Kim Zetter: Next Generation Threats according to Kim Zetter

Transkript

1 Kim Zetter: according to Kim Zetter Kim Zetter är prisbelönt journalist och författare till boken Stuxnet: Countdown to Zero Day. Kim Zetter fokuserar på hot mot samhällets kritiska infrastruktur, och inleder med att gå igenom viruset Stuxnet som upptäcktes Stuxnet är en mask som utvecklades av USA och Israel och sjösattes 2007 under kodnamnet "Olympic games" för att sabotera Irans kärnkraftsprogram genom att slå ut landets urananrikningscentrifuger. Det är det första exemplet på skadlig kod som använts för att förstöra fysiska föremål. Efter att Stuxnet upptäckts och analyserats upptäckte man att viruset var ett precisionsvapen som var designat att attackera en väldigt specifik mjukvara som fanns på urananläggningarna, ett kontrollsystem från Siemens. Masken utnyttjade flera zero- day - sårbarheter för att sprida sin skadliga kod till miljontals sårbara Windows- datorer, men aktiverade bara koden när den hittade den specifika konfigurationen som användes för urananrikning i Iran. Forskare har hittat två versioner av Stuxnet som på olika sätt angriper centrifuger i uranutvinning. Båda var till för att slita ut centrifugerna så att de behövde repareras eller bytas ut. Iran hade en begränsad tillgång till material till centrifugerna, och tanken var att köpa sig tid tills sanktioner och diplomati kunde få landet att avbryta verksamheten. Båda versionerna av Stuxnet innehöll även kod som matar kontrollsystemen med falsk data, så att operatörerna aldrig hade en möjlighet att se att centrifugerna inte fungerade som de skulle. Samt ett rootkit som gömde den skadliga koden så att operatörerna inte kunde se att datorerna infekterats, som till och med kunde få Stuxnet att överleva om operatörerna försökte återställa eller installera om datorn. Kim Zetter pratar sedan om attacken mot Ukrainas elnät Efter Stuxnet trodde många att virus som orsakade fysiska sabotage skulle bli vanliga, men det här är första kända exemplet efter Stuxnet. Det var en listig attack som slog ut elnätet vid tre kraftstationer samtidigt. Angriparna tog sig in på nätverket via en phisingattack sex månader innan och lyckades använda åtkomsten till att skapa egna användarkonton och kunde därefter få fri tillgång till elnätföretagets nätverk. Under halvåret som följde studerade hackarna hur elnätet var uppbyggt och kunde därför genomföra en väldigt effektiv attack där de både slog ut elen för över kunder i flera timmar och backupelen inne i elcentralerna. Kim Zetter berättar sedan att forskare redan 2007 börjar undersöka om skadlig kod kan användas för att göra fysisk skada på elnätet. Hon nämner Aurora Generator Test, som genomfördes på Idaho- universitetet där forskare visade hur ett virus med bara 23 rader kod kunde få en dieselgenerator att explodera på 15 sekunder. Att reparera en sådan anläggning kan ta upp till ett år. 1

2 Även om Stuxnet och Ukraina- attacken var inriktade på väldigt specifika system betyder det inte att resten av samhället går säkert menar Kim Zetter. Industriella styrsystem (som scada-, plc- eller rtu- system) är ryggraden i samhället. De styr alltifrån vattenförsörjning och mattillverkning till trafikljus och dörrarna till fängelseceller. Kim Zetter går sedan igenom en rad allvarliga olyckor som skett på grund av buggar i it- system. De beror inte på hackerattacker, utan på rena olyckor men hackare studerar den här typen av buggar för att se vilka sårbarheter som finns och hur man skulle kunna genomföra attacker för att återskapa samma typ av olyckor. Hon nämner bland annat tågkraschen i Washington DC i juni 2009 som kostade nio människor livet efter att sensorer på tågen slutat fungera och två tåg krockade exploderade en oljeledning i San Bruno som tog åtta människoliv och orsakades av att kontrollsystemet inte fungerade. Så hur ser nästa generations attacker från statliga aktörer ut? Som it- ansvarig kanske du inte bekymrar dig främst från attacker från främmande makt utan från cyberbrottslingar