Föregående

 Index

 Nästa

Bilaga 16

För att kunna definiera hotbilden för svåra påfrestningar är det nödvändigt att definiera begreppet svåra påfrestningar, så att extraordinära situationer i fred kan urskiljas från normala driftstörningar.

För detta krävs olika kriterier som bör gälla för olika typer av situationer som kan betraktas som svåra påfrestningar. Underförstått är att de situationer som skall kunna klassificeras som svåra påfrestningar skall inträffa med låg sannolikhet.

De tänkbara typer av kriterier som kan ligga till grund för en definition av svåra påfrestningar kan indelas i två olika dimensioner: kriterier som utgår från händelsens konsekvenser och kriterier som utgår från orsaker till händelsen.

En särskild struktur över konsekvenskriterier är svår att finna. En tidsfaktor bör vara en självklar variabel både vad gäller förvarning och varaktighet. En annan faktor bör vara storleken på skadan vilket kan beskrivas som en resursåtgång. Andra faktorer kan vara verkningar ur olika aspekter - för systemet, användaren och samhället. Dessa faktorer utgör en viktig bas vid den kriteriediskussion som skall utmynna i dels en definition av begreppet svåra påfrestningar, dels identifiera tydligt åtskilda grupper av påfrestningar.

Dock kanske det inte är en lämplig skärning att utgå från konsekvenser för att identifiera olika typer av svåra situationer. Det blir både osäkert och ohanterligt att bedöma olika situationer utifrån dessa faktorer.

De kriterier som utgår från orsaker till händelser kan sägas vara antagonistiskt respektive ej antagonistiskt agerande, med och utan avsikt för det mänskliga agerandet samt inre och yttre orsaker ur systemens synvinkel. Denna uppdelning ger en skärning som resulterar i tydliga situationer; olika skadehändelser - påfrestningar - kan urskiljas som skulle kunna drabba den tekniska infrastrukturen.

• Skadehändelse orsakad av mänskligt agerande och med avsikt:

• Skadehändelse orsakad av mänskligt agerande men utan avsikt:

• Skadehändelse på grund av tekniska fel, men som inte orsakats av mänskligt agerande:

• Skadehändelse orsakad av olika väderbetingelser - naturkatastrofer - som inte orsakats av mänskligt agerande:

Orsakerna kan således delas in i yttre och inre orsaker med avseende på systemen. Yttre orsaker är då handlingar av en antagonist - sabotage, krigshandlingar, terrorism - och naturkatastrofer, men även handlingar orsakade utan avsikt av personer utanför systemet. Skador p.g.a. brister i andra tekniska system och konsekvenser av dessa hör också till samma kategori. Inre orsaker är tekniska systemfel och felhandlingar av personal tillhörande systemet som slarv, bristande underhåll osv. Även antagonistiska handlingar av en infiltratör hör till denna kategori.

Hela resonemanget kan schematiskt beskrivas på följande sätt:

De yttre orsakerna, som antagonistiska angrepp, olyckshändelser och naturkatastrofer, kan ge stora fysiska skador på anläggningar och utrustningar, eventuellt även personskador, och kan medföra stora konsekvenser för både systemen och användarna. Detta kan tala för att skador p.g.a. yttre orsaker skulle kunna avhjälpas med offentliga resurser, medan direkta drifttekniska skador p.g.a. inre orsaker skulle kunna åläggas systemet självt.

Kriterier som bör ligga till grund för en definition av begreppet svåra påfrestningar bör enligt vår mening utgå från orsaker och konsekvenser. Orsakskriterierna ger en skärning som resulterar i tydligt åtskilda typer av situationer med olika konsekvenser för de studerade systemen. Situationerna ställer krav på olika åtgärder. Orsakskriterierna är således:

• mänskligt agerande med avsikt,
• mänskligt agerande utan avsikt,
• tekniska fel som inte orsakats av mänskligt agerande,
• olyckor,
• olika väderbetingelser.

Konsekvenskriterierna ingår som viktiga basfaktorer i definitionen av en katastrof. Konsekvenskriterierna är plötslighet, varaktighet, risk för upprepning, omfattning samt olika verkningar för systemet, användaren och samhället i stort.

