Trender och utmaningar idag och imorgon - informationssäkerhet - n IT-angrepp är verklighet Sverige är i många avseenden en kvalificerad IT-nation. Informationsteknologin skapar möjligheter, men medför också sårbarheter som skapar reella hot mot Sverige och svenska intressen. Den här sammanställningen blickar framåt och belyser ett antal områden som påverkar informationssäkerhetsområdet och som kommer att kräva särskild uppmärksamhet. I dag finns ett reellt hot mot Sverige och svenska intressen, IT-angrepp sker ständigt. Som resultat av datoriseringstakten och den ökande exponeringen på Internet förväntas samhällsviktig verksamhet och kritisk infrastruktur bli särskilt utsatta. Intresseområden för de mest resursstarka aktörerna är framför allt att skaffa sig informationsöverläge genom inhämtning av statshemligheter, företagshemligheter, forskningsresultat samt information som kan kopplas till ett lands vetenskapliga utveckling och internationella samarbete. Men hotbilden beror också på omvärldshändelser och på hur Sverige och svenska medborgare agerar i olika sammanhang. Med IT-utvecklingens hastighet kan förändringar av hotbilden komma att ske mycket snabbt. Dagens och framför allt morgondagens IT-angrepp kommer från resursstarka och kunniga aktörer som har uttalade mål och syften med sina angrepp. Angreppen blir alltmer sofistikerade och riktade: samhällets sårbarheter utnyttjas på ett systematiskt sätt av antagonistiska aktörer. Informationsteknologins snabba utveckling sedan 1990-talets början har medfört stora möjligheter. Informationssystem utvecklas snabbt till att bli mer komplexa, sammankopplade och spridda. Det innebär en ökad tillgänglighet och en i många avseenden oönskad utsatthet. FRA stödjer myndigheter och statligt ägda bolag med informationssäkerhet, vilket genererar kunskaper och erfarenheter som är betydelsefulla för Sveriges hantering av känslig information. Dessa kunskaper och erfarenheter är viktiga att dela med sig av. 2 n Innehåll IT-angrepp är verklighet Innehåll Framtidens internetrelaterade hot – tio trender Trend 1: Snabb tillväxt på mobilområdet Trend 2: Outsourcing Trend 3: Systemens ökade komplexitet Trend 4: Hög takt på teknikutvecklingen Trend 5: Kommersialisering av IT-brott Trend 6: Botnets Trend 7: Antalet angrepp fortsätter att öka Trend 8: Angreppen blir mer riktade Trend 9: Mängden IT-brottsutredningar ökar Trend 10: Den personliga integriteten på nätet Aktörer Främmande makt Organiserad brottslighet Terrorister Enskilda aktörer Hotbilden framöver Informationssäkerhetsarbete och FRA 2 3 4 4 5 5 6 6 7 7 7 8 8 9 9 9 10 10 11 11 3 n Framtidens internetrelaterade hot – tio trender Rapporten bygger på en omvärldsanalys som är framtagen av ett flertal experter på FRA. Den sammanställer tio trender för de närmaste åren. Tidsperspektivet är relativt kort, eftersom utvecklingen inom informationssäkerhetsområdet sker i en så pass snabb takt att det inte är meningsfullt att anta ett längre perspektiv. Med trend menar vi i den här rapporten en långsiktig förändring som syns nu och sedan en tid tillbaka. Trenderna, som presenteras utan inbördes rangordning, är följande: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. Snabb tillväxt på mobilområdet Outsourcing Systemens ökade komplexitet Hög takt på teknikutvecklingen Kommersialisering av IT brott Botnets Antalet angrepp fortsätter att öka Angreppen blir mer riktade Mängden IT-brottsutredningar ökar Den personliga integriteten på nätet Trend 1: Snabb tillväxt på mobilområdet Ny teknik medför ofta nya sårbarheter. Utvecklingen på mobilområdet innebär att användarna får möjlighet att göra saker på nya sätt vilket i sin tur kan innebära förändrade beteenden. Dagens mobila enheter, till exempel mobiltelefoner, är datorer och måste skyddas som datorer. Därför kan det finnas behov av att se över myndigheters och företags policyer som avser hantering av mobila enheter och ge användarna relevant utbildning. Utvecklingen på mobilområdet har accelererat länge. Mobiltelefonen har från att ha varit en telefon blivit en dator med till exempel