som vill åt din data. Men ransomwareattacken Wannacry visar att så inte är fallet. Säkerhetstjänster som NSA samlar på sig zero- day - buggar, men om de läcker ut kan det skada oss alla. Hon nämner ransomwareattacken Wannacry som kunde få så stor spridning eftersom en hackergrupp som kallar sig Shadow Brokers läckte hackerverktyg de stulit från just NSA. Ett av dessa använde en sårbarhet som kallas Eternalblue och det var den som användes för att sprida Wannacry till datorer världen över. Ett annat exempel är Wikileaks som läckte hackerverktyg som utvecklats av CIA. Den här typen av läckor har ändrat spelreglerna. Plötsligt sitter vanliga hackare på cybervapen som bara statliga aktörer haft tillgång till tidigare. FC (Freaky Clown): Wake Up Calls Through a Hackers Eyes FC (Freaky Clown) är vd och medgrundare av Redacted Firm som genomför fysiska och digitala penetrationstester. I över 20 år har FC genomfört penetrationstester, både digitala och fysiska, ofta i kombination. Han har i jobbet brutit sig in på oräkneliga storföretag och säger själv att han sig in på fler banker än någon annan människa. Han börjar med att lista de fyra största it- säkerhetshändelserna det senaste året: ransomwareattackerna Wannacry och Petya, it- skandalen på Transportstyrelsen och dataintrånget hos kreditupplysningsfirman Equifax. Så varför är vi inte säkra ännu? Vi har fler väckarklockor än någonsin. Enorma dataläckor varje halvår, fler zero- days per månad än någonsin förut. 2

3 Den obekväma sanningen är att det är väldigt lätt att se problemen, men det är svårare att vakna till liv och göra något åt dem, menar FC. Alla känner till Wannacry, Petya och hur viktigt det är att installera säkerhetsuppdateringar. Men de förstår inte problemet. It- säkerhet är precis som kvantfysik och svarta hål. Vi har alla hört talas om dem men vi har ingen aning om hur de fungerar. Nu fokuserar alla på ransomware. Det beror på att det är den attack som är lättast att förstå, någon krypterar filerna och vill ha pengar. Det är svårare att få folk intresserade av exploits i Powershell. Alla tror att Wannacry är det viktigaste som hänt it- säkerhetsvärlden. Men det är mycket viktigare att patcha sin mjukvara än att oroa sig över Wannacry, menar FC. Han berättar om när han jobbade som konsult åt ett företag när Wannacry- attacken inleddes. När han berättade för cheferna att företaget hade två maskiner som infekterats sprang de ut ur rummet, slet ut strömsladden och kom tillbaka med datorerna till it- avdelningen. Men när han berättade att de hade hundratals öppna ftp- servrar, okrypterade övervakningskameror utan lösenord och tonvis med opatchade maskiner brydde sig ingen. Så vad ska vi göra? Segmenterade nätverk är det viktigaste, säger FC. Då menar han inte bara att ha två nätverk med några brandväggar mellan dem, utan två helt segregerade nätverk. Anställda kommer alltid att klicka på länkar i bluffmejl och få ransomware eller något värre. Alla företag har blivit hackade någon gång, förmodligen finns det en hackare i ert nätverk just nu, menar FC. Men genom att segmentera nätverken begränsar man skadan. Sedan tar FC upp problemen med bug bounty- program. Många företag använder bug bountys istället för penetrationstester, vilket inte ger samma resultat menar han. Det går inte att ersätta det ena med det andra. Om man har ett bug bounty- program så kommer 600 småungar att försöka knäcka ens tjänster i hopp om att tjäna pengar. Men de kommer inte att testa alla funktioner, de kommer att slå där det är mest sannolikt att något går sönder. Använd bug bountys och penetrationstester, föreslår FC. Men det viktigaste är att patcha, säger FC. Även om man förlorar pengar på att ta ner tjänsten, det är bättre att slå ut sin egen tjänst för en dag, än att vara sårbar i flera månader medan man testar om den nya mjukvaran fungerar som den ska. Ett annat tips är att se till att ha riktiga backuper och se till att skydda dem ordentligt. 3

