Föregående

 Index

 Nästa

16 Hot mot nätet och nätets tillämpningar

I takt med en allt mer spridd användning av Internet har säkerhetsfrågorna aktualiserats. För att kunna bredda och utveckla användningen av Internet i Sverige är det viktigt att öka medvetenheten om den sårbarhet som kan finnas inbyggd i nätet och nätets tillämpningar och om vilka åtgärder som ger ett ökat skydd.

Den traditionella hotbilden har förändrats p.g.a. Internet. Nätet har skapat nya förutsättningar för att sprida kunskap om brister i maskin- och programvara i såväl datorsystem som i olika nätfunktioner. På nätet förmedlas idag, till en allt större krets av intresserade, kunskapen om hur man utnyttjar teknikens brister för att genomföra t.ex. intrång via bl.a. Internet. I takt med att det ekonomiska utfallet av brott på nätet kan tänkas öka så ökar sannolikt också intresset för området. Hotbilden skiftar ständigt då ny teknik och nya programvaror introduceras dagligen.

De flesta exempel på incidenter på Internet idag beror emellertid på dålig säkerhet i användarnas ändsystem, och den situationen kommer inte att förändras av att bra säkerhetsmekanismer införs på nätnivån.

Ett resultat av den snabba teknikutvecklingen inom området och en avreglerad marknad är att operatörerna på den svenska marknaden hamnat i en situation med hård konkurrens. Låga kundkostnader och ett stort tjänsteutbud prioriteras för att snabbt vinna marknadsandelar. Detta sker på bekostnad av bl.a. säkerhetsfrågorna. Kunderna ställer sällan krav på säkerhet, och uppföljning och kontroll av operatörernas åtaganden sker också sällan.

Den avreglerade marknaden har många aktörer, och det medför att det inte längre finns någon som har överblick över helheten.

För att förbättra den situationen är det viktigt att de politiskt an-

svariga ger signaler om att säkerhetsfrågor är viktiga. Det måste bli självklart att näringslivets och offentlig sektors beslutsfattare får insikt om hot och risker och tar ansvar för dessa frågor.

I direktiven anges att utredningen skall inventera hotbilden mot nätet och nätets tillämpningar. Arbetet har bedrivits i en mindre arbetsgrupp inom utredningen. Inventeringen omfattar en definition av begreppet hotbild, samt en beskrivning av olika typer av hot med exempel. Gruppens arbete omfattar inte kundernas ändsystem, outsourcing av funktioner från ändsystem, såsom webbhotell etc.

En viktig utgångspunkt har varit SOU 1995:19, Ett säkrare samhälle, huvudbetänkande från Hot- och riskutredningen.

I bilaga 16 har utredningsgruppen definierat begreppet svåra påfrestningar, för att med den definitionen som utgångspunkt kunna definiera hotbilden för svåra påfrestningar så att extraordinära situationer i fred kan urskiljas från normala driftstörningar. I bilagan beskrivs också tänkbara aktörer bakom fredstida aktioner och deras motiv samt en bedömning av dessa olika aktörer.

Observera att det inte existerar någon exakt motsvarighet mellan de hot som beskrivs i detta avsnitt och den säkerhetsarkitektur som beskrivs i nästa avsnitt. Avsikten med denna beskrivning av hotbilden är endast att ge en antydan om komplexiteten i de överväganden som måste göras för att minimera Internets i Sverige sårbarhet.

För att kunna svara mot dagens kommunikationsbehov är tillgången till olika typer av kommunikationsnät av vital betydelse. Den ökade tillgången till nät bidrar till ökad komplexitet och större risker. Avbrott och andra störningar kan uppstå genom brister i elförsörjning, brand, vatten, intrång, explosioner m.m. Även naturliga företeelser som åska, spänningsvariationer i elnäten m.m., kan orsaka avbrott och gör det dessutom förhållandevis ofta.

När det gäller att fysiskt skydda infrastrukturens alla delar, med kabelförbindelser, antenner och centraler, måste vi ändå utgå ifrån att det är en omöjlig uppgift, främst på grund nätets omfattning och utbredning och att det därmed existerar ett stort antal svaga punkter. Men dessa risker kan minimeras genom noggrann analys och åtgärder vid utbyggnad och utveckling.

Statskontoret föreslår att nationella knutpunkter för samtrafik mellan operatörers nät, nätdatabaser m.m. som är av vital betydelse placeras skyddade mot fysiska attacker i bergskyddade anläggningar. Möjligheter till utspridning och flervägsanslutningar måste utnyttjas för att öka säkerheten. Det kan finnas skäl att överväga huruvida vissa vitala funktioner inom Internet i Sverige skall vara föremål för SUA-upphandling (Säkerhetsskyddad upphandling med avtal). Vidare bör övervägas om Internetoperatörer skall betraktas som K-företag (krigsviktiga företag).

