Kartläggning och bedömning av konsekvenser av Sasser-masken i samhället

Transkript

1 Sid 1(10) Rapport Dnr. 0562/ Informationssäkerhets- och analysenheten Bertil Lindberg Kartläggning och bedömning av konsekvenser av Sasser-masken i samhället Innehållsförteckning Sammanfattning Inledning Bakgrund Syfte Metod och målgrupp Deltagande organisationer Intervjuer per telefon Universitetssjukhuset i Lund Allmänt Händelseförloppet Vidtagna och planerade förebyggande åtgärder Malmö stad Allmänt Händelseförloppet Vidtagna och planerade förebyggande åtgärder Västra Götalandsregionen Allmänt Händelseförloppet Vidtagna och planerade förebyggande åtgärder Stockholm stad Allmänt Händelseförloppet Vidtagna och planerade förebyggande åtgärder Slutsatser Konsekvenser Förslag på förebyggande åtgärder... 10

2 Sid 2(10) Sammanfattning I början av maj 2004 drabbades samhället av en skadlig programkod i form av en mask som fick namnet Sasser. Flera organisationer drabbades av Sasser och Krisberedskapsmyndigheten (KBM) beslutade därför att genomföra en kartläggning och bedömning av Sasser-maskens effekter i samhället. Syftet var att få en tydligare bild av Sassers verkningar både inom och utom de drabbade organisationerna. Kartläggning och bedömning har skett dels genom ca 40 telefonintervjuer, och dels genom djupintervjuer av företrädare för ett antal större organisationer. Dessa organisationer var: Universitetssjukhuset i Lund Malmö stad Stockholm stad Västra Götalandsregionen Samtliga organisationer drabbades av Sasser genom att a) datorer slogs ut till följd av ständiga omstarter och b) prestandan i nätverken sjönk påtagligt under olika lång tid. De indirekta följderna var främst att den normala arbetsgången stördes. Erfarenheterna av Sasser visar tydligt vårdsektorns stora beroende av ett fungerande IT-stöd. Masken slog ut kritiska resurser som åtkomst till röntgenbilder och patientjournaler. I detta fall kan man dock konstatera att Sasser inte orsakade några allvarliga konsekvenser för möjligheterna att bereda individer vård. Här liksom i andra IT-säkerhetssammanhang gäller som grundläggande åtgärd att det finns en väl fungerande organisation som hanterar IT-säkerhetsfrågor. När det gäller att skydda en organisation mot angrepp av skadlig kod är det en kombination av förebyggande (patch-hantering) och skadebegränsande (incidenthantering) åtgärder som leder till det bästa resultatet.

3 Sid 3(10) 1 Inledning 1.1 Bakgrund I början av maj 2004 drabbades samhället av en skadlig programkod i form av en mask som fick namnet Sasser. Sveriges IT-incidentcentrum, SITIC, har beskrivit Sasser på följande sätt: Sasser är en mask som sprider sig automatisk genom att utnyttja en sårbarhet i operativsystemen Windows 2000 och Windows XP. Sårbarheten är sedan tidigare känd och beskrevs den 14 april i ett Särskilt Råd från Sitic, SR (LSASS). Masken sprider sig genom att avsöka IP-adresser som svarar på TCPport 445. Om attacken lyckas startar den infekterade datorn ett kommandofönster på TCP-port 9996 som används för kommunikationen med den attackerande datorn på TCP-port 5554 och en kopia av masken flyttas över till den infekterade datorn. 1.2 Syfte I KBM:s uppgift ingår att ha ett sammanhållande myndighetsansvar för samhällets informationssäkerhet. Att bevaka utvecklingen på informationssäkerhetsområdet är en viktig delmängd i denna uppgift. Eftersom ett flertal stora och små organisationer i början av maj 2004 drabbades av oönskade konsekvenser till följd av Sasser, beslutade KBM att genomföra en kartläggning och bedömning av Sasser-maskens effekter i samhället. 1 Syftet var att få en tydligare bild av Sassers verkningar både inom och utom de drabbade organisationerna. 1.3 Metod och målgrupp Kartläggning och bedömning har skett genom djupintervjuer av företrädare för ett antal större organisationer. Målgruppen har utgjorts av personer med god kännedom om effekterna av Sasser i respektive verksamhet och som var direkt involverade i arbetet med att hantera incidenten. 1 Dnr. 0562/2004

