IT attacker mot svenska företag blir allt fler

över 3 år sedan

DN publicerade idag en nyhet med titeln "Dagliga IT-attacker riktas mot Sverige" där man bland annat beskriver hur svenska myndigheter, universitet och företag dagligen utsätts för IT-attacker från utländska underrättelsetjänster. Detta går helt i linje med den rapport som MSB, Försvarsmakten, Polisen och FRA tillsammans gav ut nyligen. Rapporten har titeln "Informationssäkerhet - trender 2015" och den ger en mycket skarp bild av det allvarliga läge som alla företag och organisationer står inför idag.

MSB går längre än artikeln i DN, och beskriver även hur praktiskt taget all kriminalitet idag har en koppling till IT. Tar man hänsyn till ett annat konstaterande i rapporten, nämligen att en fungerande och säker IT infrastruktur är "grunden till vårt välstånd" blir hoten än allvarligare.

Vi på CGit har sammanställt vår syn på rapporten och hur de olika delarna svarar mot de produkt-och tjänsteområden som vi idag erbjuder våra kunder.

MSB's rapport hittas här

Vår egen kommentar till rapporten kan du läsa här nedan:

Bakgrund

MSB (Myndigheten för Samhällsskydd och Beredskap) har nyligen publicerat sin rapport ”Informationssäkerhet – trender 2015” i samarbete med Polisen, FRA och Försvarsmakten.

Rapporten tar upp sju trendområden. Inom vart och ett av dessa identifieras tre huvudpunkter. Vi kommer i denna kommentar endast att beröra ett antal av dessa med egna kommentarer. Vi väljer att lyfta fram de områden som direkt berör områden som CGit är verksam inom och där vi sedan länge kan erbjuda tjänster som minskar våra kunders riskexponering genom visibilitet, proaktivitet och analyser.

Del 1 – informationssäkerhet – en avvägning mot andra värden

MSB konstaterar att informationstekniken har förändrat det moderna samhället och att det numera är en oumbärlig del av det.

En mycket viktig punkt är det faktum att ”Informationssäkerhet är inte längre bara ett specialintresse för tekniskt intresserade” ,utan personer i beslutande position kommer behöva hantera målkonflikter där informationssäkerhet ställs mot andra värden inom företag och organisationer.

Styrningsfrågorna är komplexa och kräver engagemang från högsta nivå och att dessa nu är av yttersta strategiska vikt är även detta ett faktum.

Vidare konstaterar MSB att ”hoten förändras ständigt”. Detta är något som vi på CGit har belyst vid varenda genomgång av våra Visibilitetstester som genomförts tillsammans med Palo Alto Networks. Hoten är, precis som den moderna krigföringen i världen, i allt högre grad asymmetrisk. Detta gör att företag behöver lägga mer kraft på att skydda ekonomiska intressen, vilka även innefattar exempelvis anställdas produktivitet, istället för att fokusera på att skydda teknikmiljöerna.

Säkerhetsfrågorna avgörande för vårt välstånd

”Säkerhetsfrågorna anses inte längre endast handla om att hålla nätverk fria från virus eller hemligheter hemliga, utan om samhällets funktion, ekonomins konkurrenskraft och grunderna för vårt välstånd.

Formuleringen trycker mycket hårt på den vikt som företag och organisationer behöver lägga på att skydda sig från ständigt förändrade hot. Detta är inte längre en fråga i periferin, utan en central fråga för allas vårt välstånd.

Att frågan om informationssäkerhet inte skall vara en fråga som kommer upp i ett sista led utan vara central vid varje fråga rörande infrastruktur berörs i stycket 1.3. Särskilt följande meningar ”Det räcker inte att skriva om säkerhet i en inledande kravspecifikation. Ett nära samarbete mellan systemutvecklare och informationssäkerhetsexpert blir därmed sannolikt allt viktigare för att uppnå en god säkerhetsnivå.”

CGit har som mål att vara en del i våra kunders alla beslut som påverkar den centrala infrastrukturen, såväl direkt som indirekt. I de fall där vi har ett utökat ansvar är vi också med och arbetar proaktivt tillsammans med våra kunder och leverantörer av, exempelvis, affärssystem.

Del 2 – Komplexiteten i moderna IT-tjänster

MSB konstaterar att utvecklingen mot en mer centraliserad it-hantering skapar nya utmaningar. Det pekas på stora problem när flera företag och organisationer får dela på miljöer vilket är mer regel än undantag vid outsourcing till, så kallade, molntjänster.

Bland dessa problem kan ses att ”…en enda kunds illegala aktiviteter kan drabba alla andra om en polisutredning plötsligt drabbar molnleverantören”. En annan viktig aspekt är ”Man får dock aldrig mer än vad man kravställer och betalar för…” Då flertalet företag väljer att outsourca till molnleverantörer av kostnadsskäl tenderar man att vilja betala så lite som möjligt. Detta i tron om att det skall bli billigare än att själva ha sin lösning i egen regi. Kostnadsjakten leder då till att man, självklart får en billig lösning, men i själva verket har man försatt sig i en situation som är mer utsatt än den man befann sig i innan.