Statskontoret föreslår att frågor om SUA och klassificering av Internetoperatörer som krigsviktiga företag hanteras inom ramen för den utvärdering av genomförandet av utredningens förslag som Statskontoret föreslår skall äga rum hösten 1998 alternativt inom ramen för det uppdrag om strategi för IT-säkerhet som Kommunikationsdepartementet lagt på Statskontoret i september 1997.

Nätet består av flera olika delar som var för sig kan slås ut. Om nätet är rätt uppbyggt kan man avsevärt minska risken för en total utslagning. Detta innebär krav på samverkan mellan aktörerna (t.ex. operatörer och transmissionsleverantörer) och användning av parallella transmissionssystem samt att viss kritisk utrustning ges en säker placering, rätt konfigurering och dubblering.

I bilaga 16 beskrivs några exempel på incidenter vad gäller avbrott i elförsörjning.

Skador orsakade av brand och vatten utgör hot som är bland det värsta som kan inträffa. Förödelsen kan bli total och verksamheten lamslås under längre tid. Erfarenheter visar att lämpligt brandskydd ofta saknas. Operatörerna måste själva ta ansvar för att ha ett godtagbart skydd mot dessa hot för att inte brand- eller vattenskador i operatörernas utrustning skall utgöra något större hot utan kan anses vara begränsat.

Att någon obehörig fysiskt skulle kunna bereda sig tillträde till vitala delar av operatörernas utrustning får betraktas som ett mindre sannolikt hot. Statskontoret förutsätter att sådan utrustning finns placerad i lokaler som har ett genomtänkt tillträdesskydd.

Även behörig personal som t.ex. användare, driftpersonal, systemutvecklare, underhållspersonal och övervakningspersonal utgör en risk. Personkvalitet i sådana befattningar kan åstadkommas genom placering i säkerhetsklass och genomförd registerkontroll i kombination med god personkännedom.

Det är ett mycket vanligt problem att t.ex. kablar skadas vid grävning och annan åverkan. Om en sådan skada drabbar regionala eller rikstäckande delar av nätet kan omkopplingar i idealfallet ske så snabbt att de flesta användare inte blir berörda. Avbrott i de lokala förbindelserna kan få större konsekvenser.

Det finns stora möjligheter att avsiktligt skada delar av transmissionsnätet som t.ex. fiber, kopparkabel och radio-/radiolänkanläggningar p.g.a. deras placering. Förutsättningarna att skydda sådana anläggningar mot fysiska angrepp är små.

Även om slutkunden ställer krav på operatören på alternativa vägar i transmissionen så har kunden ingen möjlighet att säkerställa att det verkligen existerar sådan redundans. Inte ens operatörer kan till hundra procent försäkra sig om att deras trafik har tillgång till alternativa vägar, t.ex. om de köper transmission av en annan nätleverantör. Detta är en fråga mellan kund och leverantör, dvs en Internetoperatör skall kräva att transmissionsleverantören (Telia, Banverket, Svenska Kraftnät, Teracom) redovisar hur en förbindelse går.

Möjligheterna att erhålla faktisk redundans i den egna trafiken ökar med användning av olika transmissionsnät parallellt. (Se bilaga 21 om olika transmissionsnät i Sverige). Det är inte säkert att det blir högre tillgänglighet p.g.a. att en abonnent anlitar olika operatörer. Mindre operatörer hyr ofta förbindelser av de större operatörerna så det kan i praktiken vara samma kabel.

I bilaga 16 ges en definition av vad utredningsgruppen menar med kontinuitetsplanering.

Kraven på att kontinuerligt kunna bedriva verksamheten är grundläggande för samtliga operatörer. Behovet av att analysera hot och risker får i nuläget bedömas vara lågt prioriterat. Avsaknad av plan är särskilt vanligt i mindre och medelstora organisationer med stor dynamik i verksamheten och hög tillväxttakt. Innebörden av en allvarlig störning i verksamheten är sällan definierad och dokumenterad. Planer och andra förberedelser saknas ofta. Detta, i kombination med begränsat fysiskt skydd för driftställen, beroenden av nyckelpersonal och ett inbördes beroende mellan operatörer kan medföra oönskad förlängning av avbrott, med mycket allvarliga konsekvenser.

