Naturvårdsverket drabbas av dataintrång

Permalänk
Medlem
Skrivet av Sveklockarn:

No pain, no gain!

Myndighetssverige skulle må bra av en rejäl reduktion i vissa delar och en total omarbetning i andra, framförallt så att det slutar vara någon företrädares ansvar att saker och ting får fortsätta vara dåliga idag. Detta är ju inte det första stora IT-intrånget heller, och utan att veta hur detta gått till så borde någon någonstans kanske reagerat med att det är dags för en rejäl översyn. Med lite tur blir det kanske någon långdragen utredning över ett par års tid för att se vem man kan skylla på, sen återgång till business as usual, om jag får gissa vilka förändringar detta leder till. Det är ju trots allt Någon Annan som betalar!

Nu skulle ju dock hela samhället krascha om myndighetssverige gör det. En totalt kollaps av samhället är liksom inte en bra lösning bara för att många myndigheter är dåliga och det behövs förbättringar.

Permalänk
AKA AudioBamse
Skrivet av DasIch:

Grejen är att vi kan inte gå tillbaka till pappersform som vi hade innan persondatorernas intåg. Det funkar inte i samhället vi har idag. Dessutom var inte den hanteringen säkrare. Det krävde kanske mer jobb eftersom varje kontor satt på sina egna arkiv, men mer än så var det egentligen inte. Och då skulle som sagt ingen myndighet idag fungera om vi gick tillbaka till det. Vi har inte resurserna och hoten vi har är mer sofistikerade.

Att man inte går tillbaka till det p.g.a resursbrist kan jag köpa (finns det egentligen någonting Sverige inte har resursbrist på idag?), men hypotetiskt, om resurserna och viljan fanns att göra om en del känslig data i digital form till pappersform, så borde det vara säkrare? I alla fall i första anblicken.

Jag menar, det måste vara betydligt svårare för en spion att knalla in i arkivrummet och tömma alla lådor på papper med t.ex. personuppgifter och bära ut alla tunga pappersbuntar utan att någon ser det, än att bara ladda ner datan från servern som sker idag.

Jag säger inte att du har fel, det kan mycket väl vara någonting jag inte har tänkt på, men det är vad iaf vad som slår mig, och du eller någon annan får gärna upplysa mig om varför det inte skulle vara säkrare.

Permalänk
Medlem
Skrivet av Sveklockarn:

No pain, no gain!

Myndighetssverige skulle må bra av en rejäl reduktion i vissa delar och en total omarbetning i andra, framförallt så att det slutar vara någon företrädares ansvar att saker och ting får fortsätta vara dåliga idag. Detta är ju inte det första stora IT-intrånget heller, och utan att veta hur detta gått till så borde någon någonstans kanske reagerat med att det är dags för en rejäl översyn. Med lite tur blir det kanske någon långdragen utredning över ett par års tid för att se vem man kan skylla på, sen återgång till business as usual, om jag får gissa vilka förändringar detta leder till. Det är ju trots allt Någon Annan som betalar!

Vad jag vet så är det mesta av Naturvårdsverkets IT outsourcad till CGI, sen handlar det såklart mycket om hur bra beställare Naturvårdsverket är.
Hoppas det görs en rejäl översyn, en lessons learned som delas med andra.

Permalänk
Medlem
Skrivet av AudioBase:

Att man inte går tillbaka till det p.g.a resursbrist kan jag köpa (finns det egentligen någonting Sverige inte har resursbrist på idag?), men hypotetiskt, om resurserna och viljan fanns att göra om en del känslig data i digital form till pappersform, så borde det vara säkrare? I alla fall i första anblicken.

Jag menar, det måste vara betydligt svårare för en spion att knalla in i arkivrummet och tömma alla lådor på papper med t.ex. personuppgifter och bära ut alla tunga pappersbuntar utan att någon ser det, än att bara ladda ner datan från servern som sker idag.

Jag säger inte att du har fel, det kan mycket väl vara någonting jag inte har tänkt på, men det är vad iaf vad som slår mig, och du eller någon annan får gärna upplysa mig om varför det inte skulle vara säkrare.

Vad menar du med en del känslig data?

Ja, det vore jobbigt att försöka bära med sig allt papper i ett arkivrum men har man den tillgången kan man förmodligen välja vad som ska bäras med. Om man nu behöver bära med något över huvud taget. Det går ju också att memorera viktig information.

Sen är det ju inte heller så att det saknas avgränsningar i de digitala systemen. De är såklart gjorda så att varje individ bara har tillgång till den information de behöver för sitt arbete. Behörigheterna är såklart avgränsade och desto känsligare information man hanterar desto striktare krav är det.

