Sidan 1 av 29. Samhällets informationssäkerhet

Transkript

1 Sidan 1 av 29 Samhällets informationssäkerhet 2006 Lägesbedömning

2 Innehållsförteckning Sid 2(29) 1 Sammanfattning... 3 Ord- och förkortningslista Inledning KBM:s uppdrag Metodansats Disposition och läsanvisningar Uppföljning från Identifierade utvecklingstendenser av särskild betydelse för samhällets informationssäkerhet Övergripande tendenser på samhällsnivå Användartendenser Tekniska tendenser Organisatoriska tendenser Hot Botnät metoden för riktade och breda attacker Nätfiske nätbankernas gissel Social engineering fortfarande effektivt Ransomware informationskapning på hög nivå Underrättelsebaserade attacker Variationsmetodik Skadlig kod Sårbarheter och risker Administrativa sårbarheter Brister i den interna organisationen Brister i eller avsaknad av en informationssäkerhetspolicy Brister i eller avsaknad av genomförd risk- och sårbarhetsanalys Bristande rutiner eller bristfälligt kommunicerade rutiner Icke befintlig eller otillräcklig utbildning av personal Tekniska sårbarheter Fysiska lagret Länklagret Nätlagret Transportlagret Tillämpningslagret Skydd - förebyggande och skadebegränsande Administrativa skydd Tekniska skydd Skydd på samhällsnivå Europeiskt och internationellt samarbete Slutsatser... 27

3 Sid 3(29) 1 Sammanfattning Lägesbedömningen beskriver samhällets informationssäkerhet på en övergripande nivå. Den årliga lägesbedömningen vänder sig i första hand till regeringen men rapporten är även tänkt att kunna utgöra ett stöd till andra aktörer inom krishanteringssystemet. Då det är konstaterat att många sårbarheter och brister kan kopplas till den interna organisationen är det viktigt att se till att informationssäkerhetsfrågorna lyfts upp på ledningsnivå. Det är ledningens ansvar att se till att det finns en informationssäkerhetspolicy som är väl förankrad i verksamheten. Ledningen ska även tilldela roller, ansvar och befogenheter som gäller för informationssäkerhetsarbetet, samt se till att samordning sker när det gäller införandet av säkerhet i hela organisationen. Det är viktigt att det ges rätt förutsättningar för att kunna upprätthålla god informationssäkerhet. Det svenska samhället är en bra bit på väg mot ett tydligt beroende av Internet för att våra vardagsliv skall fungera. Nätanslutna informationssystem och mobil kommunikation har spridit sig till nästan alla samhällslivets områden. Samhället är beroende av att de tekniska och administrativa skyddsåtgärderna fungerar. Användarnas förtroende för informationssystemen är i detta sammanhang en kritisk faktor. För att möjliggöra mer omfattande e-tjänster är det viktigt att samhället tillhandahåller rätt förutsättningar för detta. Här spelar säker identifiering en viktig roll. Verva:s arbete med att standardisera elektronisk identifiering och utveckla säkerheten i offentliga e-tjänster utgör en viktig bas. Cyberbrottslingar utvecklar idag allt bättre metoder för att undgå upptäckt. De kommunicerar via publika system, kapade datorer, bedriver nätfiske och utbyter inte minst kunskap och tjänster med andra kriminella. För att fullgöra sin uppgift behöver rättsvårdande myndigheter resurser och befogenheter att följa den kriminella verksamheten, oavsett var den försiggår. Också detta har blivit uppenbart under det senaste året, där det vid incidenter visat sig svårt att spåra och lagföra gärningsmännen. Att samhället lägger allt större vikt vid elektronisk informationshantering och e- tjänster utan att ge motsvarande möjlighet till rättssystemet att upptäcka och lagföra brott är riskabelt, speciellt mot bakgrund av hur enkelt det är idag för internationella kriminella grupper att flytta sin verksamhet till de länder där risken för avslöjande och påföljd är låg. Ett steg på vägen i att ge rättsvårdande myndigheter utökat mandat är den lagrådsremiss som regeringen lämnat avseende att Sverige ska följa EU:s rambeslut om angrepp mot informationssystem. Antas förslaget kommer exempelvis tillgänglighetsattacker att bli straffbara. Även försök, förberedelse samt medverkan till sådana typer av brott kommer att bli straffbara. Ändringarna föreslås träda i kraft den 1 juni KBM har fått i uppdrag att ta fram ett förslag på en handlingsplan för genomförande och förvaltande av den nationella strategin för informationssäkerhet. Detta medför att många av de brister i samhället som lägesbedömningen tar upp kommer att utredas inom ramen för handlingsplanen. Handlingsplanen ska slutredovisas i mars 2008.

4 Sid 4(29) Ord- och förkortningslista Botnät Nätverk av datorer som infekterats med skadlig kod som gör det möjligt för en tredje part att kontrollera och fjärrstyra datorerna samtidigt. COTS Computers of The Shelf. Kommersiellt tillgängliga standardprodukter. DDoS-attacker Distributed Denial of Service. En DoS-attack (Denial of Service) innebär att ett nätverk mättas med ändlös och ovidkommande datatrafik och därigenom slås ut. DDoS innebär att denna trafik skickas från ett stort antal datorer. DNS (eng. Domain Name System) Domännamnsystem är ett system för att förenkla adressering av datorer på Internet. Exploit (attackpaket) En exploit är en förberedd och paketerad metod som inkluderar en sekvens av kommandon som utnyttjar en svaghet i syfte att genomföra en attack. GPS Globalt positioneringssystem IP Internet Protokoll är en standard för hur datatrafik skickas mellan datorer. Konfigurering De systeminställningar som används på en dator eller i ett nätverk. System levereras med vissa grundinställningar. Patchhantering Att täppa till upptäckta sårbarheter i befintlig programvara som redan används. Detta sker vanligtvis genom att programvaruleverantören distribuerar så kallade patchar. Nätfiske (eng. Phishing) En metod som går ut på att få en person att lämna ifrån sig konfidentiell finansiell information genom lura personen att antingen svara på ett falskt e-postmeddelande eller genom att besöka en falsk webbsida så kallat nätfiske. SAMFI myndigheter som ingår är: Krisberedskapsmyndigheten, Post- och telestyrelsen, Verket för förvaltningsutveckling, Försvarsmakten, Försvarets radioanstalt, Säkerhetspolisen och Försvarets materielverk SCADA-system (Supervisory Control And Data Acquisition) Styr- och kontrollsystem, som stödjer produktion och/eller distribution av samhällsviktiga tjänster eller produkter såsom till exempel el, spårbunden trafik eller dricksvatten. Skadlig kod Ett samlingsuttryck för program som orsakar avsiktlig direkt eller indirekt störning eller skada eller gör något annat i strid med den drabbades vilja. Virus, maskar eller trojaner är exempel på skadlig kod. Social engineering Vilseledning eller manipulation i syfte att förmå någon att till exempel lämna ut information. Phishing är en form av social engineering. Spam Massutskick av oönskad, obeställd e-post utan mottagarens samtycke, företrädesvis reklam. Spearphishing En form av phishing som riktar sig mot en specifik mottagare. Trojan Program som förutom att göra det som uppges också utför oönskade operationer. VPN Virtuellt Privat Nätverk.

