risikoanalyse indlæg

Huawei netværksudstyr, kinesiske overvågningskameraer og Kaspersky sikkerhedssoftware rummer tre eksempler på it risikoanalyse, hvor der snakkes mere end der handles. Og det er endda tre områder, hvor politikerne udviser høj interesse for at snakke med.

Arbejdet med IT-sikkerhed

Når man arbejder med IT risikoanalyse for en virksomhed, skal man 360 grader rundt og kortlægge risici. Derefter vurderes sandsynlighed for at hændelsen sker og konsekvensen, hvis det sker.

Beredskabsplanen er er led i denne proces, – for vi skal vide hvad vi gør, og skal i gang med at gøre, for at risikoen ikke indtræffer, og hvordan vi griber sagen an, hvis den alligevel indtræffer. Der er mange modeller for risikoanalyse processen, bl.a. hjælper Digitaliseringsstyrelsen på vej.

I forhold til, at risikoanalyse handler om hele virksomhedens funktion, dens evne til at tjene penge og til at overleve, kan jeg undres over to ting:

  1. Det er nok så vigtige men reelt meget små hjørner af hele sikkerhedsproblematikken, der debatteres.
  2. Trods intens debat og mediedækning af disse “små hjørner” sker indsatsen vagt og langsomt. Nedenfor gennemgås tre eksempler, der har været aktuelle i 5 år.

Fælles for sagen om Huawei netværksudstyr, kinesiske overvågningskameraer og Kaspersky software er, at det teknisk set nemt kan foregå misbrug, så ingen kan være i tvivl om, at de lyser rødt i risikoanalysen.

Hvis scenarierne i risikoanalysen tilmed er ovre i chikane, terror eller krig, er konsekvenserne endnu være. Man kan risikere for både netværksudstyr og kamera, at nogen ændrer, stopper eller fjernbetjener udstyrets funktion, herunder også til spionage. Og for eksemplet med sikkerhedssoftware er der risiko for, at uvedkommende kommer ind på nettet, og så er alle muligheder åbne.

telemast

Misbrug af Huawei netværksudstyr

I 2018 fortalte TV2, at Forsvarets Efterretningstjeneste og forsvarsministeren mener, at Danmark skal være opmærksomme på Huawei og mulige sikkerhedsmæssige udfordringer. Forud havde en række lande udtrykt bekymring for, at den kinesiske telegigant Huawei kunne spionere via sit teleudstyr, der indgår i blandt andet mobilnetværk rundt om i verden. Hvis Huawei teknisk kan, er døren åben til den kinesiske regering, som var vide rettigheder for at forlange data udleveret.

Det skabte megen debat, som endte med at mange vendte ryggen til Huawei´s produkter og kinesiske netværksprodukter i det hele taget.

PET og amerikanske efterretningsvæsen ved nok godt, om der er beviser for, at det er sket. Men det er sådan set lige meget, for sikkerhed handler om at gardere sig for det, der angiveligt kan ske. Som nævnt i indledningen, hvad kan ske, hvad er sandsynligheden, hvad er konsekvensen og hvad gør vi for at det ikke sker.

Men kan det ske?

Er det muligt at spionere via netværksudstyr i Wi-Fi eller mobilnettet? Ja, det er muligt. En utilsigtet anvendelse kan ske, hvis en netværksport udenfor den købte og beskrevne funktion giver adgang for 3. part. Det er nemt for sikkerhedsfolk at spærre for den risiko. En utilsigtet anvendelse kan også ske, hvis softwaren uploader data til 3. part, data som man ikke er interesseret i 3. part skal have. At sikre sig mod det, kræver ret grundig kontrol af udstyret og datatrafikken.

En utilsigtet anvendelse kan også ske, hvis uønsket funktionalitet er lagt ind skjult i softwaren eller senere lægges ind. En åben bagdør er det ikke nemt at sikre sig imod eller at afsløre. Ikke mindst, hvis funktionen er styret, så den ikke er aktiv før den senere bliver trigget af en algoritme eller signal udefra.

Der ondsindede misbrug kan have mange anvendelsesmuligheder, eller onde hensigter. Man kan misbruge data i markedsføring øjemed. Man kan stjæle data. Man kan misbruge data til politisk overvågning.

Gjorde man så noget?

Den amerikanske regering var først til at bandlyse brugen af produkterne. Som de fleste lande i vesten fulgte Danmark efter med advarsler mod at benytte produkterne. Og Huawei havde mere end vanskeligt ved at forklare, at man ikke misbrugte data og ikke kunne misbruge data. Der blev blandet kinesisk politik ind i spørgsmålet, men det er sådan set lige meget, hvad der var fup og fakta. For risikoanalysen siger, at risikoen er der, sandsynligheden for at det kan ske er til stede og konsekvensen kan være ubehagelig. Altså skal der handles på risikoen.

