Blogg

Cyberspionage anno 1996

Publicerat: 
2017-04-20 10:45

Kaspersky och forskare från Kings College släppte för en dryg vecka sedan rapporten Penquin’s Moonlit Maze –The dawn of Nation-State Digital Espionage. Rapporten är spännande då den påvisar en möjlig länk mellan ryskt cyberspionage i internets vagga och idag, [4].

Jämför man med idag där nyheter om datorangrepp som kostar företag miljonbelopp är vardagsmat, så känns 90-talets datorangrepp förhållandevis milda. De cyberangrepp många minns kring mitten av nittiotalet, var hacktivister som ersatte företags hemsidor med sina egna ofta politiska budskap. Ett känt exempel på detta från 1996 var när CIA:s hemsida hackades i protest mot rättegången mot medlemmarna i Swedish Hacking Association, där Bo Skarinder var åklagare.

Hackad version av CIA:s hemsida

Parallellt med denna typ av attacker initierades dock runt 1996 en våg av cyberangrepp mot olika amerikanska myndigheter och organisationer med försvarskopplingar, inklusive flygbaser, forskningsinstitutioner och NASA. Dessa angrepp pågick i åtminstone två år, gjordes troligen av ryska aktörer i spionageändamål och kom senare att få namnet Moonlight Maze. Kasperskys rapport handlar om dessa angrepp och om eventuella kopplingar mellan dem och Penquin Turla år 2011. För den oinvigde så är Penquin Turla det första upptäcka cyberangreppen mot Linux och Unix från den ryskspråkiga, spionageorienterade och nu aktiva hackergruppen Turla, en känd så kallad APT.

Utgångspunkten för Kasperskys rapport är att de fick tillgång till en gammal server på ett brittiskt företag som de ryska angriparna efter att ha hackat använts som ett hjälpmedel för sina fortsatta angrepp. Den brittiska servern användes först som proxy vilket innebär att trafiken från angriparna skickades genom servern för att dölja angriparnas verkliga IP-adress. Därutöver användes den brittiska servern även som en staging server vilket innebär att servern fungerade som en samlingsplats för skadlig kod och verktyg vilka laddades ned till nya hackade servrar. De angriparna inte visste var dock att serverns roll upptäckts av myndigheterna och att FBI tillsammans med Scotland Yard använde servern för att kartlägga angriparnas förehavande. Servern ställdes därför in för att samla loggar, spara alla filer, fånga trafik och övervaka en specifik användare på servern. Företagets dåvarande systemadministratör bestämde sig för att spara servern och har nyligen gett Kaspersky tillgång till den.

Den initiala attackvektor som angriparna använde sig av var den då välkända sårbarhet i en Common Gateway Interface (CGI) som paketerades som exempelkod med http-daemoner för Linux och därmed ofta fanns på publika webbservrar. Något förenklat är en http-daemon ett bakgrundsprogram som gör att servern kan hantera http-trafik och en CGI gör det möjligt för denna att köra utvalda kod på servern. En risk än idag är dock att denna funktionalitet missbrukas av en angripare för att köra godtyckliga kommandon på servern. Denna typ av sårbarheter uppstår när data och kommandon är möjliga att mata in via samma input och kallas på engelska för command injection. Det finns standardiserade metoder för att mitigera risken för att så ska ske genom exempelvis validering av input och automatiserad formatering av symboler med innebörd i underliggande språk. Trots det ligger command injection på förstaplats på OWASP lista över de tio mest kritiska sårbarheterna för webbapplikationer, och förekommer frekvent inom exempelvis applikationer som gör slagningar mot en bakomliggande SQL-databas [5].

Den CGI som angriparna utnyttjade 1996 hette phf och mot exempelvis IP-adressen 1.2.3.4. Gjorde angreppet genom att göra anropet:

http ://1.2.3.4/cgi-bin/phf?Qalias=%ff/bin/cat%20/etc/passwd

I anropet är %ff oväntad input till variabeln Qalias vilket när det ges som argument till phf (genom phf?Qalias=%ff), gör att det som kommer därefter körs som ett kommando på servern istället för att tolkas som data. I detta fall är det kommando som körs

/bin/cat /etc/passwd

Detta kommando skriver helt enkelt ut innehållet filen passwd, vilket 1996 ofta innehöll såväl användarnamn som lösenord för alla användare. Angriparna använde sedan de erhållna användarnamnen och lösenorden för att logga in på servern via telnet eller ftp. Sårbarheten var känd på sin tid och finns publikt tillgänglig, exempelvis i exakt samma formulering som användes i Moonlight Maze i databasen Fyodor's Exploit World som underhölls fram till 1998 av skaparen till det kända skanningsverktyget nmap, [2].