MSB pekar på större driftsstörningar vilka alla är konsekvenser i en allt större centralisering. Tieto-haveriet 2011 tas upp som ett exempel. Det blir de-facto en situation då ”man placerar alla ägg i en korg”.

Vidare säger MSB att ”även om den upplevda säkerheten i en molnlösning kan vara hög så ersätter den inte den egna organisationens ansvar eller säkerhetsarbete.”

CGit är inte motståndare till outsourcing eller molntjänster. Däremot försöker vi att förse våra kunder med ett korrekt beslutsunderlag som tar ställning till såväl fördelar som nackdelar. Vad är det egentliga syftet med outsourcingen? Är det enbart en ekonomisk fråga? Vill man stärka säkerheten? Hur sårbar får man vara? Vilken upptid kan man räkna med och vad händer när tjänster går ner? Detta är bara ett litet urval av de frågor vi ställer vid en förstudie och konsekvensanalys kring en total outsourcing. Ofta leder dessa analyser till att företag väljer det bästa av två världar och hittar någon form av hybridlösning. Helt beroende, så klart, på varje unik kunds olika beroenden och värderingar av tjänster. När molntjänstleverantörens säljare målar upp bilden av hur tjänsterna fungerar, tenderar bilden att bli något onyanserad. Vi på CGit vill ge kunden möjlighet att ta ett välinformerat beslut baserat på så nyanserad information som möjligt.

Något som vi på CGit tycker är ett extra viktigt konstaterande är det som sägs under ”Från preventivt skydd till kontinuerlig monitorering”. Som en av föregångarna till proaktiv och ständigt övervakad IT-miljö hos våra kunder genom vår tjänst ”AutoIT” är det särskilt glädjande att detta får utrymme i rapporten. I synnerhet sedan vi nu utökat ”AutoIT” till att även omfatta brandväggar genom vår ”CGit Cloud Firewall as a Service” där vi kan inkludera ”Analyzing Services” en tjänst i vilken det ingår en ständig, kontinuerlig monitorering av kunders brandväggar. Tjänsten baseras bland annat på brandväggar från Palo Alto, vilka är specialiserade på att hantera nya typer av hot.

MSB skriver att ”Stora företag inom nätverk och datorkommunikation gör nu analysen att tiden när säkerhet kunde hanteras i varje apparat är slut. En sådan utveckling ställer istället ökade krav på löpande bevakning av nätverk och på lägesförståelse i en komplex arkitektur.”

Att ständigt övervaka sina brandväggar är knappast något som mindre företag och organisationer har kapacitet eller kunskap att göra. Det är därför vi skapat vår tjänst med brandväggsövervakning för kunder som gör bedömningen att deras information och kontinuitet av drift är av stor vikt.

Del 4 – Den säkerhetspolitiska dimensionen av informationssäkerhet

Även om denna del till mångt och mycket handlar om större globala säkerhetsfrågor belyser den de hot som vi alla ställs inför i en globaliserad värld. Det som händer i Syrien kan få konsekvenser för oss i Sverige, såväl ur allmän säkerhetsaspekt, som inom IT. Tydligare och mer direkta samband kan ses inom industrin där företag eller regeringar på andra sidan jorden kan ha intresse av att ta del av informationshemligheter i Sverige i industrispionage-syfte. Sådana aktioner behöver inte rikta sig direkt mot målet för attacken utan kan mycket väl gå genom underleverantörer, partners eller andra företag som på något sätt är förknippade med huvudmålet.

Inom samma område ser MSB att ”it- och telekomtjänster köpta från utlandet utgör potentiella säkerhetsrisker…” Alltså ytterligare en viktig aspekt att ta hänsyn till när man som bolag upphandlar molntjänster från stora multinationella bolag.

Del 5 – Brottslighet i informationssamhället

”Idag har så gott som all brottslighet en it-koppling”, en synnerligen viktig iakttagelse från MSB’s rapport. Tidigare har den gängse uppfattningen som vi stöter på hos, framförallt, små och medelstora företag varit att it-brottslighet är något abstrakt som bara händer stora banker och möjligen privatpersoner då i form av bluffmail eller identitetsstölder. Att MSB gör kopplingen till att ”all brottslighet har koppling till it”, gör att läget blir ett helt annat. Vilket bolag har idag inte inbrottsbrottslarm eller lås på sin dörr? Lika viktigt är det alltså med ett bra skydd av sin IT-miljö.

Den kanske viktigaste delen finns i slutet på 5.1, där MSB skriver:
”Tyvärr finns det gott om enkla mål för ekonomiskt driven it-brottslighet, exempelvis i form av datorer som inte har försetts med de senaste säkerhetsuppdateringarna.” Det kan te sig, för varje seriös IT-tekniker eller IT-ansvarig, som en självklarhet att man håller sina system uppdaterade med supportade operativsystem och att dessa är ordentligt patchade. Tyvärr ser verkligheten annorlunda ut. Vi stöter dagligen på företag, främst små och medelstora, som sitter på horribelt dåligt patchade system med hundratals saknade patchar och utan planer för att migrera bort servrar och klienter från gamla operativsystem såsom Windows Server 2003 och Windows XP.

