén, SOFF

Inledningstal av Robert Limmergård, SOFF. Robert berättar att det är fjärde året nu som Cyberförsvarsdagen går av stapeln och han ställer sig frågan: Vad är nytt?

Panelsamtal

  • genmaj. Fredrik Robertsson, CIO Försvarsmakten
  • Dan Eliasson, GD MSB
  • Dag Hartelius, GD FRA
  • Robert Limmergård, Generalsekreterare Säkerhets- och försvarsföretagen (SOFF)

Hur skapar vi en bättre försvarsförmåga?

Samverkan och dialog. Ingen löser detta problem själv utan det är myndigheter och företag tillsammans.

Dan Eliasson, GD MSB

Så handlingsorienterade som möjliga. MSB:s jobb är att säkerställa bredden i cyberskyddet och nämner även totalförsvarsplaneringen.

En driver är att skapa robusta och hållbara system som även fungerar i kris. Vi myndighetschefer kommer att jobba tillsammans.

Dag Hartelius, GD FRA

Samtliga talare nämner ett nationellt cybersäkerhetscenter.

Sveriges välstånd är beroende av vår industri och export. Sverige är attraktivt och FRA jobbar med att förhindra industrispionage bland annat.

Bilden är inte längre nattsvart när det gäller cybersäkerhet.

Fråga från moderator till Fredrik: Vilken roll skulle FM ha i ett cybersäkerhetscenter?

FM skulle bygga ett samarbete utifrån befintliga roller.

Dag: Våra uppdragsgivare förväntar oss att vi gör mer. Snabbare upptäcka och åtgärda och presentera en lägesbild när det gäller cyberhotet. Vilka förmågor har vi tillsammans vi myndigheter.

Fråga från moderatorn: Vad har hänt, vad är det som är nytt? Dag från FRA berättar att vi har gjort mycket för att upptäcka hot. Rekryteringsutmaningar som alla vi har, det är en tuff arbetsmarknad. Sommarlovön är ett nytt initiativ av FRA för att väcka intresse bland 15-16 åringar berättar Dag Hartelius som är generaldirektör (GD) på FRA.

Dag berättar även om att Riksbanken som FRA jobbar med att hjälpa inom cybersäkerhetsområdet blir bättre. Det är sällan FRA berättar om vilka uppdragsgivare som de har men just när det gäller Riksbanken.

Framtidens digitala ekosystem

Moderator: Jonas Stewén, Combitech

Daniel Jaurén FRA

Daniel Jaurén, FRA

För cirka 10 år sedan så började digitaliseringen och allt skulle kopplas upp, och det gick fort och fel. Väldigt stark förmågeutveckling på CNE-området hos många länder.

Attackerna mot Sverige styrs av en nationell agenda, vilket är också en ny trend. De vill uppnå en effekt snarare än att genomföra informationsstölder.

Länder som bedriver en aktiv utrikespolitik kommer också att lämna spår på cyberarenan. Fler aktörer och en snabb höjning av lägstanivån hos aktörerna. Våg 2 och 3 när det gäller aktörerna kommer att gå mycket snabbare och bli en mer integrerad del i deras verksamhet.

Vad är det som angrips då? Man går inte direkt mot sitt mål, det är en oerhört komplex bild än att titta direkt på skyddsvärdena.

Vi som underrättelsetjänst lägger en bild. Vi samlar på bitar och lägger ett pussel, vi måste se till att dessa pusselbitar inte försvinner från Sverige.

Vad kan FRA göra då? Givetvis kan vi samarbeta, men jag skulle vi slå ett slag för hotbildsperspektivet och angriparperspektivet. Våra angripare kanske vet mer om vad som är skyddsvärt. De mål som klarar sig bäst mot angrepp är de som kan lära sig från tidigare hack och måla upp en hotbild. Ja, du kommer att bli hackad! Den offensiva sidan kommer att vinna. Vi kommer inte att kunna stoppa hacken men vi kommer att kunna hitta dom tidigt.

Hur jobbar FRA med hotinformation? Vi jobbar dels proaktivt då vid stödjer myndigheter och statligt ägda bolga. Vi jobbar även reaktivt med TDV-sensorer och SIGINT. Givetvis larmar vi även om hotaktörer går mot mål i Sverige som inte omfattas av TDV-sensorerna.

Robert Jonsson, MSB / CERT-SE

Robert berättar först hur de nordiska CERT-organisationerna är organiserade. I norden har vi ett samarbete som heter Nordic CERT Cooperation (NCC) som bygger på ett MOU samt överenskommelse inom nordiska ministerrådet. På EU-nivå så delar vi operativ information i ett samarbete som heter EGC, European Governmental CERTs.

Ett globalt nätverk som heter International Watch and Warning Network (IWWN). Och i samband med NIS-direktivet så skapades CSIRTSs Network (CNW) som är på EU-nivå. Även är detta samarbete en bas för ENISAs övningsserie Cyber Europe. Värdefullt forum för nationer som inte har haft en CERT tidigare.

Övriga forum som CERT-SE jobbar med är FIRST och TF-CSIRT.

Men vad gör man då i samarbeten? Man delar information, med stöd av exempelvis trafikljusprotokollet (TLP). Specifika incidenter såsom WannaCry och även på automatiserat sätt med MISP-plattformen.

Jacob Henricsson, Foreseeti

Börjar med att prata om Robin Blokkers citat från förra året där han ansåg att vi måste börja fixa sårbarheter från 90-talet först. Sen berättar han om att allt blir uppkopplat. Det blir mycket billigare att ha SIM-kort i alla saker och koppla upp dom och även GPS-brickor blir billigare.

De största hoten är fortfarande samma som de gamla. Jacob visar en bild från OWASP Topp 10 från 2010 och visar hur den nya från 2017 ser ut.

Men vad kan vi göra åt detta då? Om vi inte digitaliserar det så behöver vi inte hålla koll på cyberhoten. Det blir mycket dyrare att hacka det.

Vanliga cybersäkerhets problem som Foreseeti ser är:

  • Gamla produktionssystem med många användare
  • Återanvändning av användarkonton
  • Platta nätverk
  • Bra segmentering – men kortsluts genom lönndörrar
  • Kombinerade sårbarheter

Alla deltagare: Vilken kompetens saknas? Vi måste göra cybersäkerheten sexigt igen säger Robert. Faktum kvarstår vi kommer att digitalisera saker vare sig vi vill eller inte säger Daniel, vi måste bli bra kravställare vi inköp.

Vad är viktigt att skydda?

Moderator: Matilda Karlsson, analytiker Scandinavian Risk Solutions (SRS)

Erik Nordman, Inledningstalare och Säkerhetschef och säkerhetsskyddschef vid Svenska kraftnät inleder.

Vad är skyddsvärt? Det är våra samhällsviktiga funktioner som måste vara på plats. Vad är då skyddsvärt på SVK? 150-200 stamnätsstationer som är som en ryggrad i elnätet.  Men vad just om dessa stationer är skyddsvärt? Är det lokaliseringen? Är det dess funktion i elnätet?

SVK:s driftcentral är själva hjärnan i elnätet. Det är här man ser till att det är exakt 50hz i elnätet, och att detta är skyddsvärt är helt självklart. Men vad exakt runt just detta är skyddsvärt? Dom här sakerna behöver man givetvis utreda och göra en bra analys.

Ungefär 70 personer har jobbat med att reda ut frågor som dessa under 2018. Vad är viktigt ur vilket perspektiv? Vart behöver vi lägga vårat skydd.