Problemet med fysiska arkiv där många personer regelbundet behöver hämta information är det inte är mycket svårare än för vem som helst att bara knata in och hämta informationen. Gäller bara att veta var informationen finns, på ett ungefär, säkerhetsrutinerna och ha lite sociala färdigheter. Det kan vara svårt för någon random att bara knata in, men knappast för KGB-Ivan.

Säg att du istället försöker gå genom någon anställd. Först måste du kopiera behörighetskort och kod. Knappast omöjligt men kan vara trixigt. Därefter ska den personen faktiskt ha tillgång till informationen du söker. Du måste även veta vad du söker efter.

Säg exempelvis om någon kommer åt min inloggning och mina behörigheter. Okej, så du får tillgång till flera register med känslig information. Vet du exakt vilken information du vill ha? Det skulle bli ett problem om jag har behörighet till den informationen, vilket inte alls är säkert. Även om jag har behörighet är det inte säkert att just dessa slagningar i systemen är något jag ska syssla med. Då går det larm om det. Sånt där övervakas.

För att vara säker på att man får ut den information man vill ha måste man gå på rätt person och/eller få direkt tillgång till servrarna. Alla behörigheter är liksom tydligt avgränsade och alla slagningar is systemen loggas plus att det går larm vid misstänkt aktivitet. Om någon skulle komma över min inloggning och mina behörigheter skulle det funka rätt dåligt att bara börja gräva efter saker. Det skulle upptäckas rätt snabbt. Sen ska man också veta hur man effektivt söker efter saker. Funkar liksom inte att bara börja gräva på måfå.

Hur vet man då vem som är rätt person med rätt behörigheter? Jag har ingen aning. Du får nog hitta rätt IT-säkerhetsnisse och kapa dennes behörigheter, och hoppas du kommer åt informationen du vill ha innan du har en batong upp i prutten. Det är nog inte så lätt som det låter.

Sen kan det såklart finnas säkerhetshål så att du kan komma åt systemen på distans men även där lär det vara svårt att bli root och få tillgång till allt, samt få den information du vill ha innan du upptäcks.

Något som däremot är relativt enkelt är att ta sig in på något kontor och börja gräva i arkiv. Det finns förstås olika nivåer av säkerhet även där men på lite större kontor är det ingen som frågar vem du är eller varför du gräver i den där pappersbunten.

Permalänk
Medlem
Skrivet av hellmix:

Att sabotera dricksvatten behöver man inte göra något dataintrång för. Ända som behöver är snabb googling och Några tunnor diesel så har man sabotera landets dricksvatten för Sveriges storstäder x månader/år framöver. Det folk tar för givet är fruktansvärt sårbart och lättillgängligt om man har onda avsikter.

Poängen är att t.ex. Naturvårdsverket kanske har scenarion som visar på vad dom då gör i så fall, vilket gör att man då kan attackera lösningar alternativt se att det inte finns några lösningar.

Varför lägga resurser på sabotage om det finns lätta lösningar? Ser man däremot att man lamslår ett helt land och det inte finns några lösningar, då är det väldigt värt att prioritera sabotage.

Visa signatur

There can be only ONE...

Permalänk

Frågan kring säkerhetsnivå och behörigheter ställdes nyligen på ett möte och de är ju av hög vikt att inblandade arbetar utifrån arkitektur, strategi och mål. Som sagt, förbättringar behövs ständigt. Dom får nog se över backend.

Visa signatur

Wasserkühlung::5900X::ASSrock X570 TB3::2x8 Ballistix 3000@3800::6800Nitro+

Vilken leksak>> CH341-biosprogrammerare

Permalänk
Medlem

Rubriken borde vara:
Natur
vårds
verket

har drabbats av
Data
in
trång

Permalänk
AKA AudioBamse
Skrivet av DasIch:

Vad menar du med en del känslig data?

Ursäkta otydligheten. Jag menar att om man nu skulle gå tillbaka till pappersform så kanske man inte behöver göra allt till pappersform, utan bara information som anses vara extra hemlig / känslig. Då i syfte att just den informationen inte ska kunna hackas digitalt.

Skrivet av DasIch:

Ja, det vore jobbigt att försöka bära med sig allt papper i ett arkivrum men har man den tillgången kan man förmodligen välja vad som ska bäras med. Om man nu behöver bära med något över huvud taget. Det går ju också att memorera viktig information.

Sen är det ju inte heller så att det saknas avgränsningar i de digitala systemen. De är såklart gjorda så att varje individ bara har tillgång till den information de behöver för sitt arbete. Behörigheterna är såklart avgränsade och desto känsligare information man hanterar desto striktare krav är det.