Exploit Worlds logga

När angriparna kom in på en ny server verkade de i blindo ha laddat ned olika exploits och testa att köra dem i förhoppningen att den aktuella servern skulle vara sårbar mot dessa. Detta tillvägagångssätt är mycket högljutt sätt att angripa en server som riskerar göra offret uppmärksam på angreppet. Idag förknippas därför ett sådant agerande snarare med scriptkiddies än avancerade riktade angrepp. Bland de verktyg som användes på detta sätt fanns bakdörren LOKI2 som publicerats i Phrack, [1].

LOKI2 var skickligt utformad och dolde sin trafik i för ändamålet ovanliga protokoll som DNS och ICMP. Vid angreppens början användes LOKI2 i standardutförande, men anpassades medan angreppen fortgick. En intressant parallell som Kaspersky drar är att ungefär samtidigt som spåren efter Moonlight Maze upphör finns de första spåren av Penquin Turla. Spåren utgörs av data från ett angrepp som påvisar att just en modifierad variant av LOKI2 används i angrepp 2016 mot företaget RUAG som arbetar för den schweiziska militären. Dessa båda varianter av LOKI2 är snarlika och forskarna bakom rapporten spekulerar därför i att Moonlight Maze utvecklades till att bli Turla. Stämmer spekulationerna påvisar de en rysk underrättelseoperation som varit aktiv i 20 år i likhet med, den nyligen upptäcka och troligen NSA-kopplade, Equation Group [3]

Eftersom utvecklingen går så snabbt framåt inom IT-säkerhet är det lätt att glömma bort historien. Detta blir väldigt påtagligt av Kasperskys rapport då skillnaden mellan att ta sig in på servrar genom att använda kända sårbarheter för att få dem att skriva ut lösenord känns extremt avlägset från de skräddarsydda och komplexa attacker som ingår i Turlas arsenal idag och till exempel har innefattat exfiltrering av data via satelliter.

Referenser
[1]- Daemon9, 1997, LOKI2 (the implementation), Phrack Magazine Vol. 7, Issue 51, http://phrack.org/issues/51/6.html#article
[2] – Exploit World, ca. 1996, /cgi-bin/phf vulnerability, http://insecure.org/sploits/phf-cgi.html
[3] - Kaspersky lab, 2015, Equation group questions and answers, https://securelist.com/files/2015/02/Equation_group_questions_and_answer...
[4] – Kaspersky lab, 2017, Penquin’s Moonlit Maze –The dawn of Nation-State Digital Espionage, https://securelist.com/files/2017/04/Penquins_Moonlit_Maze_PDF_eng.pdf
[5] - OWASP, 2013, OWASP Top 10 2013 –The Ten Most Critical Web Application Security Risks, https://www.owasp.org/images/f/f8/OWASP_Top_10_-_2013.pdf

 

Skribent(er): 
Anders Lundman

Det osynliga hotet – lite om Steganografi

Publicerat: 
2017-02-27 16:45
Steganografi, konsten att gömma meddelanden på ett sådant sätt att endast mottagaren känner till att det finns. Det har använts sedan länge, ca 500 år f.v.t. i det forna Grekland berättar Herodotus att Histiaeus lät tatuera in ett meddelande på en slavs rakade skalle. När håret växte ut var meddelandet således dolt och kunde levereras till mottagaren.
Osynligt bläck är en av många typer av steganografi. Steganografi kan användas för att gömma en typ av media i en annan typ av media, t.ex. bilder gömda i bilder, texter gömda i bilder, bilder gömda i ljud eller video för att nämna några kombination. Det finns en mängd metoder att applicera steganografi i digitalt media. Ett sätt är att dölja meddelandet i LSB (least significate bits), dvs den bit i varje pixel som minst påverkar pixelns utseende, eller en enklare metod är att dölja den i slutet av hex-koden, vilket också är enklare att knäcka. Kan du hitta den hemliga kodfrasen i bilden ovan? Tips: Det är en ganska osäker steganografimetod som använts.
Men steganografi används inte bara till att skicka hemliga meddelanden. Det har även använts för att distribuera skadlig kod. Skadlig kod har gömt sig i Genom att bädda in kod i reklambilder och utnyttja sårbarheter i webbläsaren exekveras den inbäddade koden på offrets dator. Tidigare i år upptäcktes AdGholas kampanjen började använda Stegano exploit kit – ett exploit kit som använder sig av steganografi för spridning av skadlig kod. ESETs analys i december för en kampanj visar att reklam med skadlig kod matades till användaren webbläsare om vissa kriterier uppfylldes. Den skadliga koden var gömd i reklamens alpha-kanal, d.v.s. de bitar som definierar transparensen av en pixel. Skillnaderna i reklamen var marginella och inte synliga för det blotta ögat. Bilden nedan visar en förstoring på en del av den reklambild som analyserades av ESET: 
 
änster, förstoring av bild som inte innehåller skadlig kod, Mitten förstoring av reklam som innehåller skadlig kod, Vänster förstärkning av mittenbilden för att förtydliga skillnaderna. Bild från: http://www.welivesecurity.com/2016/12/06/readers-popular-websites-targeted-stealthy-stegano-exploit-kit-hiding-pixels-malicious-ads/
Figur 1: Vänster, förstoring av bild som inte innehåller skadlig kod, Mitten förstoring av reklam som innehåller skadlig kod, Vänster förstärkning av mittenbilden för att förtydliga skillnaderna. Bild från: http://www.welivesecurity.com/2016/12/06/readers-popular-websites-target...
 