Der blev debatteret ufatteligt længe, og skrevet oceaner af overvejelser for/imod. Man kan illustrere det med en søgning på nettet med “Huawei misbrug” giver 400.000 hits, mens “Cisco misbrug” eller “Siemens misbrug” giver 70.000 hits. Daværende TDC skiftede øjensynligt af den grund fra kinesisk til svensk leverandør i mobilnettes master, – i hvert fald vandt Ericsson en kæmpe udbudsforretning.

Kamera overvågning
Eksempel på kamera

Misbrug af kinesiske kameraer

I 2021 var der stor debat om, at kinesiske overvågningskameraer forbundet til internettet indeholder risiko for, at andre kan se med. Frygten eller risikoen er, at kinesiske myndigheder har digital adgang til kameraerne via en skjult adgang, en digital bagdør.

I flere landes sikkerhedsvurderinger lød, at man kendte til sårbarheder i kameraer fra Hikvision og Dahua, begge skulle være delvist ejet af den kinesiske stat.

PET begrundede deres advarsler med den vurdering, at den kinesiske efterretningslov fra 2017 foreskriver, at kinesiske virksomheder, organisationer og individer, uanset hvor i verden de befinder sig, er forpligtet til at bistå og rapportere til de kinesiske efterretningstjenester, hvis myndighederne stiller krav herom.

Men kan det ske?

Teoretisk set kan det nemt ske, for alt i kameraet er styret af software, og alle data leveres via nettet. Så ondsindet kode, der skulle stjæle data fra kameraet er teknisk set en reel mulighed. Men for at risikoen er reel (i risikoanalysen at sandsynligheden er til stede) skal man have en begrundet formodning. Det må man antage de højeste sikkerhedsmyndigheder har gransket, inden man advarer og hænger producenter til tørre. Og for nu at tro på det i lille Danmark, valgte man i 2022 at sætte politiet til at undersøge det.

Et misbrug kan have mange anvendelsesmuligheder eller hensigter. Man kan teoretisk misbruge data fra kameraerne ved hjælp af billedgenkendelsessoftware til at spore nogle, som man af en eller anden grund vil kende tilstedeværelse af.

Gjorde man så noget?

Det er oplagt nødvendigt til stadighed at tjekke funktionerne i det udstyr, der importeres og tages i brug. Det er nødvendigt, at sikkerheds organisationer holder øje med markedet. For brugerne er det nødvendigt at håndtere den interne netværkssikkerhed og overvågning. Når så indikationerne er til stede, må man undres over, hvor svært det er at tage stilling til bruge eller ikke bruge. Der er stor redundans i den vestlige verden, så kommuner som Viborg og Aarhus skulle have den debat helt forbi deres egen IT-organisation og ind i byrådet.

Men har de så styr på det i Aarhus? Til Jyllands Posten februar 2022 udtaler kommunen, “at under 20 af Aarhus Kommunes 755 kinesiske overvågningskameraer har været hængt op på en måde, hvor kommunen ikke har kunnet holde øje med, om de kinesiske efterretningstjenester kiggede med. Men de 735 øvrige kinesiske kameraer har hele tiden været forbundet til kommunens interne netværk, hvor trafikken er begrænset og kan overvåges“. Pyt med risikoanalysens sandsynlighed og konsekvens vurdering. Man tror da bare på, at kommunens egen sikkerhedsfolk kan se, når der sker et misbrug. Ikke at produkterne er kompromitterede, ikke at forhindre det kan ske. Kun at vide når det sker.

Kaspersky sikkerheds software

Sagen er hot igen i 2022, men helt tilbage i 2017 skrev Computer World i artiklen Efterretningsfolk advarer mod statslig brug af Kaspersky, at “Kaspersky kan have forbindelser til den russiske regering. Det russiske it-sikkerhedsfirma Kaspersky bliver brugt adskillige steder i det amerikanske regering, og virksomheden kan dermed have adgang til offentlige it-systemer“. Det samme vækker ifølge det amerikanske medie Buzzfeed News bekymring i det amerikanske efterretningsmiljø. Flere anonyme kilder, der er ansat i det amerikanske efterretningsvæsen, oplyser til mediet, at bekymringerne især skal ses i lyset af, at der menes at være tætte bånd mellem Kaspersky og den russiske regering.

I Computer World 24 februar 2022 dukkede den så op med fornyet kraft pga. tilspidsningen omkring Ukraine. Her fremgår, at den mest kendte russiske it-virksomhed sandsynligvis netop er sikkerhedselskabet Kaspersky Lab, der har sit hovedkvarter i Moskva og grundlagt af Eugene Kaspersky.

Bloomberg og Wired har tidligere påstået, at Kaspersky havde tætte forbindelser til de russiske myndigheder. Endog indsat flere folk med baggrund i den russiske efterretningstjeneste i topledelsen. Wired hævder desuden, at Eugene Kaspersky selv har en fortid i den berygtede sovjetiske efterretningstjeneste KGB. Kaspersky har gentagne gange benægtet beskyldningerne, f.eks. i 2012 og i 2015 med blogindlæg, hvor han afviser beskyldningerne. “Jeg har aldrig arbejdet for KGB“, skrev Eugene Kaspersky, men oplyste så, at han tidligere har arbejdet for det sovjetiske forsvarsministerium.