4 Sid 4(10) 2 Deltagande organisationer 2.1 Intervjuer per telefon Cirka 40 st. organisationer i den offentliga sektorn kontaktades och intervjuades per telefon. Dessa organisationer valdes ut slumpmässigt bland kommuner, landsting och länsstyrelser. Ingen uppgav att Sasser hade haft några allvarligare konsekvenser för verksamheten. 2.2 Universitetssjukhuset i Lund Tidpunkt: Intervjuade: Evalotta Elnertz, IT-chef Christian Danielsson, Säkerhetschef Magnus Petersson, Kanslichef Allmänt Universitetssjukhuset i Lund ingår i Region Skåne och svarar för bassjukvård, akut- och traumasjukvård samt högspecialiserad sjukvård. I egenskap av regionsjukhus erbjuder Universitetssjukhuset i Lund specialistsjukvård till invånarna i södra sjukvårdsregionen. Södra sjukvårdsregionen omfattar Skåne län, södra delen av Hallands län, Kronobergs län och Blekinge län. Vid Universitetssjukhuset i Lund bedrivs forskning, utveckling och utbildning i nära samarbete med medicinska fakulteten vid Lunds universitet. Sjukhuset har 8000 anställda. När det gäller IT-infrastrukturen är Universitetssjukhuset i Lund en del av Region Skånes nätverk SkåNet. Detta nätverk omfattar alla förvaltningar i regionen och har cirka användare. Från sjukhuset finns det även en koppling mot Lunds Universitet, från vilket ett stort antal forskare och praktikanter kan få åtkomst till resurser på sjukhusets lokala nätverk Händelseförloppet Runt på förmiddagen den 4 maj fick IT-avdelningen indikationer på en allvarlig störning i nätverket. Flera användare rapporterade att deras datorer hade drabbats av virus och inte gick att använda. IT-ledningen agerade omedelbart genom att bränna och distribuera cd-skivor med återställningspatch till samtliga delar av sjukhuset. En påtaglig konsekvens var att det löpande arbetet blev lidande genom att enskilda klientdatorer stod stilla under olika lång tid. Uppskattningsvis 1000 datorer drabbades av Sasser, vilket är cirka 20 procent av sjukhusets totala antal klienter. En annan konsekvens var att sjukhusets hänvisningssystem hos växeln inte gick att komma åt. Det innebar att det i praktiken inte gick att koppla vidare inkommande telefonsamtal då manuella rutiner är långsammare. En ytterligare konsekvens var att vaktens larmdatorer för inbrotts- respektive överfallslarm stod stilla under cirka två timmar. På grund av detta kallades därför två extra väktare in i förebyggande syfte. Den allvarligaste konsekvensen var att akuten inte kunde få åtkomst till det elektroniska arkivet med röntgenbilder vilket medförde att sjukhuset kl

5 Sid 5(10) utfärdade s.k. stabsläge. 2 Under ett par timmar gick det endast att få åtkomst till bilderna från datorer placerade vid röntgenavdelningen. Detta påverkade akutens möjligheter att ta emot nyanlända patienter, vilket bl.a. ledde till att man tog beslut om att omdirigera en inkommande ambulans till Malmö. Sassermaskens följder för möjligheterna att titta på röntgenbilder orsakade administrativa problem, men innebar aldrig någon fara för någon patients hälsa. Klockan samma dag återgick sjukhuset från stabsläge till normalt beredskapsläge igen. Redan bedömde ledningen att läget var under kontroll och var det endast ett mindre antal datorer som stod stilla. Från sjukhuset misstänker man att Sasser kommit in i nätverket via en bärbar dator Vidtagna och planerade förebyggande åtgärder Från sjukhusledningens sida har man sett mycket allvarligt på det inträffade och ett flertal åtgärder har vidtagits eller kommer att vidtas. En diskussion har inletts i syfte att undersöka möjligheterna att genomföra en segmentering av SkåNet i syfte att reducera omfattningen av en framtida virusattack. Sjukhuset har när detta skrivs infört nya rutiner för att snabbare kunna patcha upp klientdatorer och samtidigt övergår man successivt mot att införa system för automatisk uppatchning. Diskussion och samarbete med leverantörer av medicinteknisk utrustning och därtill hörande datorer då dessa av avtalsrättsliga skäl inte kan hanteras på samma sätt som andra datorer. Medicinskteknisk utrustning styrs nämligen av ett särskilt regelverk. Det kommer att införas en klassificeringsmodell av datorer baserat på en dators betydelse för verksamheten i syfte att kunna prioritera insatser vid t.ex. virusattacker Det diskuteras om ett IT-stabsläge ska definieras med en modifierad innebörd jämfört med begreppet stabsläge. 2.3 Malmö stad Tidpunkt: Intervjuade: Patrik Flensburg, Serviceförvaltningen, Operativ IT-säkerhetssamordning Allmänt Malmö stad består av 24 förvaltningar varav tio är stadsdelsförvaltningar. Varje förvaltning har eget ansvar för sin del av IT-infrastrukturen. För närvarande arbetar man utifrån en strategi som kommer att innebära att all drift och support kommer att bli gemensam för kommunen. Det finns ca 7000 klientdatorer inom det administrativa nätet Händelseförloppet Några allvarligare konsekvenser fick inte Sasser för Malmö stad. Telefonväxelns hänvisningssystem gick visserligen under en viss tid inte att använda, men enligt Patrik Flensburg var orsaken till detta ett rent handhavandefel. Efter att systemet patchats upp för att skyddas från Sasser, glömde man helt enkelt att 2 Detta är den lägsta av tre larmnivåer som kan påkallas vid vissa allvarliga händelser. Just stabsläge används för att rent generellt skärpa uppmärksamheten hos de anställda.