Det gömda scriptet kontrollerar sedan om webbläsaren är sårbar, i detta fall utnyttjade en sårbarhet i Internet Explorer, för att sedan skicka användaren till en exploit-sida.
Även ProofPoint och Tredmicro publicerade en analys av en annan AdGholas Stegano-kampanj tidigare i år. Vilka andra innovativa steganografi-hot kan tänkas och hur kan vi upptäcka hoten?
Att gömma skadlig kod i reklam är ett effektivt sätt för att infektera datorer med skadlig kod. Men för att skydda sig mot malvertising och andra hot på internet så är det första rekommendationen att se till att ha alla de senaste säkerhetspatcherna applicerade på sitt system! Man kan även inaktivera JavaScript i sin webbläsare för att förhindra den här typen av attacker, även inaktivering av Flash är fördelaktigt, då det är en annan vanlig infektionsvektor (och inte inte bara för steganografi-angrepp!). Du kan även installera ad-block tillägg i din webbläsare för att blockera reklam för att minska risken för att drabbas av skadlig kod som sprids via reklam.
 
Skribent(er): 
Tiina Loukusa Hyttnäs
Taggar: 

Användning av hemliga tvångsmedel under 2015

Publicerat: 
2017-02-13

 

Regeringen publicerar årligen en sammanfattning av hur hemliga tvångsmedel använts under det föregående året. Den senaste skrivelsen publicerades i december 2016 och redogör alltså för användandet av hemliga tvångsmedel under 2015 [1].

Dessa dokument utvecklas fortfarande från år till år. Delvis för att göra användningen av hemliga tvångsmedel mer transparent, men också för att det skall vara möjligt för allmänheten att bedömman nyttan av att hemliga tvångsmedel används. Exempelvis var dokumentet som utgavs 2016 det första som innehåller en viss redogörelse för säkerhetspolisens användning av hemliga tvångsmedel.

Direkt nedan finns en sammanfattning av den relevanta terminologi, samt de juridiska villkor som är nödvändiga för att hemliga tvångsmedel skall få brukas. Därefter diskuteras rättssäkerhet och upptäckter som gjorts av Säkerhets- och integritetsskyddsnämnden under det senaste året. Slutligen presenteras och tolkas vissa data ur [1].

Olika typer av hemliga tvångsmedel

Hemliga tvångsmedel är ett samlingsnamn för hemlig övervakning och avlyssning av elektronisk kommunikation samt hemlig kameraövervakning, hemlig ljudupptagning och postkontroll.

Skillnaden mellan övervakning och avlyssning av elektronisk kommunikation är att vid övervakning noteras enbart vilket kommunikation som förekommit, utan att innehållet inspekteras. Att ta reda på var en mobiltelefon befunnit sig är en form av övervakning. Men att läsa innehållet i ett textmeddelande som skickas från en mobiltelefon klassas som avlyssning. Elektronisk kommunikation får endast avlyssnar under förundersökningen vid ett brott vars minsta påföljd är 2 års fängelse. För övervakning går samma gräns vid 6 månader. Ett tillstånd för avlyssning medför också tillåtelse för övervakning [2].

Hemlig kameraövervakning är i princip tillåtet under samma förutsättningar som hemlig avlyssning av elektronisk kommunikation. Hemlig kameraövervakning kan även tillåtas om det inte finns någon som är skäligen misstänkt för ett brott. Syftet skall då vara att övervaka en plats där ett brott begåtts, för att identifiera någon som skäligen kan misstänkas för brottet i fråga [2]. Vid kameraövervakning tillåts enbart videoinspelning, utan medföljande ljudinspelning. Hemlig rumsavlyssning betraktas nämligen som ett separat, mer påträngande tvångsmedel och tillåtas endast under förundersökningen vid ett brott vars minsta påföljd är 4 års fängelse.

Postkontroll kan tillåtas vid förundersökning till brott som leder till minst ett års fängelse, vilket innebär att brev och andra försändelser som paket får stoppas och undersökas.

