Cyberförsvaret i praktiken

Skriven av

Varför behövs ett svenskt cyberförsvar? För att Sverige är under attack, och ingen bryr sig om det, så det märks. Cyberkriget är det nya hotet mot välfärdsstaten. Det hotar vår elförsörjning, livsmedel, kommunikation, sjukvård och våra ekonomiska institutioner.

(Och som ett brev på posten stor-attackerades Norge dagen efter att denna artikel publicerats, Norska Bank-ID, Arbeidertilsynet med flera attackerades av ryska KillNet.)

Den fysiska Försvarsmaktens uppgift är att skydda landet och dess invånare, organisationer och infrastruktur från angrepp utifrån, infiltration och omstörtande desinformation. Cyberförsvaret bör ha en liknande uppgift.

Ett gott IT-säkerhetsarbete är att jämföra med att låsa dörren själv när man går hemifrån, till skillnad från att lämna den olåst och släppa in vem som helst. Men det förutsätter att man över huvud taget har en låsbar dörr.

IT-säkerhetsläget ser inte särskilt ljust ut i Sverige. Samhällsviktiga företag och funktioner faller ungefär en gång i veckan, antingen på grund av cyberattacker eller allmänt dålig IT-hygien och det ser inte ut att ha blivit någon bättring på senare år (se referensen ”it-skandaler-som-ingen-bryr-sig-om”).

Då och då kommer upphetsande meddelanden från Regeringen om att de lagt ut ansvaret för cyberförsvaret på den eller den myndigheten, men problemen har varit uppenbara i många år utan att något särskilt gjorts och värre blir det hela tiden, nu när de stora diktaturerna i Öst beslutat sig för att försöka splittra Europa.

Men vi går mot ljusare tider, om man får tro Fredrik Heiding, doktorand i cybersäkerhet på Tekniska Högskolan i Stockholm. Det hela utvecklade sig till en intervju och Fredrik har av naturliga skäl mest åsikter om utbildning.

– Alla länder behöver ett cyberförsvar. Sverige också, och vi har ett som jag själv jobbar med. Men det sker fortfarande intrång eftersom det är väldigt svårt att bygga säkra system och skapa sig en heltäckande bild av hoten. KTH samarbetar med Försvarsmakten för att utbilda cybersoldater.

Grundläggande uppgifter

  • Cyberförsvaret ska skydda svenskarna, svenska företag och organisationer från cyberkrig, cyberinfiltration och andra cyberbrott, även de som inte vill bli skyddade eller vägrar tro att ett cyberkrig pågår.
  • Cyberförsvaret ska bedriva både nationell och internationell underrättelseverksamhet.
  • Cyberförsvarets IT-Haverikommission ska ha makt och myndighet att undersöka spillrorna efter en cyberattack, kunna dra lärdomar därifrån och publicera dem.
  • Cyberförsvaret ska ha rätt att tvinga fram ökad kunskap om cyberbrott hos svenskarna, svenska företag och organisationer.

Det händer inte mig

Varför behövs ett cyberförsvar? Varför kan inte medborgare och organisationer försvara sig själva? Undertecknad drar sig till minnes argumentationen inför bilbälteslagen år 1986, som var i stil med ”Det händer inte mig. Jag tar emot mig i ratten”. Sen kom bilbältena och krockkuddarna ändå. Idag protesterar ingen, utan bälten och kuddar monteras som standard och räddar tusentals liv varje år. Människor som inte vill bli räddade, räddas ändå.

I sin moderna struntar-väl-jag-i-form kan detta skrivas om till försäkringsskydd som företag tecknar för att kunna ersätta skador vid cyberangrepp, gisslantagande etc, hellre än att behöva utbilda personalen. Tyvärr fungerar det inte. Företagen får sällan tillbaka allt sitt data trots att de betalar lösensumman. Och flera försäkringsbolag har slutat att erbjuda sådana försäkringar.

Det finns en orsak till att människor i allmänhet inte vill bli cyberförsvarade. De har hört en mängd konspirationsteorier om övergrepp från myndigheter och censur och kommer därmed att betrakta allvarligt menat cyberförsvar som ett angrepp på yttrandefriheten. Svaret på detta är också utbildning.

