Reportage

Ser molnen på cyberhimlen

– Vårt dagliga arbete består mest av att hantera it-incidenter. Vi hjälper andra organisationer att bli av med problem de har i sina nät och i sina datorer. Det säger Robert Jonsson, biträdande enhetschef för MSBs cybersäkerhet Cert-SE.

Cert-SE är en funktion på MSB som arbetar med operativ cybersäkerhet och består av ett 20-tal it-säkerhetsspecialister, analytiker, utvecklare, skribenter och projektledare. Cert-SE står för Sveriges nationella Computer Emergency Response Team med uppgift att stödja samhället i arbetet med att hantera och förebygga it-incidenter. Funktionen vänder sig till både offentlig sektor och näringslivet.

– Vi ska stötta samhället i arbetet med att förebygga och hantera it-incidenter och vara Sveriges kontaktpunkt mot motsvarande funktioner i andra länder.

Basefarm: ”Informationen vi får är extremt värdefull”

Cert-SEs mål är att öka it-säkerhetsmedvetandet i Sverige genom att förmedla kunskap och fakta. Arbetet bygger på att den organisation som utsätts för en incident delar med sig av sin information.

– Vi är ofta en informationshub som förmedlar information från någon som har kunskap om något speciellt till andra som behöver veta. Säg att vi har kunskap om skadlig kod eller pågående angrepp mot finansiella sektorn, då ser vi till att de senare får ta del av den informationen. Man skulle kunna säga att där det är polisens roll att hindra brott, så är det vår roll att stoppa konsekvenserna av inträffade incidenter.

– Vi har också under perioder bistått polisen i stora utredningar. När vi sitter på unik kompetens som vi ser behövs i stora brottsutredningar så gynnar det både polisen och oss. Polisen får tillgång till vår kompetens och vi får vässa den ytterligare.

I arbetet med att hantera it-incidenter är det väldigt viktigt med bra privat-offentlig samverkan. Det byggs upp bland annat genom ett antal samarbetsforum inom informationssäkerhet, bland annat ett som heter Svenskt Cert-forum.

– Forumen har skapat det förtroende som gör att man vågar dela känslig information. De har gett oss möjlighet att förklara vad vi behöver veta och varför, och har gjort att vi har väldigt bra kontakt med internetoperatörerna i Sverige, många av de finansiella institutionerna och de stora elleverantörerna.

Cert-SE har också bred samverkan med motsvarande funktioner i andra länder. Inom EU finns ett nätverk där alla EU-länders motsvarighet träffas ett par gånger per år och har daglig operativ samverkan via chat-kanaler.

Cert-SE har idag ingen aktiv övervakning av datatrafik men ett sensorsystem är under utveckling för samhällsviktiga organisationer enligt Nis-direktivet.

– Vi arbetar intensivt för att ha nånting framme under året. Sensorsystemet söker efter skadlig kod och annat som riktas mot de samhällsviktiga organisationerna.

För statliga myndigheter finns en föreskrift om att man ska arbeta systematiskt med informationssäkerhet. Helst ska en organisation ha startat arbetet med incidenthantering innan incidenten inträffar. Det kan vara att någon fått sin webbplats kapad, utsatts för skadlig kod, att någon av organisationens datorer kapats och använts i ett så kallat botnet vid en överbelastningsattack.

– Vid normalfallet tar vi kontakt med den som är drabbad och i de flesta fall har vi redan upparbetade kontakter. Vi hjälper dem så långt vi kan att förstå vad som har hänt, men ofta är det bara den drabbade organisationen själv som kan se exakt vad som hänt. Vi stöttar på deras villkor med rådgivning och teknisk hantering. Vi har många specialister som kan titta på forensik, titta på diskar och förstå vad som faktiskt inträffat.

Rådgivning förekommer några gånger i veckan, att aktivt stötta genom att titta på diskar och analysera skadlig kod är mera sällan. Nån gång i kvartalet. Ett typexempel på Cert-Ses arbete och roll är överbelastningsattackerna mot svenska mediehus 2016. Under några timmar på lördagskvällen den 19 mars genomfördes två distribuerade överbelastningsattacker (DDoS-attacker) mot Aftonbladet och Expressens nätutrustningar som gjorde att inkommande trafik blockerades.

– Den lördagen fick jag ett telefonsamtal från en stor internetleverantör som sa att nu är det nåt konstigt som händer hos två tjänsteleverantörer. Strax efteråt ett samtal från en journalist som berättade att många tidningar inte gick att nå. Samma kväll pratade jag med driftorganisationerna, Basefarm och IP-Only, där fick vi väldigt bra information om exakt vad som hade hänt.

Vid en överbelastningsattack skickas mycket stora mängder trafik till en webbplats som blir överbelastad och inte går att nå. I det här fallet var det någon som samtidigt skickade trafik till Expressen och Aftonbladet. Attacken gjordes enbart mot Aftonbladet och Expressen men som en följd av att båda mediekoncernerna hade alla sina webbtidningar på samma webbserver gick det inte att nå någon av koncernernas tidningar.

– Journalisterna antog att det var en attack mot alla tidningar. Tack vare att vi hade så bra kontakt med leverantörerna visste vi att det var en attack bara mot Aftonbladet och Expressen och det är en väldig skillnad. Det gjorde att vår riskbedömning förändrades, det var inte en attack mot mediesverige, det var en attack mot två tidningar.

Det här fortsatte under kvällen och blev intressant för polisen som också de ursprungligen hade bilden att det här var ett angrepp mot Mediesverige.

– Tack vare att vi hade bra information kunde vi berätta vad som faktiskt inträffat, säger Robert Jonsson.