Som jag nämnde i ett av mina allra första inlägg här så tycker jag att det där med incidentrapportering, det är goa grejer det! Nu verkar mina spekulationer vara på väg att uppfyllas.
För någon vecka sedan lyckades TechWeek få tag på ett utkast till ett EU:s förslag om Cybersäkerhetsstrategi. I detta utkast sägs det att företag och myndigheter kommer att behöva rapportera incidenter av väsentlig betydelse (significant impact). Det blir intressant att se hur uttrycket kommer att översättas till verkligheten men det är absolut ett steg i rätt riktning. Inte bara för att det kommer att öka behovet av säkerhetskonsulter men också för att det kommer att tvinga organisationer att ta säkerhet på allvar. Artikeln citerar ett företag som är rädd för att deras aktiekurs kommer att falla om de råkar ut för en säkerhetsincident. Men det är väl lite det som är vitsen med det hela. Erbjuder man en tjänst där det är viktigt att säkra informationen så ska väl det vara en nyckelfaktor för företagets framgång (eller undergång).
Det kan mycket väl vara så att begreppet är tillräckligt luddigt och vagt för att bara kunna användas för riktigt stora incidenter som påverkar hela samhället. Men det är fortfarande en bra början. EU har ju påbörjat arbetet med att säkra kritisk infrastruktur och det här kan vara en väldigt viktig del i det arbetet också. Är det så att ett elverk i ett land inser att deras styrsystem är under attack och de är tvungna att rapportera detta så kan andra elverk få upp ögonen för incidenten och hindra att attacken eskalerar.
En annan aspekt är vart incidenten ska rapporteras. Ska det rapporteras till allmänheten eller bara till en CERT eller en myndighet som har sekretesskrav på sig och får bara använda uppgifterna för statistiska ändamål och för att hjälpa till att lösa problemet?
Artikeln pratar om en ”draft proposal” vilket innebär att det fortfarande är en lång väg innan principerna i förslaget förvandlas till EU lagstiftning och implementeras i medlemsländerna men jag tycker att det här (med undantag för EC3) är det bästa som kommit ur EU på ett bra tag och det blir spännande att se den fortsatta utvecklingen.
Antoine Leblond, chef för webbtjänster på Microsoft, gick nyligen ut och försökte lobba för hur bra Windows 8 kommer att vara för företag. Jag är inte lika optimistisk.
Jag förstår tanken bakom varför MS har skapat Metro. Surfplattor är informationsförmedlare där informationsinmatningen och redigeringsbehoven är begränsade. Därför väger användarvänligheten mer än precisionen i gränssnittet. Dvs. det är viktigare att komma igång snabbt och att effektivt ta till sig informationen än att skriva långa texter eller ändra i tabeller. Oavsätt vad man tycker om utseendet på Metro (jämfört med andra operativsystem) så verkar den i alla fall möta dessa krav.
Sen så har vi de traditionella skrivbordsoperativsystemen där precision är viktigt. Markören, musen, skärmen, m.m. har tillmötesgått detta behov under en lång tid. Surfplattornas ankomst har inte ändrat på det här behovet på något sätt.
Faktum är att företag behöver båda systemen. Det finns vissa som framför allt behöver ta till sig information och för dem passar surfplattan perfekt. För resten av hantlangarna (som implementerar alla beslut som surfplattenissarna kommit fram till) behövs en annan typ av verktyg. För dem funkar de traditionella operativsystemen med avancerade program mycket bättre.
Nu har MS försökt klämma in allting i ett operativsystem och försöker återigen få användarna att anpassa sig efter hur MS tycker att vi ska jobba – vad MS tycker blir lättare för oss (jfr. The Ribbon – hur jäkla mycket enklare är det egentligen?). Men de glömmer att medans det blir jättebra för vissa (de som kör på surfplatta) att Win8 defaultar till Metroläge så kommer andra att bli väldigt frustrerade av det (de som sitter med en PC eller bärbar).