– Det kan också formuleras som att ”det berör inte mig”, säger Fredrik. Många cyberattacker som vi undersöker på KTH gäller IoT-produkter och hushållsprodukter och då kan man tänka att ”vad gör det om någon hackar min dammsugare?” Men antag att alla kylskåp i ett bostadsområde tas över, hamnar i ett botnät och används för att gräva kryptovaluta eller utföra förstörande attacker mot andra. Sådant drabbar inte direkt den som äger kylskåpet, men det drabbar samhället.

– Men, frågar vi, varför måste man tända lyset med en app? Varför kan man inte trycka på knappen längre? Vad har hänt med oss?

– Mänskligheten är på väg framåt och kommer alltid att avancera, men det kan vara värt att tänka en gång till och ställa sig frågan: måste den här enheten faktiskt vara uppkopplad mot Internet? Ger det mig något extra värde? Kontra förlusten att få mitt privatliv utlämnat till tillverkaren. Ska man ha en IoT-apparat med hög säkerhet blir den oftast så dyr att gemene man inte prioriterar säkerheten i budgeten.

Vilka ska skyddas?

Samhällsviktiga organisationer ska skyddas, alltså sådana som får samhället att fortsätta fungera trots yttre påfrestningar.

  • Myndigheter: Stat, kommuner, myndigheter, brandväsen
  • Vård: Sjukvården, ambulansorganisation
  • Kommunikation: Telekombolag, internetleverantörer, samfärdsel, deras driftorganisationer, flyg och flygplatser
  • Ekonomi: Banker, kreditkortsorganisationer
  • Energi: Elkraft, kraftverk, driftorganisationer
  • VVS: Vatten och avlopp, fjärrvärme
  • Information: Mediaföretag, public service, skolor
  • Livsmedelsförsörjning och butiker
  • Befolkningen och deras maskinvara

Hädanefter kallas alla berörda bara för ”organisationerna”.

Privatföretag utöver detta får klara sig själva. Vad de gör med sina pengar är deras ensak.

Anledningen till att ett cyberförsvar behövs är att de berörda inte kan, vill, klarar av eller tror sig behöva försvara sig själva och begår så många cyber-dumheter att det vore rena självmordet i ett fysiskt krig. Ändå förlitar sig de flesta på slumpen, försäkringsbolag eller ”det händer inte mig”. Men det händer och det kostar miljarder varje år. Denna ignorans är en ren förlust för svensk industri och svenskt anseende.

Hårdhänt?

Åtgärderna som föreslås i denna artikel är inte snälla och kan tyckas onödigt hårdhänta. Men betänk att landet är under angrepp, ett riktigt militärt angrepp, om än på ett, för de flesta, osynligt sätt. Detta kräver tyvärr hårda tag. Särskilt mot dem som motarbetar eller vägrar inse faran.

Lagbrott?

Borde det inte vara brottsligt att genom oaktsamhet utsätta landets infrastruktur för fara? Brottsbalken har en hel massa bra lagar som egentligen är direkt tillämpliga på internettroll, falska nyhetssajter, antivaxare, sådana som sprider splittring i samhället genom desinformation och liknande avarter.

I Brottsbalkens 19 kapitel ”Om brott mot Sveriges säkerhet” står det:

1 § Den som, med uppsåt att riket eller del därav ska, med våldsamma eller annars lagstridiga medel eller med utländskt bistånd, läggas under främmande makt eller bringas i beroende av sådan makt eller att del av riket på så sätt ska lösryckas, företar en handling som innebär fara för uppsåtets förverkligande, döms för högförräderi…

10 § Den som, för att gå främmande makt tillhanda, hemligen eller med användande av svikliga medel antingen bedriver verksamhet vars syfte är anskaffande av uppgifter om förhållanden vars uppenbarande för främmande makt kan medföra men för Sveriges säkerhet eller medverkar till sådan verksamhet mer än tillfälligt, döms för olovlig underrättelseverksamhet mot Sverige…

13 § Den som av främmande makt eller från utlandet av någon som handlar för att gå främmande makt tillhanda tar emot pengar eller annan egendom för att genom utgivande eller spridande av skrifter eller på annat sätt påverka den allmänna meningen i en fråga som gäller någon av grunderna för rikets statsskick eller i någon angelägenhet som har betydelse för rikets säkerhet och som det ankommer på riksdagen eller regeringen att besluta om, döms för tagande av utländskt understöd…

De här lagarna borde kunna ligga till grund för inrättandet av ett cyberförsvar, eftersom avsikten med trollning, desinformation, hot, slarv vid IT-upphandling och utpressning uppenbarligen är att orsaka splittring i landet, genom att införa misstro mot myndigheter, polis, regering och kungamakt och därigenom göra ett maktövertagande lättare. Särskilt viktig tycks skrivingen i 10 § om handlingar som medför ”men för Sveriges säkerhet” vara. Det står inte vilken säkerhet som avses, så man kan förmodligen skriva in elkrafts-, vatten-, livsmedels-, informations- och kommunikationssäkerhet.

