Informationssäkerhet

En ny säkerhetsskyddslag har föreslagits, vad innebär den och hur har den tagits emot?

Publicerat: 
2017-01-25
En utredning av regeringen [1] föreslår att säkerhetsskyddslagen ersätts av en ny lag. Lagen ska bemöta förändrade krav på säkerhetsskyddet, exempelvis avseende sårbarhet hos samhällsfunktioner och att säkerhetskänslig verksamhet i högre grad bedrivs i enskild regi. Denna veckas blogg går igenom vad betänkandet beskriver samt hur det mottagits hos myndigheter och andra aktörer. 
Vad innebar den ursprungliga säkerhetsskyddslagen?
Lagen (1996:627) trädde i kraft 1996 och omfattar skydd mot spioneri, sabotage, av uppgifter som omfattas av sekretess och som rör rikets säkerhet, samt mot terroristbrott. Säkerhetsskyddet reglerar verksamhet som är av betydelse för rikets säkerhet eller särskilt behöver skyddas mot terrorism. Skyddet består i förmåga att förebygga, identifiera, försvåra samt agera vid angrepp och hanteras med åtgärder inom informationssäkerhet (avseende sekretess), samt tillträdesbegränsning och säkerhetsprövning.
Varför behöver säkerhetsskyddslagen förändras?
Bedömningen är att säkerhetsskyddslagen behöver moderniseras, förtydligas och utvecklas. Flertalet faktorer har påverkat. De senaste 15 årens utveckling inom IT samt internationellt samarbete har ökat fokus på säkerhetsskyddsfrågor. Hotbilder mot rikets säkerhet ser avsevärt annorlunda ut idag, med inte sällan icke-militära och icke-statliga aktörer, breddning av främmande staters underrättelseverksamhet till exempelvis information om samhällsviktiga system, samt utflyttning av verksamheter till utlandet, t.ex. inom energiförsörjning. Betydande  informationsmängder av både öppen samt hemlig karaktär hanteras idag i IT-system hos verksamheter där ett starkt beroende finns av dessa för styrning, reglering samt övervakning exempelvis. 
IT-system innehållande information som trots att de inte omfattas av sekretess utan snarare utifrån perspektivet tillgänglighet och riktighet har fått allt större betydelse för rikets säkerhet. Detta omfattar exempelvis konsekvenser vid avbrott i övervakningssystem i ett kärnkraftverk samt felfunktion i styrkommandon för dammluckor i ett vattenkraftverk. Elektroniska angrepp mot samhällsviktiga system är ett av de mest allvarligaste hoten mot rikets säkerhet som existerar idag. Dock har lagen inneburit små möjligheter att exempelvis skydda IT-systemen själva. 
Avgränsningar för säkerhetsskyddslagens bestämmelser för åtgärder för att skydda uppgifter som omfattas av sekretess har således bedömts för snäva. Lagen har kunnat tolkas att enbart gälla myndigheter för att skydda hemliga uppgifter samt skydd mot terrorism för skyddsobjekt som t.ex. flygplatser och byggnader. Detta medför exempelvis att verksamheter med betydelse för att upprätthålla samhällsfunktion riskerar att inte omfattas. Lagen behöver således förtydligas avseende tillämpningsområden, exempelvis så att även privata verksamheter omfattas, utvecklas avseende internationella åtaganden, samt för aspekterna tillgänglighet och riktighet avseende informationssäkerheten.
Vad säger den nya säkerhetsskyddslagen?
Indelningen i tre säkerhetsskyddsåtgärder består och benämns nu informationssäkerhet, fysisk säkerhet samt personalsäkerhet. Betänkandet innebär dock en bredare ansats för lagen. Beskrivningen av säkerhetsskydd sker i två inriktningar: 
  • verksamhet som innebär hantering av  säkerhetsskyddsklassificerade uppgifter samt,
  • i övrigt säkerhetskänslig verksamhet (i.e. inte enbart skyddsobjekt utan exempelvis hantering av IT-system eller uppgifter av betydelse för samhällsfunktion).
Den som är ansvarig för säkerhetskänslig verksamhet ska tillse att 
  • behov av säkerhetsskydd utreds i en säkerhetsskyddsanalys där därtill hot, möjliga konsekvenser, samt sårbarheter ingår
  • vidta säkerhetsskyddsåtgärder, samt kontrollera att bestämmelser följs
  • lämna uppgifter enligt rapporteringsskyldighet till utsedda tillsynsmyndigheter
Säkerhetsskyddsklassificerade uppgifter ska delas in fyra klassningsnivåer av internationell modell (kvalificerat hemlig, hemlig, konfidentiell, begränsad) utifrån skada som kan uppstå då uppgifter röjs. 
Informationssäkerheten delas upp i två moment och syftar nu inte enbart till att ge skydd ur ett konfidentialitetsperspektiv. Dessa omfattar krav på åtgärder som:
  • ger skydd av säkerhetskyddsklassificerade uppgifter anpassat efter klassningsnivå för att förhindra att de röjs, ändras, görs otillgängliga eller förstörs. Dessa uppgifter är sådana som i regel omfattas av sekretess eller skulle ha omfattats av sekretess om lagen gällt gör verksamheten. Det senare innebär att även privata aktörer måste göra en bedömning av om det borde föreligga sekretess eller inte.
  • förebygger skadlig inverkan på informationstillgångar som annars är av betydelse för säkerhetskänslig verksamhet, dvs riktighet och tillgänglighet hos exempelvis tekniska system som kommunicerar eller på annat sätt behandlar uppgifter oavsett form.
För exempelvis IT-system som behandlar säkerhetsskyddsklassificerade uppgifter ska säkerhetsskyddet omfatta funktioner för behörighetskontroll, registrering av händelser i systemet som är av betydelse för säkerheten, skydd mot obehörig avlyssning, intrångsskydd, skydd mot skadlig kod samt skydd mot röjande signaler.  
Fysisk säkerhet ersätter benämningen tillträdesbegränsning och innebär åtgärder mot obehörigt tillträde till exempelvis område där säkerhetskänslig verksamhet bedrivs, dels skadlig inverkan på dessa områden, anläggningar eller objekt. Inom ramarna för säkerhetsprövning som syftar till att förhindra att personer ej pålitliga ur säkerhetssynpunkt deltar i säkerhetskänslig verksamhet, föreslår betänkandet att kravet på svenskt medborgarskap tas bort. 
Vad säger remissinstanser om den nya säkerhetsskyddslagen med avseende på åtgärder inom informationssäkerhet?
Lejonparten av de instanser som yttrat sig är positiva till moderniseringen som helhet. Som exempel på synpunkter som inkommit kan nämnas att Säkerhetspolisen [2] saknar krav på periodicitet i säkerhetsskyddsanalys under IT-systems livslängd. Försvarsmakten, Skatteverket, Svenska kraftnät, Ekobrottsmyndigheten samt Riksgäldskontoret [3-6] bedömer kravet på  skydd mot röjande signaler för IT-system som endast innehåller klassificeringsnivån Begränsad oproportionerligt, kostnadsdrivande  och att det skulle innebära högre krav på civila myndigheter än befintliga inom Försvarsmakten. Dock ger lagen handlingsfrihet genom möjlighet att föreskriva om generella undantag vilket förmodligen innebär kostnadskrävande uppgifter för exempelvis Säkerhetspolisen om bedömning av  säkerhetsnivåer för enskilda system krävs. Stockholms läns landsting [7] saknar krav på IT-system som behandlar säkerhetskänslig verksamhet men inte är säkerhetsskyddsklassificerad, t.ex. SCADA-system.
Referenser
[1] SOU 2015:25
Skribent(er): 
Filip Crona