Rättssäkerhet vid användning av hemliga tvångsmedel

Vid användning av hemliga tvångsmedel skall ändamålsprincipen, behovsprincipen och proportionalitetsprincipen alltid följas. Dessa säger, att ett tvångsmedel endast skall användas för det ändamål som det beslutats att det skall användas för, endast ifall att det är omöjligt att införskaffa samman information på annat vis och endast om nödvändigheten att använda tvångsmedlet uppväger kränkningen av den misstänktes rättigheter.

Den ordinarie processen för att använda hemliga tvångsmedel börjar med att en ansökan om att de tillåtas användas mot en skäligen misstänkt lämnas in av åklagare. När beslutet fattas i domstol skall ett offentligt ombud närvara, för att försvara integriteten av den som skall övervakas. I tillåtelsen så anges ramar för exempelvis, under vilken tidsperiod tillåtelsen gäller.

Lagen om åtgärder för att förhindra vissa särskilt allvarliga brott [3] ger utökade rättigheter att använda tvångsmedel i förebyggande syfte. Med särskilt allvarliga brott menas i princip olika varianter av terrorism, spionage och mord.

Sedan tillägget från 2015 till ovannämnd lag har åklagare dessutom möjlighet att fatta interimistiska beslut, ifall det bedöms som för tidskrävande att genomgå den normala rättsprocessen. Åklagaren tillåts besluta om hemlig övervakning eller avlyssning av elektronisk kommunikation, samt hemlig kameraövervakning [4]. Så snart möjlighet finns, så ska frågan prövas av en domstol. Ifall åklagarens beslut då anses felaktigt så måste övervakningen avbrytas och de uppgifter som samlats in under tiden får inte användas till den anklagades nackdel i brottsutredningen.

Enligt lagen om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet [5] är det tillåtet för Polisen, Säpo eller Tullverket att direkt initiera övervakning med hjälp av hemliga tvångsmedel. Det är då upp till en anställd i organisationen som givits förtroende av myndighetschefen att bedöma ifall övervakningen skall initieras. Lagen är tillämpbar ifall övervakningen är av särskild vikt för att upptäcka, förhindra eller förebygga brott vars minsta påföljd är två års fängelse.

Rättssäkerheten upprätthålls då genom att användningen av hemliga tvångsmedel skall dokumenteras och rapporteras i efterhand, samt genom regler som säger att data från användning skall förstöras ifall de inte längre tjänar ett syfte har samlats in under felaktiga förutsättningar. Efterlevnaden kontrolleras av Säkerhets- och integritetsskyddsnämnden [6]. Det skall betonats att även Säkerhetspolisen, har en skyldighet att rapportera till Säkerhets- och integritetsskyddsnämnden om varje beslut om inhämtning som fattas.

Efterlevnad av regler för att bevara rättssäkerheten

Att döma av vad som skrivits av Säkerhets- och integritetsskyddsnämnden utdömer domstolen tillåtelser för bruk av hemliga tvångsmedel i linje med lagstiftningen. Problem uppstår dock eftersom Polisen och Säkerhetspolisen inte alltid har levt upp till sitt ansvar enligt lagen.

Polisen får, som tidigare nämnts, enbart använda tvångsmedel inom de ramar som ett beslut anger och har en skyldighet att förstöra material när det inte längre har värde för en utredning eller ifall det samlats in felaktigt. Säkerhets - och integritetsskyddsnämnden har, vid flera tillfällen funnit, att polisen rapporterat att material förstörts, trots att det funnits kvar i Polismyndighetens avlyssningssystem [7] och att polisen fortsatt med avlyssning utanför de tidsramar som ett beslut tillåtit [8].

Polisen har till och med, initierat övervakning utan tillstånd från domstol och hävdat stöd från lagen brottsbekämpande myndigheternas underrättelseverksamhet, för brottslighet som lagen inte är tillämpbar på, d.v.s. för brott vars minsta påföljd är mindre än två års fängelse.

Säkerhets- och integritetsskyddsnämnden också riktat kritik mot Säkerhetspolisen p.g.a. deras bristande rutiner för rapportering, som iakttagits vid en inspektion [9]. Den första upptäckten var att det på grund av bristen på intern kontroll inom säkerhetspolisen inte går att veta ifall nämnden blivit informerade om samtliga beslut om inhämtning som tagits. Senare kunde nämnden dessutom upptäcka att det förekommit beslut som borde rapporterats till dem, men inte gjort det. Bland de beslut som rapporterats till nämnden noterades dessutom att bland annat att övervakning skett utanför de tider som specificerats i ett tillstånd.

Det har dock sagts att många av de noterade bristerna härstammar från övergången från ett gammalt IT-system och att dessa brister kommer att åtgärdas.

Användandet av hemliga tvångsmedel under 2015

I figurerna 1-4 visas antalet tillstånd som utfärdats för olika typerna utav hemliga tvångsmedel under 2015. Observera att olika tillstånd för olika typer av hemliga tvångsmedel kan ha utfärdats för användning mot samma person.