Cyberförsvarets uppbyggnad

Här är ett förslag på hur cyberförsvaret skulle kunna byggas upp och arbeta.

Cyberförsvaret ska ha kontakt med flera aktörer på marknaden och i samhället. De drabbade är sådana som måste hjälpas till IT-säkerhet eftersom de själva inte klarar det. Internet är platsen där man letar upp fienden och försöker motarbeta denne. Det ska finnas ett samarbete med expertorganisationer, som kan ha andra och bättre erfarenheter än Cyberförsvaret. Befolkningen ska huvudsakligen skyddas genom utbildning. Data om historiska attacker och angripare är viktigt att spara på ett organiserat sätt.

Försvarsorganisationen

Cyberförsvaret måste vara en myndighet med rätt att fråga ut andra myndigheter, nyttja statens resurser (t ex rättsliga) och med rätt att använda radiosystemet Rakel. Man måste ha rätt att stämma eller på annat sätt klämma till mediaaktörer och organisationer som vägrar medverka till bättre IT-säkerhet.

En huvuduppgift måste vara att verka sammanhållande på underavdelningarna och skaffa strategier så att alla avdelningar kan samarbeta och fungera.

– Man måste också tänka på att skaffa experter från andra discipliner än bara cyber, menar Fredrik. Cybersäkerhet är ett tvärvetenskapligt ämne. När en hackergrupp ska infiltrera ett kärnkraftverk, skaffar de sig experter på kärnteknik. Mycket av den traditionella Försvarsmaktens struktur kan speglas över till cyberförsvaret. Samtidigt gäller det att vara aktuell och hitta nya sätt att försvara och nya sätt att attackera och agera under radarn.

Civilförsvar, hemvärn

För att effektivt skydda landet mot cyberattacker krävs att man tar vara på den kompetens som finns i civilsamhället och bildar ett ”cyberhemvärn” där frivilliga står redo att rycka ut i händelse av kris eller krig.

På samma sätt som att vi har en brandkår som rycker ut vid bränder som den enskilda inte klarar att släcka själv, borde vi vid större påfrestningar ha en styrka av frivilliga IT-tekniker som redan är samövade och förberedda att agera. Problemet är emellertid kompetensbrist i befolkningen. Det finns för få som kan bidra.

– Hemvärnet är värt att utveckla, för ju mera hemvärn man har, desto mera sprider sig kunskaperna till vanliga medborgare. Man skulle också viljas önska sig ett decentraliserat nätverk för kommunikation i krissituationer. Alla är anslutna till Internet idag, men skadas det har vi ingen kommunikationsväg.

– Då, inflikar vi, finns ju Frivilliga Radioorganisationen, FRO och deras digitala kommunikationsvägar. Digital amatörradio blir allt vanligare i krissituationer, som stora skogbränder och sådant, när den vanliga infrastrukturen har brunnit upp.

Underrättelsetjänst

Cyberförsvarets underrättelseavdelning ska ägna sig åt att samla in information om de angrepp, attacker, utpressningsförsök, nya trojaner och metoder som förekommer i IT-världen. Man ska dessutom samla in information om de organisationer som utsätts för angrepp och utröna varför så skett.

Utbildningsavdelning

Cyberförsvarets utbildningsdetalj ska framställa utbildningsmaterial och pressmaterial. Detta ska användas vid föreläsningar, kurser och presskonferenser, enligt rubriken ”Data som publiceras” nedan.

Utbildningsavdelningen ska dessutom ha resurser att verifiera att kunskaperna nått fram, dvs verifikation, enligt rubriken ”Verifikationsproblemet” nedan.

Organisationer som utbildats, men vägrat ta till sig informationen, överlämnas till den polisiära avdelningen.

