Djupdykning: Riktig och viktig säkerhet

Ny hotbildsbedömning kring cybersäkerhetshot (återigen)

Det fortsätter att komma dubbla budskap från både svenska och internationella cybersäkerhetsföretag. Flera av de "välrenommerade" företagen som nyligen kommunicerat en faktisk nedgång i attacker (och att Sverige kommer att se en fortsatt nedgång) rapporterar nu istället om en kraftig ökning av cyberattacker mot flera av deras kunder, främst ransomware och DDoS.

I praktiken är detta en helomvändning mot vad som kommunicerats veckorna innan. Jag vill tro att många håller med om att hotbilden för digitala hot behöver mätas över en avsevärt längre tidshorisont än ett par veckor.

Infrastruktur och infrastruktur

En viktig grundförutsättning för att samhället ska fungera är som bekant infrastruktur såsom vägar, vattenförsörjning, energidistribution och elektroniska kommunikationstjänster.

Viss infrastruktur är så komplex och kostnadsdrivande att den endast kan byggas ensam, eller med få alternativ. Som naturgasledningar under Östersjön eller elkraftsdistribution till samtliga verksamheter och hushåll. Annan infrastruktur är förhållandevis "billig", kan återuppbyggas mer skyndsamt och kan i en mellanperiod fungera över parallell infrastruktur. Exempelvis elektroniska kommunikationstjänster eller färskvattendepåer vid skadade vattenledningar.

Gällande elektroniska kommunikationstjänster så gynnas användarna i Sverige av de parallella infrastrukturer som finns på central, regional och lokal nivå. Kortfattat: flera olika nätägare och flera olika tjänsteleverantörer.

Kända risker för sabotage

Sedan förra inlägget har först Ukrainas försvarsdepartement varnat för sabotage mot infrastruktur i Europa, varpå två naturgasledningar i Östersjön sprängdes. Backar vi ytterligare i tid så utsattes flera franska städer för ett avancerat sabotage mot regionala fiberstråk för bland annat Internet i april 2022, något som läsare av Tele2s tidigare nyhetsbrev känner igen.

Hoten mot infrastruktur är reella men skiljer sig åt mellan infrastrukturområdena. Den möjliga sabotagerisken för "vår" infrastruktur, tele- och datakommunikation, har varit känd under många år och något vi jobbat med aktivt.

Exakta åtgärder kan vi såklart inte gå in på. Mot bakgrund av vad vi just nämnt finns det mycket goda skäl till varför vi inte berättar var våra datacenter är, eller exakt hur vi bygger våra nät. Däremot pratar vi gärna om vikten av att förse sina kritiska verksamhetsdelar med redundanta och helst olika typer av kommunikationsbärare.

Oaktat den mediala rapporteringen är elektroniska kommunikationstjänster ett potentiellt mål för sabotage, och just därför skyddar vi det skyddsvärda. Händelser som fällningen av Häglaredsmasten, enskilda anti-5G sabotage av radiobasutrustning samt medveten/omedveten skada av fiber- och elledningar är några av händelserna som inträffat de senaste åren (och som kan exemplifieras eftersom de omnämnts i media).

Har du fått ett bluffsamtal sedan förra inlägget?

Just nu är Sverige ett utpekat mål för omfattande telefonbedrägeriförsök där angriparen använt sig av så kallade robotsamtal med "spoofat", det vill säga förfalskat, telefonnummer. Mängder av svenska abonnenter har fått samtal som påstås komma från Polisen. Själva samtalet uppfattades av många som oseriöst. I huvudsak beroende på röstbilden och det engelska språket från någon som utger sig vara från "svenska Polisen".

Bortsett från dessa misstag av angriparen finns förhållandevis avancerade tekniska förmågor i själva samtalsuppsättningen. Exempelvis att det så kallade A-numret, alltså det numret som ringer upp, har en nummerserie som är väldigt lik det mottagande numret (B-numret). "Roboten" ska med andra ord ha valt ett falskt A-nummer, som liknade eller var exakt detsamma som den utsattes.

Roboten genomför också en stor mängd samtidiga samtal till andra svenska nummer vilket tyder på starka förmågor. Innebörden i det förinspelade meddelandet var att den uppringde hade blivit utsatt för ekonomisk brottslighet, varpå man uppmanades göra ett knapptrycksval för att få hjälp. Om man gjorde detta kopplades man till ett indiskt callcenter specialiserat på bedrägeribrott. Att svara på samtalet (vistandes i Sverige) är kostnadsfritt, även om man gjort det efterfrågade knappvalet.

