Igår släpptes två nya rapporter från FRA, Försvarsmakten, MSB, Polismyndigheten och Säkerhetspolisen. Dessa rapporter finns bifogade nedan och heter:
Cybersäkerhet i Sverige – Hot, metoder, brister och beroenden
Cybersäkerhet i Sverige – Rekommenderade säkerhetsåtgärder
Jag har läst båda rapporterna och de ger en allmän och övergripande bild över cybersäkerhetsläget. Det framgår också i rapporten att den är just avsiktligt generaliserad samt riktar sig till samtliga offentliga som privata verksamheter. För oss som är djupt nere i träsket så tycker jag att rapporten är lite väl för generell, dock så bör du läsa rapporten med rekommenderade säkerhetsåtgärder.
Rapporten tar upp problem som kan uppstå till följd av utkontraktering och kompetensbrist. Men även beskriver de olika aktörerna som utför cyberattacker såsom statsunderstödda grupperingar, kriminella aktörer och ideologiskt motiverade.
Även tas olika initiala attacker upp såsom vattenhålsangrepp, angrepp mot exponerade tjänster, lösenordsattacker, spearphishing och phishing.
Rapporterna innehåller också ett antal felaktigheter och konstiga antaganden som verkar representera enskilda individers tyckande. Men att producera rapporter hjälper inte Sveriges motståndskraft mot cyberhot. Det viktiga är att cybercentret når en operativ effekt skyndsamt.
Ett modus som rapporten tar upp och viktigt att tänka på är att mer och mer attacker sker mot privatpersoner med viktiga befattningar. Syftet kan vara att hitta information för utpressning eller ta sig vidare in på en organisations system:
Angrepp sker även direkt mot individers personliga it-utrustning.
Det finns också givetvis många organisationer som bör läsa under rubrikerna rekommenderat arbetssätt som återfinnes under samtliga 9 rekommendationer.
Rapporten Cybersäkerhet i Sverige – Hot, metoder, brister och beroenden kan du ladda hem här:
Rapporten Cybersäkerhet i Sverige – Rekommenderade säkerhetsåtgärder kan du ladda hem här:
Detta är en sammanfattning av förmiddagens pass under Cyberförsvarsdagen 2020. Du kan läsa om eftermiddagen här
Inledning
Dagen började med att två generaldirektörer, en generalsekreterare och chefen för Försvarsmaktens LEDS CIO pratade om vad som är normalläge och vad som är gråzon.
Enligt FRA så befinner vi redan i en gråzon och detta ser FRA genom sin signalspaning såsom TDV-systemet. Angriparna är ute efter våra innovationer och konkurrenskraft instämmer Robert Limmergård.
De stora resurserna har statsunderstödda aktörer men enskilda små hacker-aktörer
Cybersäkerhetscentrets viktigaste uppgift enligt paneldeltagarna:
Björn Lyrrvall – Genom samverkan kan vi bättre skydda våra system
Dan Eliasson – Vi jobbar nära med andra myndigheterna och poolar våra resurser och får då bättre detekteringsförmåga
Robert Limmergård – Viktigt att vi inte häller ner informationen i ett stort svart hål.
Lennart Kvannbäcken – Viktigt att det finns personal i form av kött och blod och att samverkan blir mer än bara papper.
Annika Avén frågar panelen om bra exempel på samverkan mellan myndigheter och civila samhällen. Några exempel på bra samverkan som lyfts upp är FIDI-grupperningarna, arbetet via DIGG samt att bara denna dag är ett bra exempel. NSIT lyfts också upp som en bra gruppering, mycket av infrastrukturen ägs av den privata sidan.
Paneldebatt: Hotbild – Ansvar – Övningar
Moderator Martin Waern, Scandinavian Risk Solutions (SRS)
Lägesbild och hotbild
Inledningstal inför passet är Jan Berg som är chef för TDV på FRA berättar om hur hotbilden förändrats på 20 år samt att det finns runt hundratalet aktörer i dagsläget.
Hur mycket resurser behövs det för att bedriva denna typ av cyberattacker? Det finns otroligt många verktyg som open-source men även kommersiella verktyg.
