Trender och utmaningar - idag och imorgon

Trender och utmaningar
idag och imorgon
- informationssäkerhet -
n IT-angrepp är verklighet
Sverige är i många avseenden en kvalificerad IT-nation. Informationsteknologin skapar möjligheter, men medför också sårbarheter som skapar
reella hot mot Sverige och svenska intressen. Den här sammanställningen
blickar framåt och belyser ett antal områden som påverkar informationssäkerhetsområdet och som kommer att kräva särskild uppmärksamhet.
I dag finns ett reellt hot mot Sverige och svenska intressen, IT-angrepp sker
ständigt. Som resultat av datoriseringstakten och den ökande exponeringen
på Internet förväntas samhällsviktig verksamhet och kritisk infrastruktur bli
särskilt utsatta. Intresseområden för de mest resursstarka aktörerna är
framför allt att skaffa sig informationsöverläge genom inhämtning av
statshemligheter, företagshemligheter, forskningsresultat samt information
som kan kopplas till ett lands vetenskapliga utveckling och internationella
samarbete.
Men hotbilden beror också på omvärldshändelser och på hur Sverige och
svenska medborgare agerar i olika sammanhang. Med IT-utvecklingens
hastighet kan förändringar av hotbilden komma att ske mycket snabbt.
Dagens och framför allt morgondagens IT-angrepp kommer från
resursstarka och kunniga aktörer som har uttalade mål och syften med sina
angrepp. Angreppen blir alltmer sofistikerade och riktade: samhällets
sårbarheter utnyttjas på ett systematiskt sätt av antagonistiska aktörer.
Informationsteknologins snabba utveckling sedan 1990-talets början har
medfört stora möjligheter. Informationssystem utvecklas snabbt till att bli
mer komplexa, sammankopplade och spridda. Det innebär en ökad tillgänglighet och en i många avseenden oönskad utsatthet.
FRA stödjer myndigheter och statligt ägda bolag med informationssäkerhet, vilket genererar kunskaper och erfarenheter som är betydelsefulla
för Sveriges hantering av känslig information. Dessa kunskaper och
erfarenheter är viktiga att dela med sig av.
2
n Innehåll
IT-angrepp är verklighet
Innehåll
Framtidens internetrelaterade hot – tio trender
Trend 1: Snabb tillväxt på mobilområdet
Trend 2: Outsourcing
Trend 3: Systemens ökade komplexitet
Trend 4: Hög takt på teknikutvecklingen
Trend 5: Kommersialisering av IT-brott
Trend 6: Botnets
Trend 7: Antalet angrepp fortsätter att öka
Trend 8: Angreppen blir mer riktade
Trend 9: Mängden IT-brottsutredningar ökar
Trend 10: Den personliga integriteten på nätet
Aktörer
Främmande makt
Organiserad brottslighet
Terrorister
Enskilda aktörer
Hotbilden framöver
Informationssäkerhetsarbete och FRA
2
3
4
4
5
5
6
6
7
7
7
8
8
9
9
9
10
10
11
11
3
n Framtidens internetrelaterade hot –
tio trender
Rapporten bygger på en omvärldsanalys som är framtagen av ett flertal
experter på FRA. Den sammanställer tio trender för de närmaste åren.
Tidsperspektivet är relativt kort, eftersom utvecklingen inom
informationssäkerhetsområdet sker i en så pass snabb takt att det inte är
meningsfullt att anta ett längre perspektiv.
Med trend menar vi i den här rapporten en långsiktig förändring som syns
nu och sedan en tid tillbaka. Trenderna, som presenteras utan inbördes
rangordning, är följande:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
Snabb tillväxt på mobilområdet
Outsourcing
Systemens ökade komplexitet
Hög takt på teknikutvecklingen
Kommersialisering av IT brott
Botnets
Antalet angrepp fortsätter att öka
Angreppen blir mer riktade
Mängden IT-brottsutredningar ökar
Den personliga integriteten på nätet
Trend 1: Snabb tillväxt på mobilområdet
Ny teknik medför ofta nya sårbarheter. Utvecklingen på mobilområdet
innebär att användarna får möjlighet att göra saker på nya sätt vilket i sin tur
kan innebära förändrade beteenden. Dagens mobila enheter, till exempel
mobiltelefoner, är datorer och måste skyddas som datorer. Därför kan det
finnas behov av att se över myndigheters och företags policyer som avser
hantering av mobila enheter och ge användarna relevant utbildning.