Före den stora Internetexpansionen återfanns de största IT- säkerhetsproblemen i att användare hade dåliga lösenord och delade användarkonton med varandra. Många lever fortfarande i övertygelsen om att det förhåller sig så. Det fanns också en rad brister i de vanligaste programvarorna, vilka kunde utnyttjas för missbruk och intrång.

Många av dagens incidenter har dock mer än tidigare drabbat Internets infrastruktur. Hoten mot Internet avser i första hand tillgänglighet.

Nedanstående tabell ger en överblick över olika typer av attacker och vad de medför:

Alla Internetanslutna organisationer utstår hela tiden ett grundhot på grund av att flera verktyg existerar som möjliggör attacker. En del verktyg medger mer urskiljningslösa attacker medan andra verktyg medger en koncentration mot vissa IP-adressområden eller grupper av domännamn (t.ex. veckans domännamnsregistreringar).

Vissa attackerande personer har ett bestämt mål med sina gärningar, t.ex. politisk eller annan övertygelse. Idag så bryr sig merparten personer som håller på med intrång på Internet inte om organisationen i sig utan är mer intresserade av själva intrånget, eller att intrånget bara är en del i en annan aktivitet, t.ex. att sprida piratkopierad programvara.

Det finns inte utrymme för att beskriva alla kända typer av attacker mot Internetprotokollen. Det finns och kommer alltid att finnas oförutsägbara hot. Det är därmed viktigare än någonsin att vedertagen säkerhetspraxis tillämpas konsekvent.

De logiska hoten omfattar bl.a.:

• Felaktiga riskbedömningar
• Oupptäckta beroenden
• Felaktiga antaganden
• Mänskliga fel och brist på säkerhetstänkande
• Resursblockering/Mätta nätet/Denial-Of-Service/Fördröjning av data
• Trafikanalys
• Felaktiga implementationer av IP
• Attacker med uppsåt
• Programmerade/programmerbara attacker
• Någon inom Internetvärlden som inte följer gängse konventioner
• Attacker mot nyckelpersoner

Några av dessa behandlas mer utförligt i bilaga 16.

Det är att ta en stor risk att anta att de produkter som finns tillgängliga på marknaden är säkra, och det ställs allt starkare krav från användare på tillgång till produkter, system och tjänster för IT-säkerhet som är provade och certifierade.

För att ett svenskt system för provning och certifiering av produkter och system för IT-säkerhet skall kunna inrättas krävs att det finns ett svenskt grundläggande regelsystem för olika former av teknisk provning och kontroll. Detta regleras i lagen om teknisk kontroll. Genomförandet av säkerhetsutvärderingen bör lämnas åt marknaden. För detta bör finnas minst ett organ inom landet vars kunskaper, miljö, arbetssätt och verktyg kontrolleras av en myndighet.

En producent eller konsument av produkter och system för IT-säkerhet får själva bekosta utvärderingen. Resultaten granskas i efterhand och ges en formell stämpel, ett certifikat, som utfärdas av en myndighet eller annan utpekad instans.

Ett svenskt system för utvärdering och certifiering av system och produkter för IT-säkerhet skall vara marknadsorienterat och överensstämma med principerna om öppna system. Alla organ som bedöms inneha kompetens för detta skall ha möjlighet att starta och bedriva provnings-, utvärderings- eller certifieringsverksamhet. Ackreditering är det sätt på vilket deras kompetens bekräftas. Ackreditering görs för svenskt vidkommande av SWEDAC, vilket också innebär att de som ackrediterats blir godkända på europeisk bas då SWEDAC i sitt arbete med ackreditering använder sig av de standarder och arbetssätt som man enats om inom Europa.

Aktörerna i ett svenskt system skall delta i det arbete som bedrivs i samförstånd mellan provnings- och utvärderingslaboratorier och/eller certifieringsenheter i Europa, för att säkerställa ömsesidigt erkännande av varandras provningsresultat och certifikat. Produktcertifiering är ett komplement till systemcertifiering. SWEDAC har tagit initiativ till att skapa möjligheter för certifiering på den svenska marknaden.

De tjänster som operatörerna levererar till slutkund är ofta i något led beroende av andra; operatörer, transmissionsleverantör etc. En slutkund är därför också beroende av säkerhetsåtgärder inom hela kedjan. I de avtal som tecknas mellan operatör och slutkund redovisas sällan dessa förhållanden och kunden blir därför inte medveten om vilka risker som finns. En förutsättning för att kunna samordna flera aktörer är att ansvarsgränserna mellan inblandade aktörer är klarlagda.