Panelsamtal – Förhållandet mellan NIS och nya säkerhetsskyddslagen – Vad är samhällsviktiga tjänster och vad är säkerhetskänslig verksamhet?

  • Martin Waern, Manager National Security SRS
  • Helena Andersson, verksamhetsstrateg MSB
  • Annette Norman, huvudman Informationssäkerhet Justitiedepartementet
  • Erik Nordman, Säkerhetschef och säkerhetsskyddschef vid Svenska kraftnät

Vilka utmaningar står vi inför frågar Matilda till panelen. Martin påpekar på att prioritera och fokusera på det som är viktigt, våga prioritera bort också.

Nya säkerhetsskyddslagen och NIS-direktiven är olika och fokuserar på olika saker. Det är viktigt att skapa ett förtroende för digitala tjänster och skapar förutsättningar för den inre marknaden.

Säkerhetsskyddslagstiftningen har företräde före NIS-direktivet. Det finns även ett stort överlapp när det gäller åtgärder, såsom säkerhetskultur. Mycket av detta handlar om en bra grund.

Många pekar på utmaningar med NIS och nya lagstiftningen. Systematisk och metodiskt informationssäkerhetsarbete är en bra grund för allt arbete och låta analysen ta sin tid men inte glömma att ta till åtgärder också. Det kommer att se ut annorlunda imorgon och det måste vara ett kontinuerligt arbete säger Annette Norman på Justitiedepartementet.

Det är rätt att inte skriva i lagstiftningen i detalj vad som är Sveriges säkerhet.

Tillsynen förutsätter att det finns ett tydligt regelverk att hålla sig till och det är något som regeringen jobbar på just nu.

Ansvar i AB Sverige – Hur bygger vi en effektiv privat-offentlig samverkan för Sveriges cyberförsvar?

Moderator: Richard Oehme, director cyber security & critical infrastructure protection PwC

Panelsamtal – Hur kan myndigheter och företag stödja varandra i arbetet kring en effektiv samverkan mot ökad cyberförsvarsförmåga?

  • Åke Holmgren, avd. chef cybersäkerhet och skydd av samhällsviktig verksamhet MSB
  • Mats Wallinder, Riksbanken och ordförande FSPOS
  • Pernilla Rönn, chef cyber security Combitech
  • Generalmajor Fredrik Robertsson, CIO Försvarsmakten
Panelsamtal - Hur kan myndigheter och företag stödja varandra i arbetet kring en effektiv samverkan mot ökad cyberförsvarsförmåga?

Åke påbörjar passet med att inledningstala och berätta om privat-offentlig samverkan. Många av arenorna för samarbeten är kopplade till SAMFI-myndigheterna som jobbar med cybersäkerhet.

Men varför är det då viktigt med privat-offentlig samverkan? Jo, det handlar om ett gemensamt ansvarstagande. Det underlättar för att snabbt upprätta en lägesbild för att hantera allvarliga störningar. Det är viktigt att vi bygger oss starka redan innan någon händer. Det bygger även tillit och förtroende samt en gemensam kunskap.

De äldsta forumen för samverkan inom MSB heter FIDI och skapades 2004. De heter FIDI-SCADA, FIDI-FINANS, FIDI-TELEKOM, FIDI-DRIFT och VIDI-VÅRD.

Mats Wallinder berättar om vad som är skyddsvärt vid riksbanken. Det finansiella systemet är globalt och vi är beroende globalt. Vad är då privat-offentlig samverkan inom finansiella tjänster? FSPOS är ett nätverk som bygger på frivilligt deltagande där 12 organisationer ingår i dagsläget.

FSPOS har en styrelse och har en verksamhetsidé som går ut på samverkan, övningar, kartläggningar och dela information för att stärka den finansiella sektorns förmåga att möta hot och hantera kriser. Medlemmarna är främst privata aktörer såsom Nasdaq, Svenska bankföreningen och Euroclear.

Sedan i paneldebatten så berättar Fredrik om övningen SAFE Cyber 2018 och de frågeställningar som dök upp där. Hur kommunicerar vi exempelvis? Övningen är ett table-top spel utan tekniska moment. Det är svårt att öva saker om man inte har fullt förtroende säger även Fredrik. Det var en bra övning med små resurser, vi ha ner relativt lite tid och pengar. Vikten att hantera formalia, vilken information kan vi delge andra och hur ska de gå till? Övningar kan oftast svara på dom frågorna.

Pernilla Rönn på Combitech nämner EU-TIBER som är ett bra ramverk för att skapa resiliens, främst inom den finansiella sektorn. Tiber-ramverket handlar om hur man implementerar Threat Intelligence-based Ethical Red Teaming.

Enkla rutiner kan vara ett bra resultat från samverkan. Exempelvis en checklista som alla organisationer kan ta med sig hem och ge hjälp.

Resursfrågan kommer också att styra samarbeten i framtiden anser Richard och bollar vidare till Åke. Men just när det gäller totalförsvaret är det ett större ansvar. Samarbeten ska göras i dialog och inte tvinga fram samarbeten, förtroenden är viktigt.

Ingen myndighetsutövning är önskvärd i samarbeten mellan offentlig och privat samverkan.

Vägledning om grundläggande kryptering

Myndigheten för samhällsskydd och beredskap (MSB) efterfrågar kommentarer gällande en ny vägledning om grundläggande kryptering.

Vägledningen beskriver säkerhetsåtgärder för att införa och upprätthålla säkra kryptolösningar. Rekommendationerna i vägledningen är inte tvingande för någon.

Säkerhetsåtgärderna som återfinnes i vägledningen är avsedda för information som behöver skyddas med kryptolösning till exempel för information som omfattas av sekretess, men som inte bedöms vara säkerhetsskyddsklassificerade uppgifter. Krav på säkerhetsåtgärder för säkerhetsskyddsklassificerade uppgifter återfinns hos Säkerhetspolisen respektive Försvarsmakten.

Använd mallen nedan samt skicka in dina synpunkter via E-post till [email protected] senast den 17 april 2019. Endast kommentar inskickade i kommentarsmallen kommer att beaktas uppger MSB.

MSB släpper tre faktablad om IoT-säkerhet

Myndigheten för samhällsskydd och beredskap (MSB) har släppt tre stycken faktablad gällande säkerhet inom Internet of Things-området (IoT).

Stöd Kryptera.se ekonomiskt via Patreon!

Faktabladen är uppdelade på följande områden:

Jag brukar inte vara så kinkig när det gäller stavfel (hehe) men kan undra om någon korrekturläst dessa publikationer: DDOSattacker, kristiska, ”exempelvis seom en del i ett botnet”. I övrigt tycker jag det är bra tips men ställer mig frågande till att myndigheter skulle verka för cyberförsäkringar:

”Verka för olika typer av negativa eller positiva ekonomiska incitament såsom skadeståndsansvar, cyberförsäkringar och frivillig certifiering.”

Åke Holmgren, tillförordnad avdelningschef för cybersäkerhet och skydd av samhällsviktig verksamhet vid MSB säger:

MSB behöver i nära samarbete med offentliga och privata aktörer öka våra ansträngningar inom området. Det är väldigt tydligt att IoT-relaterade risker inte kan lösas av en enskild aktör. En central del för att lyckas är det systematiska informationssäkerhetsarbetet både för information och system med högt skyddsvärde

Och skulle du vara mer intresserad av IoT-säkerhet så håller MSB ett seminarium den 21:a Juni på Fleminggatan 14. Mer info hittar du här, men snabba på. För det finns bara 6 st platser kvar.