Vad gäller avlyssning av elektronisk kommunikation, vars fördelning visas i figur 1, så har ingen större förändring av antalet utfärdade tillstånd eller antalet avlyssnade personer observerats jämfört med tidigare år.

Figuren visar fördelningen av 3465 tillstånd som använts för att avlyssna 1158 olika personer under 2015.

Figur 1 – Figuren visar fördelningen av 3465 tillstånd som använts för att avlyssna 1158 olika personer under 2015.

I figur 2 visas fördelning av tillstånd som utdelats för övervakning av elektronisk kommunikation. Antalet personer som övervakats har ökat med 4 % från föregående år, antalet utfärdade tillstånd har ökat med 35 %. Antalet utdelade tillstånd ser ut att stiga, 2014 delades nämligen fler tillstånd ut än 2013 eller 2012. Det kan eventuellt förklaras med att kriminella är medvetna om att de övervakas och ofta byter telefoner och abonnemang. Ett tillstånd utfärdas nämligen för varje nytt telefonnummer.

Figur 2 – Figuren visar fördelningen av 5959 tillstånd som använts för att övervaka 2104 olika personer under 2015.

Figur 2 – Figuren visar fördelningen av 5959 tillstånd som använts för att övervaka 2104 olika personer under 2015.

Motsvarande information visas i figur 3 för hemlig kameraövervakning. Antalet person som övervakats har ökat med 37 % från föregående år, medan antalet utfärdade tillstånd ökat med 65 %. Emellertid utfördes ovanligt lite kameraövervakning under 2014. Eftersom det totalt utfärdas få tillstånd för kameraövervakning så är det naturligt att procentuella variationen är stor från år till år.

Figur 3 – Figuren visar fördelningen av 114 tillstånd som använts för att övervaka 122 olika personer under 2015.

Figur 3 – Figuren visar fördelningen av 114 tillstånd som använts för att övervaka 122 olika personer under 2015.

I figur 4 så visas fördelningen mellan olika brottstyper för tillstånd till hemlig rumsavlyssning. Eftersom hemlig rumsavlyssning endast tillåts vid allvarligare brott så saknas flera kategorier av brott i figuren som funnits i de tidigare figurerna och det totala antalet tillstånd som utdelats är mindre. Antalet person som avlyssnats har ökat med 143 % från föregående år, medan antalet utfärdade tillstånd ökat med 175 %. Det finns inte data att tillgå från tidigare år än 2014, så det är svårt att säga ifall den stora ökningen bara är en tillfällig fluktuation eller tyder på en ny trend.  Men ifall kriminella anpassar sitt beteende på grund av att de är medvetna om att elektronisk kommunikation övervakas, så ökar eventuellt nyttan av hemlig rumsavlyssning som en följd. Det kommer att vara intressant att se över kommande år ifall den här ökningen är början på en trend.

Figur 4 – Figuren visar fördelningen av 44 tillstånd som använts för att övervaka 51 olika personer under 2015.

Figur 4 – Figuren visar fördelningen av 44 tillstånd som använts för att övervaka 51 olika personer under 2015.

Säkerhetspolisen har rapporterat in 486 fall då hemliga tvångsmedel använts, men eftersom deras rapportering varit bristfällig och eftersom det inte finns data från tidigare år så kan dessa data inte tolkas i nuläget.

Slutsatser

Data från 2015 visar inte på några stora förändringar i användningen av hemliga tvångsmedel, men det går att urskilja vissa trender som tyder på att kriminella har ett ökat medvetande om att hemliga tvångsmedel används emot dem.

Regeringen gjorde den slutgiltiga bedömningen att användningen av hemliga tvångsmedel är en nödvändig resurs som används ändamålsenligt. I stort stämmer säkert detta, men det kommer att vara intressant att se ifall de utlovade förbättringarna av säkerhetspolisens rapporteringsrutiner kommer att ske under det kommande året.

Referenser                                                                                  

[1] - http://www.regeringen.se/rattsdokument/skrivelse/2016/12/skr.-20161769/

[2] - https://lagen.nu/1942:740#K27

[3] - http://www.riksdagen.se/sv/dokument-lagar/dokument/svensk-forfattningssamling/lag-2007979-om-atgarder-for-att-forhindra_sfs-2007-979

[4] - https://lagen.nu/1942:740#K27P21aS1

[5] - https://www.riksdagen.se/sv/dokument-lagar/dokument/svensk-forfattningssamling/lag-2012278-om-inhamtning-av-uppgifter-om_sfs-2012-278

[6] - https://www.riksdagen.se/sv/dokument-lagar/dokument/svensk-forfattningssamling/lag-2007980-om-tillsyn-over-viss_sfs-2007-980

[7] - http://www.sakint.se/Uttalande-med-beslut-dnr-146-2016-Hanteringen-av-material-fraan-hemligt-tvaangsmedel-i-tvaa-aerenden-2.pdf

[8] - http://www.sakint.se/Dnr-22-2017-Uttalande-med-beslut-Verkstaelligheten-av-HAK-vid-PM-(Oest).pdf

[9] - http://www.sakint.se/dnr-110-2016-Uttalande-med-beslut.pdf

Skribent(er): 
Victor Sedin

En ny säkerhetsskyddslag har föreslagits, vad innebär den och hur har den tagits emot?