4 Lisa Schlosser: The Biggest Breach in US History: An Insider's Perspective on the Issues, Solutions, and value of Artificial Intelligence Lisa Schlosser var Vita husets it- chef under Barack Obama och tillförordnad it- chef för OPM efter dataintrånget. Lisa Schlosser pratar om det största dataintrånget som någonsin drabbats en amerikansk myndighet, attacken mot personalmyndigheten OPM. Hur attacken upptäcktes, och vilka följder den fick. Lisa Schlosser fokuserar sin presentation på dataintrånget hos den amerikanska personalmyndigheten OPM där känsliga personuppgifter tillhörande över 21 miljoner amerikanska medborgare stals. Efter dataintrånget hos OPM fick Lisa Schlosser ta rollen som tillförordnad cio på myndigheten. Lisa Schlosser har tre saker hon vill att besökarna ska ta med sig: 1. Under sina 30 år inom it- säkerhet har hon aldrig sett ett starkare och mer fokuserat hot mot våra it- system än i dag. Hoten utvecklas ständigt, så det blir allt svårare att försvara sig. 2. Företagen måste se ett hot mot it- säkerheten som vilket annat hot mot verksamheten som helst. Lyckligtvis tycker Lisa Schlosser att hon sett att de som sitter i ledningen för företag och myndigheter börjat vakna upp efter alla stora dataintrång som skett det senaste årtiondet. 3. Det nya hotet kräver att vi hittar ett nytt sätt att hantera it- säkerhet. Definitionen av galenskap är att göra samma sak om och om igen och förvänta sig ett annorlunda resultat, säger Lisa Schlosser och citerar Albert Einstein. Hon pekar på fyra punkter som hon tycker är viktiga: någon i företags högsta ledning måste vara ytterst ansvarig för it- säkerhet. Man måste ha som policy att minska komplexiteten i IT- arkitekturen. Både privat och offentlig sektor måste få bättre koll på it- säkerhet genom att exempelvis rekrytera fler specialister. Och vi måste skaffa intelligenta verktyg som använder sig av exempelvis artificiell intelligens och maskininlärning för att stoppa okända hot. Lisa Schlosser berättar sedan om intrånget mot OPM, en riktad och ihärdig attack från en främmande makt som pågick under tre till fyra år. Den var troligen tänkt för att samla information om amerikanska medborgare, OPM har personalakter tillhörande alla amerikaner som jobbar inom myndigheter och militären. Däribland kontaktuppgifter, uppgifter om familjemedlemmar, bankkonton, fingeravtryck och militära behörigheter. Varje akt innehöll i snitt runt 160 datapunkter. Även om attacken präglades av att angriparna var mycket taktiska, men de använde ingen speciellt sofistikerad teknik. It- säkerhet var inte en prioritet och OPM:s system var förlegade och saknade ofta viktiga mjukvaruuppdateringar. I efterhand har det visat sig att 30 procent av systemen var så gamla att de inte längre hade support från tillverkaren. Nätverket var fragmenterat, olika servrar låg hos olika organisationer och det fanns ingen överblick över vad som fanns var. 4

5 Delar av problemet är att det på grund av lagar och rutiner tar minst mellan sex månader och ett år för amerikanska myndigheter att köpa in och implementera en ny säkerhetsprodukt. Vilket gör det svårt att ligga i framkant. Sammantaget är det lätt att se hur intrånget mot OPM kunde ske, säger Lisa Schlosser. Lisa Schlosser blev involverad efter att OPM rapporterade intrånget till Vita huset. Då satte regeringen ihop en grupp experter som skulle hantera krisen. En viktig lärdom är att de inte bara tog in de bästa teknikerna och it- säkerhetsexperterna. Redan från början fanns bland annat pr- personal, ekonomer och inköpsansvariga. När olyckan är framme räcker det inte med tekniker, menar Lisa Schlosser. Det tog år att upptäcka intrånget, och månader att få alla system rensade och uppe igen. Intrånget kostade över en halv miljard dollar, bara i ersättning till de drabbade i form av exempelvis livslång kreditövervakning. Personal och materialkostnader är inte inräknade. Med sådana siffror kan vi se att dataintrång inte bara är ett it- problem, det är ett problem för hela företaget, säger Lisa Schlosser. Samar Fumudoh: The silent threat - using today s challenges