5 Sid 5(29) 2 Inledning 2.1 KBM:s uppdrag Denna rapport utgör Krisberedskapsmyndighetens (KBM) årliga lägesbedömning av samhällets informationssäkerhet. Enligt sin instruktion 1 ska KBM sammanställa en helhetsbild av samhällets informationssäkerhet och årligen lämna en samlad bedömning till regeringen. I detta arbete ska myndigheten bland annat analysera omvärldsutvecklingen inom området med utgångspunkt från inhämtat underrättelsematerial. Lägesbedömningen beskriver samhällets informationssäkerhet på en övergripande nivå. Med informationssäkerhet avses här förmågan att upprätthålla önskad konfidentialitet, riktighet och tillgänglighet vid hantering av information något som omfattar aspekter av såväl administrativ som teknisk karaktär. Den årliga lägesbedömningen vänder sig i första hand till regeringen men rapporten är även tänkt att kunna utgöra ett stöd till andra aktörer inom krishanteringssystemet. Lägesbedömningen utgör även ett internt inriktningsdokument för KBM:s arbete inom ramen för det sammanhållande ansvaret för samhällets informationssäkerhet. Bedömningen grundar sig primärt på utvecklingen under 2006 och har ett framtidsperspektiv på cirka ett år. 2.2 Metodansats I huvudsak har arbetet med att ta fram lägesbedömningen utgått från en kvalitativ metodansats. Ett stort antal djupintervjuer har genomförts med relevanta aktörer inom såväl offentlig som privat sektor vilka har bidragit med värdefullt underlag. Vidare har även egna fördjupningsstudier genomförts. Lägesbedömningen bygger på såväl öppet som hemligt material. Rapporten är öppen eftersom känslig information har kunnat verifieras med öppna källor alternativt har lyfts upp till en generell nivå där informationen är spridbar. Arbetet med att identifiera och prioritera viktiga frågor har skett i samverkan med aktörer som samverkansgruppen för informationssäkerhet (SAMFI) och KBM:s informationssäkerhetsråd, bara för att nämna några exempel. 2.3 Disposition och läsanvisningar Rapporten är indelad i fyra huvudkapitel och följer i stort en klassisk riskhanteringsmodell (där risk består av en sammanvägning av sannolikheten för och konsekvensen av att ett hot realiseras eller en sårbarhet nyttjas). I rapportens första kapitel: Identifierbara utvecklingstrender av särskild betydelse för samhällets informationssäkerhet behandlas några av de tendenser, på såväl användar- som teknisk- och organisatorisk nivå, som i stort samverkar till att skapa den kontext inom vilken olika aktörer har att agera. I nästföljande kapitel: Hot, fokuseras redovisningen på de metoder och de tekniker som utgör grund för IT-relaterade attacker. Till skillnad från föregående års analyser utgår denna beskrivning således inte från olika typer av aktörer och antagonister. Kapitlet som följer efter detta: Sårbarheter och risker behandlar 1 5 förordningen (2002:518) med instruktion för KBM

6 såväl tekniska som administrativa sårbarheter och därtill kopplade risker. I kapitlet Skydd presenteras förslag på skyddsåtgärder, eller förbättring av befintliga skyddsåtgärder, kopplat till tidigare diskussioner. I Lägesbedömningens avslutande kapitel: Slutsatser presenteras sammanfattande rapportens slutsatser. Sid 6(29)

7 Sid 7(29) 3 Uppföljning från 2006 Detta kapitel är en sammanfattande uppföljning av ett flertal av de slutsatser som presenterades i föregående års lägesbedömning. Föregående års slutsatser är kursiverade och texten som följer utgör uppföljningskommentaren. Ett hot mot såväl offentliga som privata organisationer är olika former av nätfiske. Något som särskilt utvecklats under det senaste året är riktade nätfiskeattacker, så kallad spearphishing. Nätfiske som metod har fortsatt att utvecklas och användas i allt större utsträckning under Bland annat har Nordeas kunder vid upprepade tillfällen under den senaste tolvmånadersperioden, varit utsatta för riktade nätfiskeattacker med stora ekonomiska konsekvenser som följd. Som ett resultat av attackerna mot den finansiella sektorn har Finansinspektionen nyligen tillsatt en utredning för att se över säkerheten hos internetbankerna. Sverige saknar idag ett nationellt system för att upptäcka, varna för, avbryta och på ett samordnat sätt respondera på IT-relaterade angrepp. Det finns fortfarande inget nationellt system för upptäckt, varning och respons. Frågan kommer dock att beröras inom ramen för det arbete som KBM bedriver med att utveckla ett förslag till en nationell handlingsplan för genomförande och förvaltande av den nationella strategin för informationssäkerhet. Det är tydligt att det både är den tekniska och den mjuka (social engineering) typen av attacker som blir alltmer sofistikerade. Det är också av vikt att organisationer som driver olika samhällsviktiga system gör kvalitativa bedömningar av vilken information som bör läggas ut öppet på Internet. Detta gör att det blir allt viktigare att anlägga ett helhetsperspektiv på informationssäkerhetsfrågorna. Behovet av rutiner för informationsklassning och kvalitativa bedömningar av exempelvis vilken information som skall publiceras på Internet kvarstår. Många myndigheter och organisationer saknar helt rutiner för detta vilket kan leda till bland annat informationsförluster. Verva har dock föreskriftsrätt avseende standarder som skall vara myndighetsgemensamma för elektroniskt utbyte av information. Utvecklingen av hotbilden pekar på att det finns ett stort behov av att förstärka polisens roll i det nationella informationssäkerhetsarbetet. Detta understryks av att polisen utgör den enda responsfunktionen i samhället som kan använda tvångsmedel inom området. Den ITrelaterade brottsligheten bedöms idag kosta samhället stora summor, vilket framkommit i ett flertal internationella studier. Polisens resurser och metoder på området bör därför utvecklas och inriktas mer mot förebyggande verksamhet. Behovet av förstärkta resurser på informationssäkerhetsområdet inom polisväsendet är fortfarande lika stort om inte större. Det har inte skett några förändringar avseende resurstilldelning under året. När det gäller polisens metoder inom området brottsbeivrande verksamhet kan konstateras att de