Tänk om opinionsmätningarna var rätt men valresultatet fel?

Publicerat: 
2016-11-11 17:00
Dagen innan presidentvalet i USA utsågs Hillary Clinton som vinnare. Ett annat resultat vore osannolikt enligt mätningarna. Det samma gällde Brexit-omröstningen. Även omröstningen i Colombia avseende fred med FARC-guerillan slog slint. Även i Sverige har opinionsmätningarna visat sig vara felaktiga. I samtliga fall försöker man hitta rimliga förklaringar, som att mätningarna inte är rättvisande, att mätningarna är slappa, att soffliggare får för sig att rösta, arga vita män och så vidare. Det som ingen verkar beröra, eller som man blundar för, är frågan om opinionsmätningarna var rätt men resultatet fel. För min del är det märkligt att mätningar de senaste åren varit så missvisande. 
 
Utan att ha en djupare kunskap om exakt hur IT-systemstöd fungerar i valsammanhang, så måste de lösa en hel del logistiska problem. 
 
1. Hantering av kandidater
2. Hantering av röstlängder 
3. Räkning av röster
 
För små val sker räkningen manuellt, medan för större val så används rösträkningsmaskiner. Logistiken är både komplicerad och måste även hantera en geografisk spridning. Komplexiteten ger utrymme för sårbarheter. För att klara komplexiteten används det alltid någon form av IT-stöd. I vissa fall är systemen tredjepartsprodukter, medan i andra fall har systemen utvecklats själv.
 
En främmande makt som bestämt sig för att påverka ett val kan lägga ner energi och resurser på att påverka valresultat genom att på ett långsiktigt sätt manipulera de IT-system som används i samband med ett val. Genom att få kontroll över rösträkningsmaskiner eller servrar skulle valresultat kunna manipuleras.
 
Frågan är då om hur reell denna risk är? Vi har ett gammalt exempel som visar på att möjligheterna är obegränsade och att risken är stor.
 
Stuxnetviruset tillverkades av USA och Israel och var det första steget i Cyberkrigföring [Kom Zetter]. Attacken riktade in sig mot Siemens SCADA-utrustningar. Stuxnetviruset fungerade i flera lager och spreds från PC till PC. När viruset detekterade att PCn användes för att administrera Siemensenheter aktiverades mer kod, som kontrollerade de SCADA-enheter som PCn kopplades upp till. Stuxnet-viruset kollade om SCADA-enheterna hade specifika serienummer, och om så var fallet injicerade de kod in i SCADA-enheterna. I detta fallet så styrde SCADA-enheterna centrifuger för anrikning av uran, och den kod som injicerades påverkade varvtalet på ett väl uttänkt sätt så att anrikningen saboterades och att centrifugernas livslängd förkortades. På så sätt hejdades Irans kärnvapenprogram, genom att dels sabotera anrikningen samt att dels höja kostnaderna. Koden som injicerades var liten och obetydlig. Stuxnet kom igenom de olika typer av säkerhetskontrollerna genom att tillverkaren av viruset lyckats stjäla certifikat och signera koden som pålitlig. Även efter Stuxnet var iranierna paranoida för varje fel som uppkom. Att veta om det är en logisk bomb eller bara en bug är svår att urskilja. Efter Stuxnet riktades alla blickar mot SCADA-system som det primära målet för cyberkrigföring. Stuxnet var ingen enkel konstruktion och att ta fram Stuxnet innebar utveckling under flera års tid, och utvecklarna var tvungna att testa lösningen på en uppsatt urananrikningsanläggning för att verifiera funktionaliteten [Kim Zetter]. Stuxnet löste dock inte ensamt problemet med Irans kärnvapenprogram, utan kombinerades med lönnmord, attentat och bombanfall. Stuxnet var bara en del i något mycket större.
 
En hackerattack mot ett röstningssystem kan inte ensamt vinna ett val. Det krävs att angriparen också lägger ner resurser på att vara opinionsbildare, att angriparen genomför informations- och desinformationskampanjer, samtidigt som denne ger ekonomiskt stöd för att valkampanjer ska lyckas. 
 
Däremot vill man vinna ett cyber-krig mot demokratier så är det värt att lägga ner energi på att angripa de system som används för rösträkning. Genom att låta ogynnsamma partier, kandidater eller alternativ vinna val eller omröstningar kan man sakta bryta ner ett lands förmåga att fungera. För att säkra demokratin behöver vi se cyberkrigföring i ett vidare perspektiv och verkligen se till att bevisa att våra val och omröstningar är säkra.
 
 
För att läsa mer se:
Bok som beskriver det första cyberkriget och Stuxnet är Kim Zetters – Countdown to Zeroday.
 