to shape tomorrow s cyber security Samar Fumudoh är it- säkerhetsspecialist och utredare hos Polisen. Samar Fumudoh utgår ifrån en studie hon gjort över it- säkerhet i utvecklingsländer, och hur den påverkar hela världen. Det är ett område som få uppmärksammat, men som kan påverka den globala säkerheten. Studien visade att det ofta fanns motstånd mot förnyelse, många var rädda för att teknikutvecklingen var ett hot mot deras jobb och ville inte anamma nya tekniker och system. Det fanns ofta en brist på medvetenhet om it- säkerhet hos personalen och oftast fanns få eller rentav inga policys för it- säkerhet satta på företag och myndigheter, till och med hos brottsbekämpande myndigheter. Vissa länder saknar också lagstiftning kring it- säkerhet och cyberattacker. Varför är det här viktigt för oss? Samar Fumudoh visar en karta över var i världen cyberattacker kommer ifrån, och även om det är vissa länder som Ryssland och Kina som ligger i topp finns flera afrikanska och sydamerikanska länder med på listan. Dessutom vet vi att cyberattacker är globala. Samar Fumudoh nämner nigerianska bedragare som via bluffmejl och trojaner lurat och försökt lura hundratals företag världen över på pengar. Wannacry och Petya är andra exempel, de drabbade hela världen inte bara några få länder. 5

6 Varför är det här viktigt för oss? Samar Fumudoh visar en karta över var i världen cyberattacker kommer ifrån, och även om det är vissa länder som Ryssland och Kina som ligger i topp finns flera afrikanska och sydamerikanska länder med på listan. Dessutom vet vi att cyberattacker är globala. Samar Fumudoh nämner nigerianska bedragare som via bluffmejl och trojaner lurat och försökt lura hundratals företag världen över på pengar. Wannacry och Petya är andra exempel, de drabbade hela världen inte bara några få länder. Samar Fumudoh pratar sedan om att it- säkerhet är mycket större än att ha rätt teknik. Hon delar in ordet i tre områden: människor, processer och teknik. I dataintrånget hos Equifax ser vi till exempel att hackarna utnyttjat det faktum att företaget inte hade uppdaterat sina it- system trots att de visste om att de var sårbara. Det kanske låter som ett teknikproblem, men det är lika mycket ett problem i hur företagets personal handlade och hur rutinerna såg ut. Till sist vill hon likna it- säkerhet med schack. I schack måste man vara proaktiv och ha en plan. Man måste analysera situationen noga, och när man flyttar sina pjäser måste man vara väl medveten om vilka pjäser som lämnas sårbara och hur man kan skydda dem för att inte förlora spelet. It- säkerhet är likadant. Tänkt framåt, analysera situationen och skydda alla dina sårbara pjäser. I både it- säkerhet och schack är det nästan alltid mänskliga misstag som är den svagaste länken. It- säkerhet är en global fråga, och det krävs lagar och policys i hela världen, menar Samar Fumudoh. Och tänk på att det inte bara handlar om teknik, utan om människor och processer. Andreas Drougge: Vad skiljer attacker från 2009 mot de största attackerna från 2017 och hur kan man skydda sig idag? Andreas Drougge är CTO på Jetshop och talar för första gången publikt om den ddos- attack som hans dåvarande arbetsgivare Lovefilm utsattes för Företaget blev försökskanin inför den överbelastningsattack som samma år sänkte i stort sett alla svenska medier. Han analyserar sedan skillnaderna mellan den attacken och de överbelastningsattacker som skakade nätet under När attacken 2009 ägde rum räckte det i stort sett med kraften från en enda dator för att sänka en server. Nu är situationen helt annorlunda. Det finns så mycket bandbredd ute i världen att man behöver ett botnäverk av infekterade datorer som koordinerar sina ansträngningar för att lyckas överbelasta en tjänst. Det är attacker som är enkla och billigare att genomföra, men kan kosta offret otroligt mycket pengar. Det är lätt att hitta tjänster på nätet som säljer överbelastningsattacker för bara några dollar i timmen, säger Andreas Drougge. I attacken 2009 sänktes svenska medier i nästan ett dygn, även myndigheter som Polisen låg nere kortare stunder. Attacken blev extra effektiv eftersom nästan alla mediaföretag hade samma 6