Utvecklingen på mobilområdet har accelererat länge. Mobiltelefonen har
från att ha varit en telefon blivit en dator med till exempel lagringskapacitet, anslutningsbarhet och beräkningskraft. Vår bedömning är att
mobila enheter kommer att användas i ännu högre grad framöver. Det
innebär att elektronisk kommunikation kommer att påverka våra liv i större
omfattning än idag.
Fler personer ansluter sig med mobil utrustning till nätverk och informationssystem. Den stora risken ligger i att anställda använder en och
samma mobila enhet både i arbetet och privat, utan att tänka på att det inte
bara är en telefon, utan en dator. Trenden medför att det säkerhetsskydd som
4
vi tar för givet när det gäller datorer saknas, vilket gör känslig information
tillgänglig på ett oönskat sätt.
Internetanvändningen är oerhört omfattande, men det mobila nätet är många
gånger större. Ur ett globalt perspektiv står mobilt bredband för en av de
hittills snabbaste tillväxterna för någon teknologi överhuvudtaget.
Trend 2: Outsourcing
En stark trend redan idag är att många organisationer, även myndigheter och
kommuner, väljer att förlägga stora delar av den egna organisationens
IT-drift till företag både i Sverige och i utlandet. Olika myndigheters och
företags verksamhetskritiska information kan befinna sig på samma servrar,
vilka i sin tur är exponerade på Internet. Denna exponering av information
förväntas öka, och därmed ökar utsattheten och sårbarheten.
Outsourcing ställer höga krav på en kvalificerad kravställning från
beställarsidan avseende såväl sekretss- och integritetsfrågor som
tillgänglighetsaspekter (till exempel lagring och återställning av
information). Detta område är fortfarande i avsaknad av standarder och
tydliga riktlinjer. En stor utmaning är att hantera ansvarsfördelningen då
företag och myndigheter lagrar information i externa organisationers
system, tillsammans med information från flera andra verksamheter.
I stor skala kan ett företag erbjuda virtualisering, det vill säga att som en
tjänst till andra företag tillåta en fysisk server att köra flera operativsystem
samtidigt. Detta är grundfunktionen i det som kallas ”molntjänster”.
Molntjänster tillhandahåller via Internet stora resurser som processorkraft,
lagring och funktioner till användare som inte behöver ha den tekniska
kunskapen eller kontrollen över infrastrukturen. För användare som behöver
stöd kan tjänsterna innebära att IT-säkerheten stärks. Dessutom förenklar
tjänsterna flytt av information mellan många olika lagringsplatser, vilket gör
det möjligt för företag och kunder att befinna sig i olika delar av världen.
Men samtidigt är virtualisering och molntjänster att betrakta som en form av
outsourcing av IT-driften. Denna distribution och flöde av information gör
våra myndigheter och företag sårbara.
Trend 3: Systemens ökade komplexitet
Det är angeläget att förstå och kunna överblicka ett systems funktionalitet
och sårbarheter för att kunna utföra adekvata säkerhetsåtgärder. IT-miljöer
som tidigare bestod av begränsade och isolerade system i till största delen
slutna nätverk, är idag anslutna till Internet och sammankopplade med
varandra när myndigheter och företag samverkar elektroniskt. Integreringen
5
innebär att olika typer av system som till exempel inpasseringssystem och
IP-telefoni, kopplas till ett och samma nätverk. Detta görs för att förbättra
samverkan, underlätta driften och förenkla åtkomsten för de anställda.
Utvecklingen medför att många olika system kopplas upp på samma
nätverk. Det leder till beroenden mellan olika IT-system, nationellt och
internationellt. Därmed ökar antalet sårbarheter som berör hela samhället.
I många fall tenderar funktion att sättas före säkerhet vilket förhöjer risken
för såväl företag som myndigheter, och inte minst för den tekniska
infrastrukturen i samhället. Konsekvensen är en systemarkitektur som är
svår att överblicka samt en ökad utsatthet.