I USA används röstmaskiner. Dess säkerhet har ifrågasatts vid flertalet tillfällen. Röstmaskiner används bl.a. i de så kallade swing staterna Pennsylvania, Florida och Virginia.
En bra artikel som ifrågasätter säkerheten i röstmaskinerna hittas på:
 
Hursti hack som genomfördes 2005 visar hur man kan påverka ett val. https://en.wikipedia.org/wiki/Hursti_Hack
 
I Wired Magazine finns en artikel med en annan vinkling på hur val kan påverkas genom hacking.
I
 
Skribent(er): 
Mikael Simovits

Dataskyddsförordningen inom EU nu antagen– Vad innebär detta för hur man ska hantera personuppgifter?

Publicerat: 
2016-05-12

Vad handlar detta om?

EU (kommissionen, Europaparlamentet och Europeiska unionens råd) enades den 15 december 2015 om ett förslag till en ny EU-förordning (GDPR) som syftar till att modernisera dataskyddsdirektiv från 1995 till en mer enhetlig tillämpning inom EU, och förordningen är nu antagen [1]. I överenskommelsen ingick även ett direktiv som reglerar hur polis och annan brottsbekämpande myndighet får hantera personuppgifter. Dataskyddsförordningen [2] är alltså en EU-förordning som gäller som svensk lag och kommer att ersätta den svenska personuppgiftslagen. Lagen som personuppgiftsansvariga och andra måste följa kommer istället rymmas inom EU-förordningen, som träder i kraft 2018.

Varför ändras lagen?

Lagstiftningen ser idag olika ut i olika länder, och vi i Sverige har personuppgiftslagen PUL. Ändringen av lagstiftningen innebär att skyddet stärks för enskilda individer, då de får större kontroll av sina personuppgifter. Dessutom underlättar gemensam lagstiftning för företag som verkar i flera länder eftersom de då bara behöver förhålla sig till ett regelverk, när det gäller exempelvis lagring av kunddata.

Vilka anpassningar av Dataskyddsförordningen kommer att göras på nationell nivå?

Vissa nationella anpassningar kommer att ske som exempelvis rätten att överklaga tillsynsmyndighet, egna krav och undantag i vissa frågor. Regeringen har tillsatt en utredning för att undersöka hur den centrala svenska lagstiftningen bäst anpassas till den nya förordningen [3]. Exempelvis ska utredningen analysera för och nackdelar med att justera åldersgränsen för barn (16 år enligt Dataskyddsförordningen) att inlämna samtycke till att deras personuppgifter behandlas av sociala nätverk. Anpassningen syftar till en balans mellan skyddet av den personliga integriteten och näringslivets och myndigheters behov att kunna behandla personuppgifter.

Vilka övergripande förändringar innebär detta för behandlingen av personuppgifter?

  • Tydligare och fler definitioner av begrepp som omfattar samtycke, genetiska uppgifter, biometriska uppgifter
  • Tydligare rättigheter för individen, exempelvis rätten att bli glömd, dvs att begära radering av personuppgifter, och att få ta del av dem
  • Tydligare ansvar för de som behandlar personuppgifterna, exempelvis konsekvensanalys, dataskyddsgarantier, samt rapporteringsskyldighet till tillsynsmyndighet.
  • Undantaget i PUL vid automatiserad behandling av ostrukturerade personuppgifter försvinner.
  • Förändringar i rollen som personuppgiftsbiträde och utökade krav på vad personuppgiftsbiträdesavtal ska innehålla.
  • Regler för att förbättra samarbete mellan personuppgiftsansvariga inom EU.

Vad innebär lagen för företag som arbetar med kunddata, och vilka konkreta åtgärder kan göras redan nu?

Kraven blir hårdare, och mer ansvar läggs på företag och myndigheter. Om företag bryter mot reglerna kommer det få kännbara ekonomiska konsekvenser,  upp till 20 Miljoner Euro (eller 4 % av företagets globala omsättning, samt skadestånd till drabbade. Resultatet av tuffare konsekvenser för företag är således fler rättsliga processer och överklaganden. Dessutom kommer det finnas rapporteringsskyldighet om dataläckor. Även om 2018 kan kännas långt borta är det hög tid att förbereda sig organisatoriskt, exempelvis genom att utgå ifrån den checklista som tagits fram av Datainspektionen [4]. Exempel på förberedelse omfattar att :

  • Se över på vilket sätt man träffas av den nya regleringen och vilka förändringar i arbetssätt, samt tekniska och organisatoriska åtgärder, som är nödvändiga för att uppnå efterlevnad.
  • Förtydliga rutiner för hur och när man gallrar kunddata.
  • Se över processer, roller och ansvar vid hantering av incidenter som omfattar integritetsbrott, för att säkerställa att beredskap för inrapportering till tillsynsmyndighet finns.
  • Se över rättsliga grunder för insamling och hantering
  • Personuppgiftsbiträden behöver se över rutiner för dokumentation och rapportering, eftersom kartläggning av alla personuppgifter som behandlas nu även inkluderar ostrukturerade uppgifter.
  • Undersök om IT-system har säkerhetsmekanismer, ”privacy by design” som uttryckligen regleras i den nya lagstiftningen, för att säkerställa att enbart nödvändiga uppgifter behandlas. Detta omfattar befintliga men även de som planeras köpas in samt de som outsourcing partners levererar.
  • Kontrollera att inlämnade samtycken är erforderligt tydliga eller om nya behöver utformas och insamlas.

[1] http://europa.eu/rapid/press-release_IP-15-6321_sv.htm

[2] http://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CONSIL:ST_5419_20...

[3] http://www.regeringen.se/pressmeddelanden/2016/02/eus-nya-dataskyddsforo...

[4] http://www.datainspektionen.se/Documents/vagledning-forberedelser-pua.pdf

Skribent(er): 
Filip Crona

Om digitala bevis

Publicerat: 
2016-04-06 23:30

En nyligen utgiven doktorsavhandling avseende digitala bevis väckte mitt intresse häromdagen. Avhandlingen ”Om informationstekniskt bevis” av Jonas Ekfeldt tar bland annat upp aspekter gällande korrekt terminologi, felkällor vid framtagning och värdering av digitala bevis samt rättsväsendets behov av nya kunskaper för att kunna behandla digital bevisning på rätt sätt.

