I verksamhetens hjärta

Cybersäkerhetshändelser under perioden

Sist skrev vi om att det australienska sjukförsäkringsbolaget Medibank, och framförallt dess kunder, utsatts för det värsta tänkbara: mycket integritetskänslig sjukdoms- och hälsodata om sammanlagt 9,7 miljoner australiensare hade stulits av cyberkriminella.

Australiens sedan tidigare planerade centrum mot cyberkriminalitet har skyndsamt lanserats och sägs arbeta intensivt med ärendet. Inledningsvis består det av 100 inlånade personer från två befintliga myndigheter.

Centret delar målsättning med ett amerikanskt cybersäkerhetscentrum, som funnits i ca 18 månader. Dessa båda länders expertförmågor mot cyberkriminalitet (ransomware i synnerhet) kommer att arbeta fristående, bilateralt mellan ländernas rättsvårdande myndigheter och internationellt. Syftet är att vara en kunskapsplattform kring förebyggande it-säkerhetsarbete såsom utbildning, normerande lämpliga säkerhetsåtgärder, säkerhetstestning och annat.

Det som skiljer dessa från liknande verksamheter, och som är extremt efterfrågat, är att de ska agera reaktivt i syfte att störa eller förstöra planerad eller pågående cyberkriminalitet mot det egna landet.

Vad det innebär exakt är inte känt, men utifrån Tele2s insikter om hur bland annat Interpol knäckte världens mest omfattande infrastruktur för ett Androidbaserat virus, FluBot, vill jag tro att dessa båda centrum kommer ha både starka verktyg och legala möjligheter att "hacka hackarna". Förhoppningsvis ser vi också att europiska och svenska cybersäkerhetscentrum stärks av den pågående upprustningen.

Hackares sida nedstängd

Vad gäller Medibank-intrånget så fortsatte enskilda försäkringstagares sjukdoms- och hälsodata att publiceras på en webbsida på Darknet. Denna sida har dock nyligen stängts ned utan känd anledning. Huruvida det är ett cybersäkerhetscenter, polisiära myndigheter eller hackarna själva som stängt sidan är inte känt i dagsläget.

Den stulna informationen, inklusive kopior som kan tänkas finnas, är såklart fortsatt och för evigt röjd.

Utifrån den publika rapporteringen är det den ryska cyberkriminella gruppen REvil som anklagas för attacken, en grupp som huvudsakligen utför ransomware-attacker. I föregående inlägg gick vi igenom varför Medibank-intrånget mest sannolikt genomförts som ett nutida, otraditionellt, ransomware-angrepp.

Koppling till zero-day-sårbarheter

Det som är slående med senaste periodens angrepp är att det är många olika typer av attacker. För ett år sedan spreds nyheten om inbyggda sårbarheter i Log4J, risker och it-säkerhetshändelser hade en stark koppling till denna specifika och allvarliga sårbarhet. Tele2s säkerhetsblogg har under hösten fokuserat på den kraftiga ökningen av nyrapporterade allvarliga sårbarheter i hård- och mjukvaror, detta från ett stort antal it-tillverkare. Detta gäller alltså nya, tidigare okända, sårbarheter i specifika produkter som kan leda obehörig åtkomst, informationsstöld, tillgänglighetspåverkan och annat – en kategori av hot som brukar kallas zero-day.

Att Ukraina-allierade länder nu än tydligare blivit prioriterade måltavlor för ryska aktörer uppfattas tydligt om man lyssnar till insatta bedömare. En personlig spaning om varför de många attackerna rent tekniskt är "möjliga" kopplar jag till de många zero day-sårbarheterna som exponerats på kort tid. Det vill säga att en angripare utnyttjar sårbarheter som plötsligt blivit publikt kända, och som därigenom kan utnyttjas av cyberkriminella.

Den som rent tekniskt kan drabbas är de som "inte agerat" på den aktuella sårbarheten, exempelvis infört en akut Microsoft- eller Java säkerhetsuppdatering. Huruvida man är måltavla kopplas till gärningsmannens drivkraft. För cyberrelaterade brott är denna oftast finansiell eller ideologisk (personlig eller kopplat till stat). Med andra ord kan i princip vem som helst drabbas. Som exempel: Under året har Tele2 bland annat hjälpt drabbade kunder som har en svag, nästan obefintlig koppling till Ukraina, men som ändå drabbats av angrepp som kopplas till Ryssland. Att zero day-sårbarheter skulle vara orsaken är inget som är lett i bevis, oaktat det så är it-miljöer med allvarliga tekniska sårbarheter en mycket stor risk för olika typer av cyberangrepp. Vi upprepar tidigare uppmaningar om att inventera och åtgärda hård- och mjukvara som har exponerats med tekniska sårbarheter.

För de som inte har full insyn i vad NOC ansvarar för – vad gör ni och hur ser en vanlig dag ut?

Den korta versionen är att NOC är den funktion som har en överblick över driftsläget, dygnet runt och året om. Vi övervakar tjänster och infrastruktur till Tele2s samtliga kundsegment. Som NOC agerar vi både på ärenden från kundservice och larm från utrustning. Vi har även tjänstebaserad övervakning där vi agerar på försämrade så kallade nyckeltal i nätet. Ibland löser vi felen själva och ibland måste vi låta leverantörer eller andra funktioner på Tele2 åtgärda felen. Vårt viktigaste uppdrag är att upptäcka fel tidigt och åtgärda dem innan de blir ett problem.

En del av Tele2s NOC-organisation tar hand om planeringen, utvärderingen och det slutliga godkännandet av planerade förändringar i tjänster och i infrastruktur. När ett planerat arbete blivit godkänt inom Tele2 hanterar de också kommunikationen mot slutkund. Den här gruppen beslutar också när Tele2 ska ha perioder då man inte får utföra förändringar, eller när vi ska vara mer restriktiva. Exempel på tillfällen med restriktioner kan vara semesterperioder eller i samband med riksdagsvalet.

Vi har ett uttalat fokus på att vara kund- och tjänstecentriska. Det kan man uppnå på många sätt, men för oss är det viktigt att samarbeta med resten av Tele2. Varje vardagsförmiddag har vi därför möte med samtliga supportfunktioner inom Tele2 där man går igenom avvikelser i driftläget och synkar så att man har en samstämmig bild av läget.

Spännande! Samtidigt låter det som ett stort ansvar. Är man ensam när man sitter där mitt i natten?

Ansvaret är stort men man är långtifrån ensam. Vi är fem olika grupper som övervakar olika delar av Tele2s tjänster och infrastruktur. Därför har vi alltid många kollegor på plats som man också kan få stöd från. Varje NOC-grupp har också flera tekniska team som man har kontakt med då man ska lösa de fel som uppstår. Som ytterligare hjälp finns Tele2s beredskapsfunktioner som går att ringa dygnet runt. Dessa är Tele2s spjutspetskompetens inom specifika områden, exempelvis 5G-tjänster.

Det måste vara den vanligaste frågan ni får – men hur ser det ut på jul- och nyårsafton?

Just högtider är alltid lite speciellt att jobba. Även om alla av oss inte firar jul försöker vi göra det roligaste av det. Must, julgodis och pynt är såklart uppiggande, men roligast har vi av att vi är ganska många som jobbar även under sådana högtider. Förr var ju nyårsafton ofta en kväll med mycket jobb. Många minns säkert hur svårt det var att ringa och önska gott nytt år. Nuförtiden, med moderna nät och infrastruktur, innebär extra samtal, SMS och datatrafik på nyårsafton inga som helst problem.

Åtgärda fel som uppkommer eller förebygga fel från att inträffa, vad spenderar ni mest tid på?

Definitivt att förebygga fel och genomföra planerade ändringar. Sen är det klart, med de hundratusentals olika utrustningar vi hanterar och övervakar så är det alltid någon som behöver startas om eller går sönder. Så som våra nät är byggda kan vi dock ofta åtgärda det innan det innebär en påverkan.

Väderrelaterade avbrott och störningar är annars de tillfällen som ger oss mest arbete. När nedblåsta träd ger strömavbrott och vi behöver styra tekniker till de anläggningar som behöver tankas med mer Ecopar (syntetisk miljödiesel), eller att Tele2s tekniker behöver laga fysiskt skadad utrustning. Den senaste snöstormen nu i november är ett exempel på en händelse som innebar tufft jobb, under många dagar och nätter, för våra NOC-experter.

En avslutande fråga – hur ser utvecklingen ut för Tele2s NOC?

Sedan en tid tillbaka har vi genomfört en större förändring som bland annat innebär att fler NOC-experter finns på plats under kvällar, helger och nätter. Det innebär att fler kan förebygga fel, hantera de fel som ändå inträffar samt kommunicera driftsinformation med våra kunder.

Teknikmässigt fortsätter Tele2 att bygga ut 5G-nätet, Tele2-husen genomgår en landsomfattande infrastrukturuppgradering och Tele2 fortsätter att växa på företagsmarknaden. Alla de här förutsättningarna betyder att Tele2s fem olika NOC-funktioner kommer att fortsätta växa i betydelse.