Trend 4: Hög takt på teknikutvecklingen
Utvecklingstakten inom informationstekniken är hög. Den stora utmaningen är för myndigheter och företag att löpande vidta skyddsåtgärder
för att hålla jämna steg med teknikutvecklingen. Det är idag inte möjligt att
säga hur länge denna utveckling kommer att fortsätta i oförminskad eller till
och med ökad takt. FRA anser det som mycket troligt att utvecklingen
fortsätter under den tidsperiod som den här analysen avser.
Snabbheten gör att endast vissa delar av IT-systemen hinner säkras, vilket
får som konsekvens att angriparen söker nya sårbarheter i sin jakt på den
svagaste länken. Säkerheten hamnar steget efter i stället för att ligga steget
före.
Utvecklingen inom informationssäkerhetsområdet har medfört att säkerheten i vissa typer av system, som exempelvis operativsystem, har blivit
bättre idag. Det får istället som följd att sårbarheter i programvaror, det vill
säga installerade applikationer snarare än i operativsystemet, i allt större
omfattning utnyttjas vid angrepp. Det finns goda skäl att anta att
spridningshastigheten av skadlig kod som tillverkas för att infektera våra
datorer kommer att öka, och att IT-brottsverktygen kommer att bli mer
kraftfulla och lättare att använda. Tiden från det att en sårbarhet upptäcks till
att det finns skadlig kod som används för att utnyttja den kommer att
fortsätta krympa.
Trend 5: Kommersialisering av IT-brott
Denna trend avser försäljningen av IT-relaterade verktyg och tjänster på
Internet som används i syfte att begå brott. Verksamheten innebär att
verktyg som skapas för att identifiera och utnyttja sårbarheterna, bjuds ut till
försäljning. Resultatet är en marknad för information om sårbarheter, och
verktyg för att exploatera dem. Till detta kommer också personer som mot
betalning tar uppdrag för att utföra IT-brott.
6
Verktyg och metoder för avlyssning och hackerangrepp sjunker i pris hela
tiden, vilket ger nya grupper tillgång till teknik som tidigare var förbehållet
några få.
Trend 6: Botnets
Ett botnet är ett nätverk av kapade datorer som alla är infekterade av skadlig kod som sprids via till exempel falska e-postutskick, svagheter i webbläsare, andra webbsidors länkar, eller nedladdningsbar programvara. Ett
botnet kan bestå av tusentals datorer, ofta kallade zombier, spridda över hela
världen och med ägare som inte vet om att datorerna är infekterade. Genom
att botnets levererar samma eller större datorkapacitet som en stormakt kan
göra, utmanar de informationssäkerheten.
De infekterade datorerna kan finnas var som helst, i Sverige likväl som i
andra länder. Datorerna ansluter direkt eller indirekt till angriparen och får
på det sättet sina instruktioner. Det kan vara att skicka ut oönskad skräppost (spam) och i vissa fall utföra DDoS-attacker mot myndigheter och
företag. DDoS, Disitributed Denial of Service, innebär att ett stort antal
datorer gemensamt angriper till exempel en webbplats för att göra den
oåtkomlig.
Sedan några år tillbaka tillhandahålls botnets kommersiellt vilket gör dem
tillgängliga och spridda.
Trend 7: Antalet angrepp fortsätter att öka
Den kraftiga ökningen av antalet IT-angrepp de senaste åren förväntas
fortsätta. Många företag och organisationer vittnar om en påtaglig ökning av
mer storskaliga angrepp. Som ett resultat av att angreppen ökar i antal, ställs
krav på att prioritera informationssäkerhetsfrågor och att följa med i
utvecklingen för att säkerställa adekvat skydd för information och
IT-system.
Trend 8: Angreppen blir mer riktade
Riktade angrepp ställer högre krav på skydd. Trenden är att många ITrelaterade angrepp har fått ett tydligare syfte och oftare riktas mot ett
speciellt mål eller en specifik målgrupp. Det kan handla om en verkställande ledning, styrelse, nyckelfunktioner eller förtroendevalda som
drabbas genom exempelvis infekterade bilagor i e-postmeddelanden.
Angreppen, som är mycket sofistikerade, är svåra att upptäcka. Skadlig kod
kan mutera, vilket gör att antivirusprogram får mycket svårt att upptäcka
den. Dessutom, eftersom den skadliga koden verkar i det dolda, är den
drabbade användaren eller systemägaren helt omedveten om att ett angrepp
7
pågår. Det blir också vanligare att det inte längre är en och samma skadliga
kod som sänds till alla mål, utan koden ändras istället lite för varje
mottagare.