En avhandling av denna typ kan även ha ett värde utanför rättsväsendet. Det kan gälla allt från så enkla saker som vilka forensiska verktyg och tekniker som används, hur bevisinsamlingsuppdrag bör formuleras och vilken kompetens som krävs av en forensiker, till hur rättsväsendet ser på olika former av digitala bevis.

Det finns givetvis många former av digitala bevis. I allmänhet tänker vi som arbetar med säkerhet ofta på ett antal fokusområden, exempelvis

• Hur ska vi analysera ett angrepp mot ett av våra egna IT system
• Vad händer om en av våra användare utsätts för dataintrång
• Vad händer om en av våra användare eller kunder tapparsin dator eller mobil

Det finns alltså ett behov av både säkerhetsanalyser och forensiskt kunnande långt utanför den rättsliga arenan. Det händer givetvis också att en verklig händelse leder till polisanmälan och att underlag från berörda IT system lämnas ut i händelse av att en förundersökning inleds.
Inom polisen och de rättsvetenskapliga institutionerna är situationen delvis annorlunda

• Digital information kan användas för spaning (masttömning och samtalslistor)
• En misstänkts dator, dataminnen och mobiler kan undersökas för att ge bevisning
• En misstänks dator eller hemnätverk kan matchas mot spår av dataintrång
• En misstänkts konton kan matchas mot aktiviteter i ett IT system
• Vid behov får man söka hjälp av teleoperatör, bank eller annan berörd organisation

Det är alltså mer vanligt att denna typ av forensiska undersökningar koncentreras till den misstänktes egendom och att resultaten kommer att ifrågasättas av den misstänkte. Exempelvis kan en misstänkt hävda att utrustningen var utlånad, stulen eller fjärrstyrdes varvid en forensisk undersökning ofta tar med dessa aspekter redan vid genomgången.

Det finns redan generella tekniker för att undersöka en misstänkts dator. Exempelvis används normalt en väldefinierad teknik för att klona hårddisken från en beslagtagen dator för att minska risken att forensikern påverkar IT systemet och för att kunna ge en annan expert vid ett senare tillfälle samma möjligheter att gå igenom materialet. Det är också ganska vedertaget vad en forensisk undersökning i dessa fall syftar till, exempelvis att gå igenom bilder, dokumentet, kontakter och meddelanden som skulle kunna knytas till ett misstänkt brott. Givetvis är det viktigt att uppdragsformuleringen är rätt från början, likaså att forensikern väl skiljer mellan egna observationer och egna slutsatser.

Flera av de slutsatser som dras i dessa avseenden i avhandlingen är förhoppningsvis redan naturliga för de som arbetar med granskningar och revisioner av IT system, exempelvis att man måste beskriva vilket uppdrag som erhållits, vilka eventuella omständigheter som ska påvisas (jämför användning av kontrollmål vid en revision), vilken terminologi som använts i det aktuella sammanhanget, vilka observationer som gjorts (vilket data eller loggposter som selekterats fram), vilka slutsatser som kan dras och hur säkra dessa slutsatser är. Detta är i sig inget konstigt, men de skräddarsydda kurser som finns för forensiker tar inte alltid upp dessa aspekter i önskad omfattning.
En annan aspekt är att utvecklingen inom IT området är fortsatt snabb och att rättsväsendet i någon mening alltid måste finna sig i att vara lite grann på efterhand.

Vad finns det då för slutsatser att dra för oss som arbetar med säkerhet av avhandlingen?

För mig var den viktigaste punkten nog att stämma av terminologi och tankesätt mot de som gäller inom det svenska rättsväsendet. Flera av de kunskaper vi har kommer utifrån och är antingen givna av de professionella organisationer vi personligen tillhör eller av de organisationer som tillhandahåller IT produkter eller anvisningar för säker användning av IT produkter. Flertalet av dessa organisationer är givetvis utländska. Vi är därmed vana att arbeta i blandad miljö med både svensk och engelsk terminologi och i de flesta fall även en områdesspecifik fackterminologi.
De rättsliga regler och säkerhetsprinciper vi lärt oss är ofta mer eller mindre globala. Det är då värdefullt att läsa en avhandling på svenska som dessutom utgår från svenska rättsregler även om det tekniska djupet i avhandlingen inte tillför något egentligt nytt. När vi exempelvis använder en forensisk programvara eller följer en undersöknings och rapporteringsmall så är underlagen normalt på engelska och det är då värdefullt att ha ett dokument som använder mer eller mindre vedertagna svenska begrepp eller som avhandlingen kanske snarare avsåg att göra – att redogöra för vilken osäkerhet som finns i dessa begrepp, vilka felkällor man bör ta hänsyn till vid sammanställning av utredningar och hur man ska presentera utredningar med minst risk för juridiska missuppfattningar.

Även sammanställningen i avhandlingen av rättsfall och lagar som berör digitala bevis eller IT system var av ett visst intresse. Samtidigt blir varje sammanställning av denna typ relativt begränsad avseende hur mycket som kan skrivas om varje fall. Det ligger i sakens natur att domar och förundersökningsprotokoll ofta ger en mer detaljerad och kompletterande bild av hur digitala bevis samlas in, används och slutligen värderas.

Min slutsats är avhandlingen hursomhelst är väl värd att laddas hem och ägnas några timmars läsning av den som är intresserad av ämnesområdet även enbart ur ett mer renodlat säkerhetsperspektiv.

Länk till avhandlingen Om informationstekniskt bevis: http://su.diva-portal.org/smash/get/diva2:900594/FULLTEXT05.pdf

Skribent(er): 
Tomas Forsberg

Exempel på hur man kan arbeta för att minska riskbeteenden

Publicerat: 
2016-02-15

På Näringslivets Säkerhetsdelegations årsseminarium som hölls den 4e februari i år, berörde flera talare hur anställdas beteenden påverkar säkerheten inom företag. Till exempel så talade Lars Korsell, forskare på Brå, om infiltration. Han nämnde bl.a. fem sätt att infiltrera: förvärv av befintliga företag, bilda nytt bolag, utpressning, kapning av bolag och insider [1].