Ny rapport: obligatorisk IT-incidentrapportering till MSB för 2017

Igår så släppte Myndigheten för samhällsskydd och beredskap (MSB) en årsrapport gällande den obligatoriska IT-incidentrapporteringen. Denna rapport gäller för de incidenter som rapporterats under helåret 2017. Den förra rapporten som släpptes för 2016 gällde enbart April-December.

Det första jag kan utläsa från rapporten som är på 22 sidor (finns nedan) är att det finns ett stort mörkertal. Knappt en tredjedel av de som är rapporteringsskyldiga har rapporterat in något till MSB, och detta får till följd att det är svårt att ge en samlad bild de av de allvarliga it-incidenter som drabbar myndigheter.

Snittet gällande antalet rapporter per månad ligger på 23,4 i Sverige och jämför man med Estland så ligger de på 187 st per månad, dock kan det skilja åt vad som måste rapporteras mellan länderna.

Den obligatoriska rapporteringen till MSB kommer även att fortsätta även efter det att NIS-direktivet träder i kraft. Vilket gör att vissa myndigheter måste rapportera dubbelt.

Tittar vi på statistiken så har 79 st myndigheter lämnat in rapporter och den siffran var förra året på 77 st. Och MSB själva har några troliga förklaringar till varför siffran gällande rapporter är så pass låg:

  • Upphandlad extern IT-drift innan ikraftträdandet av rapporteringen. Denna är undantagen
  • Myndigheter som sätter en hög tröskel gällande vad som är en allvarlig it-incident

Och antalet incidenter inom varje incidenttyp ser ut enligt följande:

Några intressant iakttagelser från rapporteringen är följande:

  • Två incidenter som rapporterats handlar om att en angripare kommit över personuppgifter
  • Kryptotrojaner rapporterades enbart in under årets två första månader (2017)
  • 11 st försök till VD/GD-bedrägerier
  • 17 st incidenter kopplade till överbelastningsattacker
  • Det är svårt att säkerställa ett metodiskt informationssäkerhetsarbete hos externa leverantörer. MSB bedömer dock:

De incidenter som beror på dåligt upphandlade leverantörer antas minskas då Säkerhetspolisens och Försvarsmaktens mandat att ingripa vid upphandlingar som rör skyddsvärda verksamheter stärks den 1 april 2018.

  • Det finns ett behov att höja kompetensnivån avseende information- och cybersäkerhet för flera yrkeskategorier
  • Behov av ett systematiskt arbete med informations- och cybersäkerhet

Största delen av de 281 inrapporterade incidenterna har 149 (53 %) lett till hindrad tillgång till information. Och att det är så beror på att de uppmärksammas och noteras, och rapporteras därmed, i högre grad än incidenter där en antagonistisk aktör medvetet ansträngt sig för att inte lämna spår eller ge sig tillkänna tror MSB.

Här kan du ladda hem årsrapporten för it-incidentrapportering som PDF:

MSB årsrapport för obligatorisk it-incidentrapportering

Här kan du läsa vad jag skrev om den förra årsrapporten gällande obligatorisk IT-incidentrapportering till MSB:

Ett år av obligatorisk it-incidentrapportering

Cyberförsvarsdagen 2018

Säkerhets- och Försvarsföretagen (SOFF) ordnar tillsammans med MSB och Försvarsmakten årligen ett konferensevent – Cyberförsvarsdagen. I år 14 februari med tagline ”Cybersäkerhet i nationens intresse”. Enligt SOFF: ”På deltagarlistan finns bland annat cirka 140 personer från ett 20-tal myndigheter, cirka 120 personer från ett 50-tal företag samt en stark uppställning från bland riksdagen och departementen.”

Jag heter Robin von Post och blev utlånad av Sectra, utsänd av Kryptera.se för att sitta i publiken och grubbla och fånga essensen av det som presenterades.

INTRODUKTION

Nils Schwarz, stf GD MSB

  • Ledningarna har fått verkligen fått säkerhet på sina bord!
  • En Norgehistoria – Det har gjorts ett intrång med administrativ behörighet och ”kontaminerat” ett norskt sjukhus. Men man kan inte stänga ner sjukhuset och få bort intrånget. Man är för beroende av driften.
  • Vi måste ta in i våra riskmodeller att störningar kan användas för att distrahera
  • Säkerhet är en löpande process men vi jobbar väldigt hårt med att öka den grundläggande nivån på säkerhetsnivån – En bra bas att stå på. Viktig uppgift för MSB.
  • Det är viktigt med samverkan – Sverige är ett litet land. Det är bra – för då kan vi bygga tillit!

Fredrik Robertsson, CIO Försvarsmakten

Administrativa – Informationssäkehets-strategi fastslagen.

Även praktiska saker pågår inom försvarsmakten.

Regleringsbrevet sedan ett antal år – Jobbar hårt med uppdraget att bygga ett cyberförsvar.

SPELPLANEN

Inledning, Peter Hultqvist, Försvarsminister

Sverige är ett av de mest uppkopplade i världen. Vilar på digitala grunder.

Cyberattacker med typiskt politiska mål. Val o elförsörjning o finansiell.

Även Sverige har drabbat av attacker (Media – enskilda företag)

Med grund i Försvarspolitiska beslutet 2015 byggs en robust cybersvarsförmåga.

Denna skall kunna verka både i fred och krig. FM & FRA jobbar gemensamt för att skapa det som kallas – ”Aktiv förmåga”.

Kritisk infrastruktur – drar nytta av men blir även sårbar på grund av teknikutvecklingen

Arbetet i att skydda ”det MEST skyddsvärda” initieras i Regleringsbrev 2018

Säkerhetstjänst – Signalspaning – Försvarsmakten

FRA kan under en månad se 10000 ”Aktiviteter med skadlig kod som kan härledas till de aktörer som FRA följer”.

Vi är utsatta för informationsinhämtning kring Sveriges Försvarsförmåga, Politiska intentioner, Svensk forskning

Där ÄR fortfarande för lätt att lyckas med Spear Phishing o Denial of Service-aktiviteter

Ännu mer allvarligt – slå ut kritiska funktioner i samhället!

Aktiva förmågan bidrar till en så kallad ”tröskeleffekt”

Hultqvist pushar för värdet av Sensorer för att detektera angrepp

Militära försvaret BEROENDE av att det civila samhället stöttar. Viktigt konstaterande – svårare att dra gränsen mellan civil/militär – Stärkt Totalförsvar viktigt!

Säkerhetsskyddsförordningen har förändrats så att Försvarsmakten eller Säkerhetspolisen skall involveras när man skall utkontraktera verksamhet.

Förändringstakten är exceptionell! Men viktigt att se VAD som ändras och vad som består!

Fundamenta kvarstår i försvarspolitiken – Stater har alltid arbetat med informationsinhämtning o påverkan för att på så sätt uppnå strategiska o taktiska fördelar. Cyber är bara en ny domän.

Antagonistiska aktörerna har ALLTID funnits där!

Hög kompetens är en svensk styrka!

Moderator: Vad är kritisk framgångsfaktor i offentlig privat samverkan

PH: Medvetenhet föder aktivitet!

Moderator: Valår – Specifika aktiviteter?

PH: Bygga stegvis o långsiktigt. Stabilitet för att nå rätt resultat.