– Det gäller att utbilda och innovera. KTH har många projekt där vi utbildar på låg- och högstadium och i gymnasiet. Men vi riktar också in oss på hur man ska kunna öka allmänhetens medvetande. Det är en otroligt viktig uppgift för utbildningsväsendet. På KTH har vi Sveriges första mastersprogram i cybersäkerhet, så det går framåt. Kanske det redan finns gymnasieutbildning i cybersäkerhet och måhända ännu längre ned i åldrarna. Ju längre ned vi når, desto bättre.

IT-haverikommission

IT-haverikommissionen ska ha rätt att undersöka alla IT-haverier som är av betydelse för rikets säkerhet och samhällets (myndigheters överlevnad och trovärdighet, energi och vatten, sjukvård och läkemedelsförsörjning, livsmedel) fortlevnad.

Det ska inte gå att prata sig ifrån IT-haverikommissionens undersökningar och krav. ”Företagshemligheter” gäller inte.

IT-haverikommissionen ska regelbundet publicera sina upptäckter.

De brister som upptäckts ska omvandlas till regler, som ska efterlevas av alla berörda organisationer.

Polisiär enhet

Den polisiära enhetens uppgift är att undersöka vilket brott en fiende kan åtalas för och därefter åtala denne. Här är några exempel på vilka lagar som skulle kunna vara tillämpliga.

Först handlar det om anti-vax, som egentligen bara är konspiratoriskt trollande. I Brottsbalkens 3 kapitel ”Om brott mot liv och hälsa” står det:

7 § Den som av oaktsamhet orsakar annans död, döms för vållande till annans död till fängelse i högst två år eller, om brottet är ringa, till böter.

I Brottsbalkens 13 kapitel ”Om allmänfarliga brott” står det rörande spridning av smittsamma sjukdomar:

7 § Om någon framkallar allmän fara för människors liv eller hälsa genom att förgifta eller infektera livsmedel, vatten eller annat, på annat sätt sprida gift eller dylikt eller överföra eller sprida allvarlig sjukdom, döms för spridande av gift eller smitta till fängelse i högst sex år.

Därefter handlar det om brott mot rikets infrastruktur, uppvigling mot myndigheter och möjligheter till kommunikation.

4 § Om någon förstör eller skadar egendom, som har avsevärd betydelse för rikets försvar, folkförsörjning, rättsskipning eller förvaltning eller för upprätthållande av allmän ordning och säkerhet i riket, eller genom annan åtgärd, som ej innefattar allenast undanhållande av arbetskraft eller uppmaning därtill, allvarligt stör eller hindrar användningen av sådan egendom, dömes för sabotage till fängelse i högst fyra år. Detsamma skall gälla, om någon eljest, genom skadegörelse eller annan åtgärd som nyss sagts, allvarligt stör eller hindrar den allmänna samfärdseln eller användningen av telegraf, telefon, radio eller dylikt allmänt hjälpmedel eller av anläggning för allmänhetens förseende med vatten, ljus, värme eller kraft.

Samverkan, informationsinhämtning

Cyberförsvaret ska samverka med alla relevanta myndigheter, civila såväl som militära, i syfte att inhämta information om cyberhändelser, men ska själv ägna sig åt att utvärdera händelserna och vidta åtgärder, och inte räkna med att berörda myndigheter kan eller vill vidta åtgärder. Det finns exempel på att ansvariga politiker försökt dölja brott mot upphandlingsreglerna, tagit emot mutor och lämnat ut information och databaser till främmande makt.

Man bör samverka med viktiga expertorganisationer, som säkerhetsföretag, internetoperatörer, CERT-SE, högskolor och universitet etc.

Omvärldsbevakningen ska skötas av därför avsedd personal, som kontinuerligt undersöker webbsidor, media, sociala media, etc.

Rekrytering

Svenska universitet och högskolor torde vara den bästa basen för att rekrytera personal med cybersäkerhetsfokus. Intresset för cybersäkerhet ökar stadigt vid lärosätena.

Infiltration, attacker

För att undvika infiltration från fiendesidan måste alla som anställs, först säkerhetskontrolleras. Endast svenska medborgare kan anställas. Säkerhetskontrollen ska fortgå kontinuerligt, eftersom personalen inte är omutbar, utan kan tänkas avvika från den rätta vägen.

Cyberförsvaret kommer att attackeras. Webbsidan och dess information kommer att utsättas för försök till intrång och förvanskning. Intrångsförsök kommer att göras mot cyberförsvarets operativa datornät. De anställda kommer att utsättas för påverkansförsök, mutor, smutskastning, hot etc. Cyberförsvaret kommer att smutskastas i fientliga media. Det gäller att ha strategier färdiga för att klara detta.