Ett annat problem är att MS verkar ha glömt att det var surfplattenissarna som krävde införandet av surfplattor på jobbet till att börja med. Men de ville egentligen inte ha ”surfplattor”, de ville ha iPads. Vist, nu kan de få en Windowsplatta som är fullt integrerad i företagsinfrastrukturen men snygghetsfaktorn och hippfaktorn uteblir. Kontentan: cheferna m.m., vars jobb verkligen kan effektiviseras av surfplattor, kommer att vara sura för att de sitter där med en sunkig Metroplatta istället för en iPad.
Som jag redan nämnde kommer resten av fotfolket avsky Win8 för att den tvingar på dem Metro – något som de inte kommer att ha någon användning för.
De enda som förmodligen blir glada är teknikerna som slipper administrera och underhålla olika operativsystem i en Windowsbaserad infrastruktur. Men i övrig känns det som alla andra kommer att bli lagom missnöjda.
Som det kanske märks är jag inte särskilt optimistisk till att Windows 8 (såsom det ser ut idag) blir en stor succe bland företagen. Men det blir inte första gången som MS försöker få oss att anpassa vårt beteende och arbetssätt till vad de tycker blir bättre – så vi får väl se om de lyckas…
Vad blir konsekvensen av att man nu bekräftat att det finns säkerhetsluckor i integrerade kretsar?
Kommer ni ihåg Southpark The Movie? Kommer ni ihåg hur Cartman fick ett V-chip installerat i huvudet som gav honom elstötar varje gång han svor? För er som viste vad ett V-chip var även innan filmen låter kanske även ”clipper chip” bekant. Ni vet, chippet som skulle installeras i alla telefoner och modem för att kryptera telekommunikationen och öka säkerheten. Fast NSA skulle ha en supernyckel för att kunna lyssna in på all kommunikation.
Varför dra upp alla dessa fina minnen? Jo, för nu har vi äntligen fått (offentlig) bekräftelse på att det finns integrerade kretsar med bakdörrar som öppnar upp för regeringar att hålla på med sattyg.
Några forskare hittade en säkerhetslucka i själva kiseln av ett Actel/Microsemi ProASIC3 chipp som marknadsförs som ett chipp som ”erbjuder en av den högsta designsäkerhetsnivån inom industrin”. De lyckades ta sig runt säkerhetsspärrarna och analysera trojanens dolda funktioner. Dessa inkluderade bl.a. möjligheten att stänga av alla säkerhetsfunktioner på chippet, att programmera om kryptonycklarna, att ändra lågnivåfunktioner i chippet och att permanent sabotera chippet. Genom att utnyttja de dolda funktionerna kan även nya trojaner med ytterligare funktioner skapas i chippet. Enligt QVL är bakdörren så djupt inbakat i chippet att den inte kan stängas med patchar eller uppgraderingar. Det är bara att acceptera att all utrustning som använder samma familj av chipp har äventyrats.
Vist är det lite kul att vi nu gått full cirkel tillbaka till Clipper-chippet? Det chippet kritiserades för att om NSAs supernycklar äventyrats så skulle alla kunna avlyssna de krypterade samtalen. Situationen är detsamma för chippen som omfattades av den nuvarande forskningen. Det spelar egentligen ingen roll vem det var som skapade bakdörren ursprungligen. Nu kan alla använda sig av den (nåja, i alla fall de som kan hitta nyckeln som skyddar de dolda funktionerna).
Det jag tycker blir spännande är att se om vi nu blir tvungna att tänka om vissa grundläggande principer rörande IT säkerhet. Med QVLs upptäckt kan det bli helt betydelselöst vilken typ av kryptering vi använder i WiFi-n eller VPN-n eller vilka manicker vi sätter upp för att filtrera flödet mellan företagsnätverket och internet. Byggstenen som hela IT-samhällets säkerhet bygger på har nu visat sig vara en tidinställd bomb – vad gör vi nu?