7 leverantör till nättjänsterna. Det här var innan sociala medier fick sitt riktiga genomslag, så attacken blev ännu mer kännbar eftersom medierna inte hade lika många kanaler att nå ut till publiken på. Det få vetat om är att Lovefilm, som hyrde ut dvd- filmer på nätet, drabbades av samma attack bara dagar innan. Andreas Drougge som var bolagets it- chef fick larm från it- avdelningen om enorm trafik på sajten. På den tiden var ddos inget vanligt begrepp så de funderade först på om trafiken berodde på nya kampanjpriser eller liknande, men insåg snart att det rörde sig om en attack. Trots att de både försökte rädda situationen lokalt, och fick hjälp av företagets delägare Amazon lyckades Lovefilm inte hålla sajten uppe. Men de berättade aldrig om attacken. Amazon ville inte gå ut med uppgiften, för det sågs som en skam att bli utsatt för en överbelastningsattack. I dag är läget annorlunda. Alla utsätts för ddos, har man inte drabbats är det bara en tidsfråga, menar Andreas Drougge. Därför blev också situationen annorlunda när svenska medier drabbades igen, i mars Den här gången fanns fler leverantörer och mer bandbredd på marknaden. De flesta sajter var uppe igen efter några timmar och alla var öppna med att det var en attack och meddelade via sociala medier. Men attacken är ett bevis för att vi inte klarar av överbelastningsattacker. Mediasverige var inte redo, och det gäller de flesta företag Sverige klarar inte av ddos- attacker, säger Andreas Drougge. Och inte bara Sverige, förra hösten genomfördes flera enorma attacker som i vissa fall gick över 1Tbps i styrka. Det största exemplet är dns- leverantören Dyn som till dess setts som en säker spelare, men som sänktes vilket fick till följd att stora delar av internet låg nere. Däribland jättar som Spotify, Netflix, Twitter och Amazon eftersom i stort sett alla hade Dyns dns- tjänster. Men efter attacken har vi sett att fler har en dns- backup. Antingen har de en egen dns- server eller så har de flera leverantörer. Varför har attackerna blivit kraftfullare och värre? Det handlar bland annat om nya möjligheter. Internet of things är fullt med dåligt skyddade enheter som kan hackas och värvas till botnätverk som smarta tv- apparater och övervakningskameror. Det handlar också om att det är billigt att köpa en ddos- attack. För fem euro kan du köpa en attack på 500Mbps och sänka en kompis. Vad kan man göra för att skydda sig? Ett förslag är att lägga sin sajt bakom ett cdn (content delivery network), som har massor av servrar med hög bandbredd utplacerade över hela världen. Många av dem har också inbyggda ddos- skydd. Sedan finns andra alternativ som att kolla om hostingföretaget eller internetleverantören erbjuder ddos- skydd. Det finns företag som är dedikerade till att sälja ddos- skydd. Det går att sätta upp egna brandväggar som gör attackerna mindre kännbara. Och se till at patcha och konfigurera allt rätt, inte minst för att inte fler uppkopplade prylar ska hackas och användas i nya attacker. 7

8 Mikael Åkerholm: Cyber Scorecards: Så höjer du din cyberförmåga Mikael Åkerholm är informationssäkerhetsspecialist på Regeringskansliet, och har utvecklat sin egen metod för att förbereda organisationen för cyberattacker. Cyber Scorecards är en metod Mikael Åkerholms tagit fram för att företag, organisationer och myndigheter ska kunna utvärdera sin säkerhet och se vad de kan göra för att förbättra den. Mycket fokus ligger på compliance. Han säljer in idén med don t be one of the 80/80. En amerikansk studie visar att 80 procent av alla företag i USA blivit hackade, och att 80 procent av dem inte såg problemet komma eller saknade resurser och kompetens att hantera hotet. Tanken är att om man följer hans säkerhetstest kan man slippa finnas med bland de 64 procenten. Han vill också poängtera att man inte kan skylla på tekniskt avancerade hackare, det är bättre att göra