Vad är det för aktörer som håller på med datorintrång? Grupperingar som är löst eller hårt knutna till olika stater, drivs av ekonomiska och politiska motiv. Agendan spelgas i den underrättelseinhämtning som genomförs.
Intressant kreativt scenario som Jan tar upp är intrånget mot den svenska dopingorganisationen. Man såg det nästan komma eftersom samma aktör troligtvis genomfört attacker mot WADA, World Anti-Doping Agency.
CloudHopper (APT10) samt Operation Soft cell är två intressanta operationer som visar på när antagonister går på tjänsteleverantörer.
Det tar i snitt 200 dagar innan ett intrång upptäcks, vad får det för konsekvenser för Er frågar sig Jan Berg på FRA. Ha ett långsiktigt arbete för det har aktörerna.
Panelsamtal: Signalskydd och hotbilden – är vi på rätt väg?
Panelen består av följande personer:
Jan Berg, FRA
Jens Bohlin, Tutus
Roger Forsberg, MSB
Peter Eidegren, Försvarsmakten
Många affärsdrivna verksamheter tänker inte först och främst på hotbilden när man försöker vara kreativa.
Nya signalskyddsföreskrifter finns nu på plats och har tidigare bara gällt för myndigheter. Andra verksamheter har tidigare använt signalskydd men inte varit reglerade av föreskrifterna. Men nuförtiden omfattar instruktioner och föreskrifter många fler organisationer.
Det finns bra och tydliga rutiner för Sveriges signalskydd, och det skapar förtroende berättar Peter Eidegren. Vad som också är nytt är att MSB som tidigare haft ansvaret för tilldelning av signalskydd så erbjuds nuförtiden enbart nyttjanderätt (en typ av lån).
Roger Forsberg berättar att MSB har möjlighet att besluta vilka som har tillåtelse att nyttja signalskydd. Man tecknar då en överenskommelse med MSB, signalskydd är av Svenskt nationellt säkerhetsintresse.
Man har även en plan framöver och anskaffar system samt försöker lägga dem på hyllan, men ibland kan de ta upp till ett år att få kryptosystem.
Jens Bohlin berättar om industrins utmaningar med att ta fram kryptosystem. Det är viktigt att jobba agilt och parallellt så inte utvärderingen av kryptosystem tar för lång tid och systemen är föråldrade när de väl kommer ut.
Behövs det verkligen fyra myndigheter som är ansvariga för krypto i Sverige frågar sig Martin? Det finns givetvis effektivitetsvinster säger Jens.
Roger avlutar paneldebatten och berättar om att dagens kryptosystem kan lösa många av organisationernas behov upp till nivå kvalificerat hemlig. Det gäller att vara kreativ och mycket går att köra över IP såsom IP-telefoni samt video.
Panelsamtal: Hur håller vi igång vårt fungerande samhälle?
Moderator: Torsten Bernström, CGI
Panelen består av följande deltagare:
Överste Patrik Ahlgren, Försvarsmakten
Mattias Wallén, SRS
Martin Allard, 4C Strategies
Martin berättar angriparen angriper oss där vi är som svagast och tar upp fel faktorer för fungerande försvar:
Försvarsmakt
Förtroende
Försörjningsberedskap
Fortifikation
Förfogande
När man arbetar med en utredning så har man ett direktiv att utgå ifrån. Och vill man annat får man prata med departementet.
Patrik berättar om vad en kvalificerad aktör kan ställa till med i samhället och att det inte går att åstadkomma 100%-ig säkerhet. Man måste räkna med bortfall. Ett exempel är att det måste finnas alternativa metoder för betalningar.
Alla i Sverige har ett ansvar att bidra till försvarsviljan anser Patrik. Ett robust samhälle går inte att bygga med den moderna tekniken, det är en utopi.
Svagheterna finns inte alltid där man tror och det ser ut som en lasagne och inte som stuprör säger Mattias. Lyfter upp dolda beroenden såsom OpenSSL samt sårbarheten Heartbleed.