De typer av situationer som kan drabba den tekniska infrastruktur som Internet utgör bör vara följande:

• sabotage, terroristaktioner, infiltration/insideraktiviteter, öppna krigshandlingar samt följder av krigshandlingar utomlands, med både konventionella och okonventionella vapen,
• större skadehändelser orsakade av felhandlingar inom eller utom systemen p.g.a. t.ex. bristande kunskaper, stress, slarv,
• större skadehändelser orsakade av tekniska fel som konstruktions- och tillverkningsfel inom systemen samt brister i andra tekniska system p.g.a. beroenden, t.ex. elavbrott,
• olika typer av naturkatastrofer.

Motiven bakom en medveten attack är oförutsägbara och för det mesta okända, om de inte har föregåtts av en aktionsförklaring. Nedan följer en uppdelning av antagonister som kan vara bra för att bena ut de olika tänkbara aktörerna bakom en medveten attack:

Typ 1. "Ideologen"

Oftast en ensam aktör som agerar utifrån ideologiska skäl. Motiv kan vara anti-samhälle, anti-IT, missnöje med sponsringsaktiviteter etc.

Typ 2. "Haveristen"

Ensam aktör som agerar utifrån personliga skäl eller ekonomiskt intresse. Motiv kan vara utpressning eller hämnd p.g.a. nekat eller uppsagt abonnemang eller tvist om räkning etc.

Typ 3. "Insidern"

Ensam insideraktör som agerar utifrån personliga skäl. Motiv kan vara utpressning, uppsägning, missnöje etc. Insideraktörer är den historiskt sett vanligaste orsaken till datorrelaterad brottslighet hos myndigheter och näringsliv.

Typ 4. "Infiltratören"

Individ som agerar utifrån ett högre mål. Motiv kan vara förberedelse för styrkedemonstration eller utslagning.

Typ 5. "Aktionsgruppen"

Grupp som agerar utifrån ideologiska skäl. Motiv kan vara anti-samhälle, anti-IT, missnöje med sponsringsaktiviteter etc.

Typ 6 "Ligan"

Grupp som agerar utifrån ekonomiskt vinstintresse, t.ex. utpressning.

Typ 7. "Konsulterna"

Grupp som agerar utifrån konkurrensskäl. Motiv kan vara att nedvärdera konkurrenternas system etc.

Typ 8. "Terroristerna/angriparna"

Grupp som agerar utifrån ett högre mål. Motiv kan vara styrkedemonstration eller utslagning/förbekämpning.

Typ 1-aktören är ofta svårbedömd/oförutsägbar eftersom någon förvarning ofta inte finns. Jämför "the UNA-bomber". För att göra det enkelt för sig kan man utgå ifrån att personen i fråga inte har någon kunskap om infrastrukturen och därför agerar på måfå. Metoderna kan vara både konventionella, dvs. fysiskt sabotage (lokaler) eller okonventionella, dvs. IT-sabotage. Då dessa människor inte brukar oroa sig för konsekvenserna så kan antagligen sprängmetoder inte uteslutas.

Om typ 2, "Haveristen", agerar utifrån hämnd kan denne vara mycket nitisk i sin jakt och kan därför vara farlig. Det kan antas att personen noga studerar var ett angrepp får mest verkan. Någon förvarning brukar inte föreligga här heller. Man får utgå ifrån att dessa människor är rationella varför IT-sabotage verkar vara mest troligt. Aktören är troligen väl inläst på metoder. Utpressaren kan också antas vara uppmärksam för konsekvenserna. Exempel på utpressning är sprängningen av en kraftledningsstolpe i Härjedalen 1989.

Typ 3 och 4 är ett hot eftersom denne har stor kunskap om infrastrukturen och kan ha tillgång till koder, vänner och tillträde till lokaler. Brukar anses som den typ som det är svårast att skydda sig emot.

Typ 5 utgörs av en grupp av aktörer varför förvarning kan finnas genom läckor och efterföljande spaningsinsatser. Samtidigt ökar kunskapen om målval och metod i en grupp. En sådan här grupp kan ju även slå mot infrastrukturen i syfte att skada en abonnent. Ett exempel här är ett sabotage mot ställverk och ledningsnät i Göteborg 1988. Syftet var att skada en viss industri. Ta som exempel en aktivistgrupp som i syfte att slå mot sin motståndare slår mot dess operatör.