Jag förstår inte varför ett pressmeddelande från Europaparlament om att dataintrång ska kriminaliseras i EU lyckades väcka rabalder. Wired lyckades t.ex. publicera en skräckinjagande populistisk artikel om ämnet utan något som helst sakligt innehåll. Detta beror egentligen på att pressmeddelandet inte innehöll något mer än allmänna uttalanden om saker som redan är reglerade i stor utsträckning.
Men vist är det lätt att fantasin far iväg när man läser att ett utkast till en lag ska kriminalisera innehav av ”hacking tools”, eller för att citera meddelandet:
The proposal also targets tools used to commit offences: the production or sale of devices such as computer programs designed for cyber-attacks, or which find a computer password by which an information system can be accessed, would constitute criminal offences.
Och det var det här som fick Ryan Singel på Wired och alla som kommenterade hans artikel att börja fantisera vilt om vad som komma skall.
Jag (liksom resten av allmänheten som inte har tillgång till utkast till lagförslag från EU) har inte läst utkastet till lagförslaget, men tänkte dra analogier till existerande regler för att exemplifiera varför nyhetsvärdet av just kriminalisering av hackerverktyg är lika med noll.
Internationellt
Faktum är att redan för tio år sedan var våra politiker igång med att kriminalisera hackerverktyg genom Europarådets konvention om IT-relaterad brottslighet. Konventionens sjätte artikel handlar om missbruk av apparatur (det finns ingen officiell svensk översättning av konventionen så den följer här på engelska):
Article 6 – Misuse of devices
1 Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally and without right:
a) the production, sale, procurement for use, import, distribution or otherwise making available of:
i. a device, including a computer program, designed or adapted primarily for the purpose of committing any of the offences established in accordance with Articles 2 through 5;
ii. a computer password, access code, or similar data by which the whole or any part of a computer system is capable of being accessed, with intent that it be used for the purpose of committing any of the offences established in Articles 2 through 5; and
b) the possession of an item referred to in paragraphs a.i or ii above, with intent that it be used for the purpose of committing any of the offences established in Articles 2 through 5. A Party may require by law that a number of such items be possessed before criminal liability attaches.
Ja, där har ni det. Politikerna och experterna var överens om att det ska vara förbjudet med apparater inklusive datorprogram som kan begå dataintrång, avlyssning och allt annat som förbjuds av konventionen. Det är väl ungefär så som Europaparlamentets pressmeddelande beskriver läget och det är så här Wired och deras läsare uppfattar lägen när de börjar hoppa upp och ner.
Fast som alla andra huvudregler i juridiken så har även denna regel några undantag. Och de lyder så här:
2 This article shall not be interpreted as imposing criminal liability where the production, sale, procurement for use, import, distribution or otherwise making available or possession referred to in paragraph 1 of this article is not for the purpose of committing an offence established in accordance with Articles 2 through 5 of this Convention, such as for the authorised testing or protection of a computer system.
Detta är varför det inte finns något anledning oroa sig för det som står i pressmeddelandet om kriminalisering av hackerverktyg. Lagstiftaren insåg redan för tio år sedan att det fanns ett legitimt användningsområde för hackerverktyg. Därför krävdes det brottsligt uppsåt/avsikt för att innehav, hantering, tillverkning osv av hackerverktyg skulle anses vara olagligt.
(De som är lite uppmärksamma har märkt att jag inte nämner den sista punkten i artikeln som i viss mån låter länder göra undantag från vissa delar av artikeln. Fast eftersom Sverige inte hade några reservationer vid underskriften av konventionen så var tanken att vi skulle implementera den i sin helhet.)
I EU
Mitt andra exempel rör sig om ett tvingande EU rambeslut från samma era (2001) som alla EU länder var skyldiga att implementera senast den andra juni 2003. Rambeslutet i fråga är Rådets rambeslut om bekämpning av bedrägeri och förfalskning som rör andra betalningsmedel än kontanter.