lagringskapacitet, anslutningsbarhet och beräkningskraft. Vår bedömning är att mobila enheter kommer att användas i ännu högre grad framöver. Det innebär att elektronisk kommunikation kommer att påverka våra liv i större omfattning än idag. Fler personer ansluter sig med mobil utrustning till nätverk och informationssystem. Den stora risken ligger i att anställda använder en och samma mobila enhet både i arbetet och privat, utan att tänka på att det inte bara är en telefon, utan en dator. Trenden medför att det säkerhetsskydd som 4 vi tar för givet när det gäller datorer saknas, vilket gör känslig information tillgänglig på ett oönskat sätt. Internetanvändningen är oerhört omfattande, men det mobila nätet är många gånger större. Ur ett globalt perspektiv står mobilt bredband för en av de hittills snabbaste tillväxterna för någon teknologi överhuvudtaget. Trend 2: Outsourcing En stark trend redan idag är att många organisationer, även myndigheter och kommuner, väljer att förlägga stora delar av den egna organisationens IT-drift till företag både i Sverige och i utlandet. Olika myndigheters och företags verksamhetskritiska information kan befinna sig på samma servrar, vilka i sin tur är exponerade på Internet. Denna exponering av information förväntas öka, och därmed ökar utsattheten och sårbarheten. Outsourcing ställer höga krav på en kvalificerad kravställning från beställarsidan avseende såväl sekretss- och integritetsfrågor som tillgänglighetsaspekter (till exempel lagring och återställning av information). Detta område är fortfarande i avsaknad av standarder och tydliga riktlinjer. En stor utmaning är att hantera ansvarsfördelningen då företag och myndigheter lagrar information i externa organisationers system, tillsammans med information från flera andra verksamheter. I stor skala kan ett företag erbjuda virtualisering, det vill säga att som en tjänst till andra företag tillåta en fysisk server att köra flera operativsystem samtidigt. Detta är grundfunktionen i det som kallas ”molntjänster”. Molntjänster tillhandahåller via Internet stora resurser som processorkraft, lagring och funktioner till användare som inte behöver ha den tekniska kunskapen eller kontrollen över infrastrukturen. För användare som behöver stöd kan tjänsterna innebära att IT-säkerheten stärks. Dessutom förenklar tjänsterna flytt av information mellan många olika lagringsplatser, vilket gör det möjligt för företag och kunder att befinna sig i olika delar av världen. Men samtidigt är virtualisering och molntjänster att betrakta som en form av outsourcing av IT-driften. Denna distribution och flöde av information gör våra myndigheter och företag sårbara. Trend 3: Systemens ökade komplexitet Det är angeläget att förstå och kunna överblicka ett systems funktionalitet och sårbarheter för att kunna utföra adekvata säkerhetsåtgärder. IT-miljöer som tidigare bestod av begränsade och isolerade system i till största delen slutna nätverk, är idag anslutna till Internet och sammankopplade med varandra när myndigheter och företag samverkar elektroniskt. Integreringen 5 innebär att olika typer av system som till exempel inpasseringssystem och IP-telefoni, kopplas till ett och samma nätverk. Detta görs för att förbättra samverkan, underlätta driften och förenkla åtkomsten för de anställda. Utvecklingen medför att många olika system kopplas upp på samma nätverk. Det leder till beroenden mellan olika IT-system, nationellt och internationellt. Därmed ökar antalet sårbarheter som berör hela samhället. I många fall tenderar funktion att sättas före säkerhet vilket förhöjer risken för såväl företag som myndigheter, och inte minst för den tekniska infrastrukturen i samhället. Konsekvensen är en systemarkitektur som är svår att överblicka samt en ökad utsatthet. Trend 4: Hög takt på teknikutvecklingen Utvecklingstakten inom informationstekniken är hög. Den stora utmaningen är för myndigheter och företag att löpande vidta skyddsåtgärder för att hålla jämna steg med teknikutvecklingen. Det är idag inte möjligt att säga hur länge denna utveckling kommer att fortsätta i