hemläxan och skydda sig och sina egna system. Hans cyber scorecards är indelade i sju områden: medvetenhet, tillit, accesskontroll, arkitektur, förhållningssätt, tillsyn/revision och ansvar. Någonstans där hittar man orsaken till nästan alla dataintrång, menar Mikael Åkerholm. På scenen går Mikael Åkerholm igenom tre av de sju punkterna, och börjar med medvetenhet eller awareness. Det räcker inte med vanliga internkurser där man förklarar för anställda att de inte ska klicka på bluffmejl. Det är ett steg, men han tycker att man även ska ta in externa källor. Skicka personalen på event och seminarium, be dem läsa it- media och engagera sig i olika forum och så vidare annars blir ni akterseglade. Företag måste också bli bättre på att se riskerna med insiders. 77 procent av alla brott som kretsar kring administratörsrättigheter kommer från insiders, säger Mikael Åkerholm. Det handlar både om frivilliga insiders och ofrivilliga insiders som blir tvingade eller lurade till att begå brott. Lita inte på någon, och lämna inte dina devices framme och olåsta. Rekrytera välutbildad personal, men glöm inte att de ska vara kompetenta också. Testa så de har relevant kompetens. Sedan går Mikael Åkerholm vidare till att prata om tillit eller assurance. Han skiljer det från trust som han definierar på hur mycket säkerhet man kan förvänta sig av en produkt. Assurance definierar han som att man kan vara helt säker på att man får en viss säkerhet, varje gång under alla omständigheter. Det handlar om att veta att det inte finns några dolda gränssnitt eller bakdörrar, att utvecklarna verkligen är på den goda sidan och inte vill något ont. Man ska också identifiera vad han kallar kritiska digitala tillgångar, CDA:er. Vissa saker är känsligare än andra. En switch som ger åtkomst till en kritisk del av nätverket lägger man krut på 8

9 att försvara, andra data är inte lika känsligare och kan ligga bakom mindre strikta säkerhetslösningar. Det gör den känsliga datan säkrare och det sparar pengar. Ju mer du kan desto lättare är det att göra den här skillnaden. Vet du inte vilken produkt du ska välja, ta en som är certifierad. Den tredje punkten handlar om tillsyn, eller assessment. Tillit är bra, men kontroll är bättre, säger Mikael Åkerholm. Man måste ha någon form av forensisk, mjukvara för att se vad som gått fel om det hänt något. Det är viktigt att se vad felet är. Om det visar sig att 30 system hade qwerty som lösenord kan man dra slutsatsen att det finns en dålig säkerhetskultur inom organisationen, sådant måste komma fram. Meningen med att undersöka organisationen via Cyber Scorecards är inte att få så hög poäng som möjligt, menar Mikael Åkerholm. Det handlar om att se var det finns brister och sätta mål för vad man ska förbättra. Efter att man gjort en analys och satt poäng går man vidare till att utforma en strategi. Det kan handla om att göra en hotbildsanalys av vem som är fienden och hur de kan tänkas angripa. Det handlar också om att klassificera vilken data som är viktigast att skydda, och dela in alla system och all data i olika säkerhetslager. Det som är viktigast bör förvaras bakom ett air gap, i en miljö som är helt frånkopplad från internet och resten av nätverket. Sedan ska man klassificera vem som får se vilken information. All personal, både intern och externa konsulter eller tekniker ska klassas. På detta sätt får man mer kunskap, bättre teknik och mer kontroll över situationen. Mikael avslutar med tre saker publiken ska ta med sig: 1. Cyber scorecards är en modell som gör skillnad. Nästan alla attacker beror på sårbarheter som Mikael Åkerholm tar upp. 2. Öka er cybermedvetenhet. Läs på om vad som händer inom it och cybersäkerhet. Läs olika it- publikationer och bloggar. 3. Få in assuranceperspektivet i organisationen. Vad hjälper militär kryptering om man använder en fyrsiffrig pin- kod som lösenord? 9

