Taggat med: Säkerhetspolisen

Så jobbar Säkerhetspolisen med cybersäkerhet

Händelserna runt Transportstyrelsen och den nya totalförsvarsplaneringen har gett otroligt stort fokus på säkerhetsskydd i samhället. Jag har träffat Johanna som är chef för en av Säkerhetspolisens mest spännande grupper, gruppen för informationssäkerhet och bevissäkring i IT-miljö. Hon ansvarar för den tekniska verksamheten inom säkerhetsskydd, som är ett av Säkerhetspolisen verksamhetsområden.

❤ Stöd Kryptera.se via Patreon >

Alla aktörer som omfattas av säkerhetsskyddslagstiftningen, exempelvis om man har system som hanterar hemliga uppgifter eller har verksamhet för betydelse för rikets säkerhet, kan bli föremål för granskning av det team av IT-säkerhetsspecialister som Johanna är chef över. Uppdragen kan komma in som förfrågningar eller så utförs de som en del av en tillsyn där flera specialister från Säkerhetspolisen tillsammans granskar ifrån olika säkerhetsperspektiv, exempelvis fysiskt skydd eller registerkontroll av personal. ”En fullgod IT-säkerhet är beroende av att ett systematiskt säkerhetsarbete genomförs” säger Johanna, ”om säkerheten brister i någon av de andra delarna kan det i värsta fall innebära att de tekniska säkerhetsfunktionerna kan kringgås”.

Johanna berättar att en säkerhetsgranskning inleds med att man diskuterar uppdraget med aktören vars system ska granskas. Det är viktigt att det finns en analys av var den mest skyddsvärda informationen eller funktionerna finns. I vissa fall riktas granskningen emot ett särskilt system eller applikation, men det är även vanligt att IT-säkerhetsspecialisterna utför breda tester på hela organisationers IT-miljö för att få en inblick i hur säkerhetsarbetet ser ut som helhet.

Penetrationstest kan ingå, och Johanna berättar att de har stor framgång när det gäller penetrering av IT-system. ”Granskningsgruppen agerar som en kvalificerad angripare skulle gjort. De verktyg som används är oftast publikt tillgängliga, men ibland använder vi egenutvecklade verktyg. Att skaffa sig full kontroll över en myndighets infrastruktur brukar oftast bara vara en tidsfråga och exploits används väldigt sällan. Det räcker att utnyttja mänskliga misstag och felkonfigurationer.”

Syftet med gruppens verksamhet är förebyggande IT-säkerhet, och att penetrera ett IT-system är endast en del av uppgiften. För att få ett bra resultat behöver gruppen titta på helheten då uppgiften är att hjälpa aktören att bli bättre och inte identifiera individuella brister eller hänga ut någon enskild. Gruppen utför även mer specifika applikationstester likväl som att ge stöd och råd till myndigheter och företag vid exempelvis dataintrång. Kryptoforcering kan också förekomma när det behövs.

Verksamheten som de bedriver regleras i säkerhetsskyddslagstiftningen. ”Regleringen är enbart ett ramverk” säger Johanna, ”de måste tillämpas på ett kompetensdrivet sätt. Att köpa en dyr brandvägg löser inte hela problemet, den måste konfigureras och administreras rätt.”

Det är utmanande att reglera it-säkerhet” fortsätter hon, ”mycket går inte att reglera i föreskrifter eftersom teknikutvecklingen gör att området hela tiden är i rörelse. Dessutom är it-säkerhetsarkitektur ett system av åtgärder och avvägningar som får bäst resultat genom ett systematiskt och kvalitativt säkerhetsarbete. Det kan vara svårt att reglera, så vår manuella granskning är därför otroligt viktig”.

De som jobbar med Johanna är IT-forensiker, penetrationstestare, seniora rådgivare och specialister på säkerhet inom cyberområdet. Anställda på Säkerhetspolisen kan lägga en hel del tid på verksamhetsutveckling och egen kompetensutveckling såsom labbande och gå kurser. ”Den personliga kompetensen hos medarbetarna är vår viktigaste förmåga, så det känns viktigt att ge gruppen möjligheter att ha en fortsatt hög utvecklingstakt. Utbyte genom samverkan och de praktiska erfarenheterna av att arbeta mot samhällets högsta skyddsvärden ger oss också insikter och erfarenheter som är svåra att få på något annat sätt” förklarar hon.