Publicerat: 
2017-01-25
En utredning av regeringen [1] föreslår att säkerhetsskyddslagen ersätts av en ny lag. Lagen ska bemöta förändrade krav på säkerhetsskyddet, exempelvis avseende sårbarhet hos samhällsfunktioner och att säkerhetskänslig verksamhet i högre grad bedrivs i enskild regi. Denna veckas blogg går igenom vad betänkandet beskriver samt hur det mottagits hos myndigheter och andra aktörer. 
Vad innebar den ursprungliga säkerhetsskyddslagen?
Lagen (1996:627) trädde i kraft 1996 och omfattar skydd mot spioneri, sabotage, av uppgifter som omfattas av sekretess och som rör rikets säkerhet, samt mot terroristbrott. Säkerhetsskyddet reglerar verksamhet som är av betydelse för rikets säkerhet eller särskilt behöver skyddas mot terrorism. Skyddet består i förmåga att förebygga, identifiera, försvåra samt agera vid angrepp och hanteras med åtgärder inom informationssäkerhet (avseende sekretess), samt tillträdesbegränsning och säkerhetsprövning.
Varför behöver säkerhetsskyddslagen förändras?
Bedömningen är att säkerhetsskyddslagen behöver moderniseras, förtydligas och utvecklas. Flertalet faktorer har påverkat. De senaste 15 årens utveckling inom IT samt internationellt samarbete har ökat fokus på säkerhetsskyddsfrågor. Hotbilder mot rikets säkerhet ser avsevärt annorlunda ut idag, med inte sällan icke-militära och icke-statliga aktörer, breddning av främmande staters underrättelseverksamhet till exempelvis information om samhällsviktiga system, samt utflyttning av verksamheter till utlandet, t.ex. inom energiförsörjning. Betydande  informationsmängder av både öppen samt hemlig karaktär hanteras idag i IT-system hos verksamheter där ett starkt beroende finns av dessa för styrning, reglering samt övervakning exempelvis. 
IT-system innehållande information som trots att de inte omfattas av sekretess utan snarare utifrån perspektivet tillgänglighet och riktighet har fått allt större betydelse för rikets säkerhet. Detta omfattar exempelvis konsekvenser vid avbrott i övervakningssystem i ett kärnkraftverk samt felfunktion i styrkommandon för dammluckor i ett vattenkraftverk. Elektroniska angrepp mot samhällsviktiga system är ett av de mest allvarligaste hoten mot rikets säkerhet som existerar idag. Dock har lagen inneburit små möjligheter att exempelvis skydda IT-systemen själva. 
Avgränsningar för säkerhetsskyddslagens bestämmelser för åtgärder för att skydda uppgifter som omfattas av sekretess har således bedömts för snäva. Lagen har kunnat tolkas att enbart gälla myndigheter för att skydda hemliga uppgifter samt skydd mot terrorism för skyddsobjekt som t.ex. flygplatser och byggnader. Detta medför exempelvis att verksamheter med betydelse för att upprätthålla samhällsfunktion riskerar att inte omfattas. Lagen behöver således förtydligas avseende tillämpningsområden, exempelvis så att även privata verksamheter omfattas, utvecklas avseende internationella åtaganden, samt för aspekterna tillgänglighet och riktighet avseende informationssäkerheten.
Vad säger den nya säkerhetsskyddslagen?
Indelningen i tre säkerhetsskyddsåtgärder består och benämns nu informationssäkerhet, fysisk säkerhet samt personalsäkerhet. Betänkandet innebär dock en bredare ansats för lagen. Beskrivningen av säkerhetsskydd sker i två inriktningar: 
  • verksamhet som innebär hantering av  säkerhetsskyddsklassificerade uppgifter samt,
  • i övrigt säkerhetskänslig verksamhet (i.e. inte enbart skyddsobjekt utan exempelvis hantering av IT-system eller uppgifter av betydelse för samhällsfunktion).
Den som är ansvarig för säkerhetskänslig verksamhet ska tillse att 
  • behov av säkerhetsskydd utreds i en säkerhetsskyddsanalys där därtill hot, möjliga konsekvenser, samt sårbarheter ingår
  • vidta säkerhetsskyddsåtgärder, samt kontrollera att bestämmelser följs
  • lämna uppgifter enligt rapporteringsskyldighet till utsedda tillsynsmyndigheter
Säkerhetsskyddsklassificerade uppgifter ska delas in fyra klassningsnivåer av internationell modell (kvalificerat hemlig, hemlig, konfidentiell, begränsad) utifrån skada som kan uppstå då uppgifter röjs. 
Informationssäkerheten delas upp i två moment och syftar nu inte enbart till att ge skydd ur ett konfidentialitetsperspektiv. Dessa omfattar krav på åtgärder som:
  • ger skydd av säkerhetskyddsklassificerade uppgifter anpassat efter klassningsnivå för att förhindra att de röjs, ändras, görs otillgängliga eller förstörs. Dessa uppgifter är sådana som i regel omfattas av sekretess eller skulle ha omfattats av sekretess om lagen gällt gör verksamheten. Det senare innebär att även privata aktörer måste göra en bedömning av om det borde föreligga sekretess eller inte.
  • förebygger skadlig inverkan på informationstillgångar som annars är av betydelse för säkerhetskänslig verksamhet, dvs riktighet och tillgänglighet hos exempelvis tekniska system som kommunicerar eller på annat sätt behandlar uppgifter oavsett form.
För exempelvis IT-system som behandlar säkerhetsskyddsklassificerade uppgifter ska säkerhetsskyddet omfatta funktioner för behörighetskontroll, registrering av händelser i systemet som är av betydelse för säkerheten, skydd mot obehörig avlyssning, intrångsskydd, skydd mot skadlig kod samt skydd mot röjande signaler.  
Fysisk säkerhet ersätter benämningen tillträdesbegränsning och innebär åtgärder mot obehörigt tillträde till exempelvis område där säkerhetskänslig verksamhet bedrivs, dels skadlig inverkan på dessa områden, anläggningar eller objekt. Inom ramarna för säkerhetsprövning som syftar till att förhindra att personer ej pålitliga ur säkerhetssynpunkt deltar i säkerhetskänslig verksamhet, föreslår betänkandet att kravet på svenskt medborgarskap tas bort. 
Vad säger remissinstanser om den nya säkerhetsskyddslagen med avseende på åtgärder inom informationssäkerhet?
Lejonparten av de instanser som yttrat sig är positiva till moderniseringen som helhet. Som exempel på synpunkter som inkommit kan nämnas att Säkerhetspolisen [2] saknar krav på periodicitet i säkerhetsskyddsanalys under IT-systems livslängd. Försvarsmakten, Skatteverket, Svenska kraftnät, Ekobrottsmyndigheten samt Riksgäldskontoret [3-6] bedömer kravet på  skydd mot röjande signaler för IT-system som endast innehåller klassificeringsnivån Begränsad oproportionerligt, kostnadsdrivande  och att det skulle innebära högre krav på civila myndigheter än befintliga inom Försvarsmakten. Dock ger lagen handlingsfrihet genom möjlighet att föreskriva om generella undantag vilket förmodligen innebär kostnadskrävande uppgifter för exempelvis Säkerhetspolisen om bedömning av  säkerhetsnivåer för enskilda system krävs. Stockholms läns landsting [7] saknar krav på IT-system som behandlar säkerhetskänslig verksamhet men inte är säkerhetsskyddsklassificerad, t.ex. SCADA-system.
Referenser
[1] SOU 2015:25
Skribent(er): 
Filip Crona