Trend 9: Mängden IT-brottsutredningar ökar
Antalet IT-relaterade brott förväntas fortsätta öka och i takt med det kommer
även mängden IT-brottsutredningar att öka. IT som ett inslag i brottslig
verksamhet utmanar de rättsvårdande instanserna i samhället när det handlar
om att säkerställa teknisk bevisning. Då informationen ligger spridd på
olika lagringsplatser som delas av ett flertal informationsägare, försvåras
åtkomsten till information för brottsutredarna.
Dessa typer av utredningar kommer att omfatta spridning av skadlig kod
som och personer som använder IT för att bedriva kriminell verksamhet, till
exempel försäljning av droger eller barnpornografi.
Försvårande faktorer för utredarna av IT-relaterade brott kommer i allt större
omfattning att vara den ökade tillgången till utvecklade kommersiella
kryptografiska produkter. Dessutom kan outsourcing (trend 2) inverka på
åtkomsten till information för utredarna. Detta kan försvåra eller förhindra
utredningar, samtidigt som det underlättar för framtidens IT-brottslingar.
Trend 10: Den personliga integriteten på nätet
Exponeringen av personlig information som publiceras på sociala forum
kommer att medföra ökade risker för bland annat social engineering (se
nedan) och identitetsstölder.
För en angripare är det tacksamt att information om en person och dennes
liv finns samlad på ett fåtal ställen, till exempel sparad på datorn eller på en
webbplats. Denna exponering kan utnyttjas genom att infiltrera ett
datorsystem för att manipulera eller utnyttja användarna i syfte att komma
över information, så kallad social engineering. På så sätt kan en aktör
genom otillåten påverkan nå sina syften.
Den explosionsartade ökningen av användningen av sociala medier kommer
att fortsätta i hög takt. Med sociala medier förstås aktiviteter som
kombinerar teknologi, social interaktion och användargenererat innehåll. De
sociala medierna kommer i ännu större utsträckning att användas för
marknadsföring av företag och av politiska kampanjer.
8
n Aktörer
Dagens och framförallt morgondagens IT-angrepp kommer från resursstarka och kunniga aktörer. Dessa har uttalade mål och syften med sina
angrepp, till exempel underrättelseinhämtning, ekonomisk brottslighet,
industrispionage och olika former av påverkan (sabotage och utslagning av
hela samhällsfunktioner).
Det är viktigt att ha god kunskap om aktörerna för att kunna bekämpa
IT-angrepp på ett effektivt sätt. Aktörerna kan delas in i fyra grupper:
1.
2.
3.
4.
Främmande makt
Organiserad brottslighet
Terrorister
Enskilda aktörer
Det handlar alltså om aktörer, alltifrån stater som förfogar över mycket stor
kapacitet, till enskilda individer med relativt små resurser. De potentiella
angriparna är många och har ökat kraftigt i antal. Anledningarna till
ökningen är bland annat utvecklingen på IT-området, en högre kunskapsnivå i många grupper och länder, samt det internationella samarbetet.
En part kan med små resurser orsaka en enorm skada hos en betydligt större
motpart. Det är dessutom många gånger svårt att bedöma omfattningen av
konsekvenserna då en aktivitet snabbt kan få spridningseffekter som är
mycket svåra att överblicka.
Främmande makt
De statliga aktörer som idag har kapacitet att bedriva ”den nya tidens
spioneri” via Internet har enligt vår bedömning blivit fler. Idag är det många
stater som har denna kapacitet. Intresseområden för statliga aktörer är
framförallt möjligheten att skaffa sig informationsöverläge genom
inhämtning av statshemligheter, företagshemligheter, forskningsresultat
samt information som kan kopplas till ett lands vetenskapliga utveckling
och ökande internationella samarbete.
Informationskrigföringen utgör en annan växande hotbild. Ett land kan med
hjälp av Internet och andra informations- och kommunikationsmedel slå
mot enskilda stater, organisationer och individer.
Organiserad brottslighet
Den organiserade brottsligheten har blivit alltmer komplex och styrs i stort
sett enbart av ekonomiska intressen. De kriminella nätverken utvecklar hela
9
tiden sina brottskoncept för att skapa nya affärer och för att försvåra för de
brottsbekämpande myndigheterna att upptäcka dem.