oförminskad eller till och med ökad takt. FRA anser det som mycket troligt att utvecklingen fortsätter under den tidsperiod som den här analysen avser. Snabbheten gör att endast vissa delar av IT-systemen hinner säkras, vilket får som konsekvens att angriparen söker nya sårbarheter i sin jakt på den svagaste länken. Säkerheten hamnar steget efter i stället för att ligga steget före. Utvecklingen inom informationssäkerhetsområdet har medfört att säkerheten i vissa typer av system, som exempelvis operativsystem, har blivit bättre idag. Det får istället som följd att sårbarheter i programvaror, det vill säga installerade applikationer snarare än i operativsystemet, i allt större omfattning utnyttjas vid angrepp. Det finns goda skäl att anta att spridningshastigheten av skadlig kod som tillverkas för att infektera våra datorer kommer att öka, och att IT-brottsverktygen kommer att bli mer kraftfulla och lättare att använda. Tiden från det att en sårbarhet upptäcks till att det finns skadlig kod som används för att utnyttja den kommer att fortsätta krympa. Trend 5: Kommersialisering av IT-brott Denna trend avser försäljningen av IT-relaterade verktyg och tjänster på Internet som används i syfte att begå brott. Verksamheten innebär att verktyg som skapas för att identifiera och utnyttja sårbarheterna, bjuds ut till försäljning. Resultatet är en marknad för information om sårbarheter, och verktyg för att exploatera dem. Till detta kommer också personer som mot betalning tar uppdrag för att utföra IT-brott. 6 Verktyg och metoder för avlyssning och hackerangrepp sjunker i pris hela tiden, vilket ger nya grupper tillgång till teknik som tidigare var förbehållet några få. Trend 6: Botnets Ett botnet är ett nätverk av kapade datorer som alla är infekterade av skadlig kod som sprids via till exempel falska e-postutskick, svagheter i webbläsare, andra webbsidors länkar, eller nedladdningsbar programvara. Ett botnet kan bestå av tusentals datorer, ofta kallade zombier, spridda över hela världen och med ägare som inte vet om att datorerna är infekterade. Genom att botnets levererar samma eller större datorkapacitet som en stormakt kan göra, utmanar de informationssäkerheten. De infekterade datorerna kan finnas var som helst, i Sverige likväl som i andra länder. Datorerna ansluter direkt eller indirekt till angriparen och får på det sättet sina instruktioner. Det kan vara att skicka ut oönskad skräppost (spam) och i vissa fall utföra DDoS-attacker mot myndigheter och företag. DDoS, Disitributed Denial of Service, innebär att ett stort antal datorer gemensamt angriper till exempel en webbplats för att göra den oåtkomlig. Sedan några år tillbaka tillhandahålls botnets kommersiellt vilket gör dem tillgängliga och spridda. Trend 7: Antalet angrepp fortsätter att öka Den kraftiga ökningen av antalet IT-angrepp de senaste åren förväntas fortsätta. Många företag och organisationer vittnar om en påtaglig ökning av mer storskaliga angrepp. Som ett resultat av att angreppen ökar i antal, ställs krav på att prioritera informationssäkerhetsfrågor och att följa med i utvecklingen för att säkerställa adekvat skydd för information och IT-system. Trend 8: Angreppen blir mer riktade Riktade angrepp ställer högre krav på skydd. Trenden är att många ITrelaterade angrepp har fått ett tydligare syfte och oftare riktas mot ett speciellt mål eller en specifik målgrupp. Det kan handla om en verkställande ledning, styrelse, nyckelfunktioner eller förtroendevalda som drabbas genom exempelvis infekterade bilagor i e-postmeddelanden. Angreppen, som är mycket sofistikerade, är svåra att upptäcka. Skadlig kod kan mutera, vilket gör att antivirusprogram får mycket svårt att upptäcka den. Dessutom, eftersom den skadliga koden verkar i det dolda, är den drabbade användaren eller systemägaren helt omedveten om att ett angrepp 7 pågår. Det blir också vanligare att det inte längre är en och samma skadliga kod som sänds till alla mål, utan koden ändras istället lite för varje mottagare. Trend 9: Mängden IT-brottsutredningar ökar Antalet IT-relaterade brott förväntas