Ingen svensk operatör har kunnat stoppa samtliga av dessa samtal

Problemet med bluff- och bedrägerisamtal är tyvärr inte nytt. Sedan länge finns stora brottssyndikat som lever på olika typer av telerelaterad brottslighet. Dessa använder i första hand olika typer av it- och telekomutrustning för att utföra sina brottsförsök.

Sedan intåget av smartphones har problemet också växt avsevärt, och det finns en uppsjö av olika appar som erbjuder "busringsningstjänster". Appversionen har inte samma förmågor för masspridning men är tyvärr ett sofistikerat verktyg för kriminella – tjänsterna används till flera olika typer av brottsupplägg.

Tele2 har, precis som många andra operatörer i Sverige och världen, ett flertal åtgärder på plats för att stoppa spoofade nummer. Tyvärr är problemet globalt och utförarna utnyttjar kända eller okända sårbarheter hos någon av världens alla operatörer.

Eftersom det är så svårt med 100-procentiga skydd blir medvetenhet en viktig säkerhetsåtgärd. Medvetenhet om att det förekommer, att telefonnummer precis som IP-adresser kan förfalskas, och att vara kritisk till alla uppgifter man förväntas lämna ifrån sig eller ändra (personliga inloggningsuppgifter, utföra betalningar, ändra konto för insättning av lön etc.).

Kamilla, i första hand möter du ju kunder som antingen befinner sig i upphandling, eller redan har upphandlat en kommunikationslösning. Vilka tydliga trender ser du och hur har beställaren resonerat kring säkerhet?

– Det finns såklart många olika varianter, där unika lösningar anpassas till beställarens egna behov. Övergripande finns det dock två tydliga trender. A: De som vill ha en molnbaserad lösning där leverantören sköter allt (en av flera varianter på kommunikation som tjänst). Eller B: de som vill ha egen rådighet och kontroll. Antingen med placering i beställarens egna datacenter eller hos leverantören. Jag ser det också som att det är just den uppfattade säkerheten i de båda lösningsalternativen som får beställaren att välja lösning A eller B.

Egen fysisk utrustning med möjlighet till helt egen kontroll, respektive en molnbaserad lösning som implementeras och underhålls av en kontrakterad leverantör – det låter som två motsatser. Är det så svartvitt?

– Det korta svaret är nej. Den faktiska säkerheten är istället beroende av förhållandevis små men viktiga val. Det är därför ganska vanligt att vi coachar våra kunder till att inte genomföra vissa it-integrationer, att vissa inbyggda säkerhetsfunktioner absolut bör vara aktiva (även om det försvårar för slutanvändaren) och att det finns tillkommande åtgärder som stärker skyddet för hela kommunikationslösningen. Exempelvis tilläggsfunktioner som tvåfaktorsautensiering, eller vilken infrastrukturplattform som bör användas för kommunikationslösningen.

– En allt vanligare modell är också att många väljer att göra en övergång från en helt "traditionell lösning" till en hybrid lösning. Att telefoni, kontaktcenter och videotjänster produceras i en molnbaserad lösning lämpar sig för många. Samtidigt finns det tydliga argument till varför exempelvis banker väljer att hålla sin compliance recording (lagreglerad skyldighet att spela in samtal om bankärenden med kunder) i sin redan befintliga lösning och med lagring i sitt egna datacenter. Här handlar det ofta om redan gjorda investeringar och att man vill förbli leverantörsoberoende till just samtalsinspelningar (som ska lagras i sju år).

– Slutligen är produktutbudet idag också så brett att man ofta kan hitta flera lösningar som passar det egna behovet. Det innefattar som sagt också hybridlösningar.

Säg att jag är en kund som inte har kompetens eller långsiktig ambition att bli proffs på telefoni, contact center och andra kommunikationslösningar. Jag behöver en eller flera sammansatta lösningar från en helhetsleverantör. Vilka säkerhetsåtgärder måste finnas på plats? Och om jag har det i en molntjänst, är jag tvungen att ha det i publika moln, som AWS?

– I och med att telefoni, växel, kö-hanterare, kontaktcenter och så vidare dels blir mer och mer avancerade, dels i allt högre grad integreras med verksamhetens it, så är det ingen part som kommer att kunna allt. Jag hör därför återkommande av våra kunder att de söker en långsiktig partner, istället för endast en leverantör. Man behöver någon som kan hjälpa till med att sköta det som ligger utanför sin egen it och integrationer.

– Apropå frågan om publika moln så är valbarheten kring plattform relativt stor. Vissa kommunikationstjänster utvecklar endast mot molnbaserade lösningar hos exempelvis AWS eller Azure. Det finns dock alltid alternativa, högkvalitativa tjänster som erbjuder andra plattformsval än publika molntjänster. För många av våra kunder blir Tele2 Cloud den önskade lösningen – en så kallad privat molntjänst som lagrar och behandlar all data i Tele2s datahallar i Sverige.