Richard Oehme, Director, PwC, tidigare enhetschef MSB – Upptakt & Nuläge

Cybersäkerhet har gått från 10 till 4:e plats på ledningsnivån i en årlig PwC-undersökning.

IT-utvecklingen pågår i expressfart – Vidtagna säkerhetsåtgärder hänger INTE med. Det kräver en ny inställning! Tar upp tex. avbrott 2016 i Flygtrafikledningen och i sjukhusmiljöer, apotekssystem.

Richard pushar för DNSSEC – Karta över Sverige. Det ser bra ut – OK, men inte bra.

Pushar även för MSB-kartan från CERT.se – Infekterade datorer i Sverige.

Detta är en fråga om Grundhygien i samhället!

Listar hotaktörer:

  • Nationalstater
  • Hacktivister
  • Organiserad Brottslighet
  • Cyberterrorister
  • Insiders

Upseendeväckande attacker:

2010 – Stuxnet – Anden släpptes ut ur flaskan

2017 – Cloud Hopper – Även Sverige drabbat

På Darkweb finns sedan några år  – Steg för steg-verktyg för att bygga ditt skräddarsydda attackkod – visar skärmbilder.

Vi har även viktiga globala beroende – Undervattenskablar! Vi har haft störningar på dessa både pga naturkatastrofer och mänskliga. Taiwan 2006 – Stor jordbävning förstörde en mängd undervattenskablar

Sabotage utanför Afrika. Kanske är en Svart Svan? Hur mycket av samhällskritiska funktioner skulle sluta fungera?

Riktar blicken mot Cyber Supply Chain-risker – Antagonister kommer rikta sig på de svagheter som finns i denna kedja!

2007 – Operation Orchard – Syrien

https://sv.wikipedia.org/wiki/Flygbombningen_av_Al_Kibar-anl%C3%A4ggningen

6 september – Israel hackade in och injicerade falska radarbilder i det syriska luftövervakning för att ostört kunna bomba bort en fabrik som man trodde byggts för att anrika uran.

Min något dystra bild – Om någon VILL stänga ner Sverige – så KAN de göra det.

MEN vi är ett litet land som kan göra mycket tillsammans!

Måste även lösa upp knuten mellan privat o offentlig samverkan.

Erik Wennerström, GD Brå, Strategi och Avgränsning/Begränsning

Nationell Säkerhetsstrategi fyller drygt ett år! Signalerar – En robust förmåga hos försvaret

NISU-utredningen

Nationell strategi för samhällets informations- och cybersäkerhet

http://www.regeringen.se/rattsdokument/skrivelse/2017/06/skr.-201617213/

·       Prio 1

Säkerställa en systematisk o samlad ansats

·       Prio 2

Öka säkerhet i nätverk, produkter o system

·       Prio 3

Stärka förmågan att förebygga, upptäcka o hantera cyberattacker o andra IT-incidenter

(NIS-direktivet)

·       Prio 4

Öka möjlighet att förebygga o bekämpa IT-relaterade brottslighet (Inhämtning)

SE3-centret på polisen

·       Prio 5

Öka kunskap o främja kompetensutveckling

·       Prio 6

Stärka det internationella samarbetet!

Kommenterade ang toppmötet i DAVOS

Nationella Strategin: Sverige skall vara en ledande digital aktörer i Världen.

Internationell undersökning är Sverige på plats 3 i hur bra vi är på att ta till oss och använda IT.

Detta är baserat på perception – hur ANDRA länder ser på Sverige.

DOCK: I kategorin ”Countries best prepared agains Cyber attacks”

2016 – Vi fanns inte ens på kartan.

2017 – plats 17! Åtminstone tycker andra länder att vi har börjat agera på detta plan.

Sedan 1990 har statens inflytande ”direkta maktutövning” monterats ner pga

·       Kommunalisering – devolverat ner på komunal nivå

·       Bolagisering av statlig verksamhet

·       Privatisering av utförande (upphandling)

·       Juridifiering (domstolsbeslut istf regeringsbeslut)

·       EU (nästa område som glidit ur regeringens grepp)

Fråga: Varför har inrapporteringen till CERT.se MINSKAT sedan sedan obligatoriska kravet på incidentrapportering trädde i kraft?

Erik: Passar vidare denna fråga till MSB

MSB: Pass

Hosuk Lee-Makiyama, ECIPE, Ekonomiska effekter av spionage

Fakta: ALLA länder spionerar.

Dock – Få länder som spionerar på kommersiella verksamheter i syfte att ge informationen till sina lokala konkurrenter. Detta har blivit handelspolitisk fråga! Mn har gjort beräkningar att detta kostar 55 miljarder euro per år. Hur kan vi veta detta? STASI-arkiven ger oss vilka ekonomiska effekter spionage ger.

Kina kan öka sin export med 30% mha Spionage.

Konstaterade fall i Europa – 12 fall – Tillverkning Kemikalier, Biltillverkning mm Skruv&Mutter. Det är ”vanliga” industrier som drabbas.

8 från Kina

2 från Ryssland

Vad leder sanktioner och åtgärder till?

Kina stänger ner sin marknad! Och Europa åker med på samma badvatten som USA.

Panel – SÄPO/FRA/FM – Hotbilden idag o vikten av att samverka!

Dag Hartelius, GD FRA

Fredrik Robertsson CIO FM

Charlotte von Essen, bitr GD SÄPO

DH: Hotet utvecklas o växer. Efterfrågan på stöd från FRA från den mest skyddsvärda verksamheten ökar.

CvE: Säkerhetsskyddet – Vi har 600 verksamheter som vi har ansvar o tillsyn över.

Vi ser framförallt 3 saker

·       Bristande säkerhetskultur

·       Otillräckliga säkerhetsanalyser – saknar insikt i vad som skall skyddas o hur

·       Bristfällig utkontraktering

DH: Cloud Hopper avancerat angrepp av en statsaktör.

Tyvärr så måste man sprida sina behörigheter – när man utkontrakterar.

FR: Samverkan. I praktiken?  På regeringens uppdrag möts o samverkar vi OFTA.

Detta bygger en medvetenhet o förståelse.

CvE: Samhället behöver jobba med:

·       IT- och Informationssäkerhet

·       Personalsäkerhet (man måst se till att man har lojal och kompetent personal)

·       Fysisk säkerhet

FR: Snabbhet! Det är ett problem vi behöver addresser. Vi är inte konstruerade för att hantera dessa snabba förlopp.

CvE: Måste nyttja vår GEMSAMMA kraft för att bemöta utmaningen.

FR: Viktigt att hitta modeller för att ta tillvara på spetskompetenser i privat verksamhet!

CvE: Valår – Erfarenhet från tidigare valrörelser tas i beaktande. SÄPO har uppdrag att skydda förtroendet för valprocessen och att det kan genomföras på ett säkert sätt.

Öka medvetenheten runt information kan påverkas och hur man skall skydda sig.

DH: Påverkansoperationer. Blanda annat informationsstölder – vi stöttar Säpo!

Vi måste även värna den svenska kryptoindustrin!

FR: Lägstanivån behöver hissas upp! Framförallt kring samhällskritiska verksamheter.

FR: Plikt är EN väg in för att lyckas med kompetensförsörjning – men vi måste se bredare på utmaningen!

UNDER ATTACK

Pål Wrange, Professor Stockholms Universitet, Risker verktyg och politik – en internationell överblick

Som Cybermedborgare ser man dock inte världskartan med gränser.