På samma årsseminarium visade Jan Persson, koncernsäkerhetschef på SEB, filmer som tagits fram i utbildningssyfte, med handling som bygger på verkliga händelser. Handlingen berör till exempel bedrägerier som möjliggörs av personal som av olika skäl, ofta beteenderelaterade, tummar på rutiner och kontroller. Största hoten är enligt SEB: cyber crime, kriminella grupper med värvning av insiders samt social engineering [2].

Både Korsell och Persson målar upp en bild av hur utomstående på olika sätt manipulerar andra att begå misstag, att ge ifrån sig information eller kontroll, genom att utnyttja brister i beteenden och rutiner.

För att få en insikt i vad en människa kan bli utsatt för kan vi hämta exempel från statlig underrättelseverksamhet som bedrivs runt om i världen. Tore Forsberg, före detta chef för Säpos kontraspionage,  berättar att sovjetisk underrättelsetjänst ofta inhämtade information genom personlig kontakt, genom smicker och utdelad uppskattning, men även genom direkt ersättning. Vanligt var att bygga upp ett förtroende och förhållande för att på så sätt förmå en person att lämna ut hemlig information [4]. Detta är en hotbild som stämmer väl överens med den presenterades av Korsell och Persson [1,2] och som Torbjörn Britz beskriver i sin bok om Social Engineering, dvs manipulation av personer, att få dem att utföra något som inte nödvändigtvis ligger i deras intresse, eller att på något sätt dela med sig av hemlig information. Social Engineering bedöms alltså som nämnts tidigare, vara ett av de största hot SEB ser idag. Det finns alltså slående likheter mellan den verklighet ett företag befinner sig i rörande informationssäkerhet i form av hot och angreppssätt,  och statlig underrättelseverksamhet.

Britz hävdar att den svagaste länken inom säkerhetsområdet är och förblir människan och vårt beteende [5]. Därför borde det vara av stor nytta att regelbundet arbeta med att förbättra säkerheten genom att ständigt arbeta med just människor och beteenden. Detta kan göras till exempel genom att regelbundet, i grupp, arbeta med olika fall och baserat på dessa arbetar fram regler och riktlinjer. Att arbeta i grupp inom företaget kan dessutom bidra till en god förståelse för säkerhetsarbete och en acceptans för framtagna regler.

Fall att arbeta med kan vara av olika typer och här följer några exempel.

Det är inte ovanligt att på tåg höra personer, ofta i chefsposition, diskutera högt och ljudligt så att de flesta i vagnen hör vad som sägs. Det har förekommit att personer på detta sätt diskuterat marginal på produkter, kommande offerter och ännu ej offentliggjorda affärer och strategier.

I ett annat fall, också det på tåg, loggar en person in på sin dator. Förmodligen omedvetet, bokstaverar hon högt och ljudligt, tecken för tecken, det lösenord hon just knappar in. På locket på hennes dator kan man läsa hennes namn, företag hon jobbar på samt datorns id. Hon har också lösenord nerskrivet på små lappar.

Dessa två situationer beskrivna ovan är verkliga händelser.

Det finns också åtskilliga berättelser från spionvärlden där pubar och restauranger använts för att inhämta information, bygga upp infiltration och rekrytera spioner. Restaurang Tennstopet i Stockholm nämns ofta både som rekryteringsplats och plats att tjuvlyssna på [6,7]. Tennstopet är ett känt tillhåll för journalister, vilket torde vara en intressant grupp ur underrättelsesynpunkt. Idag skulle man kunna diskutera om krogar som frekventeras av IT-folk eller höga chefer skulle kunna tjäna samma syfte. En viktig del i scenariot är förekomst av alkohol i kombination med att en känsla av att en restaurang på något sätt är en säker plats, att det är hemma.

Baserat på denna typ av scenarion, skulle man kunna komma fram till regler av typen:

  • Diskutera aldrig arbetsuppgifter på offentliga platser.
  • Publicera aldrig jobbrelaterad information på sociala medier.
  • Lösenord får inte skrivas ner på papper.
  • Datorer och annan utrustning får inte märkas med information annat än företag, id-nummer och företagets telefonnummer.
  • Dela aldrig information med personer som inte är i direkt behov av den. Det inkluderar vänner och bekanta.
  • Alkohol får inte förtäras i samband med att känslig information diskuteras eller hanteras.
  • Tala inte om dina lösenord för någon som kontaktar dig, inte ens support.

En annan risk är hemlig information som glöms kvar på olämplig plats eller stjäls. För att åter igen anknyta till statlig underrättelsetjänst kan vi se på ett uppmärksammat fall som handlade om en officer på MI5 som för några år sedan glömde kvar en portfölj med hemlig information på ett tåg. Det var det fjärde fallet av borttappade papper för MI5 det året [8]. Denna typ av risk högst relevant för många företag. Mycket information flyttas på papper, datorer, USB-minnen med mera och man skulle kunna ifrågasätta om det verkligen behövs.

Att som i detta exempel med MI5, utgå från ett externt fall och använda det som grund för diskussionen, kan medföra att risker man aldrig tänkt på förut uppdagas. Att enbart utgå från sådant som hänt i det egna företaget gör att man kan missa att förhindra något som aldrig inträffat förut. Förbättringsarbete baserat på denna typ av förlustscenarion skulle kunna resultera i regler och riktlinjer som:

  • Bär inte på information i onödan. En pärm, dator eller ett USB-minne  kan tappas, kopieras eller stjälas. Minimera risken helt genom att inte ta med dig information du inte behöver, eller eliminera risken helt genom att inte ha med dig information alls.
  • Kontrollera att White boards är suddade och att det inte finns kvarglömda dokument kvar innan du lämnar ett konferensrum.
  • Information som transporteras ska vara krypterad.
  • Lås datorn när du lämnar den.
  • Använd aldrig sleepmode på datorn, stäng av den helt.

Beroende på verksamhet kan man till exempel även beakta möjligheten att man är avlyssnad och då kunna komma fram till följande direktiv:

  • Använd företagets epostlösningar och lagring för jobbändamål, inte något annat system. Maila till exempel inte över dokument till din privata webmail i syfte att kunna ladda ner den på din privata surfplatta och komma åt den överallt.
  • Använd inte publika okrypterade W-lan, till exempel på kaféer eller flygplatser.

