Datasäkerhet och Informationssäkerhet

Robert Malmgren AB

“Trust is good, control is better.”

2011/06/03

Har cyberkriget börjat nu?

Häromdagen var jag med i P1-programmet "konflikt" ett program som gick under rubriken "har cyberkriget börjat nu?". Det är ett välresearchat program där radions korrespondent i Moskva intervjuar folk på antivirusföretaget Kaspersky och amerikanska professorer och forskare inom krigsföring med IT-inslag.

Programmet har med avstamp i 2010 års Stuxnetincident, ett antal historiska SCADA-attacker samt de senaste månadernas olika IT-incidenter. Sedan blir det diskussioner med folk i studion, bla FRA-chefen, en av hans tekniska IT-specialister samt undertecknad.

FRA-chefen framför att de bedriver en ny typ av teknisk underrättesleinsamlig i ett nytt cyberförsvar. Man får tolka det som ett nationellt IDS-system, som inte bara skall kunna förvarna, utan även leda till "säkrare system". Och de framför slutsatsen att just giftemålet "SIGINT" och IT-försvar är en sällsynt lyckad kombination. Då jag jobbar med granskning, uppsäkring eller säkerhetstester inom samhäsviktig infrastruktur har jag viss erfarenhet inom området, om man så säger. Jag tror personligen inte på hans första påstående - att vi får säkrare system. Bara för att underrättelsetjänsten utför trafik- och innehällsanalys av IP-paket. Det ligger liksom i sakens natur att underrättelse och säkerhetstjänster INTE pratar öppet om säker systemdesign, säkerhetsarkitektur, etc. Och inte heller ger tekniska rekommendationer och detaljerade räd till exempelvis utländska börsnoterade företag. Då dessa organisationer ofta är inhyrda som teknikkonsulter till andra myndigheter i samband med tillsyn, så hamnar man också i knipan att man inte gärna kan sitta på rådgivarstolen och granskarstolen samtidigt.

Men en verklighetscheck visar att en betydande andel av de företag som äger och driver samhällskritisk eller samhällsviktig infrastruktur, eller är exportföretag av sådan teknik inte är svensk eller statlig. Inte heller att de finns i de områden som traditionellt omfattas av underrättelse och säkerhetstjänstens intresse - försvarsindustri, etc.

En annan fråga som togs upp som snabbast i programmet, men kunde ges mer belysning och utrymme är attributionsproblematiken. I Clifford Stoll:s klassiska bok "cuckoo's egg" (en hacker i systemet) beskrevs hur de jagade några som hoppade via 15-talet mellanliggande system för att nå slutmået. Alla systemen befann sig i olika delstater eller länder, allt för att ställa till ett juridiskt-administrativt helvete för det fall att nägon började efterspana angriparna. Angriparna har fördel bara av det faktum att utredarna mäste hitta rätt kontaktvägar och rätt juridiska tillständ (husransakan e dyl) för att bedriva undersökningen.

En av de få saker som man med full säkerhet kan säga baserat på allt som just nu händer i vår omvärld är att det pågår kapprustningar inom IT-baserad krigföring. Länder såsom USA, England, Kina och nu inte minst Iran både ser sig tvingade samt ser ett tillfälle att komma tidigt in i leken. Att vi är på väg mot ett nytt kallt krig är inte lika säkert, även om risken är överhängande.

En annan sak som kan sägas, med mindre säkerhet, men med statistiken talande för sig, är att IT-incidenter förtsätter att ske, att SCADA/ICS/processkontroll och liknande områden där IT är en bärande del, fortsätter att intressera personer som letar efter säkerhetshål i programvaror. Årets Blackhatkonferens verkar vara fullsmockad av olika talare som på ett eller annat sätt skall demonstrera angrepp på PLCer eller prata cyberkrig.

Länk till SRs webbsida om programmet finns via konflikts sida om programmet. Programmet finns även nedladdningsbart i MP3-format.


----
Written by Robban @ 2011-06-03