fortsätta öka och i takt med det kommer även mängden IT-brottsutredningar att öka. IT som ett inslag i brottslig verksamhet utmanar de rättsvårdande instanserna i samhället när det handlar om att säkerställa teknisk bevisning. Då informationen ligger spridd på olika lagringsplatser som delas av ett flertal informationsägare, försvåras åtkomsten till information för brottsutredarna. Dessa typer av utredningar kommer att omfatta spridning av skadlig kod som och personer som använder IT för att bedriva kriminell verksamhet, till exempel försäljning av droger eller barnpornografi. Försvårande faktorer för utredarna av IT-relaterade brott kommer i allt större omfattning att vara den ökade tillgången till utvecklade kommersiella kryptografiska produkter. Dessutom kan outsourcing (trend 2) inverka på åtkomsten till information för utredarna. Detta kan försvåra eller förhindra utredningar, samtidigt som det underlättar för framtidens IT-brottslingar. Trend 10: Den personliga integriteten på nätet Exponeringen av personlig information som publiceras på sociala forum kommer att medföra ökade risker för bland annat social engineering (se nedan) och identitetsstölder. För en angripare är det tacksamt att information om en person och dennes liv finns samlad på ett fåtal ställen, till exempel sparad på datorn eller på en webbplats. Denna exponering kan utnyttjas genom att infiltrera ett datorsystem för att manipulera eller utnyttja användarna i syfte att komma över information, så kallad social engineering. På så sätt kan en aktör genom otillåten påverkan nå sina syften. Den explosionsartade ökningen av användningen av sociala medier kommer att fortsätta i hög takt. Med sociala medier förstås aktiviteter som kombinerar teknologi, social interaktion och användargenererat innehåll. De sociala medierna kommer i ännu större utsträckning att användas för marknadsföring av företag och av politiska kampanjer. 8 n Aktörer Dagens och framförallt morgondagens IT-angrepp kommer från resursstarka och kunniga aktörer. Dessa har uttalade mål och syften med sina angrepp, till exempel underrättelseinhämtning, ekonomisk brottslighet, industrispionage och olika former av påverkan (sabotage och utslagning av hela samhällsfunktioner). Det är viktigt att ha god kunskap om aktörerna för att kunna bekämpa IT-angrepp på ett effektivt sätt. Aktörerna kan delas in i fyra grupper: 1. 2. 3. 4. Främmande makt Organiserad brottslighet Terrorister Enskilda aktörer Det handlar alltså om aktörer, alltifrån stater som förfogar över mycket stor kapacitet, till enskilda individer med relativt små resurser. De potentiella angriparna är många och har ökat kraftigt i antal. Anledningarna till ökningen är bland annat utvecklingen på IT-området, en högre kunskapsnivå i många grupper och länder, samt det internationella samarbetet. En part kan med små resurser orsaka en enorm skada hos en betydligt större motpart. Det är dessutom många gånger svårt att bedöma omfattningen av konsekvenserna då en aktivitet snabbt kan få spridningseffekter som är mycket svåra att överblicka. Främmande makt De statliga aktörer som idag har kapacitet att bedriva ”den nya tidens spioneri” via Internet har enligt vår bedömning blivit fler. Idag är det många stater som har denna kapacitet. Intresseområden för statliga aktörer är framförallt möjligheten att skaffa sig informationsöverläge genom inhämtning av statshemligheter, företagshemligheter, forskningsresultat samt information som kan kopplas till ett lands vetenskapliga utveckling och ökande internationella samarbete. Informationskrigföringen utgör en annan växande hotbild. Ett land kan med hjälp av Internet och andra informations- och kommunikationsmedel slå mot enskilda stater, organisationer och individer. Organiserad brottslighet Den organiserade brottsligheten har blivit alltmer komplex och styrs i stort sett enbart av ekonomiska intressen. De kriminella nätverken utvecklar hela 9 tiden sina brottskoncept för att skapa nya affärer och för att försvåra för de brottsbekämpande myndigheterna att upptäcka dem. De IT-relaterade brotten är