Måste sätta Regler o Normer o ansvar för stater!

Medel för samarbete – Bindande o icke-bindande regler – Informellt samarbete o Trakter

Det är dock mycket vaga regler o oklart hur nuvarande regler kring suveränitet i cyberrymden

Kan man svara på ett cyberangrepp med ett kinetiskt?

Är påverkansoperationer legala?

Finns en mängd besvarade frågor i cybervärlden!

GGE klargjorde vissa grunder, MEN det blev inte konkret.

Det man dock fastslog 2013 var att Folkrätten GÄLLER

INGA Internationella traktater – saknas Bindande avtal!

Talar tyst om vad man anser…

Folkrätten skapas genom att ”Ngn gjorde så här” – Är det OK? – den diskussionen pågår inte.

Spioneri KAN utgöra suveränitetskränkningar – men otydligt.

Problem uppstår vid attribuering. Man må ha välgrundande misstankar.

Tex Estland 2007. Hade Ryssland ett sekundärt ansvar för att privata aktörer inte attackerar?

Vad är det då som pågår:

·       FN: Group of governmetal Experts (GGE)

Rapport 2013 – men 2017 strandade dessa diskussioner pga konflikter mellan stormakter och definition av Terrorism. Behovet kvarstår dock.

·       International Code of Conduct – Rysslands förslag

·       FN har Internet Governance Forum (EJ politiskt)

·       ITU – Tekniskt

·       UNESCO

·       G7/G20 – informella organ – diskuterar cybersäkerhetsfrågan på sistone

·       NATO – 2014 Cyberförsvarspolicy

·       2016 – EU/NATO avser öka koordineringen – Konkret men ej normskapande.

·       Tallinnmanualen – dock:

Folkrättsexperter inbjudna – akademisk produkt.
Refereras till pga i brist på annan tolkning av folkrätt i cyberrymden

·       OECD

·       OSSE – 2013  Ministerråd antog förtroendeskapande åtgärder. FÖRTROENDE! Arbetar med att konkretisera o realisera. Feature är att samarbetet med Ryssland fungerar här

·       EU

Cyber Diplomacy Toolbox

·       GCSC (Holländskt initiativ)

·       Global Conference on Cyber Space

·       Privata – Microsoft

En Digital Genévekonvention

Attribueringsinstutition

Avslutande:

Det ÄR en fragmenterad bild

Gemensamt

Man vill ha ett välfungerande Internet

Motsättningar

USA Ryssland Kina – Stormaktskonflikt

Skiftande teknisk kapacitet

David Olgart, Utvecklingsledare FM, Artificell Intelligens

Tittar på beslutsstöd mha AI – FOI hjälper till

Linköping – Tex automatisera konfiguration o styrning av CRATE (Cyber Range)

Överförd hotbild i pga pågående insatser. Personal på plats påverkas via social medier!

Cyberförsvar syftar till en Tröskeleffekt.

Bild på Cyberförvars-AI: Gulmarkerat (juli 2017)

·       AGI

·       AI for IT Operations

·       Deep Learning

·       Machine Learning

·       Predictive Analytics

Utmaningar i försvarsmakten!

·       Man måste bygga system som klarar sig utan kopplingar till uppkopplade system : On Prem-lösningar!

Behov

·       Hjälp av industrin

·       Moderna ledningssystem o effektiva

Konsekvenser

·       Genomgripande digitalisering (men med hänsyn till skyddsbehov) ger automatisering

·       Omdömeslöst AI! :o

·       Dokumentstyrt till Datacentrerat

Vägen framåt

·       Processer – Personal – Teknik

·       AI för drift o förvaltning

·       AI för upptäckt av tidigare okända sårbarheter i hård o mjukvara

·       Kompetensförsörjning viktig

·       Prov o Försök för att se vad vi har för status – Digitala Stabsassistenter!

Paneldiskussion

David Olgart, FM

Alexandra Larsson, Combitech

Robin Blokker, FRA

Christer Samuelsson, CGI

Moderator: Hur bygger vi en proaktiv förmåga?

RB: Jag är ju ute och säkerhetsgranskar ganska mycket. Det vore bra om vi fixar 90-talets problem först!

Moderator: Hur förbättra förmågan att upptäcka om man blir hackad?

RB: Bashygien o loggar!

Moderator: e-kronans införande vad ser vi för utmaningar?

RB: Jag hoppas vi har kvar riktiga pengar ”just in case”

Moderator: Vad kommer ett fullt utbyggt TDV att bidra till?

RB: Öka detekteringsförmågan av de MEST kvalificerade hoten mot de MEST känsliga verksamheterna.

Moderator: Gynnar AI angriparen eller försvararen?

DO: Vi brukar titta på att Angripare arbetar i grafer – försvarare i checklistor

RB: Datorprogram som krigar. Den som har bäst program o programmerare vinner.

Moderator: Vad är ni mest rädda för?

CS: AI får inte sätta behörigheter!

AL: AI skall ligga i linje med människors värderingar o inte i konflikt!

RB: Sverige inte vaknar i tid. Underminerar oss NU i lågintensivt

Och vi har en utmaningar! Svag förmåga pga sämre möjlighet till central styrning. Ref till Erik Wennerströms erodering av statens direktstyrningsförmåga – gör det svårt för cybersäkerheten!

RB: Som uppföljning på Cloud Hopper skrev vi en rekommendation – Bland annat pekar vi på att säkerhetsansvaret inte KAN delegeras. Om du släpper in ngn annan i ditt hus – se till att du har koll på va de gör. Övervakning!

Sarah Backman, Secana, När krisen är ett faktum – Cyberkrishantering

Ett tal med fokus på:

·       Reaktiva Åtgärder

·       Managementfokus

·       Krishantering

·       Effekten av attacken

·       Krishanterande grupper

Definition v Cyberkris

Cyberkris = Cyberincident + Karaktärsdrag Kris

Fall av Cyberkriser

·       Estland 2007 – Cyber Warfare. Överbelastningsattacker. Banker, Media, mm
Politiskt motiverade

·       Ukraina 2015 – Visade på sårbarheten i energisektorn
Möjligt test av ”sårbarhet o respons” från statlig aktör

·       WannaCry 2017 – Sjukhus o Vårdsektorn hårt drabbade. Basal cyberhygien.

Gemensamt:

·       Suddar ut gränser mellan mil-civ – geografiska – sektorer, nivåer

·       Utvecklats pga dåligt cyberförsvar

·       Motivation till ökade preventiva åtgärder först i efterhand!

Den generella Krishanteringsprocessen

·       Detection

·       Sense-making

·       Decision-making

·       Coordination

·       Meaning-making

·       Communication

·       Accountability/Learning
Detection/Sense-making

Responsgrupper tillkallas alldeles för sent – Skalar inte upp i tillräcklig omfattning.

Det gäller allmänt i kris men specifikt cyberkriser.

Decision making & coordination

Vem ÄGER krisen? Spänner över många aktörer

Beslutsfattare förstår inte tekniska aspekter

Erfarenhet saknas

Gemensamma ramverk saknas

Meaning-making/Communication

Svårt rama in o beskriva krisen

Hitta bra medel för kommunikation svårt

Frame:as i politiskt syfte

Potential

·       Förståelse för att det inte är en fråga OM utan NÄR en cyberkris inträffar

·       Preventivt arbete är värt det!