6 Sid 6(10) starta om den. Ett mindre antal datorer smittades av Sasser, men man lyckades mycket snabbt stoppa spridningen En anledning till att Malmö klarade sig från svårare konsekvenser, är att ett stort antal klientdatorer ingår i en gemensam plattform där bl.a. automatisk uppdatering av patchar utgör en av funktionerna. Ytterligare ett antal klientdatorer är dessutom utrustade med en egen kompletterande brandvägg. Denna lösning, som framdeles kommer att införas generellt på alla klienter, bidrog till att de förvaltningar som använder detta helt klarade sig från Sassermasken. Den viktigaste anledningen till att man lyckades undvika konsekvenser av Sasser-maskens beror dock på att kommunen arbetar mycket aktivt med omvärldsbevakning. Fortlöpande information om upptäckta sårbarheter i Windows operativsystem inhämtas från bl.a. Microsoft, antivirusföretag och olika nyhetsgrupper på internet. Redan två veckor innan Sasser-masken upptäcktes, fick kommunen information om det säkerhetshål som det senare skulle visa sig att Sasser utnyttjade. Utifrån denna information påbörjades arbetet med att patcha servrar/datorer. Lördagen den 1 maj, fick Patrik Flensburg ett SMS från F-secure som varnade för ett nytt virus med namnet Sasser. I det skedet påbörjade man omedelbart uppatchning av centrala servrar inom kommunen och beslut fattades om att stänga portarna 5554 och 9996 för trafik. På så vis kunde inte Sasser sprida sig vidare i nätverket. Måndagen den 3 maj stängdes även port 445 efter noggrann kontroll att porten inte påverkade Malmö stads övriga IT-system och samtidigt påbörjades uppatchning av klientdatorerna. Den allvarligaste konsekvensen, bortsett från hänvisningssystemet, var att prestandan i nätet sjönk markant under ett par timmar till följd av att Sasser generade så mycket nätverkstrafik Vidtagna och planerade förebyggande åtgärder Redan efter att Blaster drabbade Malmö stad i augusti 2003, fick serviceförvaltningen mandat att stänga ned delar av stadsnätet, t.ex. en stadsdel, om man konstaterar att de inte har patchat sina datorer effektivt och därför sprider datavirus. Denna möjlighet användes i samband med att Sasser-masken började sprida sig. Alla förvaltningar fick i samband med detta två veckor på sig att installera nödvändiga patchar. Flera anställda har möjlighet att koppla upp sig mot stadsnätet hemifrån. I syfte att skydda sig från att skadlig kod kommer in i stadsnätet är en managementserver placerad i nätets DMZ. Alla hemarbetsdatorer med F-secures klientbrandvägg kopplar upp sig mot den servern innan trafiken släpps vidare. Denna lösning gör det också möjligt att snabbt kunna ställa skyddet efter olika hotbilder. Denna lösning med kompletterande brandväggar på klientdatorerna, kommer successivt att införas i hela stadsnätet. Generellt intensifierar kommunen arbetet med att ytterligare förbättra förvaltningarnas patch-hantering.