Utrustning

  • Bortsett från en snabb, redundant internetanslutning, olika VPN etc., ska alla datorer hos Cyberförsvaret vara försedda med tvåfaktorsauktorisering. Lösenord får inte förekomma.
  • All säkerhetskopiering ska ske i Cyberförsvarets lokaler. Data ska lagras krypterat.
  • Molntjänster är inte tillåtna.
  • Det interna kontorsnätet får inte vara anslutet till det operativa nätet.
  • Cyberförsvarets datornät får inte vara tillgängliga utanför huset. Risken för avlyssning i offentliga nät är för stor.

Kostnader

IT-haverierna och angreppen kostar miljarder varje år, både i driftstopp och i förluster för de organisationer som drabbas. Samhället drabbas ytterligare när avbrotten rör elförsörjning, järnväg eller andra kommunikationer, eftersom företagen drabbas sekundärt. Värdet av de personliga identiteter som stjäls och används för utpressning kan inte räknas i kronor och ören. Utläckt hemlig information, sjukvårdsuppgifter mm kan användas för senare utpressning.

Vad skulle det kosta att inrätta ett cyberförsvar enligt ovan? Det är svårt att säga. Fredrik inflikar:

– På mastersprogrammet i cybersäkerhet tar vi bland annat upp de socioekonomiska aspekterna. Det är svårt att kvantifiera kostnaderna och bestämma hur mycket pengar man ska lägga på IT-säkerhet. Om sannolikheten att man ska drabbas av en attack som kostar 100 miljoner är 20 procent, då kan man kanske beräkna vad man bör lägga ned på motåtgärder, men det är väldigt svårt att beräkna exakt. Men självklart måste åtgärderna viktas. Så till exempel får samhällsviktiga företag inte bli hackade, medan för privata företag är kostandsaspekten mera rimlig att beräkna. Generellt kan man säga att kostnaderna är ett väldigt svårt ämne. Det behövs mera forskning.

Om man inte åtgärdar bristerna kommer angreppen att fortsätta att öka i frekvens och förlusterna kommer att öka i samma mån. Cyberangrepp är idag en global företeelse och globala brottsorganisationer säljer data och identiteter på svarta marknaden. Ett antal östliga diktaturstater har som mål att cyberpenetrera västvärlden för att splittra, stjäla och kompromettera och de blir allt duktigare. Vi får räkna med att de redan har fingrarna djupt inne i svenska företag och organisationer.

Den slutliga kostnaden för Sverige och svenska staten blir ett fördummat land, utsatt för ständiga angrepp, gisslantaganden, elavbrott, stulna identiteter, utläckta databaser etc.

– Att låta bli att satsa går inte, menar Fredrik. Man måste springa för att kunna stå till. Angriparna rör sig otroligt fort. Vi rör oss allt mer mot ett samhälle där allt är uppkopplat. Digitala attacker kan skapa en enorm förstörelse. Det sker redan runt om i världen, där el och kraftverk attackeras. Det är i princip omöjligt för ett modernt land att inte ha ett cyberförsvar.

Fienden

Fienden kommer att attackera svenska myndigheter, media och infrastruktur i syfte att åstadkomma oro, splittring, tvivel etc och i avsikt att stjäla data och störa tekniska system. Tyvärr är även ointresserade företagsledningar att betrakta som tvivelaktiga, som åtminstone måste utbildas och undersökas.

  • Informationskrigföring från främmande makt, trollarméer
  • Infiltration i media och politiska partier
  • Lösenordsstölder och påföljande gisslantagande, utpressning, datastölder, dataförstöring
  • Ointresserade företagsledningar
  • Sociala media, Youtube, infiltrerade falska nyhetssajter och liknande som inte omedelbart tar bort desinformation, desinformatörer, konspiratörer och falska användare vid uppmaning.
  • En outbildad befolkning som vägrar ta till sig råd om IT-säkerhet.

Säkerhetsföretag

De privata säkerhetsföretagen som hjälper organisationer som inte själva klarar av sin IT-säkerhet, är att betrakta som betalda privatarmégrupper som man kan överlåta sitt säkerhetsansvar till, så man själv kan fortsätta att strunta i säkerheten.

