Taggat med: Transportstyrelsen

Så jobbar Säkerhetspolisen med cybersäkerhet

Händelserna runt Transportstyrelsen och den nya totalförsvarsplaneringen har gett otroligt stort fokus på säkerhetsskydd i samhället. Jag har träffat Johanna som är chef för en av Säkerhetspolisens mest spännande grupper, gruppen för informationssäkerhet och bevissäkring i IT-miljö. Hon ansvarar för den tekniska verksamheten inom säkerhetsskydd, som är ett av Säkerhetspolisen verksamhetsområden.

❤ Stöd Kryptera.se via Patreon >

Alla aktörer som omfattas av säkerhetsskyddslagstiftningen, exempelvis om man har system som hanterar hemliga uppgifter eller har verksamhet för betydelse för rikets säkerhet, kan bli föremål för granskning av det team av IT-säkerhetsspecialister som Johanna är chef över. Uppdragen kan komma in som förfrågningar eller så utförs de som en del av en tillsyn där flera specialister från Säkerhetspolisen tillsammans granskar ifrån olika säkerhetsperspektiv, exempelvis fysiskt skydd eller registerkontroll av personal. ”En fullgod IT-säkerhet är beroende av att ett systematiskt säkerhetsarbete genomförs” säger Johanna, ”om säkerheten brister i någon av de andra delarna kan det i värsta fall innebära att de tekniska säkerhetsfunktionerna kan kringgås”.

Johanna berättar att en säkerhetsgranskning inleds med att man diskuterar uppdraget med aktören vars system ska granskas. Det är viktigt att det finns en analys av var den mest skyddsvärda informationen eller funktionerna finns. I vissa fall riktas granskningen emot ett särskilt system eller applikation, men det är även vanligt att IT-säkerhetsspecialisterna utför breda tester på hela organisationers IT-miljö för att få en inblick i hur säkerhetsarbetet ser ut som helhet.

Penetrationstest kan ingå, och Johanna berättar att de har stor framgång när det gäller penetrering av IT-system. ”Granskningsgruppen agerar som en kvalificerad angripare skulle gjort. De verktyg som används är oftast publikt tillgängliga, men ibland använder vi egenutvecklade verktyg. Att skaffa sig full kontroll över en myndighets infrastruktur brukar oftast bara vara en tidsfråga och exploits används väldigt sällan. Det räcker att utnyttja mänskliga misstag och felkonfigurationer.”

Syftet med gruppens verksamhet är förebyggande IT-säkerhet, och att penetrera ett IT-system är endast en del av uppgiften. För att få ett bra resultat behöver gruppen titta på helheten då uppgiften är att hjälpa aktören att bli bättre och inte identifiera individuella brister eller hänga ut någon enskild. Gruppen utför även mer specifika applikationstester likväl som att ge stöd och råd till myndigheter och företag vid exempelvis dataintrång. Kryptoforcering kan också förekomma när det behövs.

Verksamheten som de bedriver regleras i säkerhetsskyddslagstiftningen. ”Regleringen är enbart ett ramverk” säger Johanna, ”de måste tillämpas på ett kompetensdrivet sätt. Att köpa en dyr brandvägg löser inte hela problemet, den måste konfigureras och administreras rätt.”

Det är utmanande att reglera it-säkerhet” fortsätter hon, ”mycket går inte att reglera i föreskrifter eftersom teknikutvecklingen gör att området hela tiden är i rörelse. Dessutom är it-säkerhetsarkitektur ett system av åtgärder och avvägningar som får bäst resultat genom ett systematiskt och kvalitativt säkerhetsarbete. Det kan vara svårt att reglera, så vår manuella granskning är därför otroligt viktig”.

De som jobbar med Johanna är IT-forensiker, penetrationstestare, seniora rådgivare och specialister på säkerhet inom cyberområdet. Anställda på Säkerhetspolisen kan lägga en hel del tid på verksamhetsutveckling och egen kompetensutveckling såsom labbande och gå kurser. ”Den personliga kompetensen hos medarbetarna är vår viktigaste förmåga, så det känns viktigt att ge gruppen möjligheter att ha en fortsatt hög utvecklingstakt. Utbyte genom samverkan och de praktiska erfarenheterna av att arbeta mot samhällets högsta skyddsvärden ger oss också insikter och erfarenheter som är svåra att få på något annat sätt” förklarar hon.