8 ligger på framkant i ett europeiskt sammanhang och även deltar i samarbetet med utvecklandet av ny metodik. Sid 8(29) Nya tekniska system innebär att nya sårbarheter uppstår. En ökad användning av trådlösa nätverk och mobila nätverksenheter ökar riskexponeringen i samhället. Detta ställer större krav på helhetsperspektiv i avvägningar mellan funktionalitet och säkerhet, både på organisationsnivå och på nationell nivå. Därför är det väsentligt att förebyggande säkerhetsåtgärder inkluderar kontinuitetsplanering för att samhällsviktig verksamhet ska kunna bedrivas även i händelse av tekniska störningar eller avbrott i exempelvis IT- och elsystemet. Det finns fortfarande konstaterat stora brister i arbetet med förebyggande säkerhetsåtgärder och kontinuitetsplanering med avseende på IT-incidenter. Många organisationer behöver förstärka sina insatser på denna nivå. Av svenska myndigheter, kommuner och landsting saknar fortfarande drygt 60 procent en utarbetad kris- och katastrofplan. På organisationsnivån är de säkerhetsrelaterade problemen i högre grad kopplade till administration och personal snarare än till tekniska lösningar. Detta förhållande pekar på att det inom organisationer finns ett stort kunskapsbehov om de mer mjuka delarna av informationssäkerhetsområdet. En nyligen genomförd undersökning bland landets myndigheter, kommuner och landsting bekräftar slutsatsen ovan. Enligt respondenternas svar kan inträffade incidenter i 60 procent av fallen härledas till brister i administrativa rutiner samt den mänskliga faktorn. Utnyttjandet av befintliga tekniska sårbarheter har utgjort en mindre del av problematiken. I synnerhet krävs utbildningssatsningar för att höja kunskapen och medvetenheten hos användarna. Användarna är en viktig målgrupp på grund av att de står för den största delen av de oavsiktliga hoten som förekommer. Genom att höja användarnas säkerhetsmedvetande stärks även tilliten till olika informationstekniska lösningar. Flertalet aktörer konstaterar att användarna fortfarande står bakom den största delen av de oavsiktliga hoten och att det föreligger stort behov av utbildningsinsatser.

9 Sid 9(29) 4 Identifierade utvecklingstendenser av särskild betydelse för samhällets informationssäkerhet Följande beskrivning syftar till att med breda penseldrag måla upp några av de utvecklingstendenser som bedömts vara av särskild betydelse för samhällets informationssäkerhet. Först beskrivs några övergripande tendenser. Dessa kompletteras därefter med en bild av utvecklingslinjer som berör användare, teknik och organisationer. 4.1 Övergripande tendenser på samhällsnivå Det svenska samhället befinner sig idag en bra bit på väg mot en tillvaro där vi är helt beroende av Internet för att våra vardagsliv ska fungera. Utvecklingen har gått snabbt. Under loppet av bara något decennium har nätanslutna informationssystem och mobil kommunikation spridit sig till snart sagt alla samhällslivets områden. Gamla rutiner har ersatts av nya, och den alltmer avancerade informationshanteringen har gjort det möjligt att rationalisera och effektivisera, både i näringslivet och inom offentlig sektor. Information som tidigare tog relativt lång tid att plocka fram eller hantera finns nu tillgänglig på några ögonblick. På Internet kan vi slå i telefonkatalogen, hämta kartor på gatunivå från hela världen boka tid på bilbesiktningen och lämna in självdeklarationen. På sjukhuset plockas vår journal fram på några sekunder, direkt på läkarens eller sköterskans skärm. Bankerna förutsätter snart att vi betalar våra räkningar på nätet. Dessutom befinner vi oss i en värld av ständigt tilltagande mobilitet. Mobiltelefoner och handdatorer gör oss ständigt tillgängliga. Möjligheterna som informationssystemen skänkt oss är enorma. Men riskerna är också påtagliga. Är information oåtkomlig eller felaktig kan det få stora konsekvenser. Därför kommer informationssäkerhet att vara ett centralt begrepp i det framtida nätsamhället. För det första blir det alltmer tydligt idag hur beroende samhället är av att de tekniska och administrativa skyddsåtgärderna verkligen fungerar. Vad händer till exempel när en kommun drabbas av nätavbrott innebär det att den kommunala servicen upphör att fungera? Klarar vi av en situation där bankomaterna slocknar? Och vad sker när datorerna blir så komplexa att de ständigt behöver uppdateras från olika håll vilka risker innebär detta (vid sidan av minskad effektivitet)? Sådana frågor är väsentliga att ställa sig, och väsentliga att få svar på. Det handlar om att få den tillgång till information som vi bör kunna förvänta oss speciellt när den påverkar samhällskritiska funktioner. För det andra är det viktigt att notera behovet av att se till att skyddsvärd information inte manipuleras eller hamnar i fel händer. Det kan gälla samhällets befolkningsregister, företagshemligheter eller bilder från den alltmer omfattande kameraövervakningen i samhället. För detta ändamål krävs inte bara regelverk, utan även mekanismer för att säkert avgöra vem som söker åtkomst till