Artikel 4 i rambeslutet behandlar brottslighet i samband med särskilt anpassad programvara. Där står det följande:
Varje medlemsstat skall vidta nödvändiga åtgärder för att säkerställa att följande handlingar är straffbara när de är uppsåtliga:
Bedräglig tillverkning, mottagande, anskaffande, försäljning eller överlämnande till annan person eller innehav av
- redskap, föremål, datorprogram och alla andra instrument som är särskilt avsedda för att föröva något av de brott som avses i artikel 2 b,
- datorprogram som är avsedda för att begå något av de brott som avses i artikel 3.
Artikel 3 i sin tur beskriver datorrelaterade brott rörande transaktioner av pengar. Jag kan nämna här att den praktiska omfattningen av dessa artiklar är inte alls är särskilt vid men min poäng är att här har vi en till bestämmelse som förbjuder innehav och hantering av vissa typer av hackerverktyg. Men observera att även här är hantering av dessa program bara förbjudet om det föreligger ett bedrägligt motiv/uppsåt. Så återigen har våra ‘säkerhetsforskare’ inget att oroa sig för.
Tillbaka i Sverige
Hur ser det ut i den svenska lagstiftningen då? Jag kan börja med att säga att Sverige har skrivit under men inte ratificerat Europarådets konvention. År 2005 presenterades ett promemoria (DS. 2005:6) på uppdrag av Justitiedepartementet vars slutsats var att vi skulle ratificera konventionen. Men så gjorde vi alltså inte. (Anledningen till detta är nog att de svenska lagarna redan då täckte stora delar av brotten som omfattas av konventionen och att EU började samtidigt med olika harmoniseringsinitiativ som ändå täckte stora delar av konventionens bestämmelser.)
Detta innebär inte att Sverige inte har implementerat de ovan nämnda bestämmelserna om att kriminalisera innehav och användning av hackerverktyg. Promemorian jag nämnde tidigare tydliggör att brottsbalkens bestämmelser om förberedelse och stämpling till brott även täcker befattning av olika hjälpmedel, inklusive programvaror, som är särskilt anpassade för att begå IT-relaterade brott (promemorian nämner datavirus som exempel). Självklart innehåller även den svenska lagen, i form av brottsbalken, ett krav på att uppsåt att utföra eller främja brott ska föreligga för att det ska vara olagligt att befatta sig med hackerverktyg. Inte nog med det, för att förberedelse för dataintrång ska vara straffbart (dvs. tillverkning, hantering, försäljning m.m. av hackerverktyg) krävs det att brottet inte hade varit ringa hade det förverkligats. (För er som är intresserade kan ni kolla upp brottsbalken kapitel 4 paragraf 9c och 10 om dataintrång samt kapitel 23 paragraf 2 om förberedelse.)
Jaha, och?
Kontentan av det hela är att den globala experitsen och lagstiftarna insåg redan för tio år sedan att de måste göra undantag för ‘hederlig’ användning av hackerverktyg. Detta har inte förändrats på något sätt utan tvärt om så har det blivit ännu viktigare med forskning kring IT-säkerhet och IT-relaterad brottslighet. Konceptet att kriminalisera hackerverktyg som är avsedda att användas för brott är i viss utsträckning redan implementerat i alla EU länder och stora delar av västvärlden. Varför skulle EU nu helt plötsligt kriminalisera innehav av dessa verktyg som krävs för forskning och annat legitimt ändamål? Jag har mina förutfattade meningar kring ‘experter’ på olika departement och politiker, men inte ens de är dumma nog att förstöra en hel industri på det sättet.
Om det är något man kan bli förbannad på är själva pressmeddelandet från Bryssel som hör hemma på en kvällstidnings löpsedel. Läser man bara pressmeddelandet så låter det som utkastet till laget innehåller något nytt. Så är alltså fallet inte. Det som sannolikt kommer hända är att EU kommer att använda de nya lagstiftningsverktygen som tillkom genom Lissabonfördraget för att tvinga EU länderna att harmonisera/anpassa sina lagar till principerna som alla var överens om redan för tio år sedan. Tyvärr tror jag att de som ser det här som ännu ett steg mot 1984 kommer att bli lagom besvikna (fast det förutsätter att de läser mer än bara löpsedlar).
Bonus – för att juridik är inte alltid tråkigt
För den stakars saten som läst så här långt har jag ett litet bonus i form av ett exempel på hur fel det kan bli vid översättningar. Europarådets konvention har ingen officiell svensk översättning (så vitt jag vet). Men promemorian jag nämnde innehåller en preliminär översättning. Här är originaltexten på engelska och den preliminära svenska översättningen:
i) a device, including a computer program, designed or adapted primarily for the purpose of committing any of the offences established in accordance with Articles 2 through 5;
i) en apparat vari ingår ett datorprogram som är skapat eller anpassat främst för att begå något av de brott som straffbeläggs i enlighet med artiklarna 2-5,
Konceptet ”bring your own device” började bre ut sig på riktigt med lanseringen av iPad-en. Det är väldigt intressant att analysera varför just denna pryl blev så revolutionerande för (framför alt) män i ledande ställningar, men något som alla kan enas om är att Paddan skapade fruktansvärd huvudvärk för IT-enheter över hela världen.
Mycket har sagts kring varför egna surfplattor och smarta telefoner är ett hot för organisationens säkerhet och mycket av detta är ganska uppenbart. På sina håll lyckades IT-avdelningar få någorlunda koll på den nya fetischismen genom att konfigurera/säkra enheter som organisationen köpt in åt användarna. Problemet med denna lösning är att det inte är det användarna vill ha. Användarna vill använda samma pryl för privata och jobbrelaterade ändamål. Däri ligger problemet – hur säkrar man företagsdata på en enhet som är så osäker som den bara kan bli?
Jag önskar att jag hade svaret på denna fråga, men jag tror mig i alla fall ha hittat några av principerna. <disclaimer>Jag hävdar inte att jag har kommit på dessa koncept själv utan det här är de olika principerna som jag läst mig till som jag tror kan få en BYOD implementering att funka</disclaimer>
Det första och kanske mest uppenbara är att man måste skapa en säker miljö och utrymme på enheten. Detta kan lämpligen skapas genom en app som självfallet krypterar allt som den lagrar på enheten. Den ska också använda en sandlådeprincip där den försöker hålla sig borta från operativsystemet så mycket som möjligt. Ett eget interface (färgkoder, inloggningsfönster som dyker upp på olika ställen vid varje inloggning, osv) för inloggning kan, t.ex. komma en lång väg för att ”lura” vanliga key-loggers. Appen ska casha så lite som möjligt på själva enheten och istället jobba mot företagsinfrastrukturen. Uppkopplingen måste självklart ske på ett säkert sätt.
Och då har vi kommit fram till den nästa svåra biten. En av anledningarna varför folk vill använda sina privata prylar för jobbändamål är att de har ett busenkelt användargränssnitt. Om appens användargränssnitt inte håller samma nivå av användarvänlighet som de inbyggda funktionerna på enheten kommer ingen att använda den och då är vi tillbaka till ruta ett – användaren kommer att hitta alternativa lösningar för att komma åt företagsdata. Det är just därför virtualiseringslösningar inte funkar för t.ex. surfplattor. De erbjuder jättebra säkerhet, men att använda ett skrivbordsgränssnitt anpassat för datormöss som interface till pekplattor är hopplöst. Särskilt för användare som vill ha surfplattor just för att de är så enkla att använda.
Lösningen är därmed ett användarvänligt gränssnitt. En användarvänlig mail-klient, kalender, adressbok, dokumenthanterare osv (och självfallet, vid behov gränssnitt till andra företagsprogram). Poängen är att användarna vill ha surfplattor/smart mobiler för att de är enkla och smidiga. Om de hade varit ute efter säkerhet hade de valt andra lösningar. Slutsatsen är att säkra men oanvändbara appar/lösningar kommer att förbli oanvända.
Den tredje principen som organisationer bör börja använda är informationsklassificering. Det finns massor av olika modeller för hur organisationer kan gå igenom och klassificera sina tillgångar i form av data och information. Om organisationen går igenom en sådan process så blir det väldigt mycket enklare att skapa grupper och policys och styra tekniskt vilken typ av data som får användas var.
Det kräver engagemang från ledningen, beslut, planering, tid och resurser men om ledningen verkligen vill kunna använda sina privata handhållna prylar så går det faktiskt att fixa till det. Fördelen är också att har man väl gjort en informationsklassificering kan det visa sig att organisationen kan uppnå lämplig säkerhet genom vissa ganska enkla restriktioner och inte alls behöver en den säkra appen jag nämnde tidigare. Till exempel, det kan vara helt OK att synka kalenderns rubriker och adressboken med alla typer av privata mobila enheter. Det kanske också är OK att synka rubrikerna i e-posten till de anställdas privata telefoner/surfplattor/datorer. Har man ett system för att klassificera dokument kan man också fixa till det så att vissa dokument kan nås från privata enheter och andra inte. Organisationer med högre säkerhetsbehov kan kombinera detta med den säkra appen jag pratade om. Så att när användaren ser att han/hon fått mailet han/hon väntat på i den gemensamma/publika mailboxen i telefonen kan han/hon logga in i den säkra appen och läsa hela mailet.
Att genomföra informationsklassificering på en organisation är ingen lätt sak att göra och jag har fortfarande inte sätt någon app som har funktionerna jag nämnde. Men nu har principerna kring hur man kan implementera BYOD i en organisation börjat klarna, i alla fall i min lilla hjärna.
Det första jag tänkte på när Apple officiellt lanserade Steve-phone och Siri var: hm… ett nytt (beta) program som verkar ha tillgång till hela operativsystemet och all härlig personlig information på telefonen – undrar hur länge vi behöver vänta innan härliga sploits dyker upp för det?!?
Nu har det ju visat sig att standardinställningen för Siri låter alla som har fysiskt tillgång till telefonen komma åt allt som Siri kommer åt, även när inloggningsfönstret är aktivt, vilket är ju inte så där jättebra. Men den inställningen kan de säkerhetsmedvetna ändra på. Det jag väntar på fortfarande är l33t h4x00rn som lyckas med att mata in en riktig buffer overflow genom att använda röstigenkänningen. Typ: ”Siri, new email to steve@apple.com. back slash x no space e nospace b no space back slash x no space one no space f no space back slash…osv”
Kanske lite överkurs men vist skulle det vara roligt?
En annan rolig grej som jag vill testa är om man kan krascha Siri genom att läsa upp Monty Pythons ”Philosopher’s song” riktigt snabbt.
Men seriöst talat läste ett inlägg någonstans för inte så länge sedan där en medlem i ett av de större jailbreak-teamen lyckades snacka lite med en Apple anställd som jobbar som iOS utvecklare på Defcon eller Black Hat (kommer inte ihåg). Utvecklarna kunde självklart inte gå in på detaljer men berättade öppet om hur det finns stora strukturella säkerhetshål i iOS som jailbreakgängen inte har identifierat ännu. Det visade sig att utvecklarna är under en sån stor tidspress att leverera nya funktionaliteter att de inte har tid att ta sig an säkerhetsproblemen. Lägger man ihop två och två (utvecklare under tidspress + nytt systemomfattande beta program) så blir det ganska uppenbart att Siri kommer att vara en attackvektor en lång tid framöver.
När jag läste artikeln om att det finns tre specialiståklagare i Sverige dedikerade åt att jaga fildelare ställde jag mig frågan: varför är fildelning högre prioriterat än dataintrång?
Det pragmatiska svaret är, naturligtvis, att mycket mer lobbypengar läggs ner på att sätta dit fildelare än det läggs ner på att sätta dit hackare. Sen så finns det betydligt fler fildelare än hackare – eller?
I januari i år publicerade Datainspektionen en rapport om ungdomar och integritet. Rapporten grundar sig på en undersökning som omfattade 522 personer mellan 15 och 18 år gamla. För att citera rapporten
”Nära hälften av de som använder Facebook (vilket väldigt många gör) har blivit utsatt för en s.k. ”facerape”. Detta innebär att Facebook-kontot kapas av någon annan som skriver roliga/taskiga saker.”
Om man översätter detta till juridiska så har mer än hälften av ungdomrna i Sverige utsatts för dataintrång. Hoppsan! Jag tolkar det här som att det finns en jääääkla massa ungdomar som håller på och hackar sig in i sina jämnårigas konton.
Varför ägnar sig inte lagens änglar åt att utreda dessa brott? Det kan väl inte vara så himla svårt för Facebook att vinna lite pluspoäng bland föräldrar och politiker genom att sätta upp en gemensam anmälningssida med polisen och att försöka hitta ungarna som tycker det är roligt att hacka konton. Eller?
Uppenbarligen sätter juridiken käppar i hjulet:
- Under gällande lagstiftning får internetleverantörer, vid dataintrång, bara lämna ut abonnemangsuppgifter till polisen om polisen tror att brottet kan leda till ett fängelsestraff.
- Med tanke på att vi har den s.k. ”ungdomsrabatten” lär en domstol aldrig skicka en underårig till fängelse oavsett hur många konton han/hon hackat. Så även om Facebook lämnade över IP adresser till polisen så skulle polisen aldrig kunna reda ut vem IP adressen tillhörde.
- Sen har vi det här med att en företrädare för socialtjänsten ska närvara förhör med ungdomar som inte fyllt arton (om det är möjligt och det kan ske utan men för utredningen). Inte heller särskilt pragmatiskt i denna sammanhang.
M.a.o. i praktiken är det väldigt svårt för polisen att ens försöka utreda facerape även om det är uppenbart att det handlar om konkret dataintrång. Det har funnits ett antal försök att i alla fall förenkla punkt 1 ovan så att polisen kan få fram abonnemangsuppgifter utan kravet på sannolik fängelsestraff. Dessa försök har tyvärr varit knutna till datalagrinsdirektivet, och annat smått och gott som fått allmänheten att explodera. Vilket är lite synd för nu kan polisen inte utreda brott som berör varannan svensk ungdom.
Som det är nu kan polisen inte ens vidta ”alternativa” åtgärder. Egentligen tror jag att det som krävs är att skrämma ungdomen lite och uppmärksamma föräldrarna på vad ungarna håller på med. Jag tror att det hade varit avskräckande nog för allra flesta av dessa ”hackare” om polisen knackade på och hade en liten diskussion med dem och deras föräldrar om att det är olagligt (för att inte prata om omoraliskt) att hålla på och hacka andras konton. Men så som det ser ut idag, kan polisen inte ens göra detta. Och eftersom vi inte lär se lobbyorganisationer som kommer att kasta pengar på detta problem så får ungdomarna väl leva med att deras konton blir kapade lite då och då.
Mycket har talats om hur EU direktivet som uppdaterar vissa frågor om kommunikationstjänster ställer nya krav på hur cookie filer får användas på webbsidor. Men väldigt lite har sagts om hur samma direktiv introducerade konceptet av incidentrapportering i EU sammanhang. Denna typ av rapporteringskrav kommer från USA där vissa stater ansåg att företag måste informera allmänheten om säkerhetsincidenter där personuppgifter äventyrats.
Det är tack vare sådana lagkrav i USA som Sony gick ut med information ganska snart efter att deras nätverk blev hackade och miljontals personuppgifter och kreditkortsnummer kom i orätta händer. Eftersom sådana rapporteringskrav inte finns i EU var det inte förvånansvärt att Holländska DigiNotar inte var måna om att berätta om omfattningen av säkerhetsincidenten som de råkade ut för.
Att rapporteringskrav av säkerhetsincidenter leder till bättre säkerhet är ganska uppenbart. Företag tycker i allmänhet inte om att behöva hålla presskonferenser om pinsamma incidenter. Om de var tvungna att göra så varje gång de blev hackade skulle de förmodligen ta säkerheten på större allvar och lägga ner mer pengar och resurser på att öka säkerheten. Resultatet – ökad skydd av företagshemligheter och personuppgifter.
Första steget till incidentrapportering togs, som sagt, i samma direktiv som ställde nya krav på hur cookie filer får användas av webbsidor. I dagsläget omfattar rapporteringsplikten i princip bara telefonoperatörer och internetleverantörer. I direktivets inledning talar man dock om hur viktigt det är att införa obligatoriska rapporteringskrav för alla tjänster som behandlar personuppgifter.
Om vi ser historiskt på den juridiska utvecklingen inom IT och särskilt inom området cyberbrottslighet så har det väldigt ofta rört sig om en reaktorisk process. En incident får lagstiftaren att reagera. Till exempel, inom en månad efter att information om Stuxnet viruset blev allmänt tillgängligt surrade väldigt många beslutsfattare i Bryssel om att man måste snabba upp arbetet med att säkra kritisk infrastruktur.
Förhoppningsvis kommer DigiNotar incidenten att snabba på processen i Bryssel så att rapporteringskravet av säkerhetsincidenter ökas ut inom en inte för avlägsen framtid.
Vi kan i alla fall alltid hoppas!
Vad kan vara bättre än att börja blogga om något som ligger en nära hjärtat? För min del är ett sånt ämne kritiskt infrastruktur. Frågan blev aktuell i och med att Stuxnet skapade ett verkligt ansikte för något som många uppfattade som teoretiskt fram till dess.
Här om dagen, kunde vi återigen läsa något ganska skrämmande som har med en ”udda” aspekt av kritiskt infrastrutkur att göra – flygplan. Den amerikanska militärens obemannade flygplan, Raptor och Predator, utsattes för virusattack. Mer korrekt handlade det om att styrsystemen blev infekterade av ett väldigt segt virus som de hade svårt att bli av med. Ännu mer skrämmande är att militären inte kunde avgöra om det var en riktad attack eller bara något som lyckades hamna i deras system. Det enda de verkade veta med säkerhet var att viruset läste av alt som knappades in på tangentborden.
Vid första ögonkastet känns det konstigt att sånt kan hända med tanke på att styrsystemet ska finnas i ett segregerat nätverk. Men med tanke på att militären måste använda externa USB minnen för att flytta information från styrsystemet till de övriga systemen så visar det sig ändå inte vara så beaktansvärt.
Problemet är att historien inte stannar där. Eller, rättare sagt, den börjar inte där. Det visar sig att för tre år sedan så kunde irakiska rebeller avlyssna satellitsändningen som liknande spionflygplan skickade hem eftersom dessa inte var krypterade. För ändamålet använde de ett program som kostade hela 26 USD.
Om det ser ut så här hos militären, som ändå är ganska inavlade i säkerhetstänk, hur ser det ut i den civila världen? Läget är självklart ganska otäckt där också. För ett tag sedan kunde vi läsa om hur motorhanteringssystemen på Boeing 747-or kan programmeras om medans planen flyger. Uppenbarligen är alla dessa styrsystem, som ska vara avskilda från publik nätverksåtkomst, inte så avskilda som alla verkar tro. Numera behöver man inte ha sprängämnen i kalsongerna för att krascha flygplan – en laptop är allt som verkar behövas.
Vad har detta med kritisk infrastruktur att göra? Enligt EU Direktiv 2008/114/EC måste varje medlemsland i EU identifiera och klassificera kritisk infrastruktur inom transport och energisektorena i landet. De måste också ha säkerhetsplaner för dessa kritiska anläggningar och utföra risk- och hotbildsbedömningar på dessa.
Jag kan inte låta bli att undra hur många medlemsländer tog med alla Boeing 747-or som flyger i deras luftrum i sina riskanalyser…