Typ 6 är synonym med typ 2 med skillnaden att det är en grupp och att det ändrar förutsättningarna enligt typ 5: Större kunskap om målval och metoder. Jfr den påstådda utpressningen av finansaktörer i London under 1993. Intrången påstås då ha skett mot firmorna, men kunde ha vänts mot infrastrukturen.

Typ 7 är med mest för fullständigheten. Det finns dock exempel på att konkurrens har medfört fysisk utslagning. Detta har hänt i Londons tunnelbana där en telekommunikationsleverantörs utrustning, vilken var lokaliserad i tunnelsystemet, slogs ut på uppdrag av en konkurrerande leverantör.

Typ 8 är den typ som av naturliga skäl har mest resurser.

Dagens infrastruktur har sannolikt möjligheter att skydda sig mot typaktörerna 1-4 och troligen är man här väl införstådd med riskerna. Insiderproblem enligt typ 3 och 4 kanske borde ges lite mer eftertanke. Typaktörerna 7-8 kan anses främmande, men det är just typen 8 som är på stark frammarsch och som fullt legitimt studeras av ett flertal nationalstater, dvs. utöva våld utanför krigstillstånd. Skyddet mot aktörer i gruppen 8 bör vara en väl avvägd blandning av statliga upphandlingar, föreskrifter och lagstiftning.

Driftavbrott p.g.a. svagheter i elförsörjningen är ett allvarligt hot mot verksamheten. Säkerheten i elförsörjningen är i fredstid förhållandevis hög. Beroendet av Internet är trots detta så stort att det måste finnas reservdrift för längre avbrott.

Vad gäller avbrott i kritiska system som Internet är beroende av bör extra uppmärksamhet ägnas åt kraftförsörjningen. I början av 80-talet inträffade i Sverige ett omfattande elavbrott som varade ca 6 timmar. Avbrottet kostade samhället enligt olika utredningar ca 2 miljarder kronor. Merparten av de förlusterna hänfördes till processindustrin. Sedan dess har stora delar av tjänstesektorn blivit alltmer beroende av informationssystem som i sin tur är beroende av elkraft. Dagens informationssystem är inte dimensionerade för längre avbrott i elförsörjningen och totalförlusterna av liknande avbrott i dag skulle bli gigantiska.

Erfarenheten visar att det finns brister i den beredskap för längre avbrott som bygger på tillförsel av el genom reservkraftverk. Det är inte ovanligt att reservkraft i form av t.ex. dieselkraftverk inte startar på grund av bristande underhåll. I ett känt fall startade kraftverket men gick bara i ett par minuter, det visade sig att kraftverket provkörts regelbundet men att ingen kontrollerat hur mycket diesel som fanns kvar efter provkörningarna. I ett annat fall saknades den kabel som skulle koppla samman kraftverket med elnätet vilket innebar att kraftverket fungerade, men att elkraften aldrig kom ut där den behövdes.

Ett exempel hämtat utanför Sverige är när nästan hela den brittiska delen av Internet försvann under några timmar i maj 1997 beroende på ett stopp i elförsörjningen till en nod i kommunikationssystemet. Även om den drabbade operatören deklarerat att de hade reservkraft för många, många dagar, så fungerade det inte. Avbrottet påverkade hundratusentals användare. Hela händelsen visade sig bero på en kombination av ett mänskligt misstag och dålig systemdesign. Någon tryckte på nödstopp, och avbröt all elförsörjning, inklusive reservkraften.

Med kontinuitetsplanering menas här planering och åtgärder för att säkerställa fortsatta kommunikationsmöjligheter vid störningar eller avbrott som inte går att bemästra inom ramen för ordinarie rutiner.

En del av kontinuitetsplaneringens syfte är att skapa en medvetenhet om vilka hot en verksamhet är utsatt för. Genom att delta i framtagandet av en plan blir deltagarna också medvetna om de hot verksamheten utsätts för. Medvetenheten medför att överraskningsmomentet kan begränsas och möjligheterna att snabbt vidta åtgärder för t.ex. alternativa driftsätt ökar.