·       Ökad medvetenhet och cyberhygien av största betydelse

·       Ökat engagemang från ledning – Top-Down

·       Ökad Övningsverksamhet

·       Mer forskning om mänskligt o Mgmt o samverkan – Komma ikapp fokus på teknik

·       Bättre strukturer för informationsdelning nationellet/internationellt

Pia Gruvö, MUST, Krypto

Krypto ÄR annorlunda

·       Ett dåligt implementerat krypto – lämnar inga spår. Man kan vara avlyssnad utan att det märks!

·       Man talar inte OM för varandra när man lyckats knäcka systemen.

·       Man kan inte täppa till det som skickats historiskt om man blivit knäckt.

·       Svårt område att samarbeta på!

·       Man kan inte granska in säkerhet i efterhand!

Säkerhetsskyddsförordningen (1996:663)

·       Hemliga uppgifter får endast krypteras med kryptosystem som godkänts av Försvarsmakten

Kryptosystem består av

·       Kryptoapparat

·       Kryptonycklar

·       Regelverk

Top Secret – Skydda gigabitsänd information i 95 år framåt mot statsfinansierade aktörer

Man tittar på:

·       Algoritm/protokoll

·       Nyckelhantering

·       Röd-Svart-separering

·       Design

·       Hård/Mjukvara

·       RÖS-skydd

·       Tamper-protection

·       Utvecklingsprocesser

·       Assurans

·       …

En angripare skall hitta en nål i en höstack – När vi godkänner ett kryptosystem för rikets säkerhet skall vi garantera ”Höstacken har INGA Nålar”!

Vi jobbar med att ta fram ett helt nytt system – Meddelandekrypto – SG R SG TS/S

Moderator: Vilka utmaningar har vi framåt?

PG: Hitta processer så att vi kan hänga med tekniskt!

Samt göra det så användarvänligt som möjligt!

Carolina Dackö, Mannheimer Swartling, Tandlöst regelverk mot ekonomiskt Spionage

Internationell Handelsrätt – Legitim handel av varor o tjänster.

Regelverk mot Ekonomiskt Spionage

Det är RÄTT oreglerat.

Nationellt Säkerhetsintresse används för exportkontroll/importkontroll – Foreign Invest Screening

Tyskland Italien Frankrike – Reglemente på EU

Chinese Intelligence Law

Lagstiftning kom i juli. Lagkrav på företag att hjälpa till med informationsinhämtning till kinesiska myndigheter. Luddigt skriven men vi VET att den är bred i sin tillämpning.

En förlängd arm av staten in i det privata.

Ekonomiskt Spionage, angripbart?

Är spionage lagligt – eller är det ”Inte olagligt”… Otydligt reglerat.

Handelssanktioner skulle kunna användas som motåtgärd.

Som alltid: Tekniken ligger långt framför oss – Juridiken trampar på att hitta tolkningar o definitioner.

Centraliserad Myndighet viktigast! Få lite tänder i lagstiftningen!

Panel: Hur Höjer man säkerheten i sin organisation?

Patrik Ahlgren, FM Cybersektionen

Jacob Henricson, Foreseeti

Sara Backman, Secana

Moderator: Vad är det värsta som kan hända? Vad skall vi skydda?

SB: ”Major Breakdown” i Kritisk Infrastruktur. Hur länge klarar en större stad sig utan el?

Moderator: Vad är Försvarsmaktens roll kring säkerhet i civila samhället?

PA: Vi inriktar oss på de resurser som vi är beroende av för att kunna lösa VÅR verksamhet – inkluderande civil infrastruktur.

Moderator: Hur kan vi lyckas få bättre samverkan mellan offentlig o privata aktörer?

JH: Vi ser att Holland o UK har långtgående samarbeten mellan privat offentlig verksamhet!

PA: Tycker att vi skall närma sig andra länders lösningar med försiktighet. Vi har olika konstitutioner, olika ekonomiska muskler. Vi måste ta de lösningar som är bäst för OSS.

SB: Det måste vara en dubbelsidig vinst i samarbetet. Både parter måste se fördelen.

Moderator: Hur Skyddar man sin organsation?

SB: 1) Avsätt Resurser 2) Utbilda 3) Öva

JH: Ett stort slag i luften för sunt förnuft. Debattartikel i Svenskan i höstas. Kontroll på vad som är skyddsvärt! Alla inblandade vara medvetna om vad vi skyddar. Valprocessen –

PA: Satsa inte ALLT på en lösning – är du Bank ha två betallösningar. Kontinuitetsplanering/Reservmetoder – Om det blir svart – vad gör du DÅ?

Moderator: Vem skall göra detta?

PA: Varje myndighet o aktör har ett ansvar att detektera och skydda sin verksamhet!

JH: Varje Chef.

SB: Ytterst Ledningar o chefer. Även varje medarbetare måste känna sitt ansvar.

Moderator: Hur mycket för säkerhet kosta?

PA: Vilka värden skall skyddas? Analysen måste göras. Åtminstone.

SB: Kontinuitetsplanering – sätta en Riskaptit

JH: 4-7% av budget på sin IT-säkerhet (enligt rapporter från tex. PwC). Men viktigt att veta VAR man satsar?

ELEFANTEN I RUMMET

Björn Palmertz, CATS, FHS, Den svagaste länken – Social engineering och människans psykologiska processer ur ett påverkansperspektiv

Människor är kognitiva snåljåpar

90-talet bytte man till synen att de troligare är Motiverade taktiker.

Flexibelt olika tekniker – Motivation o målsättning ger olika strategier –

Tidsbrist, Mental belastning, Irrelevant information, Låg kunskapsnivå -> Snabba tankar med låg precision

Syftet med Social Engineering: Påverka någon att göra en handling som gynnar påverkaren.

Tips – Kurs: Influence and Social Power

Grundstrategier:

·       Ömsesidighet – Vi får ngt o vill ge tillbaka

·       Åtagande o konsekvens – Fortsätter tycka göra som vi gjort. Annars skulle samhället bli så skumt om alla byter åsikt o beteende hela tiden.

·       Socialt Bevis – Större tillit till de som verkar dela dina värderingar

·       Tycke – Uppskattning. Gemensamma drag – Positivt

·       Sällsynthet – Låg tillgänglighet/Låg kvalitet. Sällsynta värderas HÖGRE

·       Auktoritet – De flesta följer auktoritet. Både hierarkiskt o expert. Språkbruk/Titlar används

Finslipa processer för att finna även svaga signaler på ett pågående angrepp

EN åtgärd för att stävja social engineering: Kommunicera! En Öppen dialog ger en beredskap. Och en möjlighet att tänka till.

Ann-Marie Eklund Löwinder, Internetstiftelsen Sverige, Outsourcing – Judas eller Frälsaren

Vi MÅSTE göra analysen.

Många myndigheter saknar relevant upphandlings/beställar-kompetens!

Starka o självständiga IT-avdelningar – som inte vill ta hjälp.

RRV-rapporten: IT-kostnaderna särredovisas inte.

IT-projekt tar tid – generellt 18-24 månader

Välkomnar SÄPO:s samrådsfunktion vid utlokalisering av IT-verksamhet.

Vi måste skriva väldigt bra avtal o överenskommelser! Har ni inte frågat efter det kommer ni inte att få det.

Ställ krav på att man får göra en revision

Ställ krav på rapporter av incidenter/tester/drift

Ställ krav på avslutsprocess

UNDVIK risken att din molnleverantör blir ett Hotel California – Check in but never leave!

Om man RÅKAR göra rätt – så är det FEL

Man skall VETA att man gjort rätt.