Exemplen på fall, regler och rekommendationer ovan är inte tänkt att vara något som är generellt rätt för alla verksamheter. Det är exempel på regler man skulle kunna komma fram till genom att beakta verkligheten man verkar inom, genom att arbeta som personer med stor erfarenhet av underrättelseverksamhet: att bygga upp en säkerhetskultur, rätt beteenden, regelverk, rutiner och arbetssätt samt att förutsätta att den information ni hanterar faktiskt är viktig och eftertraktad av andra.

 

Referenser

[1] Näringslivets Säkerhetsdelegations (NSD) årsseminarium, 2016-02-04. Föredrag av Jan Persson, Koncernsäkerhetschef SEB.

[2] Näringslivets Säkerhetsdelegations (NSD) årsseminarium, 2016-02-04. Föredrag av Lars Korsell, Jur.Dr, forskare på Brå.

[3]. Mitchell Pat, Isaacs Jeremy (producenter), Cold War, Episode 21 ”Spies”, 1998. Intervjuer med Generallöjtnant Oleg Kaluging, f.d. chef för KGB:s kontraspionage.

[4] Johansson Fredrik, Hansson Kristoffer, 2005. P3 Dokumentär - Stig Bergling. Sändes på Sveriges Radio P3 den 6e juni 2005. Intervju med bland annat Tore Forsberg, f.d. chef för Säpos rotel för kontraspionage.

[5] Britz Torbjörn, 2012. Social Engineering – Ett beteendebaserat hot, TUK Förlag AB

[6] Forsberg Tore, Grigorjev Boris, 2006. Spioner Emellan, Bokförlaget Efron & Dotter.

[7] Svahn Clas, 2008. Historien om en svensk spionjägare, Dagens Nyheter 2008-10-02. Artikel om Tore Forsberg, Säpo. 

[8] http://news.bbc.co.uk/2/hi/uk_news/1064917.stm

Skribent(er): 
Anders Karlsson

Statliga myndigheter ska rapportera allvarliga IT-incidenter från april 2016

Publicerat: 
2015-12-21

I tidigare blogginlägg har regeringens initiativ inom informations- och cybersäkerhetsområdet belysts. Regeringen har nu tagit beslutet att från den 1 april 2016 införa regler för att förbättra samhällets informationssäkerhet och krisberedskap1. Reglerna styr obligatorisk rapportering för statliga myndigheter, till exempel avseende störningar i driftmiljöer till följd av hackerattacker.

Bakgrund

I takt med ökad användning av IT i samhället ökar även sårbarheter. Idag sker ingen systematisk identifiering eller hantering av allvarliga IT- incidenter som har påverkat enskilda användare eller samhällsviktig verksamhet. Det bedöms finnas ett stort mörkertal då många incidenter inte upptäcks2. Följdeffekterna då organisationer drabbas riskerar att bli stora eftersom aktörer inte informeras så att de kan hinna agera i tid. Informationsbristen och denna saknade helhetsbild av samhällsläget försvårar beslutsfattande då beroenden och totala effekter ska bedömas. I ljuset av detta bedöms det därför nödvändigt att införa regler för obligatorisk inrapportering av incidenter som allvarlig påverkar myndigheters verksamhet.

Reglerna införs genom förordningen om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap (2015:xxx). Förordningen blir offentlig när den kungjorts i svensk författningssamling.

Mervärdet med ett system för IT-incidentrapportering

Vilka fördelar förväntas då en enhetlig rapportering av incidenter ge?

  • Förbättring av samhällets informationssäkerhet och krisberedskap
  • Förtydligande av statens ansvar för informationssäkerhet
  • Möjlighet att agera förebyggande: varna aktörer och reducera konsekvenserna av inträffade incidenter
  • Statistiskt underlag för analys och samlad lägesbild över IT-incidenter i samhället
  • Återkoppling och stöd till aktörer
  • Möjlighet till riktade förebyggande insatser, lärdomar av incidenter, samt minskning av  mörkertalet
  • Minskad risk för att kopplingar mellan IT-incidenter förbises på grund av bristande information

Regler för rapporteringen

För att uppnå önskat resultat med systemet krävs en struktur för rapporteringen: När den ska ske, vad som ska omfattas i rapporteringen, och vilka krav som ska ställas på förfarandet. Myndigheten för samhällsskydd och beredskap (MSB) har givits uppdrag av regeringen att ta fram föreskrifter för detta, vilka nu remitteras3. Föreskrifterna beskriver bl.a.:

  • Definitioner av IT-incidenter: störningar i mjuk och hårdvara, driftmiljöer, dataförlust eller dataläckage
  • Kategorisering av möjliga orsaker: brister i produkter, externa attacker, mänskligt fel vid användning, intern eller extern händelse (t.ex. säkerhetskopiering eller strömavbrott)
  • Inrapportering inom 24h efter upptäckt
  • Rapportinnehåll (t.ex. beskrivning, kategorisering, skadebedömning och omfattning)
  • Kompletteringskrav om uppgifter som behövs för att klarlägga hur IT-incidenten kan påverka säkerheten i den informationshantering som myndigheten ansvarar för, eller i tjänster som myndigheten tillhandahåller åt en annan organisation
  • Myndighetsansvar för rapportering även om utkontraktering sker

Föreskrifterna är nationella, och omfattar endast statliga myndigheter. När det s.k. NIS-direktivet ska genomföras i svensk rätt kommer rapporteringskrav även gälla vissa andra aktörer t.ex. privata företag.

Värt att notera är att det är regeringens förordning (2015:xxx) som styr vad som är rapporteringspliktiga incidenter.  

Vilka instanser ska rapporteringen ske till

Inrapportering ska ske till MSB, med undantag för vissa uppgifter. Det som exempelvis rör rikets säkerhet eller för system som behöver skyddas mot terrorism rapporteras till Säkerhetspolisen eller Försvarsmakten.