Om det inte finns någon kontinuitetsplan finns det inte heller någon egentlig beredskap för att möta större driftstörningar.

Om ett större avbrott i verksamheten, t.ex. en brand eller översvämning i en maskinhall, skulle inträffa krävs ett i förväg planerat alternativ för reservdrift för att snabbt åter få igång produktionen. Avsaknaden av en förberedd alternativ driftsmiljö kan i ett sådant här fall innebära flera dagars fullständigt driftsavbrott för sanering av lokaler och återställande av utrustning och data. Med en fungerande plan kan en alternativ driftsmiljö vara igång inom loppet av ett par timmar.

Rutiner för säkerhetskopiering är en viktig komponent. Målet med dessa rutiner är att inom en viss tid kunna återstarta systemen efter avbrott. Många organisationer har alltför sent upptäckt att deras magnetband med säkerhetskopior är tomma på grund av felkonfigurerad programvara för säkerhetskopiering. Om återläggning av säkerhetskopior aldrig har testats har problemet heller inte upptäckts. Resultatet blir att data måste återskapas, ofta för hand, vilket i många fall är tidsödande, om ens möjligt.

Hotbilden i en kontinuitetsplan kan aldrig göras fullständig. Det kommer alltid att finnas hot som inte kunnat förutses, antingen genom att hotet inte fanns när planen togs fram eller genom att hotet förbisetts i planeringsarbetet. I vissa fall kan dock oförutsedda hot ge konsekvenser som liknar de förutsedda hoten vilket ger en viss beredskap mot det oförutsedda hotet.

En kontinuitetsplan med omfattande brister kan utgöra ett lika stort hot som en obefintlig plan. När olyckan är framme visar sig planen vara mer eller mindre värdelös och nya lösningar på problemen måste tas fram. Planen bör därför verifieras genom regelbunden testning eller övning. Om inte planen testas eller övas i tillräcklig utsträckning riskerar den att bli inaktuell eller få sådana brister att den i väsentliga delar inte är användbar.

Genom att testa eller öva planen regelbundet tränas också förmågan att hantera situationer under stress och kontakter etableras mellan operatörer och andra aktörer, som kan vara mycket värdefulla vid en verklig krissituation.

Internet och andra stora datornät består av distribuerade system. Få eller ingen har en helhetssyn och de som har detaljkunskaper har det om en starkt begränsad del av nätet. Om någon utför en handling på ett ställe i nätet kan det få genomslag på andra delar. Detta kan vara manipulation av protokoll eller resurser som hör till infrastrukturen, t.ex. tidsservrar eller routingprotokoll.

Beroende på angreppets tekniska natur kan olika typer av verktyg användas. Program som möjliggör avlyssning av trafiken finns att tillgå via många kanaler och kan enkelt installeras på en PC. Förändring av IP-adresser eller annan protokollinformation i syfte att manipulera trafiken eller åstadkomma intrång är lätt att utföra. Program för olika protokollattacker kan också hämtas hem via Internet. Tillgången till attackverktyg är svår att reglera och kontrollera. Den som vill kunna skydda sig måste också känna till vilka verktyg som finns och hur man motverkar effekterna av dem.

En av de vanligaste attackerna på Internet är avlyssning. Inom telefonin är möjligheterna till avlyssning mycket mer begränsade eftersom det oftast kräver tillträde till de fysiska delarna av telenätet. På Internet finns tillgång till verktyg för ändamålet och kunskaperna om tekniken är mycket spridd.

Internettekniken bygger på inbandssignalering, dvs. att den information som styr nätets applikationer går via samma kanaler som all annan trafik. Detta skapar möjligheter till förfalskning/maskering av servrar, routinginformation etc.

Det enda relevanta skyddet mot avlyssning är kryptering.

När det gäller programmerade attacker har detta redan skett i stor skala. När Robert Morris Jr. 1988 släppte lös sin skapelse, den s.k. Internetmasken, var det ett program som själv spred sig till ett stort antal anslutna datorer. Effekten av detta var att många datorer slogs ut helt. Vid den tiden var Internet enligt en jämförelse inte större än den amerikanska teleoperatören AT&T:s interna nät är i dag. En motsvarande attack i dag skulle sannolikt få konsekvenser som vi inte ens kan föreställa oss.