10 Åsa Schwarz: Cybersäkerhet och samhällets sårbarhet Åsa Schwarz är författare och ansvarig för affärsutveckling på Knowit Security. Åsa Schwarz börjar med att ondgöra sig över hur lång tid det tagit för samhället att vakna upp och se it- hoten. Hon berättar om hur hon i slutet av 90- talet hade ett konsultuppdrag åt ÖCB (föregångare till MSB) som åkte runt i kommunerna och såg hur it- säkerhet var en icke- fråga. Sedan kom kända virusattacker runt millennieskiftet, som Melissa, Love bug och Code Red blev förstasidesnyheter. Samtidigt kom ÖCB med en rapport som slog fast att svenska myndigheter inte kunde hantera it- incidenter. Ändå förbättrades inte läget. Inte heller sex år senare när i stort sett hela Estland slogs ut av it- angrepp hände något i Sverige. Dessutom kom rapporter från Riksrevisionen, Krisberedskapsmyndigheten och Säpo som alla pekade på att Sveriges offentliga sektor inte kunde hantera it- angrepp. Sedan följde väckarklockor som Stuxnet, hackerattacken mot Logica som slutade med dataintrång hos Skatteverket, och nya rapporter om brister i samhället. Ingen lyssnade, och it- skandalen på Transportstyrelsen är en direkt konsekvens av detta, menar Åsa Schwarz. Våra politiker har heller ingen koll och vill inte lyfta fråga. Åsa Schwarz har under flera veckor försökt få svar på om Allianspartierna har en politisk plan för cybersäkerheten i Sverige, men inte ens fått något svar. Samtidigt har det till sist hänt några positiva saker. Sverige har stor kompetens inom it- säkerhet, många kunniga personer men det behövs fler. Vi har också sett exempel där myndigheter börjat sätta it- kunniga personer i ledningen. Transportstyrelsen har tagit in Anne- Marie Eklund Löwinder som är säkerhetschef på IIS i sin styrelse, PTS har gjort samma sak med Pia Gruvö som är kryptochef på MUST. Så vad kan vi som göra för att vända situationen? Åsa Schwarz listar tio punkter som kan öka it- säkerheten i Sverige. 1. Våra politiker måste ta sin personliga it- säkerhet på allvar. Åsa Schwarz nämner säkerhetsincidenterna hos Hillary Clinton i USA och Marcel Macron i Frankrike. Nästa år är det val i Sverige händer samma sak här? 2. Vi borde lära oss om digital säkerhet redan i grundskolan. 3. Vi måste stoppa den snabba ökningen av it- bedrägerier. Två procent av Sverige bnp försvinner i it- bedrägerier vilket motsvarar hela försvarsbudgeten, säger Åsa Schwarz. 4. Vi måste också vara bättre rustade när det gäller propaganda på nätet. Det finns faktiskt folk som vill att vi ska tycka andra saker, saker som inte stämmer. 10

11 5. Vi måste säkra vår kompetens inom cybersäkerhet. För tre- fyra år sen fanns en rätt bra balans mellan tillgång och efterfrågan. Sen kom ransomware- attacker, it- incidenter som den hos Transportstyrelsen och så vidare. I dag uppskattar Åsa Schwarz att det finns ett underskott på ungefär 50 procent i branschen. 6. Ett grundläggande problemet med säkerheten är att ingen följer upp i myndigheter och kommuner. Ingen vet hur bra eller dålig säkerheten är. Det finns ingen regelbundenhet och ingen modern compliance. Det finns inga chefer som får frågor om it- säkerheten på avdelningen under löneförhandlingarna. 7. Vi måste ha riktigt bra incidentrapportering i Sverige. 8. Sedan behövs en sansad debatt om integritet och säkerhet. Det måste finnas andra än Piratpartiet och Säpo som lyfter de frågorna. Polisen måste få tillgång till viss data för att kunna göra sina utredningar, men kanske behöver de inte all data de kan få tag på. 9. Produkttillverkare måste ta sitt ansvar. Det är inte bara vi konsumenter som blir drabbade när våra apparater blir hackade. Det är inte hela världen om ens tv blir angripen, men om samma tv används i stora ddos- attacker påverkar det hela samhället. Därför måste tillverkarna ta ansvar. Åsa Schwarz skulle gärna se en säkerhetscertifiering eller liknande av uppkopplade produkter. 10. Vi måste framtidssäkra vår infrastruktur. Om tio år kommer det inte att se likadant ut alls. Och om vi plötsligt börjar ha gulliga robotar som Pepper hemma, vill vi verkligen inte att de ska ingå i ett ondskefullt botnätverk. Vi måste få ordning på it- säkerheten innan våra apparater börjar tänka själva 11