Hur ser du på säkerheten kopplat till de olika lösningsalternativen (on-prem, hybrid respektive molnbaserad lösning)? Vad behöver jag tänka på när jag gör mitt val? Vilka säkerhetsprinciper och åtgärder måste finnas införda och underhållas över tid?

– Nu kommer vi verkligen in på detaljerna! Om vi tar ett contact center som exempel: här är det viktigt att man redan från början fastslår vilka media och vilken typ av information man kommer att hantera i lösningen. Sen finns det mer praktiska frågeställningar. Har man behov av mejl som kontaktväg i sitt contact center så kommer kunders epostadress och signatur att visas. Ska vi då spara hela konversationen för historik och statistik, är det OK?

– För vissa är contact center-integration mot Facebook ett krav. Vill och behöver vi lagra uppgifter om de som kontaktar oss? Hur länge behöver vi spara det? Vad delar vi med Facebook? För andra verksamheter kan ett contact center vara ingång och början till hantering av uppgifter som innebär lagreglerad sekretess, exempelvis socialtjänstverksamhet. Vilka tillkommande krav på säkerhet utfaller då?

– Oaktat om det är sekretessbelagd information eller ej – är informationen så skyddsvärd att agenterna (användarna som bemannar contact centret) ska autentisera sig genom ett särskilt VPN, eller är det till och med så att all access ska begränsas till ett specifikt LAN eller annan teknisk urskiljare? Kommer contact center-funktionen användas för kundärenden som innebär eventuellt utlämnande av personlig eller konfidentiell data? Finns behov, och fungerar ett krav på BankID-verifiering för de inringande?

– Nu blev det fler frågor än svar. Ska vi summera det så är det dock det som är poängen – att man behöver ställa frågor om säkerhet och användningsområden redan i behovsanalysen. Om syftet med ens contact center kan uppnås genom funktioner och säkerhetsprinciper som finns i en publik molntjänst är detta en kostnadseffektiv, snabbstartad och bra lösning (om det införs och upprätthålls säkert över tid). Har vi andra behov kommer exempelvis ovan frågeställningar att behöva redas ut.

– Att ställa frågorna, och jobba med svaren, gör att man kommer hitta sitt behov. I den processen och inte minst i det nästföljande steget, att hitta en lösning som passar behovet, är det viktigt att ha ett nära samarbete med en partner (exempelvis en leverantör) som förstår komplexiteten och som kan sy ihop en helhetslösning som passar just den egna verksamhets behov. Se till att dra nytta av partnerns kunskaper så att du får ett contact center som både utvecklas och är säkert över tid.

– Samma filosofi gäller även för andra kommunikationslösningar. Är växelfunktionaliteten verksamhetskritisk behövs sannolikt tvåfaktors inloggning till admin-rättigheterna i växeln. Används telefoni med växeltjänster för att upprätthålla kommunikation inom ett sjukhus? Vilka robusthetsåtgärder krävs då, är det till och med så att det krävs en lokal växel som gör att det går att kommunicera autonomt inom sjukhuset? Jag tror att ni förstår principen. Det är en investering i tid och kraft men det kommer att vara värt det.

Det var mycket bra och viktig information att ta in. Helt klart viktiga val för kommunikationslösningar man ska ha nytta under många år. Avslutningsvis, har du något mer råd till den som är i planeringsstadiet av sin framtida kommunikationslösning?

– Jag tror att det är viktigt att redan tidigt fastslå en målsättning om "hur långt" man vill integrera sin kommunikationslösning med sin it. Gör man en strategisk plan för detta så har man goda förutsättningar att lyckas uppnå säkerhet som håller över tid. Ett konkret exempel kan vara om det är motiverat att integrera sitt contact center med sitt affärssystem (ex. Microsoft Dynamics). Detta för att agenterna som hanterar samtalen ska spara några sekunder vid vissa typer av ärenden.

– Är det inte väl motiverat med en integration så bör det undvikas. Nyttoeffekten med att inte göra det är att man behåller logiskt segmenterade miljöer. De kan helt enkelt inte "smitta" varandra om en skulle kontamineras med skadlig programvara, såsom ransomware.

– Andra praktiska exempel, om man ännu inte har en nära partner inom kommunikationslösningar, är att man just börjar konkretisera sina övergripande funktions- och säkerhetskrav. Viktigt att tänka på är också att en för snäv kravställning på en lösning kan innebära oönskade begränsningar i vilken lösning (on-prem, hybrid eller molnbaserad) som är möjlig. Att göra en så kallad RFI till utvalda leverantörer är också ett vanligt sätt att få en fördjupad bild av vilka lösningar som kan erbjudas just till det övergripande behov man har.