Säkerhetsföretagen kan bli utmärkta samtalsparter till Cyberförsvaret, men de grupper som omfattas av begreppet ”organisationer” i denna text ska inte behöva några säkerhetsföretag utan de ska, genom Cyberförsvarets arbete, utbildning och krav, bli så duktiga att de kan klara sitt eget säkerhetsarbete.

Det är att jämföra med att låsa dörren själv när man går hemifrån, till skillnad från att överlämna nyckeln till ett vaktbolag som förhoppningsvis kommer och låser, varje gång, i den mån man över huvud taget har en låsbar dörr.

Typiska dumheter

De dumheter och misstag som organisationer och privatpersoner kan råka ut för, är givetvis oändliga. Här är några som Cyberförsvaret får förbereda sig på att motarbeta och informera om.

  • Ha SCADA-systemet anslutet till Internet
  • Missnöjd personal som gärna säljer lösenord
  • Okrypterade databaser, molnlagring i allmänhet
  • Hämta sina nyheter från infekterade eller falska media
  • Riksmedia har en alldeles för låg kunskapsnivå rörande cyberhot
  • Omständliga inloggningsprocedurer
  • Slarv med användaridentiteter
  • Bristande utbildning, bristande intresse från företagsledning
  • Otillräckliga säkerhetskopior
  • Att surfa på okrypterade offentliga trådlösa nät
  • Tron på att försäkringar löser allt
  • Tron på att IT-avdelningen löser allt
  • Att inte sila skräppost
  • Installera en mängd oskyddade IoT-enheter som skickar data vidare till tredje makt
  • Att inte spärra bort USB-minnen och makron i Word- och Excel-filer
  • Att inte använda DNSSEC på organisationens webbplats
  • Att inte använda PTS NTP-tjänst för sin realtid

Tidigare har datorsystem mest konstruerats för att ha hög driftsäkerhet, men nu har en ny dimension tillkommit: säkerhet mot attacker och den finns inte med i alla system ännu.

Åtgärder och krav

Utbildning av organisationer

Organisationer måste övertygas om att utbildning i säkerhetsfrågor för hela personalen är den enda vägen framåt.

  • Argumentet måste vara att driva en organisation utan utbildning i IT-säkerhet är som att inte låsa dörren när man går hemifrån.
  • Att inte ha en personal som inte är medveten om farorna på Internet är som att ha kontorsanställda som inte kan läsa.
  • Att tro att IT-avdelningen klarar säkerheten själv är som att förlita sig på en dagistant som läser för analfabeterna på kontoret.

De i personalen som inte vill eller kan ta till sig säkerhetsutbildningen kan inte anförtros datorer eller arbete med IT-relaterad utrustning. Det gäller alla, från städare till företagsledare.

Den svenska skolan måste medverka. Svenska skolelever är djupt nedgrävda i sina surfplattor och mobiler, men saknar helt insikt i IT-säkerhet. Många utsätts dagligen för hot, trakasserier, förnedring, desinformation och risk för stöld av personlig information via suspekta appar. Skolorna behöver säkra sina lokala nätverk.

– KTH håller många konferenser där vi utbildar både fackfolk och operativa chefer osv. Vi håller utbildningsdagar, traineedagar osv och vi märker att företagen blir mer och mer intresserade. Det är fortfarande för lite, men intresset ökar. Incitamentsbilden för IT-säkerhet kan ses som lite grå och trist, men den är oerhört viktig, och TV-serier som ”Hackad” gör att ämnet blir allt populärare. Det kallas för ”nano learning” och kan utföras som 1-3-minuters videosnuttar, eftersom vanligt folk har väldigt kort uppmärksamhets-spann idag. Man kan inte begära att allmänheten sätter sig på en entimmes föreläsning om cybersäkerhet.

Utbildning av befolkning

Den internetberoende befolkningen är lättlurad och drabbas hela tiden av bluffar, desinformation och datastölder.

Cyberförsvaret måste driva nationella informationskampanjer, men inte på bebisnivå som kan reta belackare. Viljan att motarbeta cyberförsvarsåtgärder är stark, eftersom desinformatörerna har professionella organisationer för detta.

– På KTH forskar vi väldigt mycket om incitament mot cyberbrott och hur privatpersoner ska kunna skydda sig mot cyberbrott. Det är komplext och kanske inte alltid särskilt roligt eller spännande att läsa på om säkerhet. Så hur ska man göra det enklare för människor att skydda sig? Vi åker runt på låg- och mellanstadieskolor och talar om hur man kan skydda sig bättre på exempelvis sociala media. Fortsätter vi med det har man förhoppningsvis inom ett par generationer lärt upp alla.

