Tele2s beredskap är god

Nya tekniska sårbarheter ökar kraftigt

I föregående inlägg började vi förklara vad CVE-systemet används för, att systematiskt kategorisera och redovisa tekniska sårbarheter. Likaså att det med ett tillhörande CVSS-värde visar på hur allvarlig den tekniska sårbarheten är.

Vår avsikt med att börja beskriva CVE-systemets funktion var för att göra en mjuk övergång till rapportering av några allvarliga sårbarheter som publicerades under september och oktober. Det visar sig dock att det fortsätter publiceras flera nya allvarliga sårbarheter från en stor bredd av tillverkare. En av de senast inkomna avser mjukvaruföretaget Oracle, som enligt sin egen struktur sammanställer samtliga av dessa kvartalsvis. Det vill säga alla "eget" identifierade sårbarheter i olika mjukvaror delas i en rapport.

Oracles rapport från oktober innehöll över 300 sårbarheter, varav knappa 50 hade det extremt höga CVSS-värde på 9,8 på den 10-gradiga skalan. Som jämförelse, den från december 2021 världskända sårbarheten i Java-funktion (Log4J) hade ett värde om 10,0. Över 7,0 anses högt, 9,0 och över är säkerhetskritisk sårbarhet.

De senaste veckornas fortsatta rapporterande kring kritiska sårbarheter i hård- och mjukvara befäster därmed vår uppfattning. Antalet rapporter om allvarliga tekniska sårbarheter ökar. En icke uttömmande redogörelse är att Palo Alto, HP-ägda Aruba Networks, Microsoft (Exchange respektive Sharepoint server) och it-säkerhetsproduktsföretaget Fortinet är andra företag som enbart nu under hösten informerat om tekniska sårbarheter med höga CVSS-värden.

Var extra vaksamma och reaktiva

Som vi även gick igenom i förra inlägget kommer varje sårbarhet med egna rekommendationer. Vanligtvis avser detta programvaruuppgradering (patch) eller att man stänger av någon funktion som möjliggör sårbarheten. Med tanke på det ovanligt stora antalet rapporter med inbyggda tekniska sårbarheter finns det nu ovanligt många potentiella och "osynliga" risker för it-intrång. Intrång som kan leda till en mängd olika hot, exempelvis informationsstöld och sabotage.

Vår uppmaning är att ni bör vara extra vaksamma (och reaktiva på rekommendationer) om ni påverkas av dessa tekniska sårbarheter.

Vill du läsa mer om CVV-systemet rekommenderas föregående blogginlägg där vi redogör för hur det används för att systematiskt kategorisera och redovisa tekniska sårbarheter, liksom hur det tillhörande CVSS-värdet visar på hur allvarlig den tekniska sårbarheten är.

Kan vi ta det från början - vad innebär totalförsvar på Tele2?

– Ur ett samhällsperspektiv är det av stor betydelse att våra samhällsfunktioner och demokratiska funktioner fungerar och går att lita på, även i det extrema och osannolika scenariot av att Sverige utsätts för krigsliknande situationer. En viktig byggsten för att samhälle, företag och offentliga verksamheter ska fortsätta fungera är tillgången till elektroniska kommunikationer och TV-tjänster. Därför har Tele2 ett särskilt ansvar kopplat till att bedriva vår verksamhet.

– Kortfattat innebär det att vi måste planera och öva så att vi säkerställer att vi kan leverera Tele2s tjänster även om Sverige utsätts för särskilt allvarliga hot.

Bevakar Tele2 kriget i Ukraina?

– Vi följer situationen mycket nära och ur flera aspekter, exempelvis angreppsmetoder och hur Ukraina rent praktiskt skyddar sig mot detta. Vi följer också hur Ukraina återuppbygger sin infrastruktur samt hur Ryssland tvingas bygga parallell infrastruktur och tjänster för att kunna kommunicera inom Ukraina. Sammantaget är det viktiga slutsatser utifrån ett svenskt perspektiv.

Jag har ju varit med på resan men kan du beskriva förändringen inom Tele2s arbete med totalförsvar?

– Tele2 speglar i stora drag samhället, vår totalförsvarsförmåga var under många år relativt låg. Fokus låg i stället på att hantera och rusta sig för andra typer av kriser och katastrofer, i första hand naturkatastrofer, solstormar och cyberangrepp. Att vi skapat förmåga att hantera dessa typer av mer "vanliga" kriser har dock varit avgörande för att nå våra delmål inom totalförsvar. Med andra ord har vår förmåga och organisation för kontinuitet varit grunden för att bygga upp totalförsvarsförmågan inom Tele2, dessutom på kort tid.

Kan du ge ett konkret exempel på Tele2s förmågor?