Ha INTE Bråttom!

Panel: VÄGEN FRAMÅT

Åsa Lindestam (S) Hans Wallmark (M) Daniel Bäckström (C)

Åsa Lindestam (S)

Hans Wallmark (M)

Daniel Bäckström (C)

Moderator: Vilken plats har cyberfrågorna inom partiet idag?

DB: Den TAR plats. Det går fort.

HW: Ökar i Raketfart. Speciell talesperson. Incidentdrivet. Transportstyrelsen viktig händelse.

ÅL: Mitt parti höjer upp denna fråga på en hög nivå. Vi TROR vi förstår men de gamla tankarna måste förnyas. Nya lagar. Svåra frågor.

Moderator: Hur påverkar dessa frågor er till vardags?

ÅL: Beredningsmöte – Lämna telefoner o iPads lämnas i låsta skåp.

HW: Jag kör fortf med papperskalender

HW: Vi behöver ett Nationellt Säkerhetsråd med ett övergripande ansvar.  Svårt med starka myndigheter…

DB: Föreslagit ett närlingslivsråd för att kunna gynna en samverkan och informationsdelning.

HW: Vårt ansvar är att planera för Höjd beredskap o krig – kopplar till ALLA verksamheter – Delrapport 20 december. Öppna medvetenheten. ”Motståndskraft”

DB: Vart vill vi landa om 10 år? Inte bara se bakåt. Kompetensförsörjningen i alla olika storlekar av verksamheter. Kommunalt, privat, myndigheter.

ÅL: Vi i samhället behöver höja vår kompetens i allmänhet!

DB: signalera vikten av utbildning inom detta område!

HW: Det är en global konkurrens. Utbildningarna är fria för EU-medborgare. Och dessa delar vi

ÅL: Försvarsberedningen finns tankar kring hur styrkan i totalförsvaret hålls uppe. En svaghet är kommunerna.

DB: MSB måste sätta nivån för vad vi kan förvänta oss på kommunal nivå! Resursbristen är tydlig i det kommunala.

HW: Vid

·       Kris

·       Skymningsläge

·       Krig

Då går man till stadshuset.

Länsstyrelser o kommuner – Bygga upp kompetens givet försvarsöverenskommelser. Precis i startgroparna.

Vilken plats kommer Cybersäkerhet kommer få i kommande valrörelse

DB: Växande! Engangemang o insikter stärks. Gråzonsproblematiken har ännu inte diskuterats.

HW: Jag skulle gärna att det vore Nr 1 – MEN det realistiska är att det kommer avgöras kring inrikespolitiska frågor med det som är närmast vår vardag.

Charlotte Svensson, Statssekreterare, justitiedep, Makten reflektioner

3 år sedan SLL hade en Utpressningstrojan

2 månader senare receptsystem nere på Apoteket

Teknikutvecklingen och ökad internationalisering. Vårt moderna samhälle ÄR komplext.

Sverige – har ALDRIG satsat så mkt på att rusta upp!

Förra årets undersökning – I stort sett ALLA svenska använder Internet.

98% av 6-åringar uppkopplade

66% av svenskarna Swishar pengar.

Detta ger enorma vinster – men också utmaningar!

Nationella Strategin –

6 prioriteringar!

Detta Implementeras nu – regeringen har beslutat om uppdrag som bidrar till målen skall uppnås.

Tar upp NIS-direktivet och hur det även inbegriper privata aktörer!

SÄPOs veto tas upp kring utkontraktering

Imorgon fattas beslut om en ny säkerhetsskyddslag. Träder i kraft 1 april 2019.

Regeringen tar nya initiativ:

·       Nationell Kampanj mot småföretagare. Länsstyrelserna skall kunna stödja kommunerna

·       Totalförsvaret skall återuppbyggas – syftar till att skydda civilbefolkningen och stödja militära försvaret.

Beredskap måste kunna hantera påverkanskampanjer/cyberattacker och som sedan eskalerar.

·       85 miljoner 2017

·       400 miljoner 2018

Kommuner länsstyrelser mfl kan anställa mer o genomföra övningar.

Försvarsberedningen föreslår ny myndighet för Psykologiskt försvar – regeringen välkomnar detta och detta utreds nu.

Moderator: Förtroende är bra – Kontroll är bättre! Hur följer ni upp alla dessa initiativ?

CS: Har en rad tillsynsmyndigheter som följer upp.

CS hade en diskussion med sina kollegor i UK. Deras kommentar var –

Ägna inte för mycket energi att bygga om myndigheter

Vi har välfungerande FRA, MSB, SÄPO. Så instifta en ny myndighet är INTE det första vi skall göra.

Moderator: Utbildningsplatser?

CS: Måste hjälpas åt för att visa hur viktigt det är med dessa funktioner – för det räcker inte med att utöka antalet platser – måste även fylla dessa!

Beatrice Ask, Talesperson i civilförsvars- och civilberedskapsfrågor (M), Maktens reflektioner

FRA kommer som flourtanten på besök till företag och kommuner och berättar vad man skall tänka på.

Min roll är att SAMLA frågor som spänner över massa verksamheter.

Stuprörsproblematiken behöver en  Hängrännefunktion.

Har suttit med o granskat Transportstyrelsesituationen som del av KU – SÅ MKT DUMT man sett.

DOCK – Slänger en KÄNGA till Peter Hultqvist ang det fullkomligt galna i att ”förbjuda all utkontraktering”

Folk i vår ålder som lutar sig tillbaka och säger – det HÄR förstår inte jag – det får ungdomarna ta hand om. SKÄRP ER! Kompetensen måste upp på bred front!

Sverige är ett av de FÅ länder där man INTE ställer krav på Bankerna att ta emot kontanter!

Beatrice skickar med oss tre ”F” att begrunda efter denna konferens:

·       Förvåning! Är det något som Förvånat ER? Den snabba förändringshastigheten! Agera! Även om du inte har all information.

F.     Förskräckelse! Sjökablarna! Naivitet när jag granskat Transportstyrelsen. Källkritik o påverkan.

F.     Förväntan! Goda möjligheter att göra mkt bra. Vi skall inte vara NAIVA men ANVÄNDA digitala verktyg o utkontraktering osv.

Moderator: Kan de dåliga upphandlingarna bero på krånglig LoU?

BA: Javisst – men man måste ju även använda huvet själv. Min uppfattning är att man skyller ifrån sig. Upphandlingsförmågan måste bli bättre!

Vi måste lyfta oss i alla nivåer – Flourtanten behöver påminna om Cyberhygienen!

Moderator: Vad är du mest rädd för?

BA: Att Sverige inte kan hävda sig i den stenhårda internationella konkurrensen!

Allvarligt fel hos NameSRS

Uppdatering 1: Det verkar som om domänpekningarna är legitima (och ingår i en kampanj via NameISP eller NameSRS) men att blocket.se råkade följa med i bara farten.

Uppdatering 2: NameISP har nu bekräftat via telefon att det var mänskliga faktorn som låg bakom och inget intrång.

Uppdatering 3: msb.se och krisinformation.se var ej påverkade av detta fel hos NameISP. Även värt att påpeka i sammanhanget är att registraren är Sveriges näst största.