Genom AutoIT har vi, sedan drygt 6 år sedan, automatiserat patch-hanteringen hos våra kunder och på så sätt kraftigt minimerat en av de riskexponeringar som tas upp i MSB’s rapport. Ett första steg och rekommendation till våra kunder är att se över hur detta sköts idag. Generellt sett är vår åsikt att denna typ av rutin bör automatiseras snarast möjligt.

Del 6 – Kapplöpningen mot den svagaste länken

Stycket tar upp hur mycket enklare det har blivit, även för minimalt IT-kunniga brottslingar eller sabotörer, att komma över programvara som letar upp sårbarheter i IT-miljöer.

Det konstateras även att ”användare är den svagaste länken”. Något som ofta blir mycket tydligt i våra ”AVR-tester” där vi kartlägger just användarnas beteenden på det egna nätverket. Oavsett vilken IT-policy man tror sig ha infört på ett företag så agerar människor irrationellt och, i många fall, naivt.

CGit har regelbundet kontakt med de kunder som har AutoIT för att tillsammans gå igenom de rapporter som våra system genererar. För de kunder som har vår brandväggstjänst görs detta kontinuerligt. Vi är noga med att upplysa kunderna om fel och brister i miljön som uppstår och när användare gör saker som vi vet går emot kundens IT-policy och/eller kan vara en säkerhetsrisk. MSB för fram en målbild i slutet på sidan 45:

”En målbild för en informationssäkerhetskultur att sträva mot skulle därför kunna vara flygsäkerhetskulturen inom flygvapnet. Där rapporterar piloter utan att skämmas regelmässigt misstag som de gjort och stärker därmed den framtida säkerheten.”

Genom att vi, och våra medarbetare och system, har denna ständiga kontakt med kunden när de har vår tjänst AutoIT ökar också kundens medvetenhet om hur man kan agera och inte agera för att till slut etablera sig som en rutin. Vi anser därför att AutoIT såväl för servrar, klienter och lagring, som för brandväggar är en central del i att nå den målbild som MSB pekar mot.

Del 7 – Robusta informationssystem och kontinuitet


Det är inte enbart hot genom brottslighet eller från andra illasinnade människor som är ett problem för IT-ansvariga att fundera kring. Det finns gott om andra saker som kan leda till oförutsägbara driftsavbrott.

En mycket vanligt förekommande fråga är den om ”Disaster Recovery” och ”Redundans”. Vi för en ständigt pågående kampanj gentemot våra kunder och prospekts för att få tänka på RTO (Recovery Time Objective) och RPO (Recovery Point Objective). Hur länge får/kan företagets verksamhet ligga nere och när man väl kommer upp igen, hur mycket information får ha förlorats. Båda punkterna kan relativt enkelt översättas till kostnader och därmed kan man sedan utforma en budget för investeringar i kontinuitetssäkring (Dubblerade datacenters, backup & recovery, outsourcing av vissa system etc.).

Precis som MSB konstaterar är ”kontinuitet och återställning förmodligen den del av informationssäkerheten som är lättast att bortse från och skjuta på.” Men som MSB sedan skriver ”Den inställningen kan straffa sig”. Man tar här upp Evry-kraschen 2013 som ett exempel vilket fick förödande konsekvenser för ett stort antal samhällsfunktioner. Men vi har exempel från betydligt mer ”vardagliga” situationer vilka har orsakat, ibland oöverstigliga men alltid, stora kostnader för små och medelstora organisationer.

Slutlig kommentar från CGit

Precis som MSB konstaterar så ser vi att utvecklingen går mot en mer och mer komplex säkerhetssituation för företagen. Säkerhet berör alla delar av ett företags IT-miljö, oavsett om man har informationen i ”molnet” eller på egna servrar. Den ständiga monitoreringen av system blir viktigare för att upptäcka hot som kommer såväl utifrån som inifrån.

CGit har mångårig erfarenhet inom de flesta av de områden som MSB berör. Vi marknadsför och säljer några av de mest avancerade tekniska lösningarna som finns i branschen och vi har några av de mest kompetenta och erfarna konsulterna på området.

De kunder som väljer CGit, väljer en leverantör med stor medvetenhet och kunskap om hela den hotbild och alla de trender som MSB beskriver i sin rapport. Den helhetsförståelsen är central för att du som kund skall kunna ta välinformerade och väl avvägda beslut när det gäller er IT-infrastruktur och dess säkerhet.

Source: https://www.msb.se/sv/Produkter--tjanster/Publikationer/Publikationer-fran-MSB/Informationssakerhet---trender-2015/

Det allra senaste från oss

Här finns mer att läsa om