Lärdomar kring säkerhetsrevisioner

Publicerat: 
2017-01-17 12:00



En par intressanta händelser under det gångna året har varit
de myndighetsingripanden som gjorts mot företag som ansetts ha en bristande
säkerhetsstyrning. Nyligen har Finansinspektionen gjort ingripanden mot företag
som outsourcat delar av sitt säkerhetsansvar och tidigare under året har
Transportstyrelsen gjort ingripande mot företag där säkerhetsstyrningen
påvisats ha vissa brister.

Mer information finns på respektive myndigheters hemsidor
där både aktuella förordningar och beslut i tillsynsfrågor finns tillgängliga.
Vissa ärenden har också överklagats så det kan komma ytterligare uppgifter
under 2017.

Det är alltid lätt i efterhand att peka på saker som har
gått fel, men hur ska man egentligen undvika den här typen av händelser? Några
generella slutsatser kan man dra utan att kommentera enskilda ingripanden.

        
För det första behöver det inte ha inträffat några allvarliga
incidenter för att en tillsynsmyndighet ska vilja göra ett ingripande. Det
räcker med att företaget inte klarar av att styrka att säkerhetsarbetet
bedrivits enligt gällande regelverk och rutiner.

        
För det andra är det företaget som har bevisbördan att visa att interna
rutiner har följts, att riskanalyser och interna revisioner genomförts i rätt
tid, att incidenter utretts och återkoppling skett till företagsledning och att
regelverket uppdaterats vid behov. Detta kräver att interna protokoll skrivs
och att alla dokument finns versionshanterade.