10 information och i vilken roll det sker. Här spelar säker identifiering en obestridlig nyckelroll. Sid 10(29) För det tredje kommer vi aldrig fullständigt att kunna förhindra försök att olovligen komma över information och därefter utnyttja den, förfalska den eller sälja den vidare. Brottsligheten har idag etablerat sig i cyberrymden, och en stor andel av rättsväsendets förundersökningar i brottmål inbegriper numera beslag och teknisk analys av datorer. Här handlar det till viss del om brottslighet som direkt kan förknippas med informationssystem. Men mycket av den traditionella brottsligheten har flyttat ut på nätet idag, och det blir alltmer påtagligt hur våra rättsvårdande myndigheter också måste kunna följa den där för att ha möjlighet att beivra den. Ur ett samhällsperspektiv måste det betraktas som fundamentalt att kunna upprätthålla lag och ordning. 4.2 Användartendenser Internet används idag av en dominerande andel av den svenska befolkningen, både i arbetet och privat. Tillgången till Internet bland befolkningen tycks dock ha nått en mättnadsnivå där den inte längre ökar kraftigt. Trafikvolymerna ökar emellertid fortfarande markant. Användningen av mobil kommunikation är stabilt hög i Sverige. Den traditionella, fasta telefonin minskar emellertid. Enligt Post- och telestyrelsen finns det nu istället en liten men växande grupp teleabonnenter som inte längre har någon fast ansluten telefon utan helt förlitar sig på mobiltelefoni. Nästan alla människor i Sverige använder informationssystem dagligen, direkt eller indirekt. Detta som ett resultat av att allt fler av våra vardagsrutiner inbegriper ett informationselement. Vi läser e-post och betalar räkningar på våra datorer, skickar meddelanden med våra mobiler, tar ut pengar i bankomater och betalar med plastkort. Användarnas förtroende för informationssystemen är i detta sammanhang en kritisk faktor. Internet fungerar även som ett verktyg där personer söker kontakt med varandra, grupper uppstår, några bygger opinionsplattformar via s.k. bloggar, andra söker livskamrater genom dejtingsajter. Samtidigt kan dessa möjligheter missbrukas. Resurserna vi fått tillgång till på Internet kan också användas för kartläggning av individer, systematisk underrättelseinhämtning eller förberedelse till brott. 4.3 Tekniska tendenser De informationssystem som omger oss blir alltmer komplexa och beroende av varandra. Det kanske tydligaste, och mest belysta, exemplet på detta är existerande beroenden mellan el, tele- och datasystemen. Ett avbrott i endera får återverkningar i det andra. Ur ett informationssäkerhetsperspektiv är detta intressant, inte minst på grund av den ökande användningen internetbaserade styr- och kontrollsystem. SCADA- och processkontrollsystem, som historiskt sett varit helt isolerade system och haft mycket lång livslängd, byggs idag av COTS-komponenter. SCADA-systemens tidigare isolation bryts idag upp av att de kopplas ihop med organisationernas administrativa datornätverk som i sin tur kopplas upp mot

11 Internet. Dessutom görs SCADA-systemen tillgängliga för fjärråtkomst (t ex via uppringda förbindelser) för SCADA-leverantörerna för att dessa skall kunna uppdatera mjukvara eller felsöka i densamma. I och med detta exponeras de också för traditionella IT-säkerhetshot, hot de tidigare varit förskonade ifrån och därför till viss del saknar skydd mot. Sid 11(29) En annan viktig tendens är den alltmer utpräglade utvecklingen mot så kallad monokultur. Med monokultur avses det förhållande som exempelvis uppstår när ett stort antal användare använder sig av ett, eller ett fåtal, operativsystem. I sig medför existerande monokulturer både positiva och negativa konsekvenser. På plussidan kan nämnas bl.a. en relativt vältestad programvara och lägre krav på kunnande från användarsidan. Som minus medför monokulturer att när en sårbarhet väl identifierats så kan denna exploateras på bred front. Dock kan man skönja ett ökande intresse för andra lösningar som bygger på öppen källkod, detta för att inte bli fast i en monokultur men även för att minska licenskostnaderna. 4.4 Organisatoriska tendenser För många aktörer såväl inom den privata som den offentliga sektorn pågår en successiv utbyggnad av tjänster som nyttjar Internet som bärare av information. Drivkrafterna bakom denna utveckling är givetvis möjligheten till effektivisering och ökad lönsamhet (kanske genom helt nya affärsmöjligheter) men även krav från användarna vad gäller förbättrad servicenivå och ökad tillgänglighet till leverantörer och kunder. Rent praktiskt tar sig ovanstående uttryck som outsourcing av IT-drift, anbudsförfarande över Internet, e-handel, JIT (just-in-time konceptet). Många organisationer använder sig också i allt högre utsträckning av mobila klienter. Medarbetare förväntas komma åt dokument hemifrån eller på resan. Inom den offentliga sfären har konceptet e-förvaltning blivit välkänt. Tillgängligheten för e-förvaltningen (24-timmars tillgänglighet) medför att det ställs helt nya krav på myndigheterna, inte minst från allmänheten. Toleransen vad gäller väntetid för tillgång till information och ärendehantering har sänkts. Detta innebär i sin tur att kraven på att Internet fungerar har höjts, från såväl ett enskilt användarperspektiv som de berörda verksamheterna. Ett exempel på e-förvaltning är att statliga myndigheter senast den 1 juli 2008 ska hantera sina fakturor elektroniskt. Verva är den myndighet som har föreskriftsrätt inom detta område, föreskriften gäller från den 1 mars Verva har också beslutat om de tekniska krav som gäller för e-fakturor i statsförvaltningen samt om den gemensamma standard som myndigheter ska följa.

12 Sid 12(29) 5 Hot Hot delas ofta in i två kategorier: avsiktliga och oavsiktliga. De avsiktliga hoten, förutsätter en angripare (antagonist) och inbegriper dennes avsikt och förmåga att genomföra skadliga handlingar. Förmåga i detta sammanhang utgörs av de samlade möjligheter som antagonisten har att omsätta sina resurser (kompetens, ekonomisk styrka, insiderkunskap) i en IT-relaterad attack. Med oavsiktliga hot avses exempelvis naturkatastrofer, olyckor, tekniska fel och mänskliga misstag. Oavsiktliga hot är starkt sammankopplade med sårbarheter och bristande skydd och kommer därför att behandlas i kapitel 6 och 7 (sårbarheter respektive skydd). Till skillnad från föregående års lägesbedömningar, som primärt skrivits utifrån olika aktörskategorier, tar nedanstående text ett tydligare grepp om de metoder som olika aktörer använder sig av. En metod i sig utgör inte ett hot utan ska mer ses som det sätt på vilket aktören väljer att realisera sin förmåga i en given attack. En anledning till denna mer metodfokuserade presentation är att många verksamheter inte utgår i sitt hanterande av IT-relaterade incidenter och angrepp från vem som ligger bakom utan snarare från vad som hänt. 5.1 Botnät metoden för riktade och breda attacker Det blir alltmer tydligt att nät av spridda men samverkande datorer (så kallade botnät, vanligare botnets ) börjat forma den grundläggande infrastrukturen för såväl riktade som breda nätattacker. Denna infrastruktur lämpar sig väl för den kommersiella marknaden vilket har lett till att botnät både finns att hyra och köpa idag. Uppbyggnaden av ett botnät kan ske via skadlig kod planterad i e- post eller på webbsidor. Även chattrum och direktmeddelanden (IM, instant messaging) används för uppbyggnad av botnät. En ny trend är att botnät används på ett mer segmenterat sätt än tidigare, till exempel vid spridning av skräppost. Idag upptäcks attackerna snabbare och därför tenderar angriparna att använda sig av fler och mindre botnät för att skicka sina meddelanden, dessutom varieras innehållet med täta mellanrum. Därmed blir det också svårare att bekämpa botnät-attacker. Ett botnät kan med fördel användas som plattform för tillgänglighetsattacker mot en organisations webbplats men även som ett verktyg för att samla in hemlig information från smittade datorer. Det kan exempelvis handla om personuppgifter som går att utnyttja vid så kallad identitetsstöld. Insamlingen kan också vara en del av regelrätt företagsspionage. Den insamlade informationen kan exempelvis skickas till länder där lagstiftningen gör det svårt att komma åt förövarna. 5.2 Nätfiske nätbankernas gissel Nätfiske (eng. phishing) har under det senaste året uppmärksammats allt mer, efter återkommande attacker mot svenska banker och deras kunder. Även om nätfiske är en generell metod för att komma över information är det den finansiella sektorn som varit mycket utsatt. En anledning till detta är att dagens angripare allt mer arbetar för att nå ekonomisk vinning. De angriper bankkunder för att få tillgång till de koder som krävs för banköverföringar. Därmed kommer

13 de över likvida medel, som är lätta att flytta och inte sällan svåra att spåra över gränser. Nätfiske används ofta i kombination med både botnät och social engineering. Sid 13(29) Dessa attacker tenderar idag att bli mer organiserade och mer riktade än förut - och metodutvecklingen på området är snabb. När en bedräglig metod avslöjats ersätts den snabbt med en ny. Det finns även relativt billig basprogramvara på marknaden som enkelt kan skräddarsys med avseende på vilket mål som ska attackeras. Nätfiske tillhör de områden som är polisiärt högprioriterade på många håll idag, bland annat i USA. Arbetet med denna brottslighet väntas öka framöver, eftersom den redan börjat ta över narkotikans roll inom internationell kriminalitet. Nätfiske har nämligen visat sig lönsammare och är förknippat med lägre risk än hantering av narkotika. 5.3 Social engineering fortfarande effektivt Social engineering dvs. vilseledning eller manipulation i syfte att förmå någon att exempelvis lämna ut information, är alltjämt en viktig komponent när det gäller att genomföra attacker. Den används både som en enskild metod för att komma över information och som ett komplement till mer tekniska metoder, exempelvis nätfiske, i genomförandet av IT-attacker. Det är tydligt att även denna metod blir allt mer förfinad då angriparen ofta gör en omfattande kartläggning innan kontakt tas. I takt med att de tekniska skyddsmekanismerna blir allt säkrare väljer angripare att i allt större grad använda sig av denna metod för att komma åt information. 5.4 Ransomware informationskapning på hög nivå Angripare utvecklar idag allt mer svårupptäckta och motståndskraftiga metoder. Ett exempel är informationskapning (ransomware) som är en modern variant av utpressning. De som drabbats får ett meddelande om hur de ska gå till väga för att få tillbaka eller få tillgång till sin information som angriparen har krypterat. Svenska myndigheter, kommuner och landsting saknar idag en samordnad metod för att säkerställa att den information som publiceras på Internet inte är förvanskad. En angripare skulle genom att kapa en myndighetswebbplats kunna publicera falsk information och åstadkomma stor skada. Om detta skulle ske under en pågående kris, då behoven av information är extra stora skulle konsekvenserna kunna bli omfattande. 5.5 Underrättelsebaserade attacker Som konstaterades i förra årets lägesbedömning tenderar många av de avancerade attackerna att bli mer sofistikerade och riktade. Ett signum för dessa attacker är att de ofta föregås av ett större mått av förberedelser än mindre avancerade attacker. Ofta är de underrättelsebaserade vilket innebär att angriparen kartlägger sitt målobjekt på individnivå (funktion/roll) och utgående från denna information genomför en riktad attack. Exempelvis kan planterandet av en specifik trojan hos en individ ha föregåtts av en systematisk kartläggning av målets internetvanor. Mer avancerade och riktade attacker används ofta när målet är att exempelvis komma över information rörande spetsteknologi eller viktiga resultat kopplat till

14 forskning och utveckling. Det är dessa områden som är mest utsatta för riktade attacker. Angriparna kan både vara enskilda aktörer och utländska statsaktörer. Sid 14(29) 5.6 Variationsmetodik När man analyserar incidenter och skadlig kod kan det konstateras att det för vissa aktörer finns ett specifikt, känt tillvägagångssätt. Andra aktörer har förmågan att agera anonymt. De varierar ständigt koder och infekterade datorer som används för angrepp, allt för att undgå upptäckt. Det är sannolikt att denna förmåga även kan nyttjas för att genomföra mer kvalificerade attacker. Förmågan till adaptivt agerande under genomförandet av en specifik IT-attack är ett utmärkande drag för mer kvalificerade aktörer. 5.7 Skadlig kod Trojaner bör fortfarande anses som ett allvarligt säkerhetshot. Förekomsten har sjunkit under det senaste året, och trojaner används nu i allt större omfattning för riktade attacker snarare än attacker på bredden. Trojan-attacker är ofta förknippade med större risker än virus och maskar. Konsekvenserna kan bli mer omfattande och detekteringen är svårare, då trojaner som inte har identifierats inte fångas upp av de antivirusprogram som finns. E-postmeddelanden är en av de metoder som mest frekvent används för att utföra riktade attacker. Det är främst två olika tillvägagångssätt som används. Ett sätt är att mottagaren får ett e-postmeddelande som innehåller en bifogad fil, filen innehåller skadlig kod som installeras på mottagarens dator. Meddelandet ser i många fall ut att komma från en trovärdig källa vilket gör att sannolikheten för att mottagaren klickar på den bifogade filen är stor. Ett annat sätt är att e-postmeddelandet innehåller en länk till en falsk webbsida som mottagaren klickar sig vidare till och där blir mottagarens dator infekterad med skadlig kod. Skräppost betraktas fortfarande som ett hot då det har gått ifrån att vara ett irriterande fenomen till att utgöra en kriminell handling då skräppostmeddelandena många gånger innehåller nätfiskeförsök. Det finns även stora belopp att tjäna på rätt marknadsföring. Konstruktören av skräppost får ofta en form av royalty baserad på vidarelänkning. Det krävs med andra ord inte köp av vara eller tjänst.

15 Sid 15(29) 6 Sårbarheter och risker Med sårbarheter avses här svagheter eller brister som avsiktligt kan utnyttjas av aktörer eller när en händelse med oavsiktliga konsekvenser inträffar; men även de tekniska och verksamhetsmässiga egenskaper hos ett IT-system som kan utnyttjas för IT-relaterade attacker. Med risker avses här en sammanvägning av sannolikheten av att en händelse ska inträffa och de konsekvenser händelsen i fråga kan leda till. 6.1 Administrativa sårbarheter Enligt en nyligen gjord undersökning som genomförts bland landets myndigheter, kommuner och landsting har inträffade IT-relaterade incidenter i 60 procent av fallen möjliggjorts på grund av att en administrativ sårbarhet utnyttjats Brister i den interna organisationen För att uppnå god informationssäkerhet är en av grundförutsättningarna att företag och myndigheter anpassar sin organisatoriska struktur. I detta ingår att roller, ansvar och befogenheter görs tydligare. Det är inte minst viktigt att tydliggöra ledningens roll i informationssäkerhetsarbetet. När detta brister leder det oundvikligen till problem. Det är ledningens ansvar att tilldela roller och befogenheter i informationssäkerhetsarbetet, samt att granska införandet av säkerhet i hela organisationen. Det faktum att 40 procent av de tillfrågade myndigheterna, kommunerna och landstingen har ledningar som inte identifierat, förtecknat eller prioriterat de informationssystem som bedöms som viktiga (kritiska) för verksamheten utgör en potentiellt allvarlig sårbarhet. Det är svårt, för att inte säga omöjligt, att säkerställa en adekvat skyddsnivå om inte en prioritering av viktiga verksamheter gjorts. Hur ska man veta vad som ska skyddas i första hand och hur? Ofta är det resursbrist som ställer till saker och ting och i många organisationer saknas en informationssäkerhetssamordnare/funktion. Det är denna funktion som i dialog med ledningen samordnar informationssäkerhetsarbetet samt medverkar i genomförandet av säkerhetsarbetet Brister i eller avsaknad av en informationssäkerhetspolicy En bra utformad informationssäkerhetspolicy ger uttryck för ledningens viljeriktning och stöder informationssäkerhetsarbetet utgående från organisationens verksamhetskrav samt relevanta lagar och föreskrifter. Avsaknaden av en policy, alternativt en bristfällig policy, leder till ett mer famlande informationssäkerhetsarbete med ökade sårbarheter som konsekvens. Det är också vanligt förekommande att det visserligen finns en policy men att den inte är kommunicerad till de anställda Detta beror i sig ofta på avsaknaden av rutiner Brister i eller avsaknad av genomförd risk- och sårbarhetsanalys Utgångspunkten för ett framgångsrikt informationssäkerhetsarbete är att riskoch sårbarhetsanalyser genomförs för att klarlägga en säkerhetsnivå som ska

16 gälla för skydd av en organisations information och informationssystem. Därför är det oroväckande att inte mindre än 30 procent av responderande myndigheter, kommuner och landsting inte inkluderar informationssäkerhet i sina riskanalyser. Detta medför att aktörerna då inte värderar, analyserar eller skapar förutsättningar för skydd av informationsrelaterade resurser. I avsaknad av riskanalyser uppstår svårigheter att ansätta rätt resursnivå för skydd och incidenthanteringsförmåga. Ofta är incidenter med IT-inslag inte inkluderade i organisationens ordinarie krisorganisation vilket gör att frågorna inte uppmärksammas på ledningsnivå. I detta sammanhang är det värt att påpeka att myndigheter enlig lag är skyldiga att genomföra säkerhetsanalyser. Sid 16(29) Bristande rutiner eller bristfälligt kommunicerade rutiner Många av de brister, och därmed potentiella sårbarheter, som behandlas i avsnittet hänger nära samman. Om det saknas en informationssäkerhetspolicy, existerar en oklar ansvars- och rollfördelning mellan aktörer, m.m., är det nästan ofrånkomligen så att det även finns brister vad gäller rutiner och regelverk. Brister i rutiner är en vanligt förekommande administrativ sårbarhet. Exempelvis saknar drygt 64 procent av responderande myndigheter, kommuner och landsting i Sverige rutiner för kontinuitetsplanering och incidenthantering vilket går hand i hand med avsaknaden av risk- och sårbarhetsanalyser. Ett annat område där avsaknaden av rutiner blir problematisk är exempelvis när organisationen ifråga ska upphandla/köpa tjänster såsom ekonomi- och lönehantering, telefoni m.m. istället för att bedriva dem i egen regi (med andra ord lägga ut delar av verksamheten). En annan aspekt som nära länkar till detta är behovet av rutiner för avtalsskrivande och inte minst vilka krav som skall ställas på den part till vilken man lägger ut delar av verksamheten. Inte sällan saknas denna kompetens och stödjande rutiner varpå avtalen ifråga kanske inte svarar upp mot organisationens intressen. Många organisationer övergår allt mer till att använda sig av mobila klienter. Inom detta område krävs det också rutiner för att göra det möjligt att upprätthålla en grundläggande säkerhetsnivå. Ytterligare ett område där avsaknaden av rutiner är tydligt är reservkraft. Många myndigheters och organisationers delverksamheter är idag helt beroende av Internet men tycks relativt omedvetna om detta. De har således varken uppbyggda reservsystem eller andra tydliga reservrutiner som kan gå i gång i händelse av exempelvis avbrott. Dessa aktörer förlitar sig till sin kännedom om hur verksamheten, det vill säga ett enskilt ärende, ska hanteras utanför Internet. Vad de då bortser från är att det inte går att hantera de ärendemängder det blir fråga om, eftersom verksamheten rationaliserats och personal därför saknas för en sådan krissituation Icke befintlig eller otillräcklig utbildning av personal Outbildad personal utgör ofta en säkerhetsrisk. Okunskap är i detta sammanhang den stora boven. Kanske skriver man ner sitt lösenord på en gul lapp och fäster den på datorn, klickar på en länk i ett mejl från okänd avsändare, helt omedveten om riskerna, eller förstår inte risken med att skicka konfidentiell information per e-post. Lösningen på dessa och liknande problem avhjälps endast genom ett systematiskt informationssäkerhetsarbete som även inkluderar utbildning av personal. Befintlig policy, existerande rutiner och

17 användarguider, måste kommuniceras till de berörda. Detta gäller även i högsta grad vad som skall göras i händelse av en misstänkt IT-attack. Sid 17(29) 6.2 Tekniska sårbarheter Vi har valt att avsnittsindela tekniska sårbarheter efter de logiska nivåer som ofta används för att beskriva kommunikationssystem, exempelvis fasta datanät eller mobilnät. Dessa nivåer kan realiseras på olika sätt, exempelvis med IP på nätnivå. Kommunikationssystem brukar beskrivas i form av flera sammanhängande skikt eller nivåer. I botten finns det olika typer av kabelnät och olika sätt att skicka signaler genom kablarna. För att skapa större sammanhängande nät krävs det emellertid ett gemensamt sätt att adressera många mottagare och en kartbild för att hitta dem. Ett slags postsystem för elektroniska paket; med andra ord. Det är här IP och Internet kommer in i bilden. När man byggt ett system på IP-nivån finns det alltså ett system av kartlagda vägar, redo att hantera trafik. Men det är först när man har gemensamma sätt att anropa varandra som det går att skicka ut trafiken. Detta beskrivs på transportnivån. Därefter går det att använda nätet för vilka tillämpningar som helst, till exempel e-post, webbtrafik, IP-telefoni eller filöverföringar. Se bild nedan. tillämpningsnivå transportnivå nätnivå länknivå fysisk nivå program, webbtjänster anrop, svar kartbild signaler kabel Bild 1 Nätlagren Fysiska lagret På den understa nivån finner vi de fysiska kabelnäten. Dessa nät drabbas emellanåt av avbrott. I det sammanhanget bör betydelsen av redundans och separata kabelvägar betonas. Kabelnät kan också bli föremål för direkt avtappning. Detta förutsätter emellertid fysisk tillgång till förbindelsen, och metoden diskuteras därför mest i

18 samband med riktat industrispionage eller avlyssning där statsaktörer är involverade. Sid 18(29) Den grundläggande, fysiska kommunikationsinfrastrukturen är viktig ur beredskapssynpunkt. Idag består den av ett mindre antal nationstäckande nät för såväl fasta som mobila förbindelser. Flera samhällsviktiga aktörer har pekat på vikten av tillgänglighet av både el- och telekommunikationer för sina verksamheters kontinuitet. Tillgången till el- och telekommunikationer är en grundförutsättning för informationsbehandling och informationssäkerhet. Detta gäller både centrala delar av informationssystemen, exempelvis bankernas serverdatorer, och lokala anslutningar. I slutet på januari i år stängdes Skavsta flygplats på grund av att en fiberoptisk kabel grävts av vilket resulterade i att flygledartornet drabbades av stora kommunikationsstörningar. Flygtrafiken fick dirigeras om till Arlanda och Norrköping och runt 1500 passagerare berördes av händelsen. Denna händelse är ett exempel på hur sårbar en verksamhet kan vara. Den visar också på betydelsen av att ha redundans i kommunikationsvägarna Länklagret Ovanför det fysiska lagret återfinns länklagret, som beskriver hur informationssystem signalerar till varandra för att upprätta kontakt över kabel eller radiolänk. Sårbarheterna på denna nivå återfinns främst i trådlösa datanät (WLAN) där det emellanåt går att få nätkontakt genom att falskeligen utge sig för att signalera med ett legitimt system. Genom säkerhetsåtgärder har denna sårbarhet på de flesta håll täppts till idag, åtminstone i företagsnät. Inom segmentet hemnät är bilden oklar. I länklagret hanteras system anslutna till samma lokala nät. Större, mer sammansatta nät kräver däremot en mer komplex struktur på höge nivå Nätlagret I nätlagret skapas en samlad kartbild, med överenskomna adresser till alla anslutna system. Internet och nätprotokollet IP (Internet Protocol) är det främsta exemplet på en sådan struktur. Mot bakgrund av den omfattande internetanvändningen i det svenska samhället utgör störningar som kan drabba Internets grundfunktioner en uppenbar sårbarhet idag. Konsekvenserna av sådana störningar väntas dessutom öka i takt med att svenska myndigheter anpassat sin verksamhet till Internet, framför allt genom satsningar på att uppfylla kraven inom e-förvaltningen. Mer omfattande driftstörningar i den svenska grenen av Internet kan få allvarliga samhällskonsekvenser. Sådana störningar måste därför kunna upptäckas och åtgärdas på ett effektivt sätt. Två nyckelfunktioner är speciellt kritiska: katalogsystemet DNS (Domain Name System) samt den vägvalsmekanism (extern routing) som hanterar mer omfattande trafikflöden mellan nätoperatörer. Om någon av dessa funktioner skulle drabbas av större störningar skulle det få allvarliga konsekvenser för internettrafiken i Sverige. Några exempel på sådana konsekvenser är att datorer inte skulle hitta varandra på nätet eller att hela myndigheter eller regioner skulle kunna förlora kontakten med Internet.

19 6.2.4 Transportlagret I transportlagret kan förbindelser upprättas mellan datorer genom anrop och svar. Genom falska anrop, eller stora mängder anrop, kan system överbelastas, kraschas eller förmås agera onormalt. På transportnivån finns det även ett koordinerat system av ingångsportar i datorsystemen som kan anropas för att etablera sessioner och tjänster på högre nivåer. Även den strukturen är sårbar för angrepp. Sid 19(29) Tillämpningslagret För användaren hanteras nyttoinformationen något förenklat i tillämpningslagret. Här används programvara av olika slag, till exempel för att skicka e-post, läsa webbsidor, ringa samtal med en IP-telefon, hantera ett affärssystem eller kommunicera med en databas. Även läs- och skrivrättigheter i ett företagsnät hanteras på denna nivå. Här återfinns åtskilliga sårbarheter, varav många är av administrativ karaktär. Det finns dock flera tekniska sårbarheter som är värda att uppmärksamma. Dagens systemmiljöer blir alltmer komplexa vilket leder till att fel (buggar) i programmen inte kan undvikas. Programmering har dessutom länge skett med större fokus på utökade funktioner än på stabilitet och säkerhet. I det senare avseendet håller situationen på att förbättras idag, men fel och återkommande uppdateringar kommer vi knappast att kunna undvika helt. Verktyg i form av meddelandehantering som sker i realtid är en funktion som bidrar till en ökad sårbarhet i systemen. Direktmeddelandetjänster (Instant Messaging) blir allt vanligare både bland företag och som hemanvändare. Generellt sett är dessa funktioner inte lika väl skyddade. Direktmeddelandetjänsten används också till att utbyta konfidentiell information, vilket gör att informationen kan bli tillgänglig för en angripare. I slutändan kan dessa tjänster också användas som bärare av skadlig kod. Många webbtillämpningar är i dagsläget relativt sårbara. Detta beror delvis på att källkoden är alltför enkel att ändra. För att komma till rätta med sårbarheter kopplade till webbtillämpningar måste en organisation ofta se över en större del av informationshanteringskedjan och analysera hur kritisk information utbyts via Internet. Övergången från traditionell telefoni till IP-telefoni är ett speciellt kapitel ur sårbarhetssynpunkt. Detta har aktualiserats nyligen i samband med att trygghetslarm som förmedlats via IP-telefoni visat sig känsliga för störningar.

20 Sid 20(29) 7 Skydd - förebyggande och skadebegränsande I detta kapitel behandlas skadeförebyggande och skadebegränsande åtgärder relaterat till de hot och sårbarheter som tagits upp tidigare i lägesbedömningen. Att såväl skadeförebyggande som skadebegränsande åtgärder behandlas beror på att det inte går att uppnå en hundraprocentig säkerhet. Detta innebär att även om stora resurser läggs på att förebygga IT-attacker är det troligt att sådana ändå kommer att äga rum. I ljuset av detta blir det viktigt att även behandla de åtgärder som behöver vidtas för att i möjligaste mån begränsa skadorna av det inträffade. Texten nedan är till övervägande del deskriptiv till sin karaktär. Den återger exempel på åtgärder som vidtagits av såväl privata som offentliga aktörer i syfte att förbättra informationssäkerheten men innehåller även vissa normativa inslag i form av förslag till åtgärder. 7.1 Administrativa skydd Då många sårbarheter kan kopplas till den interna organisationen är det viktigt att informationssäkerhetsfrågorna uppmärksammas på ledningsnivå inom myndigheter och organisationer. Det är viktigt att ledningen åstadkommer tillräckliga förutsättningar för god informationssäkerhet inom organisationen. Det är deras ansvar att anpassa de organisatoriska formerna för arbetet med informationssäkerhet och även se till att betydelsen av informationssäkerhetsarbetet samt mål och syfte kommuniceras till medarbetarna. Inom ramen för detta ligger också ansvaret att identifiera och prioritera vilka informationssystem som bedöms som viktiga (kritiska) för verksamheten. Det bör finnas övergripande styrdokument som tydliggör hur organisationen arbetar med informationssäkerhet exempelvis en informationssäkerhetspolicy. En informationssäkerhetspolicy bör tydligt visa ledningens inriktning samt hur man som användare ska agera för att upprätthålla god informationssäkerhet. För att få vägledning i hur man tar fram en informationssäkerhetspolicy samt vilka aspekter som bör finnas med finns ett antal standarder att luta sig mot. Ledningssystem för informationssäkerhet - SIS/TK 318 (LIS) är ett bra ramverk som ger handledning i hur man inför ett ledningssystem för informationssäkerhet i verksamheten. För att uppnå en grundläggande säkerhetsnivå för informationssäkerhet producerar KBM rekommendationer i BITS-handboken (Basnivå för informationssäkerhet); dessa rekommendationer är harmoniserade med LIS. När myndigheter genomför sina årliga risk- och sårbarhetsanalyser är det viktigt att inte glömma att integrera informationssäkerhetsfrågorna i detta arbete. Om det inte görs är det svårt att bedöma på vilken nivå som relevant skydd av organisationens information och informationssystem bör ligga. Myndigheterna är också skyldiga att genomföra säkerhetsanalyser, ett område där Säkerhetspolisen är tillsynsmyndighet. Starkt kopplat till avsaknaden av en informationssäkerhetspolicy är brister i rutiner och regelverk. I händelse av att en IT-attack inträffar är det viktigt att kunna skydda organisationens information och informationssystem samt ha