Vi kan inte ta bort det, men vi kan begränsa spridningen

Vad är zero day-sårbarheter?

Förra inlägget beskrev flera händelser som har en direkt koppling till Sverige eller svenska intressen. Perioden sedan dess har såklart också innefattat händelser som påverkat Sverige, bland annat intrånget hos Naturvårdsverket. Däremot har den inte varit fullt så händelserik som den föregående.

Vi kommer därför ta chansen att ge en inledande beskrivning av så kallade zero day-sårbarheter.

Begreppet zero-day syftar huvudsakligen till att "nya" digitala sårbarheter blir publikt tillgängliga, exempelvis genom att det i något Internetforum skrivs om sårbarheter för en viss programvara (såsom Java). Den mer formella varianten är att tillverkaren själv identifierat en sårbarhet, varpå de ger ut en bulletin och en patch för nödvändig säkerhetsuppdatering. En allt vanligare variant är dock att någon annan upptäcker sårbarheten.

Registrering och bedömning – CVE och CVSS

"Alla" identifierade sårbarheter bedöms, registreras och tilldelas en så kallad CVE (Common Vulnerabilities and Exposures). För att visa på hur kritisk den aktuella sårbarheten är ur säkerhetssynpunkt får varje CVE också ett hotvärde, en CVSS. Den sistnämnda förkortningen står för Common Vulnerability Scoring System och 10 är det högsta värdet på den skalan.

Varje bedömning görs antingen av grundaren av CVE-systemet, Mitre Co., eller någon av de 114 organisationer som är behöriga att utfärda CVE:er. Denna systematiska hantering och bedömning av tekniska sårbarheter har funnits sedan 1999 (och har utvecklats kraftigt sedan dess).

Åtgärder mot zero day-sårbarheter

Den vanligaste åtgärden mot zero day-sårbarheter är att genomföra en säkerhetsuppdatering (ny programvaruversion/patch). Andra åtgärder kan vara behov av att förstärka den tekniska lösenordspolicyn, fasa ut system eller hårdvara som inte har support, segmentera de tekniska miljöerna ytterligare o.s.v. Varje CVE kommer med egna åtgärdsrekommendationer.

En program- eller hårdvaruuppdatering innebär alltid vissa risker. Exempelvis måste samtliga delar av den totala lösningen ha stöd för den nya programvaruversionen. Därför bör alla uppdateringar utredas och testas innan de införs i mer komplexa it- och nätverksmiljöer. Görs inte sådana tester kan åtgärden exempelvis innebära avbrott i lösningen, vilket är en risk i sig.

Det man bör komma ihåg med zero-day är att sårbarheten inte uppstår när notifieringen kommer, risken har funnits där minst sedan senaste programvaruversionen, men ibland ännu längre än så. Däremot ökar såklart sannolikheten för att någon otillåtet utnyttjar sårbarheten efter att den blivit känd.

Blockering av övergreppsmaterial på barn och unga

Tele2 har sedan 2012 verktyg införda som automatiskt blockerar Tele2s kunder från att avsiktligt eller oavsiktligt besöka webbsidor som innehåller så kallat CSAM, Child Sex Abuse Material. Det svenska ordet för CSAM är barnpornografi, vilket är en dålig beskrivning av något som i alla dess former innebär övergrepp mot barn och unga.

Blockeringen finns också införd i samtliga länder där Tele2 har verksamhet. Initialt var det vissa av länderna som ansåg att blockeringen var kontroversiell. Det ifrågasattes om det var lagligt för en operatör som Tele2 att "bestämma" innehållet på internet (nätneutralitetsprincipen).

Några år senare, när nyttan visat sig vara uppenbar, konstaterades att Tele2 var en pionjär när det gäller blockering av CSAM, vilket idag har lett till en enhetlig syn om detta på EU-nivå.

Samarbete med brottsbekämpande myndigheter

Tele2 har självklart inte koll på vilka webbsidor som innehåller CSAM, något som däremot nationella och internationella brottsbekämpande myndigheter har. Möjligheten att blockera webbsidor innehållandes CSAM är därför beroende av samverkan med dessa.

En förenklad beskrivning av blockeringslösningen är att Tele2 behöver uppgifter om vilka webbsidor som anses innehålla CSAM. Dessa webbsidor sammanställs därför i "listor" som överförs till Tele2, varpå Tele2 blockerar möjligheten att besöka dessa webbsidor (i samtliga tjänster som Tele2 levererar). Blockeringen utförs alltså inte på URL-nivå, d.v.s. webbadressen som står i adressfältet, eftersom en sådan blockering är allt för enkel att komma runt.

För att Tele2s förmåga till blockering ska vara effektivt över tid krävs att listorna uppdateras, detta då det hela tiden tillkommer nya webbsidor med CSAM. Tele2 har inte varit nöjd med vare sig uppdateringsfrekvens eller möjliga blockeringsparametrar, eftersom vi befarat att dessa inte följer verkligheten på Internet. Under året har Tele2 därför jobbat med att samverka med nya parter samt förbereda för nya tekniska blockeringsfunktioner.

Det är svårt att glädjas över resultatet vi ser efter sommaren. Faktamässigt har det i alla fall inneburit en mycket stor ökning i antalet blockeringar, från tidigare 100 000 till numera 250 000 blockeringar, varje månad.

Nya förmågor för mer effektiv blockering

Tele2 kan inte ta bort CSAM från Internet, inte förhindra att nya övergrepp kommer till, och inte heller påverka spridning av CSAM om man har en annan operatör eller använder programvaror för att nå Darknet. Oaktat det kan vi ändå förhindra visningsmöjligheten av övergreppsmaterial i de länder och i de tjänster vi har rådighet över.

Även om det inte är allt så innebär vår nya förmåga att miljontals webbplatsbesök kommer att förhindras årligen. Målet är att ha en så effektiv lösning som möjligt, där vi gör allt vi kan för att förhindra spridning av CSAM. Vi arbetar exempelvis med att införa ytterligare blockeringsförmågor redan nu under hösten.

Andra åtgärder

Ett annat verktyg som finns tillgängligt för våra privatkundsabonnemang och syftar till att skydda barn och unga från att av nyfikenhet eller oavsiktlighet ta del av olämpligt innehåll på Internet är Tele2s surfskydd. Här finns en filterfunktion som just blockerar webbsidor från att kunna besökas.

Tele2 har också ett samarbete med Ecpat Sverige, den svenska grenen av en internationell barnrättsorganisation som arbetar för att förebygga och hantera sexuell exploatering av barn. Tele2 bidrar med förmågor, tjänster och resurser i så stor utsträckning som möjligt. Om ni har möjlighet välkomnar såklart Ecpat alla former av stöd som kan användas för deras nationella och internationella arbete.