En bra grundsäkerhet är att tjänsteleverantörerna klarar av de kända säkerhetshoten berättar Patrik.
Finns det en idé om K-företag 2.0, frågar moderatorn Torsten till Martin. Det finns flera skäl till att den inte går att införa systemet såsom upphandlingsregler. Regler runt konkurrens och EU är några delar som gör det svårare. Vilka företag ska omfattas om krigsplaceringar frågar Martin publiken.
Gemensamma privat-offentliga övningar för ett stärkt cyberförsvar
Moderator: Torsten Bernström, CGI
Paneldeltagare:
David Olgart, Försvarsmakten
Erik Biverot, lagledare LockedShields
Daniel Vikström, Afry
David börjar med att berätta om övningen SafeCyber och Försvarsmaktens beroenden av olika företag och organisationer. Övning leder till att stärker cyberförsvarsförmågan.
Teknisk incidenthantering och rapportering. Kopplade mot diskussionsövningen
Riskhantering och beslutsfattande
Genomförde forskning. Hur genomför man effektivt incidenthantering?
Forskning på lägesuppfattning.
De mjuka delarna var också viktiga och att folk lärde känna varandra och den viktigaste erfarenheten var att fler ville köra övningar.
Erik berättar om CCDCOE och övningen Locked Shields samt att det var 23 tävlande lag från olika nationer.
Sverige hamnade på tredje plats under 2019 och det är otroligt bra då enbart Tjeckien och Frankrike hamnade före. Hela miljön är öppen och inget hemligt hanteras.
Hur organiserar sig ett tillfälligt sammansatt team är intressant forskning nämner Daniel och något som Gazmend Huskaj forskar på.
Moderatorn Torsten frågar panelen hur kunskapen sprids från övningar: David tipsar om FOI:s rapport som går igenom samt nämner MSB:s handbok för övningar.
Man måste vara ödmjuk säger Erik och detta är en kompetensdriven faktor, mycket hänger på vilka individer vi får tag på. Informella kunskapsöverföringen är också viktig säger Erik.
Nationellt Cybersäkerhetscenter – Storbritannien
Moderator: Richard Oehme, Knowit
En talare från brittiska UK Nation Cyber Security Center, NCSC berättar om Storbritanniens satsning och vad de har lärt sig om de senaste tre åren.
De försöker göra det enklare för företag och privatpersoner att använda Internet säkert. De försöker också bli mer transparenta och är en del av GCHQ, FRA:s motsvarighet i Storbritannien. Om en attack mot elnätet skulle inträffa så skulle det vara till NCSC som folk skulle vända sig till.
De har projekt just nu för att säkra upp smarta elnät och kritisk infrastruktur inom området smarta städer. Annat de har utgivit är en broschyr för småföretagare om cybersäkerhet.
En annan lyckad satsning som nämns är Exercise in a box som gör det enkelt för små företag och organisationer att öva. Allt är givetvis gratis som NCSC gör:
Exercise in a Box is an online tool from the NCSC which helps organisations test and practise their response to a cyber attack. It is completely free and you don’t have to be an expert to use it.
En av det mest intressanta sakerna jag tyckte hon nämnde var automatiskt nedtagning av phishing-webbsajter samt möjlighet att stoppa andra attacker automatiskt, går under namnet Active Cyber Defence (ACD).
Säker rekursiv DNS som de utvecklat tillsammans med civila sektorn som blockerar osäkra sajter (PDNS).
Ett tydligt mandat och en budget var två av framgångsfaktorerna för det brittiska cybersäkerhetscentret men även att de är samlokaliserade med GCHQ.
Uppdatering 2020-12-10: Idag torsdag så beslutar regeringen om införandet av detta nya cybersäkerhetscenter.
Under September 2019 gav Regeringen myndigheterna FRA, Försvarsmakten, MSB och Säkerhetspolisen ett uppdrag som gick ut på att dessa myndigheter skulle lämna förslag på hur ett nytt nationellt cybersäkerhetscenter ska utformas.