Visst är det en konst att nå fram till en skolklass som hellre vill göra något annat. Men många har en igenkänningsfaktor, nämligen de som fått sin identitet kapad, vilket är ganska vanligt. Det gäller att tänka på att bilderna man lägger upp på sociala medier kommer att finnas kvar för alltid och kan dyka upp i andra delar av världen. Det går att få ungdomar att förstå detta.

Man måste starta från grunden och få ungdomar att inse vikten av cybersäkerhet, men man måste också utbilda människor som inte är insatta i ämnet.

Vad är riktig redundans?

Organisationer måste övertygas om vikten av riktig redundans och korrekt lagrade säkerhetskopior.

  • Rumsdiversitet behövs för viktiga anläggningar, alltså, minst två speglade anläggningar på olika fysiska platser.
  • Redundant kraft, kylning, Internet.
  • Ha säkerhetskopian lokalt.
  • DNSSEC och https måste användas för organisationernas webbsidor, så att man kan försäkra sig om att inte ha nått en bluff-sida, och så att kommunikationen inte kan avlyssnas. Utländska organisationers DNS-servrar får inte användas.
  • NTP-tid måste användas. GPS-tid får inte användas av risken för störning från fienden.

– Men redundans är inte hela lösningen. Även om man har god redundans kan cyberattacker sprida sig i systemen. Och när man återställer säkerhetskopior kan attacken komma tillbaka. Redundans är inte hela lösningen, men det är klart att vi måste ha det.

Verifikationsproblemet

Hur ska man verifiera att organisationerna tagit till sig av informationen och utbildar och arbetar enligt riktlinjerna? Cyberförsvaret kan ju inte vara med överallt utan organisationerna måste själva arbeta för, och kunna visa upp tillförlitliga, verifierbara resultat.

I tveksamma fall kan man använda sig av penetrationstester eller sk White hat-hackning för att verifiera efterföljnad.

– Man kan aldrig vara helt säker på att alla åtgärder lyckats, säger Fredrik. Det kan till exempel finnas skadlig kod som ligger kvar i ett system och inte löser ut förrän om tre år och då gäller inte statistiken längre. En hälsosam dos av paranoia brukar vara bra. Vi arbetar mycket med penetrationstester här på KTH och försöker hacka olika system för att hitta felen innan hackarna gör det.

Censuuuur!!!

Ska man få ordning på desinformationen, måste man tyvärr begränsa flödet och huta åt dem som sprider den, på det ena eller andra sättet. Detta kommer garanterat att resultera i hatstormar och rop om censur. Att då bara påstå att ”det är för ditt eget bästa, för att du inte förstår bättre” kommer inte att hjälpa. Samtidigt vet vi vilka trollfabriker som sprider splittring i landet och i Europa. Detta är en knäckfråga.

Det är problem med:

  • Putinkramare
  • Elallergiker, antivaxare, chemtrails och andra pseudovetenskapare
  • Trumpkramare, antisemiter och vit-makt-folk
  • Folk som tror på ödlevarelser, deep state, Illuminati mm
  • Deepfakes

– Informationsförfalskning är ett otroligt stort problem. Problemet är att det alltid finns två sidor av saken. Det ser vi inte minst i kriget mellan Ryssland och Ukraina där det är två parter som har helt olika bild av konflikten. Det är idag väldigt lätt att publicera en ”sanning” som är så vinklad att den ger en felaktig bild av situationen. Det behövs mycket forskning för att ta reda på hur man ska göra det enkelt för människor att ta till sig korrekt information.

Jag tycker mycket om den amerikanske ekonomen Charlie Mangra som menar att det mest moraliska man kan göra är att skapa system som tvingar människor att agera moraliskt. Har man till exempel ett banksystem där det är lätt att stjäla pengar, kommer folk att stjäla pengar. Och har man säkra system kommer folk inte att stjäla pengar. Det är detsamma på cybersidan: har man ett system som gör det enkelt för folk att sprida och ta till sig falsk informtion, då kommer de att göra det.

Men kan man på ett sätt som inte hindrar yttrandefriheten ändå skapa ett system som gör det lätt för folk att ta till sig sann och representativ information, så gör de det. Detsamma gäller för företag som driver sociala media, nämligen att de skapar system som gör det lätt för folk att ta till sig objektiv information och gör det möjligt att verifiera att det är sann information.