        
För det tredje är det företagets skyldighet att underrätta
tillsynsmyndigheten löpande om förändringar i organisation,  delegering av
ansvar eller säkerhetsregelverk, då incidenter inträffat eller vid andra
situationer som de aktuella regelverken anger.

        
Slutligen är alla i företaget tvungna att kunna redogöra för sitt
ansvar enligt säkerhetsregelverket. Vid de kontroller som tillsynsmyndigheten
gör så kan alla personer som har ett uttalat ansvar komma att tillfrågas.

Finns det några andra faktorer som är värda att tänka på? Inför
en revision av tillsynsmyndigheten kan det vara svårt att sammanställa
nödvändiga underlag eftersom ansvaret  för säkerheten normalt är utspritt inom
företaget. Både företagsledning, säkerhetsansvariga på olika positioner och
internrevisionen har ett ansvar. Nedanstående beskrivning är starkt förenklad
och företag kan ha starkt varierande organisation.

Företagsledningens ansvar

Frågan av mer allmänt intresse är vilket ansvar för
säkerhetsstyrningen som ledningen har och hur man egentligen påvisar att
ledningen tagit sitt ansvar. Företagsledningen kan delegera det direkta operativa
säkerhetsansvaret, men har hela tiden det övergripande ansvaret för att
säkerheten är tillräcklig. Detta kan exempelvis omfatta att formulera ett regelverk,
att delegera ett ansvar, att bestämma en organisation och en budget samt att
kontrollera och följa upp säkerhetsstyrningen genom återkommande
uppföljningsmöten, riskbedömningar och revisioner.

Givetvis måste ledningen själva kunna redovisa sitt eget
ansvar, men man måste också kunna leda verksamheten och tillämpa sitt eget
regelverk i en kritisk situation. Detta ansvar omfattar även att besvara och
delegera uppgifter inom och utanför den egna organisationen samt säkerställa att
all anställd och inhyrd personal känner till regelverket.

Säkerhetsansvariges ansvar

Inom ett företag finns ofta en utsedd säkerhetschef och även
andra roller med direkt säkerhets eller riskansvar, exempelvis controllers. Det
finns ofta en uttalad person som ansvarar för företagets säkerhetsstyrning,
ändringar i säkerhetsregelverk och hanterar kravställda möten och utbildningar.

Även konsulter kan arbeta med att ta fram, följa upp eller
tillämpa säkerhetsregelverk i samverkan med en utsedd säkerhetschef som
rapporterar till en företagsledning. Detta kan ibland skapa ett avstånd mellan
företagsledningen och de som granskar eller följer upp säkerhetsregelverket
eller riskanalyser för den lokala verksamheten. Ofta har ledningen ändå nödvändig
kunskap genom framtagna regelverk, avrapporteringar, tillämpningsövningar och
faktiska händelser. Men de myndighetsingripanden som gjorts visar ett behov att
formellt påvisa att ansvaret uppfyllts.

Den person som utsetts inom företaget som övergripande
sammanhållande för säkerhetsstyrningen bör tillsammans med företagsledningen
inför ett möte med tillsynsmyndigheten repetera regelverk och ansvar, samt gå
igenom aktuella händelser, aktuella riskanalyser, genomförda säkerhetsmöten och
fattade beslut så att man kan påvisa att all berörd personal, inklusive
ledningen, har nödvändig kunskap och befogenheter och att säkerhetsstyrningen
fungerat som avsett eller förbättrats vid behov. Man bör också säkerställa att
alla skriftliga regelverk, relevanta mötesprotokoll och tidigare
incidentrapporter är fullständiga inför en avrapportering till myndigheten.

Internrevisionens ansvar

Internrevisionens ansvar är i första hand att kontrollera
att företagets interna rutiner fungerar samt att rapportera sina iakttagelser
till företagsledningen. För företag som har en säkerhetsstyrning så gör
internrevisionen även de kontroller som står angivna i säkerhetsplanen. Det är dock
viktigt att komma ihåg att internrevisionens kontroller och rapportering till
företagsledningen inte med automatik kan översättas till att
tillsynsmyndighetens revision kommer att utfalla positivt.

Även vid extern förvaltningsrevision kontrolleras att
företagsledningen sköter sina uppgifter enligt bolagsordningen och att
företaget följer lagar och regelverk av betydelse. Men varken positiva besked
från intern eller extern granskning är någon garanti för att
tillsynsmyndigheten inte ska göra något ingripande.

NÃ¥gra praktiska rekommendationer

Följ alltid upp tidigare påpekanden från myndigheten. En
brist som kvarstår eller upprepas kan annars leda till ett ingripande.

Studera de beslut som myndigheten tagit tidigare och tänk ut
vad som kan göras för att slippa att hamna i en liknande situation.

 

 

Skribent(er): 
Tomas Forsberg

Sidor