att betrakta som både lönsamma och svåra att upptäcka. Intresseområden för de grupper som ägnar sig åt den här typen av verksamhet är aktiviteter som genererar pengar. Hoten utgörs framförallt av viljan att manipulera till exempel betalsystem för egen vinning, eller få fram känslig information i utpressningssyfte. Brotten har dessutom ofta internationell koppling och omfattar stora ekonomiska värden. Terrorister Tidigare har terroristorganisationer främst använt Internet som ett kommunikationsmedel, men idag är virtuella mötesplatser lika viktiga som fysiska. Många terrorgrupper har etablerat sin närvaro på Internet: det finns idag ett stort antal webbsidor som är direkt kopplade till terrorverksamhet och som har till uppgift att stödja aktivister med olika former av budskap och instruktioner. Kunskapen om hur informationsteknik kan användas för att orsaka skada finns, och den är ett växande hot. Hotet riktar sig i första hand mot samhällsviktig verksamhet och kritisk infrastruktur. Enskilda aktörer Bland de enskilda individer som handlar helt på eget bevåg finns en varierande kunskapsnivå. Det rör sig om allt från mycket skickliga hackare till personer som själva inte besitter så stor kunskap utan hämtar färdiga verktyg på Internet. Gruppen är inte homogen, utan syftena med de kriminella aktiviteterna skiljer sig åt: de kan vara allt från ekonomiska och politiska intressen till sabotage och en uppvisning i vad man kan åstadkomma med begränsade medel. Kompetenta enskilda individer i denna grupp av aktörer kan genom att sälja sina tjänster, nyttjas av den organiserade brottsligheten, terroristorganisationer eller av statliga aktörer. En särskild typ av enskild aktör är insidern: en person som finns i ett företag eller en organisation och har tillgång till känslig information eller särskilda åtkomsträttigheter. Dessa personer har goda möjligheter till såväl informationsstöld, manipulation och sabotage och får anses var ett stort hot mot många verksamheter. Intresset från de andra typerna av aktörer att nyttja insiders får betraktas som stort då det är billigt och risken att exponera sig själv är liten. En insider kan drivas av exempelvis missnöje, ekonomiska intressen och hot. 10 n Hotbilden framöver Dagens och framförallt morgondagens IT-hot kommer från resursstarka och kunniga aktörer som har ett uttalat mål och syfte med sina angrepp. Det växande beroendet av Internetbaserade kommunikationsverktyg har ökat sårbarheten gentemot insiders, hackare och spioner. Intresseområden för de olika aktörerna är framförallt möjligheten att skaffa sig informationsöverläge genom inhämtning av statshemligheter, företagshemligheter, forskningsresultat samt information som kan kopplas till ett lands vetenskapliga utveckling och internationella samarbete. Alla delar i samhället kan förväntas få en ökad hotbild som ett resultat av datoriseringstakten och den ökande exponeringen på Internet. Beslutande organ, som regering och riksdag, samhällskritiska sektorer samt ambassader kan förväntas bli särskilt utsatta för IT-angrepp. Hotbilden kommer också att bero på händelser i omvärlden och på hur Sverige och svenska medborgare agerar i olika sammanhang. Svensk närvaro i internationella konflikter och till exempel publicering av bilder, kan uppfattas som stötande av religiösa grupper. Förändringar av hotbilden kan komma att ske mycket snabbt. n Informationssäkerhetsarbete och FRA FRA är statens tekniska resurs på informationssäkerhet. Vi stödjer statliga myndigheter och statligt ägda bolag som hanterar information som ur ett samhällsperspektiv bedöms vara känslig. FRA:s instruktion anger att vi ska ha hög teknisk kompetens inom informationssäkerhetsområdet, i synnerhet ska vi kunna n n n n n stödja insatser vid nationella kriser med IT-inslag medverka till identifieringen av inblandade aktörer vid IT-relaterade hot mot samhällsviktiga system genomföra IT-säkerhetsanalyser ge annat tekniskt stöd. Presskontakt Mattias Lindholm, pressekreterare, telefon: 08-471 45 05, e-post: mattias.lindholm@fra.se, webbplats: www.fra.se 11
© Copyright 2024