De som jobbar med IT-forensik i gruppen jobbar nära de andra verksamhetsområdena på Säkerhetspolisen, exempelvis kontraspionage, författningsskydd och terrorism. Det innebär att de stödjer i både underrättelseärenden och utredningar. Forensikerna måste vara väldigt operativa eftersom de deltar i husrannsakningar som vanligtvis resulterar i digitala beslag vars innehåll därefter ska tas fram. ”Svårigheterna för en forensiker rent tekniskt är att lyckas ta sig in i olika system, extrahera och processa stora datamängder som sedan ska pusslas ihop” förklarar hon.

Det händer nya saker varje dag och många gånger är det forensiska arbetet kopplat till händelser som får stora nyhetsrubriker. Just inom IT-forensiken så sker även en hel del intressant utveckling såsom IoT, drönare och bilar. Därför är det lika viktigt att forensikerna får utrymme för egen utveckling, labbar och att specialisera sig inom vissa delar av IT-forensik och dyka djupare inom dessa områden.

Vi har en väldigt spännande och högkvalitativ verksamhet, men vi ska fortsätta att utvecklas. Säkerhetsskyddsenheten kommer genomföra ett utvecklingsarbete av it-säkerhetsområdet de kommande åren, vilket kommer att ge oss både nya mål och metoder. Det är riktigt kul att få vara en del av en verksamhet som faktiskt gör skillnad.

Johanna är ett fingerat namn och heter egentligen något annat.

Just nu söker Säkerhetspolisen personal till följande två tjänster:

Försvarsberedningen: Sverige behöver en utvecklad förmåga inom cybersäkerhetsområdet

Försvarsberedningen släppte för några dagar sedan en inriktning av totalförsvaret och utformningen av det civila försvaret för åren 2021–2025.

Det jag finner extra intressant är kapitel 10 som handlar om informations- och cybersäkerhet. Och med följande citat från dokumentet sammanfattar bra en av många utmaningar inom cybersäkerhetsområdet:

Det blir allt svårare att säga var den civila infrastrukturen slutar och var den militära börjar.

Inriktingsrapporten tar även upp att cyberattacker är ett allvarligt hot mot befolkningens liv och hälsa, samhällets funktionalitet och vår förmåga att upprätthålla våra grundläggande värden. Och med det avses att allt mer av våra vardagliga liv blir beroende av att digitala funktioner i finansiella system, elnät, sjukvård och mycket annat.

Rapporten trycker även på att vi måste bli bättre beställare genom att kravställa på cybersäkerhet redan vid upphandling och inköp. Även framgår det att it-relaterade incidenter och avbrott i cyberdomänen måste systematiskt rapporteras och analyseras.

Om it-infrastrukturen komprometteras och vi saknar förberedda alternativa åtgärder riskerar tilliten till samhällets institutioner och våra totalförsvarsansträngningar att skadas.

Ingen ny rapport upprättas utan att nämna påverkanskampanjer och framförallt nu innan valet. Samt att cyberattacker kan utgöra en delmängd där även desinformation sprids, överbelastningsattacker utförs som hindrar tillgång till information.

Även så framgår det i rapporten gällande att med en aktiv cyberförmåga så kan Sverige agera proaktivt för att upptäcka eller få information om ett cyberintrång, olika former av cyberattacker, en hotande cyberoperation, eller för att fastställa en cyberoperations ursprung.

Förutom att kunna skydda sina egna system, innebär det att Försvarsmakten ska ansvara för totalförsvarets aktiva cyberförsvarsförmåga.

Och att denna cyberförsvarsförmåga ska byggas upp under en dialog med FRA och Säkerhetspolisen samt försvarsunderrättelsemyndigheterna.

Försvarsberedningen överlämnade sin rapport till försvarsminister Peter Hultqvist. Foto: Marcus Björkman/Regeringskansliet

Källa

Hemlig dataavläsning med myndighetstrojaner

Statsminister Stefan Löfven höll tidigare i år ett presstal där han framförde följande:

Säpo berättar exempelvis att när de avlyssnat telefoner så kan de höra att när man närmar sig ett känsligt område då säger de som avlyssnas nu går vi över till Skype. Därför kommer regeringen att ge uppdrag till utredare att ta fram förslag på hur åklagarmyndigheten, Säkerhetspolisen och polismyndigheten kan använda hemlig dataavläsning för att avlyssna också den information som kan skickas genom krypterade kanaler.

Och Löfven fortsätter:

Med hemlig dataavläsning avses att de brottsbekämpande myndigheterna i hemlighet sänder en mjukvara, en så kallad trojan, till en dator eller en surfplatta. Man kan också ha en hårdvara placerad fysiskt i datorn och därigenom får den brottsbekämpande myndigheten besked om vilken information som finns i datorn och hur datorn används i realtid.

myndighetstrojanOch intressant är vad konsekvenserna av ett sådant lagförslag kan bli. Det kan innebära att myndigheter då har behov att införskaffa zero-days i exempelvis iPhones för att planera trojaner (implantat).

Det vill säga att utnyttja sårbarheter som ej är kända av tillverkaren (exempelvis Apple) och ej ännu åtgärdats. Men dessa sårbarheter upptäckts sällan av enbart en aktör och nyttjas och säljs troligtvis även till diktaturer samt kriminell verksamhet som i fallet med italienska Hacking Team.

Men zero-days är dyra och kan kosta åtskilliga miljoner kronor och därför är andra metoder mer effektiva såsom att injecera trojaner i nedladdade icke signerade mjukvaror eller ”evil maid” attacker där fysisk tillgång finnes.

Givetvis påverkas även den enhet där trojanen installeras och kan i värsta fall förstöra eventuella bevis och förändra den avlyssnades beteende.

Dock så anser jag att lagförande myndigheter måste ges möjlighet att använda en verktygslåda som är uppdaterad till 2000-talet.

Tittar vi ute i världen så har flertalet misslyckade bundestrojaner utvecklats (staatstrojaner) där Tysklands trojan felaktig implementerade krypto samt skickade ut information över landets gränser som gjorde det möjligt för andra länders underrättelsetjänster ta del av avlyssningen.

Den statliga utredningen om hemlig dataavläsning (Ju 2016:12) kommer att redovisas senast 13 november 2017 på följande webbsida.

SÄPO varnar för omfattande cyberspionage

SÄPO Cyberhot

Att cyberspionage och elektroniska attacker är något som fler och fler stater ägnar sig åt och satsar resurser på är nog inget som någon missat. Säpo går nu ut och varnar för att omfattande cyberspionage genomförs mot svenska intressen.

Läckage från företag såsom Hacking Team visar att diktaturer men även länder såsom Sverige varit i kontakt med denna typ av företag som utvecklar verktyg och metoder för cyberspionage.

Misstänker du att din organisation utsatts för cyberspionage? Kontakta Triop AB

Tillvägagångssättet hos antagonisterna är vad som kallas death by a thousand cuts där flertalet små ledtrådar läggs ihop som i sin helhet kan få förödande konsekvenser. Attackerna genomför exfiltration av information genom olika typer av kanaler som är svåra och upptäcka och pågår under lång tid.

Säkerhetspolischef Anders Thornberg säger:

Vår bedömning är att cyberhotet mot företag och myndigheter i Sverige är omfattande och ofta målinriktat. Många angrepp upptäcks aldrig – eller så upptäcks de för sent. När det gäller cyberspionage är det svårt att se att någon tagit sig in i systemet och spionerat. Angriparnas mål är att gå in och få ut information utan att synas.

För att förebygga och förhindra brott på cyberarenan så genomför Säpo kontroller samt bistår som rådgivande resurs till myndigheter som innehar samhällskritisk information eller företag som är särskild skyddsvärda.

Säpo jobbar även nära tillsammans med andra myndigheter såsom Försvarets Radioanstalt, FRA, och Militära underrättelse- och säkerhetstjänsten, MUST, och har en gemensam arbetsgrupp, NSIT (Nationell samverkan till skydd mot allvarliga IT-hot).