7 Sid 7(10) 2.4 Västra Götalandsregionen Tidpunkt: Intervjuade: Valter Lindström, Säkerhetsdirektör Allmänt Västra Götalandsregionen (VGR) är en organisation med ungefär anställda. Den allra största delen är sjukvårdsanställd på de 17 sjukhusen, de ca 160 vårdcentralerna och de ca 140 tandvårdsmottagningarna. Regionen driver och är också delaktig i en hel del andra verksamheter som till exempel GöteborgsOperan och Västtrafik. I korthet är den tekniska infrastrukturen uppbyggd på fyra stycken kärnnät. Det finns ca klientdatorer varav majoriteten används inom vården. Organisatoriskt är regionens IT-direktör systemägare av nätet. De verksamhetsansvariga är systemägare för de system som verksamheten är beroende av. I vården finns det antal enheter som var och en har en ITansvarig Händelseförloppet Klockan 8.30 på morgonen den 4 maj fick organisationen signaler som tydde på att ett virus drabbat verksamheten, genom att flera användare meddelade att deras datorer startade om hela tiden. Vid 10-tiden sammankallades regionens IT-incidentledning. Vid denna tidpunkt stod uppskattningsvis ca 5000 av alla klientdatorer stilla och IT-incidentledningen såg därför till att ett antal säkerhetsåtgärder vidtogs. Bland annat segmenterades nätet i syfte att minska risken för fortsatt spridning, arbetet med att patcha upp alla klientdatorer påbörjades och relevanta portar stängdes ned. Konsekvenserna av Sasser blev förhållandevis lindriga. ITincidentledningen träffades igen klockan och då var en stor del av problemen åtgärdade. Vid 18-tiden var verksamheten i princip helt återställd. Följderna för regionen kännetecknades främst av att delar av verksamheten under ett par timmar stod stilla. Sjukhusen i Trollhättan och Vänersborg drabbades i något större utsträckning än andra i regionen. Även regionens hänvisningssystem till telefonväxeln drabbades av Sasser. Det var dock aldrig någon kritisk verksamhet som drabbades. Som en förklaring till den begränsade skadan Sasser orsakade, pekar Valter Lindström framförallt på den IT-incidentorganisation som regionen byggt upp. Genom att man på kort tid kunde sammankalla denna grupp, fick man både en god lägesbild och förutsättningar för att fatta snabba beslut om säkerhetsåtgärder. Det är inte klarlagt hur Sasser kom in i nätverket Vidtagna och planerade förebyggande åtgärder Uppbyggnaden av IT-säkerhetsarbetet har pågått under en längre period och bygger på en processorienterad metodik med ISO/IEC som grund. Bland annat har policies och andra styrdokument utvecklats och fastställts av regionledningen. I dagsläget genomför man sårbarhetsanalyser i de olika verksamhetsprocesserna i syfte att stärka IT-säkerheten.

8 Sid 8(10) Den IT-incidentorganisation som nämndes tidigare kommer sannolikt att förstärkas ytterligare. En omarbetning av planen för denna organisation pågår för närvarande. Det proaktiva arbetet för att minska konsekvenser av virusattacker, kommer att intensifieras. Målet är att bli bättre på omvärldsanalys och kunna agera snabbare på rapporterade hot och sårbarheter. 2.5 Stockholm stad Tidpunkt: Intervjuade: Kent Larsson, Informationssäkerhetschef Allmänt Stockholms stad har ca anställda. Den tekniska infrastrukturen i Stockholms stads består stadens stadsnät som Stokab ansvarar för samt av S:t Erik-Net till vilket stadens 18 stadsdelsförvaltningar och 20 fackförvaltningar är anslutna. Till stadsnätet är dessutom stadens 20 bolag anslutna, dock inte till S:t Erik-Net. Det finns ca klientdatorer i S:t Erik-Net Händelseförloppet Onsdagen den 5 maj klockan fick IT-avdelningen de första indikationerna på problem i S:t Erik-Net. Den omedelbara effekten var att trafiken blev långsam, speciellt Internet-accessen, och att ett stort antal datorer slogs ut. Utslagningen innebar att datorerna startade om, gick ned och startades om hela tiden. Totalt påverkades ca datorer av Sasser. Endast datorer som nyttjade Windows XP och 2000 påverkades av Sasser. De verksamheter som nyttjade Windows NT4 som plattform påverkades inte. Personal vid IT-avdelningen påbörjade omedelbart felsökning samt testade att stänga port 135 för att se hur detta påverkade verksamheten. Ungefär klockan sammankallades en IT-säkerhetsgrupp med ansvar att leda felsökningsoch återställningsarbetet. Då diagnosen fastställts producerades ett reparationsverktyg som brändes på CD-skivor som distribuerades till förvaltningar och bolag. På kvällen den onsdagen 5 maj påbörjades återställningsarbetet och successivt började verksamheten fungera normalt för att i princip fungera fullt normalt fredagen den 7 maj. De datorer som var svårast att nå för åtgärder var de klientdatorer som är uppkopplade via ISDN- och ADSL-förbindelser. Dessa används bl.a. på hemarbetsplatser som är anslutna till S:t Erik-Net. Onsdagen den 12 maj avtog problemen på dessa datorer för att under slutet av veckan fungera fullt normalt. Inledningsvis fanns farhågor att socialtjänstens verksamhetssystem och dess utbetalningsrutin skulle påverkas av viruset. Det visade sig dock att viruset inte påverkade Stockholms stads kärnverksamhet eller de som är beroende av denna verksamhet i någon större omfattning. I viss utsträckning stördes dock socialtjänstens jourförbindelser genom ADSL-problemet som innebar att vissa uppdateringar inte kunde göras enligt normala rutiner. De störningar som drabbade Stockholm stad berörde främst det interna administrativa arbetet där viss fördröjning uppstod i olika rutiner.