Problemet med fysiska arkiv där många personer regelbundet behöver hämta information är det inte är mycket svårare än för vem som helst att bara knata in och hämta informationen. Gäller bara att veta var informationen finns, på ett ungefär, säkerhetsrutinerna och ha lite sociala färdigheter. Det kan vara svårt för någon random att bara knata in, men knappast för KGB-Ivan.

Säg att du istället försöker gå genom någon anställd. Först måste du kopiera behörighetskort och kod. Knappast omöjligt men kan vara trixigt. Därefter ska den personen faktiskt ha tillgång till informationen du söker. Du måste även veta vad du söker efter.

Säg exempelvis om någon kommer åt min inloggning och mina behörigheter. Okej, så du får tillgång till flera register med känslig information. Vet du exakt vilken information du vill ha? Det skulle bli ett problem om jag har behörighet till den informationen, vilket inte alls är säkert. Även om jag har behörighet är det inte säkert att just dessa slagningar i systemen är något jag ska syssla med. Då går det larm om det. Sånt där övervakas.

För att vara säker på att man får ut den information man vill ha måste man gå på rätt person och/eller få direkt tillgång till servrarna. Alla behörigheter är liksom tydligt avgränsade och alla slagningar is systemen loggas plus att det går larm vid misstänkt aktivitet. Om någon skulle komma över min inloggning och mina behörigheter skulle det funka rätt dåligt att bara börja gräva efter saker. Det skulle upptäckas rätt snabbt. Sen ska man också veta hur man effektivt söker efter saker. Funkar liksom inte att bara börja gräva på måfå.

Hur vet man då vem som är rätt person med rätt behörigheter? Jag har ingen aning. Du får nog hitta rätt IT-säkerhetsnisse och kapa dennes behörigheter, och hoppas du kommer åt informationen du vill ha innan du har en batong upp i prutten. Det är nog inte så lätt som det låter.

Sen kan det såklart finnas säkerhetshål så att du kan komma åt systemen på distans men även där lär det vara svårt att bli root och få tillgång till allt, samt få den information du vill ha innan du upptäcks.

Något som däremot är relativt enkelt är att ta sig in på något kontor och börja gräva i arkiv. Det finns förstås olika nivåer av säkerhet även där men på lite större kontor är det ingen som frågar vem du är eller varför du gräver i den där pappersbunten.

Tack för det långa svaret, alltid intressant att höra andras infallvinklar och kunskaper. Håller med om att hemlig information också lika bra kan stjälas i ett fysiskt arkivrum, om någon går in där och snokar och t.ex. momererar.

Det jag egentligen mer tänkte på (vilket jag också insåg nu att jag var otydlig på) är att stora regerister, t.ex. personuppgifter som innehåller information av medborgare (t.ex. läkarjournaler), inte borde vara alls lika lätt att stjäla i pappersform. Ibland hör man ju att nån server har blivit hackad och det larmas om att tusentals (eller mer) personuppgifter kan vara på vift. Men i pappersform borde det vara betydligt svårare att stjäla tusentals personuppgifter eftersom det då krävs att spionen måste bära på massa tunga pappersbuntar.

Men om det handlar om att spionen är ute efter en viss specifik information, t.ex. ritningarna på försvarets nya stridsflygplan, då skulle han ju kunna memorera eller stoppa just det papperet i fickan. Så där kan jag absolut förstå att det inte alltid blir säkrare i pappersform.

Permalänk
Medlem
Skrivet av AudioBase:

Ja, detta är ett stort problem, känner folk inom IT-branchen som råkat ut för precis detta. Det ska ju också ingå i säkerhetsrutinerna, man får aldrig använda USB-stickor som inte först är kontrollerade och godkända.

Nä, så är det ju på många ställen men det gäller ju att alla tar det på allvar också. Känner till ett fall där USB-minnet var samma modell och företagslogo som delats ut som reklam/swag, vilket var tillräckligt för att en anställd skulle se det som "ofarligt att kolla" när det hittades i närheten av huvudkontoret. Samma modell figurerade även i pennförrådet, så "alla" hade ju ett par såna...

Permalänk
Avstängd

Varför hålla på med diesel om man vill förstöra en vattentäkt? Det finns andra, mig veterligen, lagliga vätskor där det räcker med några droppar för att försöra flera miljoner kubik vatten.
Dessutom enklare att ha med sig i en ficka än en tunna diesel..

Permalänk
Medlem
Skrivet av stgr:

Varför hålla på med diesel om man vill förstöra en vattentäkt? Det finns andra, mig veterligen, lagliga vätskor där det räcker med några droppar för att försöra flera miljoner kubik vatten.
Dessutom enklare att ha med sig i en ficka än en tunna diesel..

"Portland Dumps 38 Million Gallons of Water After Man Pees in Reservoir"