– Absolut! Tele2s kri(g)sorganisation, fältserviceverksamhet, it-säkerhetsincidentsteam, fast installerad reservkraft samt mobila förstärkningsåtgärder (som flyttbara basstationer och dieselkraftverk) är några exempel på reaktiva åtgärder som skyddar mot risker på hela hotskalan. Bland förebyggande åtgärder kan nämnas systematiskt arbete med it- och informationssäkerhet, organisation och säkerhetsgranskningar.

– En viktig aspekt är också att alla förmågor vi har och behöver i fredstid har säkrats till att finnas på plats även i händelse av ofred.

Kan du exemplifiera vad som menas med hela hotskalan?

– Om man bedömer alla oönskade händelser på en skala, från minst till mest allvarlig, så ligger vissa händelser nära ett normalläge. Andra kan vara mer ovanliga, men å andra sidan mycket mer allvarliga. Längst ner i allvarlighetsgrad återfinns exempelvis stormar med korta till medellånga strömbortfall. Det är något vi vet inträffar, ibland flera gånger per år och som vi måste kunna hantera effektivt. Längst upp på skalan, som det yttersta hotet, beskrivs ofta krig eller väpnade konflikter. I modern historia har detta inte setts som särskilt sannolikt men här ser vi nu en förflyttning.

Med andra ord – när inget är som vanligt har Tele2 skyldighet, mål och resurser att fortsätta leverera tjänster?

– Ja, så kan man se det! För att hantera det "vanliga" som kan och kommer inträffa har vi processer för incidenthantering och dygnet runt-resurser för att hantera konsekvenserna av exempelvis stormar. Det kan röra sig om strömbortfall i mindre geografiska områden under flera veckor, skadad utrustning eller översvämningar. Stormar som Alfrida har testat våra förmågor under längre tid, därtill har skogsbränder som de under 2018, visat att vi också i praktiken och med befintliga resurser snabbt kan bygga upp tillfälliga teknikanläggningar när de gamla förstörts.

– För de mer ovanliga, allvarligare, händelserna har vi "en pärm av olika åtgärder på plats". Detta för att allvarliga men ovanliga händelser, som krig i Sverige, ändå ska kunna hanteras på bästa möjliga sätt. Bland dessa åtgärder kan nämnas våra många alternativa driftledningsplatser och vårt undantag från Försvarsmaktens uttag av fordon och material som vi behöver (bilar, snöskotrar, terrängfordon, mobila basstationer, släpvagnar, dieselkraftverk o.s.v.). Andra viktiga åtgärder är krigsplacering av nära 800 Tele2-medarbetare, rutiner för skarpt läge och långsiktiga kontinuitetsplaner för hur vi ska agera.

Krigsplacering av personal är en kraftfull åtgärd, vad mötte du för reaktioner från Tele2s personal när detta besked gavs?

– Jag var inställd på att många skulle uppfatta krigsplaceringsordern med osäkerhet, kanske även rädsla. Några kanske även skulle överväga om jag vill jobba med det jag gör om det innebär skyldigheter som går bortom anställningsskyldigheten. Innebörden av en krigsplaceringsorder är allvarlig och innebär att den enskilda medarbetaren måste vara beredd på vissa förutsättningar.

– Det visade sig dock att bakom de första frågorna av praktisk natur fanns ett stort intresse om att bidra ytterligare. Hur man som enskild kan bistå med specialkunskaper eller hur man som avdelning kan tillföra ytterligare robusthetsåtgärder till Tele2. Jag har också tappat räkningen på hur många som frågat mig varför bara andra hälften av en grupp blivit krigsplacerad (och inte de som frågar). Svaret på detta är att vi på kort sikt inte kan överdriva behovet. Totalförsvar bygger på att hela samhället ska hjälpas åt att utföra samhällets behov. Det betyder att vissa funktioner, som inte har en absolut kritisk funktion på sitt arbete, kan behöva göra annat. Exempelvis köra transporter åt civila eller militära aktörer.

Vad är nästa steg för Tele2s totalförsvar? Vilka är målen på kort- och lång sikt?

– Det finns många! Vissa kan jag inte gå in på, men vi har exempelvis ett pågående projekt där vi tittar på att större basstationer kan ha en reservkraftsanläggning som drivs av vätgas istället för diesel. Det innebär bland annat att vi i Sverige skulle kunna vara självförsörjande på drivmedel i händelse av en konflikt eller om tillgången på petroleumprodukter skulle begränsas kraftigt.

– Andra planer är att fortsätta bygga på vår organisation och teknik för att skapa ett än mer robust Tele2. I takt med att vi uppnår nya delmål kommer det också finnas ett absolut behov av fler, utvalda, personalbefattningar. Vi kommer därför också fortsätta med krigsplacering av personal utifrån de behov vi ser. Detta snarare än att "säkra alla resurser" som skulle kunna förväntas skapa en större nytta genom att stötta samhället på annat sätt.

Stort tack för din tid och insikter Karl-Erik, du leder verkligen ett arbete som är osynligt men av stor betydelse för Tele2s kunder. Vi hoppas få chansen att komma tillbaka vid ett senare tillfälle!