Vilka konsekvenser får detta för myndigheter

MSB gör bedömningen att påverkan blir störst för de myndigheter som idag inte bedriver systematiskt informationssäkerhetsarbete. Processer och rutiner kan behöva anpassas, exempelvis då verksamhet utkontrakterats. Dock förväntas inte kostnader bli alltför höga, då exempelvis enbart rapportering av allvarliga incidenter omfattas, och mängden rapporteringsinformation är anpassad efter skyndsamhetskravet på 24 timmar. Detta gäller under förutsättning att organisationen redan idag arbetar systematiskt med informationssäkerhet.     

Referenser

[1] http://www.regeringen.se/pressmeddelanden/2015/12/regeringen-infor-krav-pa-it-incidentrapportering-for-statliga-myndigheter/

[2] https://www.msb.se/Upload/Om%20MSB/Lag_och_ratt/Konsekvensutredningar/Konsekvensutredning%202015-5108.pdf

[3] https://www.msb.se/Upload/Om%20MSB/Lag_och_ratt/Remisser/Remiss%20f%C3%B6reskrifter%20%20allm%C3%A4nna%20r%C3%A5d%20it-incidentrapportering%202015-5108%20%282%29.pdf

 

 

Skribent(er): 
Filip Crona

Statliga myndigheter ska rapportera allvarliga IT-incidenter från april 2016

I tidigare blogginlägg har regeringens initiativ inom informations- och cybersäkerhetsområdet belysts. Regeringen har nu tagit beslutet att från den 1 april 2016 införa regler för att förbättra samhällets informationssäkerhet och krisberedskap1. Reglerna styr obligatorisk rapportering för statliga myndigheter, till exempel avseende störningar i driftmiljöer till följd av hackerattacker.

Bakgrund

I takt med ökad användning av IT i samhället ökar även sårbarheter. Idag sker ingen systematisk identifiering eller hantering av allvarliga IT- incidenter som har påverkat enskilda användare eller samhällsviktig verksamhet. Det bedöms finnas ett stort mörkertal då många incidenter inte upptäcks2. Följdeffekterna då organisationer drabbas riskerar att bli stora eftersom aktörer inte informeras så att de kan hinna agera i tid. Informationsbristen och denna saknade helhetsbild av samhällsläget försvårar beslutsfattande då beroenden och totala effekter ska bedömas. I ljuset av detta bedöms det därför nödvändigt att införa regler för obligatorisk inrapportering av incidenter som allvarlig påverkar myndigheters verksamhet.

Reglerna införs genom förordningen om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap (2015:xxx). Förordningen blir offentlig när den kungjorts i svensk författningssamling.

Mervärdet med ett system för IT-incidentrapportering

Vilka fördelar förväntas då en enhetlig rapportering av incidenter ge?

  • Förbättring av samhällets informationssäkerhet och krisberedskap
  • Förtydligande av statens ansvar för informationssäkerhet
  • Möjlighet att agera förebyggande: varna aktörer och reducera konsekvenserna av inträffade incidenter
  • Statistiskt underlag för analys och samlad lägesbild över IT-incidenter i samhället
  • Återkoppling och stöd till aktörer
  • Möjlighet till riktade förebyggande insatser, lärdomar av incidenter, samt minskning av  mörkertalet
  • Minskad risk för att kopplingar mellan IT-incidenter förbises på grund av bristande information

Regler för rapporteringen

För att uppnå önskat resultat med systemet krävs en struktur för rapporteringen: När den ska ske, vad som ska omfattas i rapporteringen, och vilka krav som ska ställas på förfarandet. Myndigheten för samhällsskydd och beredskap (MSB) har givits uppdrag av regeringen att ta fram föreskrifter för detta, vilka nu remitteras3. Föreskrifterna beskriver bl.a.:

  • Definitioner av IT-incidenter: störningar i mjuk och hårdvara, driftmiljöer, dataförlust eller dataläckage
  • Kategorisering av möjliga orsaker: brister i produkter, externa attacker, mänskligt fel vid användning, intern eller extern händelse (t.ex. säkerhetskopiering eller strömavbrott)
  • Inrapportering inom 24h efter upptäckt
  • Rapportinnehåll (t.ex. beskrivning, kategorisering, skadebedömning och omfattning)
  • Kompletteringskrav om uppgifter som behövs för att klarlägga hur IT-incidenten kan påverka säkerheten i den informationshantering som myndigheten ansvarar för, eller i tjänster som myndigheten tillhandahåller åt en annan organisation
  • Myndighetsansvar för rapportering även om utkontraktering sker

Föreskrifterna är nationella, och omfattar endast statliga myndigheter. När det s.k. NIS-direktivet ska genomföras i svensk rätt kommer rapporteringskrav även gälla vissa andra aktörer t.ex. privata företag.

Värt att notera är att det är regeringens förordning (2015:xxx) som styr vad som är rapporteringspliktiga incidenter.  

Vilka instanser ska rapporteringen ske till

Inrapportering ska ske till MSB, med undantag för vissa uppgifter. Det som exempelvis rör rikets säkerhet eller för system som behöver skyddas mot terrorism rapporteras till Säkerhetspolisen eller Försvaret.

Vilka konsekvenser får detta för myndigheter

MSB gör bedömningen att påverkan blir störst för de myndigheter som idag inte bedriver systematiskt informationssäkerhetsarbete. Processer och rutiner kan behöva anpassas, exempelvis då verksamhet utkontrakterats. Dock förväntas inte kostnader bli alltför höga, då exempelvis enbart rapportering av allvarliga incidenter omfattas, och mängden rapporteringsinformation är anpassad efter skyndsamhetskravet på 24 timmar. Detta gäller under förutsättning att organisationen redan idag arbetar systematiskt med informationssäkerhet.     

Referenser

[1] http://www.regeringen.se/pressmeddelanden/2015/12/regeringen-infor-krav-pa-it-incidentrapportering-for-statliga-myndigheter/

[2] https://www.msb.se/Upload/Om%20MSB/Lag_och_ratt/Konsekvensutredningar/Konsekvensutredning%202015-5108.pdf

[3] https://www.msb.se/Upload/Om%20MSB/Lag_och_ratt/Remisser/Remiss%20föreskrifter%20%20allmänna%20råd%20it-incid3

 

Skribent(er): 
Filip Crona

Viktiga säkerhetsdagar

Publicerat: 
2015-11-09 20:22

I fredags var det Gustav Adolfs dag, sedan på lördagen så var det kladdkakans dag och på söndagen så var det Fars dag. I dagens värld finns det alltid rum för att fira eller att kontemplera ett specifikt ämne. Så vad finns det för säkerhet. Här följer en minikalender för dagar att hålla reda på om man jobbar med informationssäkerhet och IT-säkerhet.