Kännetecken för denna typ av attacker är:

• de får ofta en epidemisk spridning
• Internets storlek och grundteknik medger storskaliga attacker som saknar motsvarighet i andra typer av medier eller system
• möjlighet till storskalig informationsinsamling, bedrägerier, förfalskningar.

Det finns flera exempel på personer som har skaffat sig tillgång till känslig information, t.ex. kontokortsnummer, i stor mängd, ibland så många som 10 000-tals nummer, genom att ta sig in i datorer där sådan information lagrats.

Viss nätutrustning, t.ex. brandväggar, vissa varianter av operativsystem och andra komponenter implementerar bara en delmängd av de funktioner som normalt sett ingår i TCP/IP utan att följderna av detta är väl uttestat.

Många av nutidens attacker har som vi nämnt mer än tidigare drabbat Internets infrastruktur. Ett av de allvarligare är hoten mot Internets tillgänglighet. Hot mot tillgängligheten är t.ex.:

• resursblockering
• mätta nätet
• denial-of-service (DOS)
• fördröjning av data
• koppla ur och koppla om

En typ av angrepp mot nät som blivit allt vanligare är blockerande attacker (denial-of-service-attacker). Attackens syfte är att få en Internetserver att sluta fungera eller göras oåtkomlig. Det handlar inte om intrång i egentlig mening, ingenting blir förstört och måste ersättas, ingen värdefull information läcker ut. I en organisation där verksamheten är beroende av att ha fungerande elektronisk post eller annan kommunikation kan dock en blockerande attack vara ett allvarligt hot. Följande är några exempel på DOS-attacker:

Om en dator får ett echo-kommando skickar den tillbaka det som följer till avsändaren. En attack skulle kunna innebära att någon med användning av falsk avsändaradress som är lika med mottagaradressen skickar ett echo-kommando. Mottagardatorn ekar svaret till sig själv, utan att kunna bryta.

När en TCP-förbindelse skall upprättas genomförs en handskakning mellan ändsystemen. Först skickas ett SYN-paket. Mottagaren svarar med ett SYN-ACK-paket, varpå sändaren skickar ett ACK-paket, och därefter är förbindelsen upprättad. Om nu mottagaren aldrig erhåller något ACK-paket väntar det en viss tid innan förbindelsen släpps. Om väntetiden är för lång och antalet kanaler för SYN-paket för litet, kan alla förbindelser göras upptagna, och inga nya förbindelser upprättas. Genom att använda en falsk IP-adress som avsändare går det att se till att mottagaren aldrig får något svar på SYN-ACK-paketet, och med ganska enkla medel går det att skicka en ström av falska SYN-paket som effektivt blockerar alla kanaler och i praktiken stänger tillgången till Internet för det aktuella systemet.

Dödens ping utgörs av ett fel i Windows IP-stack som gör det möjligt att skicka IP-paket som är större än vad standarden tillåter. Reaktionen hos den mottagande datorn när den får ett sådant paket är varierande. I en del system händer ingenting, medan andra dör och måste omstartas.

SFS 1997:640,Förordning om ändring i beredskapsförordningen (1993:242).

SOU 1995:19, Ett säkrare samhället, Huvudbetänkande från Hot- och riskutredningen.

Prop 1996/97:11, Beredskapen mot svåra påfrestningar på samhället i fred.

Hotanalys TODAKOM, Försvarsmakten, HK.

ÖCB 5-1613/95, Informations-/datasystem inom civila försvaret - säkerhetskrav, -utvärdering och driftgodkännande.

Statskontoret, Dnr 617/91-5, Myndigheternas säkerhetsanalyser av sina ADB-system.

Svåra påfrestningar û Säkerheten inom el, tele, rundradio vid ett nytt totalförsvarsperspektiv, FOA Försvarsanalys, Frost et al.

Datorrelaterade missbruk och brott - en kartläggning gjord av Effektivitetsrevisionen, Riksrevisionsverket, RRV 1997:33.

Ken Thompson, "Reflections on trusting trust".

Olika tidskrifter med publicerade artiklar inom området.

 Föregående    Index    Nästa