Under natten så hackades eller så genomförde någon en stor miss hos domänregistraren NameSRS vilket fick till följd att cirka 11478 .se-domäner pekades om. Bland domänerna som pekades om fanns Blocket.se som under cirka 2h visade en helt annan webbsida:

Förutom att namnservarna var ändrade så ändrades också mailpekaren till följande mailserver:

  • mx224.m2bp.com (206.53.239.77, IQuest Internet)
  • mx224.mb1p.com (206.53.239.75, IQuest Internet)

Att mailpekare ändrades får till följd att det troligtvis varit möjligt för en obehörig att återställa lösenord för tredjepartstjänster samt ta del av E-post som skickats till domänerna.

Och tittar vi på whois-information gällande Blocket.se såg det ut enligt följande, observera namnservrarna:

Förutom Blocket.se så används NameSRS av bl.a. krisinformation.se samt msb.se, oklart huruvida dessa varit påverkade av just detta.

Allvarlig sårbarhet i HP Integrated Lights-Out 4 (iLO 4)

CERT-SE vid Myndigheten för samhällsskydd och beredskap (MSB) gick precis ut och varnade för en allvarlig sårbarhet i HP Integrated Lights-Out 4 (iLO 4).

Enligt CERT-SE så kan denna nya sårbarhet utnyttjas:

En fjärrangripare kan utnyttja dessa för att kringgå autentisering samt fjärrexekvera kod

Denna sårbarhet gäller firmware före version 2.53. Och sårbarheten har fått CVE ID: CVE-2017-12542. Sårbarheten identifierades och rapporterades till HP av Fabien Perigaud på företaget Airbus.

Just när det gäller sårbarheter i out-of-band management eller LOM som det också kallas är speciellt allvarliga, för detta kan ge full tillgång till en fysisk server. Om en antagonist kan exempelvis starta upp servern på ett eget OS eller komma åt konsolen.

Så identifieras Cloud Hopper APT10

Uppdatering: Min pull-request till Loki-projektets signaturdatabas har nu gått igenom och det enda du behöver göra är att ladda hem och köra Loki för att detektera APT10.

Myndigheten för samhällsskydd och beredskap (MSB) gick i förrgår ut och varnade för omfattande cyberattacker mot bl.a. Svenska managed service providers. Attacken är riktad mot företag som sköter drift och IT-infrastruktur för samhällssektorer som offentlig verksamhet, IT, kommunikation, sjukvård, energi och forskning.

Cyberattacken går under namnet APT10 eller Cloud Hopper och MSB meddelar att attacken har inriktat sig på att infektera system genom att lura människor. De som ligger bakom angreppen har lagt stora resurser på att kartlägga sina mål, organisationer och deras anställda, för att kunna skicka riktade e-postmeddelanden med trovärdiga dokument (så kallat riktat nätfiske, spearphishing).

Jag har tittat på de IOC:er (Indicators of Compromise) som är släppta av företaget PwC och skapat två filer som kan läsas in av en mängd olika verktyg såsom Loki (som jag använde för att identifiera Project Sauron/Remsec sist), för tyvärr så är PwC:s PDF inte helt lättarbetad.

Du kan därför ladda hem och ändra den Yara-fil samt en fil med Md5-checksummor som jag skapat på Github här: https://github.com/jonaslejon/apt10 och använda den direkt med Loki. Du använder filerna genom att lägga filen apt_apt10.yar i underkatalogen signature-base/yara/ och innehållet från hash-iocs.txt längst ner i den befintliga filen signature-base/iocs/hash-iocs.txt. Detta efter du laddat hem Loki här

Jag har även kört sökningar mot VirusTotal med de checksummor som PwC har släppt och tittat på ett antal olika saker såsom när antivirus-företagen identifierade APT10:

Här följer en skärmdump på en träff när jag använder Loki och MD5-filen samt Yara-filen från mitt Github-repo för test:

Och om jag tittar på statistik från VirusTotal gällande APT10 så är antivirus-mjukvaran McAfee bäst på att detektera APT10. Fortfarande identifieras 69 av 300 delar inte av någon antivirus-mjukvara.

Följande tabell visar på antalet detektioner per antivirus-produkt:

205 McAfee
205 GData
204 McAfee-GW-Edition
203 Symantec
198 Kaspersky
197 BitDefender
196 Emsisoft
195 F-Secure
192 MicroWorld-eScan
191 Panda
190 VIPRE
188 Ikarus
183 Fortinet
181 Sophos
181 Ad-Aware
181 AVG
170 ESET-NOD32
167 NANO-Antivirus
159 TrendMicro-HouseCall
159 AVware

Och tittar vi vidare på några av de exploits som används så har antivirus-företagen klassat dem som följande:

  • CVE-2012-0158
  • CVE-2010-3333
  • Exploit.OLE2.Toolbar
  • JS.S.Exploit.121732
  • JS.S.Exploit.166944
  • Exploit.Win32.OLE.78
  • EXP/Office.Exploit.Gen
  • DOC.S.Exploit.164492[h]
  • Exploit-MSWord!1ECBFF1A46A8

Och några ovan är relativt lätta att utläsa såsom CVE-2012-0158 som är en sårbarhet i Active X och CVE-2010-3333 är en sårbarhet i Microsoft Offices hantering av RTF-formatet.

Om du vill hjälpa till så får du gärna göra pull request på Github-repot med mer IOC-data från DHS.

Loki tittar främst på klienter och servrar och därför rekommenderar jag även att titta på nätverkstrafik såsom DNS-uppslagningar, för du har väl sparat undan nätverksdata i PCAP-format?

Ett år av obligatorisk it-incidentrapportering

Det har nu gått nästan ett år sedan den 1:a April 2016 då det är obligatoriskt för Sveriges (nästan) samtliga 244 myndigheter att rapportera in it-incidenter till MSB (Myndigheten för samhällsskydd och beredskap).

MSB rapporterar att det skickats in 214 incidentrapporter från 77 myndigheter och att snittet legat på 25 st per månad. Detta innebär att många myndigheter fortfarande inte skickat in en enda incidentrapport, vilket påvisar ett stort mörkertal. Men troligtvis så tar det några år innan myndigheter anpassar sig.

En annan intressant sak är att incidenter ska rapporteras inom 24h att de upptäckts men i verkligheten ser det annorlunda ut:

Vid genomgång av rapporterna visar det sig att runt 20 procent av incidenterna rapporterats mer än fem dagar efter att de upptäckts, vissa incidenter har rapporterats först efter en månad.

De incidenter som rapporteras in kategoriseras på följande sätt och antal:

Rapporten har även bilaga med sekretessbelagda uppgifter och där framgår vissa särskilda företeelser avseende it-incidentrapporteringen.

För inrapporteringen så används filkryptot KURIR 2.0.

Att loggning är viktigt är något som jag inte understryka nog och detta framkommer även i incidentrapporteringen:

I ett antal incidenter har det framkommit att myndigheter inte har någon dedikerad loggserver, något som är en viktig komponent för att kunna upprätthålla en fungerande övervakning av it-system och för att i efterhand ha möjlighet att klargöra vad som hänt i systemet.

Jag kan även utläsa att MSB använder ordet kryptotrojan återkommande gånger, vilket jag tycker är felaktigt. Utpressningsvirus eller ransomware tycker jag är mer rättvisande och något som Polisen etc använder. Och på tal om ransomware så anger rapporten att 40% av inkomna rapporter om ransomware har lett till informationsförlust. Tyvärr framgår det inte vilken typ av ransomware det rör sig om eller om antivirus-mjukvara detekterat dessa.

Här kan du läsa MSB:s årsrapport om it-incidentrapportering 2016 i sin helhet (PDF):

MSB Årsrapport IT-incidentrapportering