En meget anvendt test af antivirus software Top10antivirus.review havde ikke Kaspersky med i deres Top 10. Deres begrundelse var: ”Even though Kaspersky is one of the most popular AV brands, we excluded it from our list after it was caught analyzing and tracking user’s web traffic last year. There have also been reports of collusion with the Russian government, though these have never been officially substantiated”.

Men kan det ske?

Om Kaspersky kan finde på det, eller om Kaspersky kan blive tvunget til det, skal være usagt her. Men teknisk set kan det gøres, også uden at vi som kunde kan afsløre det. Vi er her ude i PC´ernes software, og her har sikkerhedsafdelingen dårligere odds end på netværksudstyr og servere.

Ondsindet misbrug kan have mange anvendelsesmuligheder. Man kan misbruge data i markedsføring øjemed. Man kan misbruge data til overvågning. Man kan stjæle eller slette data, ja lægge virksomheden helt ned.

Gjorde man så noget?

Af Version2 fremgår at Kaspersky i 2017 blev smidt ud af USA for spionage. Efter sigende skulle selskabet have åbnet op for russisk spionage. EU overvejede også at smide selskabet på porten.

Kaspersky indgik i adskillige software pakker på SKI aftale. Medio marts 2022 er antivirusprogrammet blevet fjernet fra produkterne på SKI aftalen.

Flere år senere, d. 15. marts 2022 kunne det læses i Computer World, at Aarhus Kommune nu agerer på det og dropper deres it-sikkerhedsleverandør: ”Aarhus Kommune dropper Kasperskys sikkerhedsløsning på 15.000 computere. Kommunen mener, at det russisk-stiftede selskab ligger under for russisk lovgivning”.

Til Computer World siger it- og digitaliseringschef Anders Jørgensen i ovennævnte reference, at kommunen “gennem længere har tid overvejet et skifte væk fra Kaspersky. Vi vil gerne forbedre vores beskyttelse med en anden antivirus, og så blev det for alvor aktualiseret af den konflikt, der er i Ukraine nu.” Det er altså oprindeligt en produkt og leverandør vurdering, der ligger til grund. Gennemført før sanktioner mod Rusland blev indført medio marts 2022. Men den strakte sig over mange år, fra advarslerne var kendt i 2017 og indtil 2022.

Risikoen voldsomt stigende i 2022

De gennemgåede tre eksempler, Huawei netværksudstyr, kinesiske overvågningskameraer og Kaspersky sikkerhedssoftware, er eksempler på snedige måder at trænge indenfor på netværket. Men den største og hyppigste trussel er hackere, som er kriminel adfærd pakket ind i et hav af tekniske varianter. Det vender jeg tilbage til i et andet indlæg. Men risikoen er pga. krigen i Ukraine fra primo 2022 mange gange højere end tidligere, – vi kan bare nævne dette eksempel fra Microsoft.

D. 18. maj 2022 hævede Center for Cybersikkerhed (CFCS) trusselsniveauet lav til middel iflg. denne omtale i Version2. Jeg mener ikke, at man kun skal kalde det middel. Det kan få nogle til at tænke det “går nok, ikke en aktuel risiko”, hvilket er forkert. Så er det mere tydeligt budskab, der sendes i Tyskland.

Opdatering

Opdatering december 2022:
I forlængelse af ovenstående indlæg fra Marts 2022, er det interessant nu 10 mdr. senere at lave en kort update for anvendelsen af netværksudstyr fra Kina. Danmark med TDC i spidsen fandt andre græsgange. Men en opgørelse fra Strand Consult refereret i Jyllands Posten 31/12-2022 viser, at i 8 EU-lande kommer over halvdelen af deres 5G udstyr i masterne fra kinesiske leverandører, især Huawei og ZTE. Bemærkelsesværdigt er også, at Tyskland og Holland er iblandt de 8. Den iflg. avisen “farlige” afhængighed beror på 3 ting, dels teorien om (mulig) aflytning, dels forsyningssikkerhed og dels at afhængighed af Kina kan give politiske begrænsninger. John Strand siger til Jyllands-Posten, at “Det her er farligere end at være afhængig af russisk gas. Hvis Kina lukker ned for 5G-netværk kan det få meget alvorlige konsekvenser for sundhedssystemer, energiforsyning og transport“.

Marts 2022 – Indlæg på CXO2’s blog på www.CxO2.dk/blog

Vil du abonnere på nye indlæg på denne blog?
Så besøg LinkedIn udgaven og tryk på FØLG eller
besøg Facebook udgaven og tryk på SYNES OM.

Fra risikoanalyse til Kaspersky
Del gerne til dine kontakter:
Annonce

Annonce
Tagget på: