tisdag 24 juni 2014

Så har Snowden förändrat it-Sverige - TechWorld

Så har Snowden förändrat it-Sverige - TechWorld



Det är nu över ett år sedan Edward Snowden började läcka
dokument från USA:s underrättelsetjänster. Hur har hans avslöjanden
påverkat svensk it-säkerhet och ditt privatliv?




Arbetet med den här artikeln inleddes
med att vi försökte ta reda på om företagen inom informationssäkerhet
börjat marknadsföra nya former av skydd, eller skydd mot nya former av
hot. Främst letade vi efter marknadsförring av skydd mot statlig
övervakning. Vi tittade på webbplatser och läste igenom pressmeddelanden
för att leta efter nya beskrivningar av hotbilden. Vi kammade noll.


Sedan letade vi efter tecken på att
kunderna i ökande grad efterfrågat skydd mot de avancerade och riktade
attacker som NSA och liknande organisationer kan prestera. Återigen
kammade vi noll.


Så vi satte ihop ett frågebatteri
till folk som borde veta. Frågorna gick ut på att se om olika
leverantörer av informationssäkerhet upplevt att branschen förändrats,
eller är på väg att förändras.


Vi frågade om kunderna efterfrågar
nya typer av skydd. Om de ser annorlunda på hotbilden. Om de ändrat sina
beskrivningar av vad de vill ha hjälp att skydda sig mot. Ifall någon
kund efterfrågat skydd mot NSA:s avlyssning eller skydd mot någon annan
statlig form av avlyssning.

 


Mer fokus på mänskliga faktorn

Pernilla Rönn, affärsområdeschef för informationssäkerhet på Combitech, svarade att hon tyckte sig ha sett en förändring:

 
Pernilla Rönn

Pernilla Rönn


– Förut var det mer fokus på tekniken. Nu har det blivit mer fokus på
den mänskliga faktorn och säkerhetsmedvetande hos personalen, så kallad
awareness, säger hon.


– Men de rykten som förekommit om
bakdörrar i olika system har också gjort att många kunder ifrågasätter
tekniken i produkterna. Många kunder tänker till mer nu runt outsourcing
och molntjänster. Till exempel att det kan spela roll vilka lagar som
gäller i de länder där dina data faktiskt lagras, vilka som har eller
kan få tillgång till dina data, och så vidare.


Pernilla Rönn tror att medvetandet om problemen har ökat, men hon är osäker på om det beror på Snowden.


– Det skadar inte att vara en svensk
leverantör när kunderna ifrågasätter amerikanska produkter. Fast det
gäller nog mer de företag som säljer lösningar, vi säljer tjänster.
Ingen av våra kunder har direkt frågat efter skydd mot NSA-avlyssning
eller annan statlig avlyssning, säger Pernilla Rönn på Combitech.

 

Integritet gäller alla

Johan Jarl, säkerhetsexpert på F-Secure, menar att de sett en ökad förståelse för integritetsfrågor:

 
Johan Jarl

Johan Jarl


– Företagen har blivit mer intresserade av integritetslösningar. Det tar
ett tag innan frågeställningar kring integritet börjar dyka upp hos
människor. Integritet är något som påverkar alla människor.
Dataintegritet och personlig integritet går hand i hand.


TechWorld får först bara skriftliga
svar från FRA, men till slut får vi prata med Fredrik Wallin,
talesperson för FRA. Han menar att de sett att medvetenheten om
informationssäkerhet ökat, och det kopplar man till att det skrivits
mycket om informationssäkerhet både i media och i diskussionsforum på
nätet.


– Vi stöder ju de mest skyddsvärda
funktionerna i Sverige, myndigheter och statligt ägda bolag. Även där
har man blivit mer medvetna om att digitaliserad info är sårbar, men det
beror nog på flera faktorer, inte bara NSA. Rapportering om storskaliga
dataintrång från olika länder har bidragit. Men vi upplever inte att
kunderna frågar efter nya typer av skydd eller har ändrat sina
beskrivningar av vad de vill ha hjälp att skydda sig mot, säger han.



Intresserade av svensk information

Fredrik Wallin

Fredrik Wallin


På frågan om någon kund frågat efter skydd mot NSA:s avlyssning eller
annan statlig avlyssning svarar Fredrik Wallin att de flesta av deras
kunder är medvetna nog att inse att de mest kvalificerade angriparna
i dag är statliga aktörer av olika slag.


– De är mogna i sin it-säkerhet nog
att inse att det finns många aktörer utomlands som är intresserade av
svensk information, säger Fredrik Wallin.


Per Hellqvist, säkerhetsexpert på Symantec, svarar att han inte sett någon som helst förändring i hur kunderna frågar efter informationssäkerhet.

 

Inte många har kompetensen

Säkerhetskonsulten Tomas Djurling på Djurling Säkerhetsinformation menar
att flera aktörer i branschen försöker anpassa sina tjänster för att
skapa ett skydd mot den nya hotbilden.

 
Tomas Djurling

Tomas Djurling


– Det är dock väldigt få personer som har förstått att det som hänt är
bara första steget i hur underrättelsetjänster arbetar och planerar.
Nästa steg är betydligt allvarligare för företag och myndigheter runt om
i världen, säger han.


– Hur många aktörer inom it- och
informationssäkerhetsbranschen i Sverige eller Norden har den insikt och
kunskap som krävs för att skapa och sätta upp skydd som faktiskt gör
skillnad för kundens skydd? Skydd som faktiskt försvårar eller hindrar
att attackerna från dessa antagonister inte lyckas fullt ut?


– För att skydda sig mot dessa
aktörer krävs ett helt nytt tankesätt och andra insatser än vad
informationssäkerhetsbranschen kan leverera i dag. Många kunder
uttrycker en oro men tror inte att de kommer att bli drabbade. Många
avvaktar och ser vad som händer och hur andra väljer att gå vidare. De
ser annorlunda på hotbilden mot individen, men ser inte kopplingen
mellan individen och dess omgivning, säger Tomas Djurling.

 

Fuskade i ”World of Warcraft”

Vår mest specifika fråga var en parallell till det som hände när Sony
installerade programvara som skulle hindra kopiering av musik-cd på sina
kunders persondatorer. Sony dolde kopieringsskyddet genom att också
installera ett root-kit på kundernas datorer. De flesta skydd mot
skadlig kod missade Sonys root-kit, men F-Secure och Microsoft upptäckte
det. När Microsoft tog steget att klassa det som skadlig kod följde
snart alla andra efter. Men innan det hade även andra, ljusskyggare
aktörer hittat root-kitet och använt det för sina egna syften, bland
annat för att fuska i onlinespelet ”World of Warcraft”.


Enligt tyska tidningen Der Spiegel
står det i den officiella budgeten för USA:s underrättelsetjänster att
cirka 85 000 datorsystem ska vara infiltrerade av NSA i slutet av år
2013. Det finns också uppgifter om att NSA har tusentals
hårdvaru-trojaner i olika datorsystem ute i världen.


Med den bakgrunden frågade vi våra
intervjupersoner om de tror att det finns en risk att någon av NSA:s
trojaner har upptäckts av en aktör som väljer att – med kunskap om hur
NSA:s trojaner fungerar – skriva egen kod som utnyttjar NSA-trojanernas
förmåga att dölja sig och nyttja eventuella bakdörrar?

Combitech, F-Secure och Symantec svarade alla att de inte ville
spekulera i frågan så länge de inte hade några bevis. Övriga avböjde att
svara. Vi vill inte spekulera om varför.

 

Försiktiga svar från FRA

TechWorld ställde FRA två frågor som de andra inte fick. Dels om FRA
upplevt att någon kund tackat nej till deras tjänster med hänvisning
till de uppgifter som Snowden offentliggjort. Dels om någon kund tackat
nej av andra, liknande skäl. På båda frågor blev svaret nej. Man
undviker att kommentera de stora resonemangen om NSA och Snowden.


I sitt skriftliga svar till oss
fokuserade FRA på att medvetenheten om avlyssning och
informationssäkerhet bör ha ökat både hos den stora allmänheten och hos
deras kunder. FRA kallar sina kunder bland svenska myndigheter för
”faktiska underrättelsemål”. Så någon större hotbild mot allmänheten
verkar inte FRA se.


FRA uttrycker också att
medvetenheten också bör ha ökat om vikten av nationell
informationssäkerhet, cyberförsvar men torde också ökat på flera håll i
världen.

FRA skriver ”Alltså hur viktigt det är att skydda de mest skyddsvärda
funktionerna, den mest skyddsvärda informationen i ett nationellt
perspektiv. Det kan röra sig om bland annat forskning, innovationer och
infrastruktur. Vi arbetar ju åt många myndigheter och statliga bolag
genom vår informationssäkerhetsverksamhet”.



En mycket farlig inställning

Säkerhetskonsulten Tomas Djurling menar att när hot och risker påpekas
så tror många organisationer att de redan har den insikt och kunskap som
krävs för att skydda sig mot andra länders underrättelsetjänster.


– Det är i väldigt många fall en
mycket farlig inställning. Ingen som inte kan och förstår hur dessa
antagonister jobbar eller tänker har någon chans att skapa ett skydd som
ger någon effekt. De flesta som försöker kommer troligen bara att
generera kostnader men inte nämnvärt bättre skydd. Det ska dock
tilläggas att alla resonemang och åtgärder måste bedömas utifrån var den
enskilda organisationen står idag i sitt säkerhetsarbete.


– Det finns drygt 200 länder i
världen där landets underrättelsetjänst arbetar på samma sätt som NSA
och GCHQ. Den enda skillnaden är hur långt de kommit och hur mycket
pengar landet i fråga är villig att lägga på sin underrättelsetjänst,
säger Tomas Djurling.

 

”Vad var det jag sa!”

Säkerhetskonsulten Robert Malmgren på Romab menar att det är värt att
uppmärkamma hur olika uppgifter om avlyssning påverkar olika delar av
informationssäkerhetsbranschen.

 
Robert Malmgren

Robert Malmgren


– Jag tror att uppgifterna om hur internet och telefoninät avlyssnats,
hur kommunikationsutrustning såsom mobiltelefoner och routerhårdvara
manipulerats och vilka databaser och informationssökningstjänster som
byggts upp påverkat vissa grupper lite olika: It- och
informationssäkerhetsspecialister har fått vatten på sin kvarn och kan
säg "vad var det jag sa!", medan vanliga internet- och telefonianvändare
har sett nyhetsrubriker snurra förbi men ändå inte riktigt brytt sig.


Beslutsfattare och de som jobbar med
nya tjänster inom it har fått mer kunskap och mer beslutspunkter, till
exempel med utläggning av tjänster, molnupphandlingar och så vidare. Hos
allmänna beslutsfattare finns det en allmänt ökat misstro mot internet
och digitala tjänster, säger Robert Malmgren.


– Tiotusenkronorsfrågan är om det
påverkar hur dessa personer hanterar information och kommunicerar
digitalt. Det går nog inte säga generellt, då det nog beror på
personliga egenskaper, vilken bransch man arbetar i, vilken typ av
information som hanteras och så vidare.


– Ett mer intressant fenomen tror
jag är att detta påverkat it-företag i grunden, särskilt då de
amerikanska. Både hur de kan lita på sina egna myndigheter och sitt eget
rättssystem att skydda dem som rättssubjekt, men också att de får det
svårare att konkurrera mot helt nya tjänster som kommer upp. De nya
tjänsterna vinner poäng på att säga ”not made in USA”, då det både
ogrundat och grundat kan vara ett problem att lyda under ett lands
jurisdiktion där det historiskt sett skett en massa med
informationsinsamling för underrättelsehänseende, säger Robert Malmgren.

 

Fokus på Snowden är fel

Anne-Marie Eklund-Löwinder, säkerhetschef på Stiftelsen för
internetinfrastruktur (kallad .SE), tycker att det har varit för mycket
fokus på personen Edward Snowden, och för lite fokus på vad som faktiskt
har inträffat och vem som är ansvarig.

 
Anne-Marie Eklund-Löwinder

Anne-Marie Eklund-Löwinder


– Ingen är väl förvånad över att stater spionerar på varandra av olika
skäl, men att man medvetet har byggt in svagheter i säkerhetssystem och
programvaror är upprörande på flera sätt. Det har inte minst en negativ
effekt på säkerhetsarbetet generellt, eftersom många kan tänkas resonera
”det är ändå ingen idé för det finns ingen som vet vad jag kan lita
på”. Samtidigt har det förhoppningsvis haft en gynnsam effekt på
utvecklingen av ny krypteringsutrustning, säger Anne-Marie
Eklund-Löwinder.


En av de svenska aktörer som höjt
rösten mest runt Snowdens avslöjanden är advokatsamfundet – inte minst
deras ordförande Anne Ramberg, som dels framhållit att avlyssningssystem
som NSA:s Prism och det brittiska systemet för att avlyssna kabeltrafik
under vatten, Tempora, utgör ett oacceptabelt intrång i alla människors
rätt till integritet. De utgör också ett allvarligt ingrepp i de
privilegier som advokaternas klienter har rätt till.


Rådet för de europeiska
advokatsamfunden CCBE har också kritiserat den storskaliga avlyssningen
som ett allvarligt hot mot den tystnadsplikt som advokater ska ha för
att alla människor ska kunna känna sig säkra att anlita en advokat. Det
är en grundbult i västerländska demokratier.



NSA – fräcka, naiva och arroganta

Glenn Greenwald är en av de journalister som Edward Snowden tog hjälp av
för att sprida sina avslöjanden. Under våren kom Glenn Greenwald ut med
bok, ”Storebror ser dig – Edward Snowden och den globala
övervakningsstaten”. I den berättar Greenwald om hur avslöjandena gick
till rent praktiskt och om sina egna tankar kring integritet och
övervakning.

 
Glenn Greenwald

Glenn Greenwald


Läsare av boken som är insatta i frågor kring informationssäkerhet kan
lätt slås av den fräckhet, naivitet eller arrogans som NSA verkar ha
lidit av. För om allt som sagts i böcker, tidningar och bloggar stämmer
måste tusentals människor ha känt till NSA:s massövervakning och
lögnerna kring den.


Det är en sak att en så pass lågt
placerad analytiker som 29-årige Snowden uppenbarligen besitter all
denna kunskap. Allt som hindrar honom från att offentliggöra dem är hans
samvete, förhoppning om en karriär inom NSA eller att han inte befinner
sig i en sårbar situation ekonomiskt eller socialt.


Det är en helt annan sak att även
ledamöter i USA:s senat hade inblick i NSA:s hemliga och möjligen
olagliga avlyssning av det egna landets medborgare. Två av dessa,
demokratiska senatorer Ron Wyden från Oregon och Mark Udall från New
Mexico, hade även rest runt i USA under två år och varnat allmänheten
att den skulle bli förbluffad om den fick veta saker som senatorerna
fått veta se under hemligstämpel. Även de hade lätt kunnat gå ut med
uppgifterna, öppet som Snowden, eller anonymt.

 

Kan ha 30 000 anställda

Det är inte känt hur många medarbetare NSA har. Wikipedias gissning är
runt 30 000 anställda. Vi kan dels anta att alla NSA:s anställda inte
har tillgång till känslig information. Dels anta att mycket av NSA:s
arbete utförs av konsulter som inte är formellt anställda. Men med det
lilla vi vet om NSA kan vi anta att det bör finnas tiotusentals personer
som har tillgång till information som visar att NSA spelar utanför de
officiella reglerna. Eller på ren svenska: bryter mot USA:s grundlag.


Till Greenwald säger också Snowden
att han redan under tiden på CIA, innan han bestämt sig för att bli
visselblåsare, upprörts över den slappa hanteringen av information och
säkerhet inne på CIA. Han säger också att han tror att han hade kunnat
sopa igen spåren efter sig och komma undan med att läcka anonymt, om han
velat.


NSA verkar inte bara ha gjort en
egen kreativ tolkning av Patriot-lagen, utan även av det samhällsfördag
formulerat av Jean-Jacques Rousseau som ligger till grund för de flesta
av västerlandets demokratier, kanske främst USA:s konstitution.


Och ska vi vara noggranna så är det
fjärde tillägget till USA:s konstitution som NSA presterat en ny fräsch
tolkning av, det vill säga det om att alla medborgare skall vara
skyddade mot gripande, godtyckliga genomsökningar av hem och dokument
annat än med skälig misstanke och speciellt beslut av domstol.


 
”Författarens ego är mycket stort”

storebror ser dig snowden”Storebror
ser dig: Edward Snowden och den globala övervakningsstaten” av Glenn
Greenwald. Leopard förlag, 320 sidor, cirka 250 kronor. ISBN
978-91-7343-528-4.



För den som vill få en överblick av
vad som hände och i vilken ordning är boken bra. Den får plus för att
den är skriven av en av de personer som Snowden tog till sin hjälp för
att sprida informationen.


Tyvärr är boken tendentiös och
innehåller överdrifter. Författarens ego är mycket stort och hans
tekniska kunnande är ganska litet. Han verkar inte känna till Van
Eck-phreaking, avlyssning av samtal i rum genom att belysa glasrutor med
laser eller andra mer eller mindre praktiskt tillämpliga tekniker.


Han beskriver sin rädsla för att
USA:s spioner ska fjärrstyra hans mobiltelefon som en
avlyssningsapparat. Så när han tagit ut batteriet ur mobilen och lagt
den i kylskåpet känner han sig säker.


Hans beskrivningar av Snowden som Jesus-figur känns tveksamma ur journalistisk synvinkel.


// Tomas Gilså


 
 

Övervakningen skrämmer till tystnad

En av poängerna i Glenn Greenwalds bok om Snowden är att övervakning
skapar rädsla hos dem som övervakas och skrämmer dem till tystnad. Det
verkar uppenbarligen ha haft motsatt effekt på Edward Snowden.


En annan poäng i boken är att den
teknik som vi bidrar till att utveckla genom att bygga upp massiv
övervakning i våra egna länder sedan snabbt exporteras eller kopieras av
diktaturer, industrispioner och militära motståndare. I diktaturer är
också risken större att övervakning riktas mot människor som jobbar för
demokrati och mänskliga rättigheter.

 
Scott McNealy

Scott McNealy


Kanske NSA redan vunnit en seger genom att få den stora majoriteten av
människor och organisationer att tro att det är hopplöst att försöka
försvara sig mot NSA. Ingen enskild liten firma kan tävla i teknik mot
NSA, och alla stora går redan i NSA:s ledband.


Den sammantagna bilden är att de
flesta vanliga människor i väst inte verkar bry sig. Kanske alla här
redan har tagit till sig förre Sun-chefen Scott McNealys uttalande om
att vi bäst bör lägga tanken om ett privatliv bakom oss. En verkligt
farlig tanke.








 

Inga kommentarer:

Skicka en kommentar