Logisk datakommunikation bygger på att underliggande fysiska komponenter måste fungera. I tidigare hotutredningar talas det mycket om beroenden av elförsörjning och telekommunikation. För att datakommunikation skall fungera måste både den elförsörjning och telekommunikation som används för transmissionsdelarna och publik och privat datakommunikationsutrustning fungera.

Datakommunikation beror på flera andra komponenter:

• Underliggande transmissionsutrustning
• Felfri programvara
• Felfri maskinvara
• Rätt konfiguration och parametersättning av kommunikationssystem
• Organisatoriska problem

Att säkerställa alla dessa, t.ex. undvika fel i maskin- och programvara är omöjligt, däremot kan man förbereda och planera inför dessa typer av händelser.

Ett annat beroende som kommer upp är vid sammankoppling av operatörer. För att en operatör skall kunna ge sina kunder några garantier om servicekvalitet så måste operatören också kunna förvissa sig om att de som operatören är beroende av uppfyller de krav som ställs. En utbyggnad av modempoolen hos en operatör genererar behov av motsvarande utbyggnad på sammankopplingspunkterna hos andra operatörer. För att undvika prestanda- och säkerhetsproblem måste operatörerna inte bara ställa krav på varandra utan också reglera sådana frågor i avtal.

Merparten av dagens Internet och därtill anslutna nät består av utrustning tillverkad av ett fåtal företag främst baserade i USA. Handelshinder, distributionsproblem eller andra typer av restriktioner på export, import eller användande av denna typ av utrustning skulle direkt få konsekvenser på nätinfrastrukturen. Kostnaden för t.ex. en router är hög och lagerhållningen i Sverige begränsad.

Beroendet av nyckelpersoner för viktiga funktioner i verksamheten ökar med den snabba teknikutvecklingen och den hårdnande konkurrensen. Få av dessa nyckelpersoner är krigsplacerade i sina befattningar och få operatörer har begärt uppskov för aktuell personal

Konsekvenserna av detta kan bli mycket allvarliga eftersom många operatörer drabbas samtidigt med påföljd att den totala möjligheten att driva Internet i Sverige under kris och krig påverkas.

Statskontoret föreslår att frågan om incidenthantering belyses av en utredning med uppdrag att tillsammans med t.ex. operatörer och användarorganisationer inom offentlig förvaltning och näringsliv utreda och föreslå uppgifter för en organisation för incidenthantering i Sverige och hur den funktionen praktiskt skall utformas.

I USA har sedan länge funnits en organisation kallad CERT (Computer Emergency Response Team) som sammanställer och distribuerar larm och varningar relaterade till drift av nätanslutna datorer. Incidenthantering är en funktion som beroende av ambitionsnivå kan göra allt från att åtgärda och koordinera åtgärder mot incidenter och andra hot till att endast ta emot rapporter om incidenter, sammanställa statistikinformation och framskriva trender baserat på dessa rapporter.

Hos varje operatör krävs det en organisation som kan upptäcka och ta hand om attacker riktade mot infrastrukturen, dvs själva nätet. En nära kontakt mellan operatörerna är en viktig förutsättning för att samordnade och effektiva motåtgärder snabbt skall kunna komma till stånd. Initiativ till sådan samverkan mellan operatörerna har också tagits under hösten 1997.

Det förekommer också ofta att intrång sker från personer som befinner sig i ett annat land och hoppar i flera steg. För att kunna hantera och åtgärda den typen av incidenter och få till stånd rättslig prövning så krävs det också samarbete mellan incidenthanteringsorganisation, polisväsende, operatörer och rättsväsende på en internationell nivå.

Statskontoret konstaterar att det för närvarande saknas en övergripande organisation för krishantering för Internet på nationell nivå. Statskontoret föreslår att en sådan organisation pekas ut snarast. Den organisationen skall bemyndigas att besluta om direkta åtgärder för att skydda och vidmakthålla Internet i Sverige. Reaktionstiden behöver vara på nivån minuter eller högst timmar.

Varje operatör och organisation med samhällsviktiga funktioner måste ha upprättat en plan som beskriver hur verksamheten skall genomföras under kris och krig.

Bemanningen för kris och krig måste vara planerad och säkerställd, och personalen vara krigsplacerad på sina ordinarie arbetsplatser.

Den säkerhet som fordras för att den svenska delen av Internet skall fungera i alla situationer måste vara grundad på den fredstida nivån. Flera åtgärder behöver vidtas inom säkerhetsområdet för att Internet i Sverige skall uppnå en sådan robusthet att det kan motstå påfrestningar av olika slag. Det finns inte utrymme för att utveckla och införa nya system för informationshantering och kommunikation när störningar uppstår.