Data Privacy Day (i Europa kallas den för Data Protection Day) och firas varje år den 28 januari. Den är till för att uppmärksamma den personliga integriteten relaterad till databehandling. Har firats sedan 2007. Än så länge firas den bara i USA, Canada och i 27 EU-länder.

World Password Day inträffade i år den 7 Maj. Man har lyckats ha igång denna tradition sedan 2012. Den verkar ersätta den tidigare International Change Your Password Day som inträffade den 1 februari. (För att undvika förvirring så går man ut med en slogan att man ska se varje dag som en lösenordsbytardag.)

European Cyber Security Month (ECSM) - enligt EU så inträffar den i oktober, där olika veckor har olika fokusområden. Nu är vi äntligen i November så det är möjligt att vila upp sig fram till jul.

Computer Security Day (CSD) inföll alltid den 30 november och första dagen som firades inträffade 1988. Av någon anledning upphörde den 2009.

En dag som ännu inte är riktigt IT-relaterad är internationella arbetarorgamisationens (ILO) världsdag för säkerhet och hälsa. Den firas varje år den 28 april. Med tanke på den stress och fara Internet medför så blir det snart en dag även före IT-säkerhetsmänniskor.

Och sist men inte minst, i alla fall om man är katolik, så ska vi inte förglömma att fira Internets skyddshelgon Isodore av Sevilla. Han levde på 600-talet och var mest känd för att försöka skriva ner allt människan känner till. Han firas varje år den 4 april.

Skribent(er): 
Mikael Simovits

Att etablera säkerhetskultur – hur gör man?

Publicerat: 
2015-10-30

Informationssäkerhet uppnås i stor utsträckning genom att organisationer har förmågan att skapa förutsättningar för en säkerhetskultur hos alla delar av verksamheten. Effekterna av en väl förankrad säkerhetskultur är flera, i synnerhet:

  • Riskerna för säkerhetsincidenter beroende på okunskap eller slarv minskar avsevärt, och dessutom reduceras även konsekvenser för verksamheten. Ledtiderna vid incidenter minskar eftersom personal agerar i ett tidigare skede, vilket innebär att effekterna inte hinner bli omfattande.
  • Värdet i att säkerhetsåtgärder införts har tydligt motiverats inom alla delar av verksamheten, vilket i grunden krävs för påverkan av attityder avseende säkerhet. På detta sätt är det lättare att höja säkerhetsnivån i ett senare skede, om hotbilden exempelvis förändras.

Upprättade säkerhetsåtgärder avseende operativa risker må vara effektiva i teorin, men är i praktiken fruktlösa om de inte efterlevs. Hur inför man då ett grundläggande säkerhetstänkande? Utbildning av personal är den självklara vägen att gå för att ta de första stegen mot att skapa förutsättningar för en god säkerhetskultur. Utbildning ingår dessutom i de högst prioriterade förbyggande åtgärderna som avsatts inom säkerhetsbudgeten för de flesta organisationer 1. Vad är då avgörande med ett sådant upplägg och helt enkelt framgångsfaktorer som bör ingå för att nå fram med denna ambition?

 Redogör för de kostnader brister i säkerhetskultur inneburit historiskt. Flertalet händelser av exempelvis dataintrång inom bank, myndighet, och t.o.m. säkerhetsföretag vittnar om detta. Hur hade de kunnat undvikas med en tillräckligt god säkerhetsmedvetenhet? Vilka risker finns förknippade med den bransch man befinner sig i? Vilka blir de kortsiktiga och långsiktiga effekterna för en verksamhet, hur påverkar det anseendet och verksamhetens personal? Hög igenkänning hos målgruppen och en tydlig koppling till sammanhanget krävs för mottaglighet för ditt budskap.

 Redogör för konsekvenser som bottnar i enkla misstag eller ren okunskap. Vad kan (och har) de lett till, vilka interna rutiner avseende säkerhet har negligerats, och hur hade ett strukturerat säkerhetsarbete påverkat utgången? Rutiner finns av en anledning, men om man inte påminns om varför, så är det lättare att ens beteende följer ett invant mönster. Man gör som man alltid gjort, utan att egentligen tänka igenom varför.   

 Förmedla vilka mindre åtgärder som drastiskt minskar risker i det dagliga arbetssättet, exempelvis för att förhindra att affärskritisk information hamnar i orätta händer, eller till och med förloras. Små steg avseende förändring är att föredra eftersom för stora avsteg ifrån vårt nuvarande arbetssätt är något vi generellt drar oss för. Risken är då stor att en strävan efter förändring misslyckas på grund av en orimligt satt ambitionsnivå.    

 Väck tankarna på det faktiska värdet i den information som hanteras inom organisationen. Hanteras den utifrån sitt affärskritiska värde? När bilagor skickas i mail, i samtal på väg till arbetet, eller på affärsresa och den bärbara datorn innehåller sekretessbelagda kundavtal?  Genom att få upp ögonen för sina dagliga förehavanden är det mycket enklare att inse vad man kan förbättra och de risker det är nödvändigt att få upp ögonen för.

 Befäst säkerhetsmedvetenheten du skapat genom att repetera budskapet, med jämna mellanrum. Varför inte låta kreativiteten flöda och utforma en säkerhetsfrågesport internt som väcker tävlingsinsikten, eller skapa utskick med nyheter inom säkerhetssfären? För att etablera en god säkerhetskultur är en utbildning som punktinsats en bra start, men inte tillräckligt för hållbarhet över tid.

Det tar tid och det krävs engagemang för att etablera en säkerhetskultur, men ansträngningarna leder till en höjd säkerhetsnivå, ger konkurrensfördelar, och stärker verksamhetens varumärke. Frågan är om du vidtagit de nödvändiga åtgärder som krävs för att skydda din verksamhets tillgångar?

Referenser

1. http://www.pwc.com/gx/en/issues/cyber-security/information-security-surv...

Skribent(er): 
Filip Crona