De IT-relaterade brotten är att betrakta som både lönsamma och svåra att
upptäcka. Intresseområden för de grupper som ägnar sig åt den här typen av
verksamhet är aktiviteter som genererar pengar. Hoten utgörs framförallt av
viljan att manipulera till exempel betalsystem för egen vinning, eller få fram
känslig information i utpressningssyfte. Brotten har dessutom ofta
internationell koppling och omfattar stora ekonomiska värden.
Terrorister
Tidigare har terroristorganisationer främst använt Internet som ett
kommunikationsmedel, men idag är virtuella mötesplatser lika viktiga som
fysiska. Många terrorgrupper har etablerat sin närvaro på Internet: det finns
idag ett stort antal webbsidor som är direkt kopplade till terrorverksamhet
och som har till uppgift att stödja aktivister med olika former av budskap
och instruktioner.
Kunskapen om hur informationsteknik kan användas för att orsaka skada
finns, och den är ett växande hot. Hotet riktar sig i första hand mot
samhällsviktig verksamhet och kritisk infrastruktur.
Enskilda aktörer
Bland de enskilda individer som handlar helt på eget bevåg finns en
varierande kunskapsnivå. Det rör sig om allt från mycket skickliga hackare
till personer som själva inte besitter så stor kunskap utan hämtar färdiga
verktyg på Internet. Gruppen är inte homogen, utan syftena med de
kriminella aktiviteterna skiljer sig åt: de kan vara allt från ekonomiska och
politiska intressen till sabotage och en uppvisning i vad man kan
åstadkomma med begränsade medel.
Kompetenta enskilda individer i denna grupp av aktörer kan genom att sälja
sina tjänster, nyttjas av den organiserade brottsligheten, terroristorganisationer eller av statliga aktörer.
En särskild typ av enskild aktör är insidern: en person som finns i ett företag
eller en organisation och har tillgång till känslig information eller särskilda
åtkomsträttigheter. Dessa personer har goda möjligheter till såväl
informationsstöld, manipulation och sabotage och får anses var ett stort hot
mot många verksamheter. Intresset från de andra typerna av aktörer att
nyttja insiders får betraktas som stort då det är billigt och risken att
exponera sig själv är liten. En insider kan drivas av exempelvis missnöje,
ekonomiska intressen och hot.
10
n Hotbilden framöver
Dagens och framförallt morgondagens IT-hot kommer från resursstarka och
kunniga aktörer som har ett uttalat mål och syfte med sina angrepp. Det
växande beroendet av Internetbaserade kommunikationsverktyg har ökat
sårbarheten gentemot insiders, hackare och spioner.
Intresseområden för de olika aktörerna är framförallt möjligheten att skaffa
sig informationsöverläge genom inhämtning av statshemligheter,
företagshemligheter, forskningsresultat samt information som kan kopplas
till ett lands vetenskapliga utveckling och internationella samarbete.
Alla delar i samhället kan förväntas få en ökad hotbild som ett resultat av
datoriseringstakten och den ökande exponeringen på Internet. Beslutande
organ, som regering och riksdag, samhällskritiska sektorer samt ambassader
kan förväntas bli särskilt utsatta för IT-angrepp.
Hotbilden kommer också att bero på händelser i omvärlden och på hur
Sverige och svenska medborgare agerar i olika sammanhang. Svensk
närvaro i internationella konflikter och till exempel publicering av bilder,
kan uppfattas som stötande av religiösa grupper. Förändringar av hotbilden
kan komma att ske mycket snabbt.
n Informationssäkerhetsarbete och
FRA
FRA är statens tekniska resurs på informationssäkerhet. Vi stödjer statliga
myndigheter och statligt ägda bolag som hanterar information som ur ett
samhällsperspektiv bedöms vara känslig.
FRA:s instruktion anger att vi ska ha hög teknisk kompetens inom
informationssäkerhetsområdet, i synnerhet ska vi kunna
n
n
n
n
n
stödja insatser vid nationella kriser med IT-inslag
medverka till identifieringen av inblandade aktörer vid IT-relaterade
hot mot samhällsviktiga system
genomföra IT-säkerhetsanalyser
ge annat tekniskt stöd.
Presskontakt
Mattias Lindholm, pressekreterare, telefon: 08-471 45 05,
e-post: [email protected], webbplats: www.fra.se
11