Data som sparas

Cyberförsvaret ska spara allt data av vikt som framkommer under arbetet. Data måste säkerhetsklassas, så att enbart data klassat som ”offentligt” kan komma ut i media.

Data som publiceras

Informationsöverföringens effektivitet

För att informationsöverföringen och utbildningen ska bli effektiv måste man klarlägga en del fakta:

  • Vad fattar allmänheten av hotet? Vad fattar politikerna?
  • Vad borde organisationer och allmänhet få veta? Hur ska de utbildas?
  • Hur ska organisationer tvingas att medverka? Det finns ju alltid en risk att de hävdar ”företagshemligheter” och vägrar lämna ut uppgifter om cyberangrepp (som t ex TietoEnator i den stora kraschen 2011). Hur kommer man runt detta?
  • Hur ska man tvinga in informationen i den vanlige medborgaren?
  • Vad ska man göra åt organisationer som inte vill försvaras? Som struntar i IT-säkerhet?

Aktiv publicering

Cyberförsvaret måste vara aktivt och visa att man finns, på Internet och i media. Det går inte att verka skendöd eller jättehemlig och inte släppa någon information alls. Då börjar spekulationerna. Istället måste man löpande, utan att gå för djupt in på metoderna, publicera artiklar med:

  • Artiklar om dagsläget
  • De senaste angreppen
  • De senast avvärjda hoten
  • De senaste desinformationskampanjerna och varifrån de härstammar
  • Historik över angrepp och avvärjda angrepp
  • Sanningen bakom desinformationen
  • Vilka organisationer som klarat, respektive inte klarat verifikationen
  • Nya lärdomar
  • IT-haverikommissionen ska publicera alla haveriutredningar i detalj. Precis som Statens Haverikommission, som inte döljer några detaljer.
  • Ett bibliotek med läsvärd IT-säkerhetslitteratur.
  • Ett regelverk för organisationernas IT-säkerhetsarbete.

Det är lämpligt att Cyberförsvaret håller ett publikt möte en eller två gånger om året, precis som Netnod har, där intresserad allmänhet får vara med och ställa frågor och lyssna på föreläsningar.

Cyberförsvaret bör hålla kurser i IT-säkerhet, exempelvis på högskolor, kursinstitut och i media. Man bör också försöka få medverka i radioprogram, men då hålla framförande så fjant-fritt som möjligt och istället framhålla att det handlar om rikets säkerhet.

Webbsidan ska vara allvarligt menad, fjant-fri och inte väcka löje. DNSSEC och https måste användas. Utländska organisationers DNS-servrar får inte användas. org-nu-com-domänerna måste blockeras.

Avslutning

Vi behöver ett cyberförsvar nu, inte om 3 år, eller efter ännu flera statliga utredningar. Men vi kommer inte att få något av staten, bara babbel. Måhända har vi ett cyberförsvar redan, men det märks i så fall inte. Berörda myndigheter verkar inte fungera.

Låt oss hoppas att KTH kan få någon ordning på vårt IT-haltande samhälle.

Läs mer

KTHs IT-säk-handbok: http://itsakhandbok.irt.kth.se/

KTHs Centrum för cyberförsvar: https://www.kth.se/sv/cdis/centre-for-cyber-defence-and-information-security-1.946971

Mastersprogrammet i cybersäkerhet: https://www.kth.se/en/studies/master/cybersecurity?code=TCYSM

KTH utbildar cybersoldater: https://www.kth.se/om/nyheter/centrala-nyheter/utbildning-av-cybersoldater-en-framgang-1.1115462

EUs Code of Practice on Disinformation: https://digital-strategy.ec.europa.eu/en/policies/code-practice-disinformation

Estland 2007: https://techworld.idg.se/2.2524/1.440124/estland-under-attack

IT-skandaler som ingen bryr sig om: https://www.teknikaliteter.se/2021/11/05/it-skandaler-som-ingen-bryr-sig-om/

IT-säkerheten som vi inte vill ha: https://www.teknikaliteter.se/2020/03/13/it-sakerheten-som-vi-inte-vill-ha/

Rock solid Internet: https://www.teknikaliteter.se/2021/10/14/netnods-hostmote-2021/

Märken på artiklar:
Artikelkategorier:
cyberhot · Internet · Kommunikation · Säkerhet · Utbildning

Lämna en kommentar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *