Gå till innehåll

3

UK government’s National Technical Authority for Information Assurance (CESG) har motiverat varför de slutat rekommendera påtvingat lösenordsbyte: https://www.cesg.gov.uk/articles/problems-forcing-regular-password-expiry

Även sammanfattat här: https://kryptera.se/uppmaning-tvinga-inte-regelbundna-losenordsbyten/

Kommentar till detta:

Rent krasst kommer ingen att byta lösenord om det inte upplevs viktigt. Men att förmedla vad som faktiskt är viktigt kommer organisationer med största sannolikhet att misslyckas med på samma sätt som insatser inom "security awareness" vanligtvis misslyckas med att ändra användarnas beteenden1.

Dessutom kommer mycket få organisationer att ta till sig och agera på sista stycket i inlägget. Det om att utreda och implementera alternativa kontroller.

Säger inte att rådet är fel, men vi inom "säk" måste styra upp detta!

1

Nyfiken på vad som ändrats i MSB:s "MSBFS 2016:2 föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter" efter remissrundan1? Då behöver du nog fundera över prioriteringarna i livet, men till dess den utredningen är klar så har jag hackat ihop en enkel "diff": https://drive.google.com/file/d/0B1nhZoc6TUUvWkhCS0N1Nk1RcU0/view?usp=sharing.

Det finns en del intressant! Exempelvis att undantagen för vissa myndigheter borttaget. Innebär detta något i praktiken?

Ett par kommentarer till seminariet "Staten och cybersäkerheten – klarar vi IT-angreppen?" från Almedalen 1 juli 2015:

Helena Lindberg (GD MSB) kommenterar inrikesminister Anders Ygeman: "glädjande besked om obligatorisk it-incidentrapportering för den statliga sektorn". Detta är alltså en nyhet för MSB och GD:n "blir nyfiken på att få höra mer om vem rapporteringen ska ske till".

Det flesta har väl antagit att det ska bli MSB, men man kan ju undra vilken myndighet som verkligen får ansvaret när just MSB:s GD (till skillnad från SÄPO:s) ansåg att beskedet var en nyhet...

Om det ändå blir MSB, och detta alltså meddelas mindre än ett halvår innan funktionen ska vara igång (1 januari 2016), ja då blir det ju nästan omöjligt att komma igång i tid! Helena Lindberg nämnde att CERT-SE i dag endast har "ett embryo till digital lägesbild", så det är naturligtvis en hel del jobb kvar innan frågor är utredda och rutiner på plats. Kan tänka mig att det t.ex. finns en del intressant juridik att förhålla sig till.

Annars gillar Anders Ygemans självklara utsaga: "För att informationen ska vara relevant så måste den vara anpassad för mottagaren". Jag tror inte att man kan påminna sig nog ofta om detta! Exempelvis undrar vad man tänkt sig för målgrupp för seminariet.

2

intresse-ransomware-backup
Lekte lite med Google trends1. Det ser ut som om ransomware kommer att vara en lukrativ bransch ett bra tag till!

Att hantera ransomware borde i princip vara identiskt med att hantera en hårddiskkrasch, när det väl smäller. Men säkerhetskopiering är inget som uppstår av sig själv, det krävs insikt och kunskap för att få till det. Och med brist på detta väljer många att i stället stödja kriminell verksamhet för att få tillbaka sina filer, vilket gör att problemet kommer att öka... Dystert!

Uppdaterat och tillagt 2016-12-04: Detta var väl rätt tänkt om man bara tar hänsyn till tillgänglighet. Sekretess är en annan femma. Ungefär samtidigt som jag skrev detta inlägg så dök utpressningstrojanen Chimera upp, vilken hotar med "doxing". Verkar dock som om det är svårt (eller onödigt) att tjäna pengar med denna metodik, för den tycks inte ha tagit fart. Slutsats: Glöm inte bort CIA-triaden! 🙂

[UPPDATEREAD]

Klipp från computersweden.idg.se:

idg-11-miljoner-i-minuten-v2

Tomas Zirn (Computer Sweden, IDG) citerar i en artikel Ola Wittenby (IBM) som hävdar att "Skadlig kod infekterar 11 miljoner mobiler i minuten". Det låter ju jättedåligt..., men är det rimligt? Ägnar man en tanke åt detta inser man att det omöjligt kan stämma.

Några snabba googlingar visar att det finns i runda slängar ca 2 miljarder smartphones på planeten12. Den optimala skadliga koden skulle sprida sig till 100 % av alla enheter på 2 000 000 000 / 11 000 000 = 181 minuter, alltså 3 timmar. Även om detta är praktiskt omöjligt ser man att det är något fel på siffrorna.

IBM har gjort undersökningen tillsammans med Ponemon Institute (vad nu det är), och i en annan nyhetsartikel3 står "At any given time, malicious code is infecting more than 11.6 million mobile devices" med hänvisning till ett produktblad från IBM4. Produktbladet säger också att "malicious code infects more than 11.6 million mobile devices at any given time". Här nämns inte infektioner per minut längre, utan nu har vi 0,58 % infekterade mobiler i stället (räknar nu för högt på antal enheter i bruk, men det spelar mindre roll). Vi går från 11 miljoner i minuten till 0,58 % totalt!

Produktbladet hänvisar uppgiften om 11,6 miljoner till en artikel från 29 januari 2014 (1+ år sedan) i Infosecurity Magazine5. Och där finns länken till den ursprungliga källan, från 2013!

Bild från Alcatel-Lucent "Kindsight Security Labs Malware Report - Q4 2013"6:

alcatel-lucent-infected-devices-2013-v2

Sammanfattning: Den nyhet som CS gör rubrik av är från 2013, och grovt felaktig!

(Det är så klart inte svårt att hitta fel i media, men eftersom det inte fanns något kommentarfält på idg.se, så behövde jag skriva av mig här i stället...)


 

Uppdatering 2015-03-24

Artikeltexten på IDG är rättad. Tack Tomas Zirn!

På Twitter har dock IBM kvar felaktigheten om "varje minut". Detta kommer alltså från ett citat av Ola Wittenby (A leader in the IT Security area. Security Country Manager at IBM.). Helt okej att ibland ha otur när man tänker, men det är samtidigt inget annat än sälj-"FUD" från IBM.

P.S. Varför jag bryr mig om denna fråga:

1

Ekots lördagsintervju med inrikesminister Anders Ygeman (Poddradio RSS) från 24/1 innehåller en del intressant ur bland annat IT- och informationssäkerhetsperspektiv och är värd att lyssna på.

Några noteringar:

6.55: Om PNR-registret - Ekot frågar "Har ni någon som helst analys av hur effektivt det här skulle kunna vara?". Svaret är "Inte det nya systemet så klart, för det finns ju inte på plats. Vi har bara konstaterat att det är viktigt [...]". En extra följdfråga från Ekot visar att detta med analys inte är något som anses behövas för införa EU PNR.

23.23: Om cyberattacker och incidentrapportering - Inrikesministern säger sig nyss ha träffat chefen för Säkerhetspolisen, Generaldirektören för MSB och chefen för polisens nationella operativa avdelning för att diskutera hur man ska tydliggöra det statliga myndighetsansvaret för informationssäkerhet och mot cyberhot. De jobbar även vidare på att införa obligatorisk incidentrapportering.

Lite tyckande om detta:

Det känns inte speciellt bra att man vill införa ett centralt EU PNR med hänvisning till någon slags "sunt förnuft". Risken nu är att det inte finns underlag att gå tillbaka till om några år för att utvärdera om systemet uppfyller sina syften. Om rättsväsendets nytta faktiskt skulle visa sig blir mindre än förväntat så skulle kanske de inskränkningar i privatlivet som man tidigare bedömt vara befogade inte längre vara giltiga. Men nu riskerar systemet (om det väl införs) antagligen att bli kvar för evigt!

Förutom mer fokus på avvägningen mellan nytta och personlig integritet så önskar jag att lite vetenskaplighet lyser igenom samt att avvägningar och beslut baseras på underlag och analys. Känns ganska grundläggande kan man tycka.

På plussidan: Att ministern följer upp de uttalanden han gjorde i början av november om nationell incidentrapportering är däremot välkommet. Det låter som om detta verkligen är på gång, pådrivet av NIS-direktivet. Kanske kommer MSB:s rapport Nationellt system för it-incidentrapportering att dammas av? Om jag vore en cyniker så skulle jag dock tro att man i stället börjar om med en ny utredning...

Jag tror det är bra med en samordnad koll på incidenter och hot mot samhällsfunktioner, för i dag brister detta grovt med försämrad säkerhet som resultat. Utmaningarna för att få organisationen på plats är dock stora och det finns en del frågor. Kommer det att gälla endast offentlig verksamhet eller, som Ygeman antytt tidigare, även för privata företag? Kommer det att kunna skapas en tillit till den nya organisationen (var den nu hamnar) så att känsligt material verkligen kan samlas där? Och kommer de att ha förmågan att sammanställa materialet till något praktiskt användbart? Jag är hoppfull, men skeptisk.

1

Aktuell status för införande av HTTPS på de största nyhetssajterna i landet:

andel-nyhetssajter-https-2015-01-17

Det är ju lätt att säga noll procent men ett diagram gör det hela så mycket tydligare. 🙂 Hoppas nu att det blir förbättringar under 2015!

Notering: DN och Expressen har HTTPS men certifikaten är utfärdade till Akamai. 🙁 Aftonbladet har fungerande certifikat, men omdirigerar HTTPS till HTTP. 🙁

Tack för tips och empiriskt data @reuteras:

Data från 2013: https://reuteras.wordpress.com/2013/01/06/tidningar-lankar-robots-txt-och-https/

Tillagt 2015-01-24, länkar att testa:

Läste just http://www.idg.se/2.1085/1.601473/framtidens-malware-kan-sanka-samhallet

Sammanfattning: Framtidens malware ska hanteras med gårdagens kontroller och med 1900-talsteknik, säger experter.

Alltså, jag menar inte att det är inte fel på gårdagens kontroller, de är bra! Om vi gör det vi visste om och borde ha gjort redan för 10-15 år sedan så kan vi sova både gott och länge.

Jag ser dock inte några argument, i artikeln eller annorstädes, som övertygar mig om att vi står inför ett paradigmskifte. Moln, mobilitet, diskmaskiner med bitcoin miners..., det ger oss inte några fundamentalt nya utmaningar. Vilket jag alltså anser bekräftas av att råden som ges i artikeln kunde ha skrivits för mycket länge sedan.

Jag tror att det som behövs mest i säkerhetsbranschen är att inte glömma bort gammal kunskap, samt noggrannhet och analys.

Bristen på empiriska data beträffande it-incidenter i samhället försvårar det systematiska arbetet med samhällets informationssäkerhet. -MSB

Inrikesminister Anders Ygeman har reagerat1 på den senaste tidens rapporterade IT-incidenter och vill utreda frågan om rapporteringsskyldighet. Det behövs kanske inte för MSB har redan gjort detta2.

Inrikesministern överväger en tvingande rapporteringsskyldighet både för myndigheter och företag. Bättre att gå på MSB:s linje med tvång för statliga myndigheter och frivillighet för övriga organisationer, så länge det inte handlar om tjänsteleverantörer till det allmänna.

Kul tajming eftersom jag här om dagen skrev att just bristen på dessa empiriska data hindrar en vettig utvärdering av MSBFS 2009:103.