De som jobbar med IT-forensik i gruppen jobbar nära de andra verksamhetsområdena på Säkerhetspolisen, exempelvis kontraspionage, författningsskydd och terrorism. Det innebär att de stödjer i både underrättelseärenden och utredningar. Forensikerna måste vara väldigt operativa eftersom de deltar i husrannsakningar som vanligtvis resulterar i digitala beslag vars innehåll därefter ska tas fram. ”Svårigheterna för en forensiker rent tekniskt är att lyckas ta sig in i olika system, extrahera och processa stora datamängder som sedan ska pusslas ihop” förklarar hon.

Det händer nya saker varje dag och många gånger är det forensiska arbetet kopplat till händelser som får stora nyhetsrubriker. Just inom IT-forensiken så sker även en hel del intressant utveckling såsom IoT, drönare och bilar. Därför är det lika viktigt att forensikerna får utrymme för egen utveckling, labbar och att specialisera sig inom vissa delar av IT-forensik och dyka djupare inom dessa områden.

Vi har en väldigt spännande och högkvalitativ verksamhet, men vi ska fortsätta att utvecklas. Säkerhetsskyddsenheten kommer genomföra ett utvecklingsarbete av it-säkerhetsområdet de kommande åren, vilket kommer att ge oss både nya mål och metoder. Det är riktigt kul att få vara en del av en verksamhet som faktiskt gör skillnad.

Johanna är ett fingerat namn och heter egentligen något annat.

Just nu söker Säkerhetspolisen personal till följande två tjänster:

Cybersäkerhetskompetens i styrelser

Cybersäkerhet i styrelser

Under sommaren har jag försökt att jobba så lite som möjligt men bevakat nyhetsflödet gällande Transportstyrelsens outsourcing-fiasko. Mycket bra har skrivits och precis som många pekar på så beror problemet troligtvis på en bristande säkerhetskultur där säkerhet inte ligger högt upp på prioriteringslistan.

Men vad kan detta bero på? Jo, detta är ett fenomen som jag har sett generellt förekommer på många ställen och beror på att styrelse och ledning inte har kompetens inom cybersäkerhet. På tjänstemanna-nivå är kunskapen god och det finns många eldsjälar som brinner för sitt område.

Jag sitter själv med i styrelsen på Internetstiftelsen i Sverige (IIS) och upplever att kompetens inom just cybersäkerhet är otroligt viktigt i många beslut. Därför är det även bra att flertalet myndigheter nu tar in cybersäkerhetskompetens i sina styrelser:

  • Anne-Marie Eklund-Löwinder till Trafikverkets styrelse. CSO på IIS.
  • Pia Gruvö till Post- och telestyrelsens (PTS) styrelse. Chef för krypto och it-säkerhet vid Militära underrättelse- och säkerhetstjänsten (MUST).

Vi kan hoppas att fler myndigheter och företag tar efter: Cybersäkerhet behövs i våra styrelser och ledningar. Stort grattis till Anne-Marie och Pia som är otroligt kompetenta samt grattis till myndigheterna i fråga.

Intressant i sammanhanget är även det som Riksrevisionen skrev 2016 i rapporten om myndigheters informationssäkerhetsarbete, här är ett axplock:

Granskningen visar att myndigheternas ledningar har delegerat ansvaret för informationssäkerhet, utan att se till att de ansvariga har ett tillräckligt mandat att utföra sina uppgifter och tillräckligt med resurser.

Även intressant att notera när det gäller myndigheter så har vi 32 styrelsemyndigheter (leds av en styrelse), 55 nämndmyndigheter och 131 myndigheter leds av en ensam myndighetschef.

Uppdatering: Skrev ovan att Anne-Marie gick till Transportstyrelsens styrelse, men detta var så klart felaktigt. Ska stå Trafikverket.