Nu har svaret skickas till Regeringen och jag har sammanfattat det nedan:
Lokaliseringen ska till början vara hos MSB i deras nya lokaler i Solna. Dock med egna konferensrum, reception etc.
20-30 personer kommer att initialt ingå från FRA och MSB men på lång sikt kommer upp till 250 personer att tjänstgöra på cybersäkerhetscentret
Försvarsmakten kommer att bidra med samverkansresurer samt analytiker och avser att rekrytera upp 10 personer för detta
Centret kommer att vara en naturlig plats för samverkansgrupper såsom Samverkansgruppen för informationssäkerhet (SAMFI).
Och tittar vi närmare på fördelarna med att inrätta ett cybersäkerhetscenter så lyfts följande delar upp:
Kortare ledtider från detektion till åtgärd.
Bättre analysresultat med ett större utbyte av information.
Ökad tydlighet i budskap och rekommendationer.
Ökad tillgänglighet till de ingående myndigheterna för såväl privata som offentliga målgrupper.
Stärkt privat-offentlig samverkan.
Ett ensat nationellt cybersäkerhetsarbete samt harmonisering av föreskrifter och skyddsåtgärder.
Effektivare användning av statens resurser.
Övriga myndigheter som är delaktiga i upprättandet av centret är PTS, FMV och Polismyndigheten.
Organisationen kommer att se ut enligt följande på en övergripande nivå:
Min egna bedömning är att jag tror att detta är mycket bra och min erfarenhet visar på mycket bra synergieffekter bara genom att vara samlokaliserade på ett och samma ställe. Dock så är det olika myndigheter med olika kulturer och mål som ska komma överens vilket kommer att ta ett tag. Även tror jag det blir svårt att rekrytera till detta center eftersom specialister inom detta område är mycket efterfrågade.
Jag tycker även att det är bra att samverkan med näringslivet tas upp i svaret och att det finns möjlighet att sprida information och samverka mot privata aktörer genom exempelvis olika Forum för informationsdelning (FIDI).
FRA besitter en unik förmåga att upptäcka avancerade cyberattacker och detta center kan troligtvis hjälpa att stärka det Svenska cyberförsvaret.
Myndigheten för samhällsskydd och beredskap (MSB) efterfrågar kommentarer gällande en ny vägledning om grundläggande kryptering.
Vägledningen beskriver säkerhetsåtgärder för att införa och upprätthålla säkra kryptolösningar. Rekommendationerna i vägledningen är inte tvingande för någon.
Säkerhetsåtgärderna som återfinnes i vägledningen är avsedda för information som behöver skyddas med kryptolösning till exempel för information som omfattas av sekretess, men som inte bedöms vara säkerhetsskyddsklassificerade uppgifter. Krav på säkerhetsåtgärder för säkerhetsskyddsklassificerade uppgifter återfinns hos Säkerhetspolisen respektive Försvarsmakten.
Använd mallen nedan samt skicka in dina synpunkter via E-post till [email protected] senast den 17 april 2019. Endast kommentar inskickade i kommentarsmallen kommer att beaktas uppger MSB.
Jag brukar inte vara så kinkig när det gäller stavfel (hehe) men kan undra om någon korrekturläst dessa publikationer: DDOSattacker, kristiska, ”exempelvis seom en del i ett botnet”. I övrigt tycker jag det är bra tips men ställer mig frågande till att myndigheter skulle verka för cyberförsäkringar:
”Verka för olika typer av negativa eller positiva ekonomiska incitament såsom skadeståndsansvar, cyberförsäkringar och frivillig certifiering.”
Åke Holmgren, tillförordnad avdelningschef för cybersäkerhet och skydd av samhällsviktig verksamhet vid MSB säger:
MSB behöver i nära samarbete med offentliga och privata aktörer öka våra ansträngningar inom området. Det är väldigt tydligt att IoT-relaterade risker inte kan lösas av en enskild aktör. En central del för att lyckas är det systematiska informationssäkerhetsarbetet både för information och system med högt skyddsvärde
Och skulle du vara mer intresserad av IoT-säkerhet så håller MSB ett seminarium den 21:a Juni på Fleminggatan 14. Mer info hittar du här, men snabba på. För det finns bara 6 st platser kvar.
Igår så släppte Myndigheten för samhällsskydd och beredskap (MSB) en årsrapport gällande den obligatoriska IT-incidentrapporteringen. Denna rapport gäller för de incidenter som rapporterats under helåret 2017. Den förra rapporten som släpptes för 2016 gällde enbart April-December.
Det första jag kan utläsa från rapporten som är på 22 sidor (finns nedan) är att det finns ett stort mörkertal. Knappt en tredjedel av de som är rapporteringsskyldiga har rapporterat in något till MSB, och detta får till följd att det är svårt att ge en samlad bild de av de allvarliga it-incidenter som drabbar myndigheter.
Snittet gällande antalet rapporter per månad ligger på 23,4 i Sverige och jämför man med Estland så ligger de på 187 st per månad, dock kan det skilja åt vad som måste rapporteras mellan länderna.
Den obligatoriska rapporteringen till MSB kommer även att fortsätta även efter det att NIS-direktivet träder i kraft. Vilket gör att vissa myndigheter måste rapportera dubbelt.
Tittar vi på statistiken så har 79 st myndigheter lämnat in rapporter och den siffran var förra året på 77 st. Och MSB själva har några troliga förklaringar till varför siffran gällande rapporter är så pass låg:
Upphandlad extern IT-drift innan ikraftträdandet av rapporteringen. Denna är undantagen
Myndigheter som sätter en hög tröskel gällande vad som är en allvarlig it-incident
Och antalet incidenter inom varje incidenttyp ser ut enligt följande:
Några intressant iakttagelser från rapporteringen är följande:
Två incidenter som rapporterats handlar om att en angripare kommit över personuppgifter
Kryptotrojaner rapporterades enbart in under årets två första månader (2017)
11 st försök till VD/GD-bedrägerier
17 st incidenter kopplade till överbelastningsattacker
Det är svårt att säkerställa ett metodiskt informationssäkerhetsarbete hos externa leverantörer. MSB bedömer dock:
De incidenter som beror på dåligt upphandlade leverantörer antas minskas då Säkerhetspolisens och Försvarsmaktens mandat att ingripa vid upphandlingar som rör skyddsvärda verksamheter stärks den 1 april 2018.
Det finns ett behov att höja kompetensnivån avseende information- och cybersäkerhet för flera yrkeskategorier
Behov av ett systematiskt arbete med informations- och cybersäkerhet
Största delen av de 281 inrapporterade incidenterna har 149 (53 %) lett till hindrad tillgång till information. Och att det är så beror på att de uppmärksammas och noteras, och rapporteras därmed, i högre grad än incidenter där en antagonistisk aktör medvetet ansträngt sig för att inte lämna spår eller ge sig tillkänna tror MSB.
Här kan du ladda hem årsrapporten för it-incidentrapportering som PDF:
Här kan du läsa vad jag skrev om den förra årsrapporten gällande obligatorisk IT-incidentrapportering till MSB:
CERT-SE vid Myndigheten för samhällsskydd och beredskap (MSB) gick precis ut och varnade för en allvarlig sårbarhet i HP Integrated Lights-Out 4 (iLO 4).
Enligt CERT-SE så kan denna nya sårbarhet utnyttjas:
En fjärrangripare kan utnyttja dessa för att kringgå autentisering samt fjärrexekvera kod
Denna sårbarhet gäller firmware före version 2.53. Och sårbarheten har fått CVE ID: CVE-2017-12542. Sårbarheten identifierades och rapporterades till HP av Fabien Perigaud på företaget Airbus.
Just när det gäller sårbarheter i out-of-band management eller LOM som det också kallas är speciellt allvarliga, för detta kan ge full tillgång till en fysisk server. Om en antagonist kan exempelvis starta upp servern på ett eget OS eller komma åt konsolen.
Uppdatering: Min pull-request till Loki-projektets signaturdatabas har nu gått igenom och det enda du behöver göra är att ladda hem och köra Loki för att detektera APT10.
Myndigheten för samhällsskydd och beredskap (MSB) gick i förrgår ut och varnade för omfattande cyberattacker mot bl.a. Svenska managed service providers. Attacken är riktad mot företag som sköter drift och IT-infrastruktur för samhällssektorer som offentlig verksamhet, IT, kommunikation, sjukvård, energi och forskning.
Cyberattacken går under namnet APT10 eller Cloud Hopper och MSB meddelar att attacken har inriktat sig på att infektera system genom att lura människor. De som ligger bakom angreppen har lagt stora resurser på att kartlägga sina mål, organisationer och deras anställda, för att kunna skicka riktade e-postmeddelanden med trovärdiga dokument (så kallat riktat nätfiske, spearphishing).
Jag har tittat på de IOC:er (Indicators of Compromise) som är släppta av företaget PwC och skapat två filer som kan läsas in av en mängd olika verktyg såsom Loki (som jag använde för att identifiera Project Sauron/Remsec sist), för tyvärr så är PwC:s PDF inte helt lättarbetad.
Du kan därför ladda hem och ändra den Yara-fil samt en fil med Md5-checksummor som jag skapat på Github här: https://github.com/jonaslejon/apt10 och använda den direkt med Loki. Du använder filerna genom att lägga filen apt_apt10.yar i underkatalogen signature-base/yara/ och innehållet från hash-iocs.txt längst ner i den befintliga filen signature-base/iocs/hash-iocs.txt. Detta efter du laddat hem Loki här
Jag har även kört sökningar mot VirusTotal med de checksummor som PwC har släppt och tittat på ett antal olika saker såsom när antivirus-företagen identifierade APT10:
Här följer en skärmdump på en träff när jag använder Loki och MD5-filen samt Yara-filen från mitt Github-repo för test:
Och om jag tittar på statistik från VirusTotal gällande APT10 så är antivirus-mjukvaran McAfee bäst på att detektera APT10. Fortfarande identifieras 69 av 300 delar inte av någon antivirus-mjukvara.
Följande tabell visar på antalet detektioner per antivirus-produkt:
Och tittar vi vidare på några av de exploits som används så har antivirus-företagen klassat dem som följande:
CVE-2012-0158
CVE-2010-3333
Exploit.OLE2.Toolbar
JS.S.Exploit.121732
JS.S.Exploit.166944
Exploit.Win32.OLE.78
EXP/Office.Exploit.Gen
DOC.S.Exploit.164492[h]
Exploit-MSWord!1ECBFF1A46A8
Och några ovan är relativt lätta att utläsa såsom CVE-2012-0158 som är en sårbarhet i Active X och CVE-2010-3333 är en sårbarhet i Microsoft Offices hantering av RTF-formatet.
Om du vill hjälpa till så får du gärna göra pull request på Github-repot med mer IOC-data från DHS.
Loki tittar främst på klienter och servrar och därför rekommenderar jag även att titta på nätverkstrafik såsom DNS-uppslagningar, för du har väl sparat undan nätverksdata i PCAP-format?
Det har nu gått nästan ett år sedan den 1:a April 2016 då det är obligatoriskt för Sveriges (nästan) samtliga 244 myndigheter att rapportera in it-incidenter till MSB (Myndigheten för samhällsskydd och beredskap).
MSB rapporterar att det skickats in 214 incidentrapporter från 77 myndigheter och att snittet legat på 25 st per månad. Detta innebär att många myndigheter fortfarande inte skickat in en enda incidentrapport, vilket påvisar ett stort mörkertal. Men troligtvis så tar det några år innan myndigheter anpassar sig.
En annan intressant sak är att incidenter ska rapporteras inom 24h att de upptäckts men i verkligheten ser det annorlunda ut:
Vid genomgång av rapporterna visar det sig att runt 20 procent av incidenterna rapporterats mer än fem dagar efter att de upptäckts, vissa incidenter har rapporterats först efter en månad.
De incidenter som rapporteras in kategoriseras på följande sätt och antal:
Rapporten har även bilaga med sekretessbelagda uppgifter och där framgår vissa särskilda företeelser avseende it-incidentrapporteringen.