9 2.5.3 Vidtagna och planerade förebyggande åtgärder En intern incidentrapport har tagits fram som beskriver händelseförloppet, påverkan av stadens verksamhet, identifierade problem samt förslag till åtgärder. I rapporten konstateras att ingen enskild person har brustit i sitt ansvar eller agerande. Brister som identifierats kan i stor utsträckning hänföras till oklara ansvarsförhållanden. En grupp som består av representanter från stadsdelsförvaltningar, fackförvaltningar och bolag skall tillsättas för att se över de brister som identifierats i organisationen, rutiner och teknik. Gruppen organiseras snarast för att påbörja arbetet med att stärka stadens säkerhet inför framtiden. Sammankallande för gruppen är stadens IT-säkerhetschef. Stockholm stad ser ett behov av en nationell funktion som under den inledande fasen av en händelse snabbt kan ta fram och distribuera en aktuell och samlad lägesbild samt ge förslag på motåtgärder. Sid 9(10)

10 Sid 10(10) 3 Slutsatser 3.1 Konsekvenser I princip orsakade Sasser två omedelbara konsekvenser; a) datorer slogs ut till följd av ständiga omstarter och b) prestandan i nätverken sjönk påtagligt under olika lång tid. De indirekta konsekvenserna hos de intervjuade organisationerna varierade dock i hög grad. Gemensamt för alla var att telefonväxlarnas hänvisningssystem drabbades av Sasser, men det förlöpte trots allt väl genom att man hade möjlighet att använda manuella rutiner, t ex att göra uppslag i kataloger. För Malmö och Stockholm stad medförde Sasser att den normala arbetsgången stördes och orsakade en del fördröjningar i den löpande verksamheten. Några allvarligare följder fick dock inte Sasser. Att verksamheten drabbades av en allmän nedgång eller ett kortvarigt stopp, var också den vanligaste följden hos de organisationer som intervjuades per telefon. Massmedias rapportering de aktuella dagarna beskrev, åtminstone i vissa fall, Sasser-masken på ett sätt som inte helt kan sägas överensstämma med det faktiska händelseförloppet. Erfarenheterna av Sasser visar inte desto mindre vårdsektorns stora beroende av ett fungerande IT-stöd. Masken slog ut kritiska resurser som åtkomst till röntgenbilder och patientjournaler. Händelser som denna medför inte per automatik att en patient lider skada, vilket inte heller inträffade hos de aktuella organisationerna. Vad Sasser däremot blottlägger är den sårbarhet som består i ett krav på fungerande IT-stöd dygnet runt. En sårbarhet som det finns all anledning att fästa avseende vid. 3.2 Förslag på förebyggande åtgärder Det faktum att Malmö stad klarade sig så lindrigt kan förklaras med att verksamheten har en utvecklad omvärldsbevakning och effektiv patch-hantering som viktigaste beståndsdelar. Västra Götaland å andra sidan förklarar de begränsade konsekvenserna med att man lagt ned tid på att bygga upp en incidenthanteringsorganisation som kan agera med kort varsel. Här liksom i andra IT-säkerhetssammanhang gäller som grundläggande åtgärd att det finns en väl fungerande organisation med hög kompetens som hanterar ITsäkerhetsfrågor. 3 När det gäller att skydda en organisation mot angrepp av skadlig kod är det en kombination av förebyggande (patch-hantering) och skadebegränsande (incidenthantering) åtgärder som leder till det bästa resultatet. 4 3 KBM har utgivit rekommendationer för Basnivå för IT-säkerhet, BITS (KBM rekommenderar 2003:2) som ger vägledning för en sådan organisation. Se Inriktningar under 4 SITIC har utfärdat förebyggande råd om Virusskydd i FR04-02 och om Hantering av programfixar och systemuppdateringar i FR Se