Det finns behov av ökad central ledning och samordning vid förberedelser för kris och krig. För att lättare kunna samordna mellan operatörerna måste den "grundfunktionalitet" som krävs i en krissituation definieras. Det är viktigt att operatörer och berörda myndigheter gemensamt formulerar hur verksamheten kan bedrivas i det samlade perspektivet fred-kris-krig.

En effektiv informationsverksamhet är avgörande för om myndigheter och andra vid svåra påfrestningar skall kunna genomföra de åtgärder som är planerade. Det finns behov av att finna en elektronisk motsvarighet till "Viktigt Meddelande". Den som har mandat att gå ut med allmänna varningar, mobiliseringsorder etc. elektroniskt måste kunna förvanskningsskydda och signera den informationen.

Var och en som får informationen måste också kunna verifiera signaturen. Det innebär att information som möjliggör en äkthetskontroll av signaturen måste finnas publicerad och spridd på ett sätt som gör det nära nog omöjligt att förfalska, t.ex. att den publiceras på första sidan i telefonkatalogen, eller något lika vanligt förekommande material. Man måste kunna förutsätta att ingen klarar av att manipulera hela upplagan, medan däremot begränsade delar av upplagan kan förvanskas. Var och en kan ändå till rimlig förvissning verifiera genom att jämföra med någon annan persons version av informationen för äkthetskontroll.

I komplexa system är det särskilt vanligt att drift och underhållsåtgärder får oavsiktliga och oanade konsekvenser. I ett krisläge bör sådana åtgärder begränsas till ett minimum och löpande underhållsarbete eventuellt avbrytas.

Statskontoret anser att en bättre samordning av resurser behövs i en krissituation. Operatörerna bör ha avtal om utnyttjande av varandras nät i en krissituation. Eventuell möjlighet till samutnyttjande av personal och övriga ledningsresurser bör stimuleras. Det är också önskvärt med tillgång till redundanta drifts- och övervakningsplatser.

Beslut om att konstruera beredskapsnät, där t.ex. debiteringsfunktioner tas bort och filtrering tillfogas för att största möjliga kapacitet skall uppnås kräver klara regler för prioriteringen. Statskontoret anser att dessa regler bör formuleras på en politisk nivå och i samförstånd med operatörerna.

Ansvaret för skydd av det egna systemet är ofta underskattat. Detta utgör också ett hot mot andra system, då det första systemet kan vara en språngbräda mot andra mål (som kan vara huvudmålet för en attack). En kunskapshöjande aktivitet med information om konsekvenser och risker med datanät bör genomföras.

Ansvaret inom regeringskansliet för IT-säkerhetsfrågor bör tydliggöras och det departement som har ansvar för IT-frågor skall också ha ett naturligt ansvar för de frågor som har att göra med säkerhet inom IT-området.

Flera myndigheter inom statsförvaltningen har bl.a. till uppgift att kräva att andra skall vidta åtgärder för att skapa skydd och uppnå säkerhet i verksamhetens informationssystem. Alla bidrar genom att ta ansvar inom sitt område.

Det kan vara en fördel med många aktörer inom säkerhetsområdet. Mångfalden kan leda till att en åtgärd inom ett område ger impulser inom andra. Det finns å andra sidan en uppenbar risk för att en helhetssyn på säkerhet förknippad med informationsförsörjning går förlorad om det inte finns någon med ett utpekat ansvar för att ha överblick, och som kan ta initiativ till åtgärder, rapportera iakttagelser, bl.a. till regeringen.

Framför allt kommuner, landsting och näringsliv är annars hänvisade till impulser från branschorganisationer, ideella föreningar och enskilda företag.

Många olika bransch- och intresseorganisationer engagerar sig för att hitta lösningar på bl.a. säkerhetsproblemen på Internet, t.ex. SNUS, SEIS, Swebizz, EDIS, Dataföreningen Sig Security. Dessa utgörs i huvudsak av ideella föreningar med begränsade resurser och med små möjligheter till resultatspridning och genomförande utanför den egna intressesfären.

Det finns några nyckelbegrepp som är avgörande för utvecklingen:

Distansarbete - vi vill bli rörligare i vår yrkesutövning och vi vill kunna styra var och när vi gör det som ålagts oss.

Internet/intranät, TCP/IP-dominans - den ökade öppenheten, ökade funktionaliteten och de allt mer generella verktygen för med sig ökad sårbarhet.

Avsaknad av säkerhetsfunktioner får inte lägga hinder för en sådan utveckling. Syftet med en IT-säkerhetsstrategi är att åstadkomma och bibehålla en säkerhetsnivå som ger hög kvalitet.

 Föregående    Index    Nästa