För inrapporteringen så används filkryptot KURIR 2.0.
Att loggning är viktigt är något som jag inte understryka nog och detta framkommer även i incidentrapporteringen:
I ett antal incidenter har det framkommit att myndigheter inte har någon dedikerad loggserver, något som är en viktig komponent för att kunna upprätthålla en fungerande övervakning av it-system och för att i efterhand ha möjlighet att klargöra vad som hänt i systemet.
Jag kan även utläsa att MSB använder ordet kryptotrojan återkommande gånger, vilket jag tycker är felaktigt. Utpressningsvirus eller ransomware tycker jag är mer rättvisande och något som Polisen etc använder. Och på tal om ransomware så anger rapporten att 40% av inkomna rapporter om ransomware har lett till informationsförlust. Tyvärr framgår det inte vilken typ av ransomware det rör sig om eller om antivirus-mjukvara detekterat dessa.
Här kan du läsa MSB:s årsrapport om it-incidentrapportering 2016 i sin helhet (PDF):
Myndigheten för samhällsskydd och beredskap (MSB) har på uppdrag från tre myndigheter genomfört en säkerhetsanalys av Svensk e-legitimation. De tre myndigheterna är Arbetsförmedlingen, CSN och Försäkringskassan.
Analysen har resulterade i en rapport som innehåller ett antal rekommendationer om vad som behöver göras för att förstärka lösningen Svensk e-legitimation ur ett säkerhetsperspektiv.
Rapporten blev klar den 20 oktober 2014. En fyrsidig sammanställning av analysen publicerades på MSB:s webbplats. Hela rapporten hemligstämplades enligt 18 kap. 8 § och 18 kap. 13 § offentlighets- och sekretesslagen (2009:400).
Men nedan rapport innehåller dock en handlingsplan utifrån resultatet från FRA och MSB:s säkerhetsgranskning.
Sårbarheter i Svensk e-legitimation
Nedan finner du ett utdrag från handlingsplanen gällande kryptoalgoritmer och att gamla och föråldrade algoritmer såsom SHA1 används vilket är häpnadsväckande. Läs gärna igenom hela handlingsplanen nedan och bilda din egen uppfattning, lämna gärna en kommentar också.
”Hög kunskap om kryptoalgoritmer och dess status över tid är en grundförutsättning för att tjänsterna inom samverkan för Svensk e-legitimation ska hålla en hög säkerhet. Det gäller i högsta grad även för underskriftstjänsten som kan avropas och användas i många aktörers tjänster. För att kunna vidmakthålla en hög kunskap krävs regelbunden och återkommande genomgång av området.
Behovet av kryptolösningar finns inom många tjänster i dag. Både sådana tjänster som exponeras över Internet men även interna tjänster. Svagheter i de kryptolösningar som används inom federationens tjänster måste därför identifieras och hanteras löpande. Förändringar i kryptolösningar ställer krav på hantering och eventuell anpassning av de tjänster som använder lösningarna. Alla aktörer som är en del av samverkan i federationen har ansvar för tjänsterna de tillhandahåller.
Nämnden har ett ansvar som federationsoperatör att driva arbetet med att ha rätt säkerhet på de kryptolösningar inklusive algoritmer som används inom federationen och då specifikt för de tjänster som nämnden tillhandahåller. Den genomförda analysen som MSB genomfört har identifierat en kryptoalgoritm (SHA-1) som inte ska användas efter 2013. Underskriftstjänsten som tillhandahålls via ramavtalet ”E-förvaltningsstödjande tjänster 2010” ger inte stöd för användning av SHA-1. Dokumentationen är uppdaterad och de tjänster som finns tillgängliga för avrop ger inte möjlighet för användning av SHA-1. Alla aktörer som ansluter tjänster till Svensk e-legitimation bör se över vilka kryptolösningar som finns i de egna tjänsterna.
Ambitionen för samverkan inom Svensk e-legitimation ska vara att den samlade kunskapen runt kryptolösningar och deras utveckling ska vara hög samt att det ska finnas planer för hur övergången från utgående lösningar ska se ut.”