Scada eller skada?

”Nu när till och med kaffeapparaterna kommunicerar via internet måste säkerheten utgå ifrån applikationen.”, skriver Åsa Schwarz.

Publicerad: 2013-02-15 03:00, Computer Sweden

Det är inte bra om ett kärnkraftverk hackas. Det är bara att snegla mot Japan för att förstå konsekvenserna. I juli 2010 upptäcktes trojanen Stuxnet som var skapad av USA för att angripa kärnkraftverk i Iran. Det blev ett abrupt uppvaknande för dem som har Scadasystem, industriella styrsystem som bland annat finns i kärnkraftverk, fastigheter, bilar och flygplan.

Två saker var uppenbart. Det ena var att hackare hade upptäckt Scadasystemen, det andra var att det allvarligaste hotet på nätet numera är stater och brottssyndikat, inte tonåringar som hackar på skoj. Sedan dess har system efter system hackats. I förra veckan upptäcktes en sårbarhet i ett fastighetssystem som gjorde att det gick att styra lås, hissar, el och videoövervakning på sjukhus och militära anläggningar.

Scadasystemen har tidigare levt i en frizon eftersom de inte varit uppkopplade mot internet och därmed aldrig testade av armadan av skadlig kod som härjar där.

Resulterat är applikationer lika fulla av hål som en schweizerost.

Kan vi inte bara låsa in dem och tejpa igen usb-ingångarna? Det kunde vara lockande, om det inte var så urbota dumt. Om hela välden kopplar upp sina industrisystem mot internet är rationaliseringsvinsten 95 biljoner kronor, hävdar General Electric i en rapport. Det är lika mycket som USA omsätter.

Vi kan inte heller gömma oss bakom brandväggen. Nu när till och med kaffeapparaterna kommunicerar via internet måste säkerheten utgå ifrån applikationen. Det är bara att inse, leverantörerna av Scadasystem har en gigantisk hemläxa att göra. De måste utveckla system som är säkra från början, även om det innebär att riva ton av gammal kod.

Samtidigt måste alla som använder systemen analysera sin miljö för att på kort sikt motverka systemens problem. På lång sikt får vi hoppas att arbetet går ut på att införa säkra Scadasystem som effektiviserar verksamheten radikalt.

Vinsterna blir enorma om vi kopplar upp Scadasystem på ett säkert sätt. Gör vi det fel, kan vi få en bokstavlig härdsmälta.

 

 

Nu är det slut på ursäkter för osäkra mobiler

Det mest intressanta är att för en månad sedan fick myndigheter i England godkänt att använda Iphone till känsliga mejl, skriver Åsa Schwarz.

Publicerad: 2012-12-24 03:00, i Computer Sweden

För två år sedan skrev jag en krönika om säkerhet i mobiler. Då var det kaos, de smarta telefonerna tog över marknaden. De hade massor av användarvänliga funktioner men den lilla säkerhet som fanns, användes inte. Om du inte hade en Blackberry förstås, fast då slapp du användarvänligheten i stället. Krönikan slutade med en fundering om vad jag skulle skriva nu, två år senare.

Det har hänt mycket sedan sist. Enligt en undersökning av Techtarget är säkerhet en parameter i 80 procent av fallen när företag köper mobiler. Mobile device management, mdm, är på stark frammarsch. Det är bra eftersom MDM-system möjliggör att alla telefoner har samma säkerhetsprofil. Visserligen har endast 19 procent av företagen ett mdm-system i drift men ytterligare 8 procent håller på att installera ett. Dessutom utvärderarhela 39 procent sådana system. För två år sedan exploderade marknaden för smarta telefoner. Nu kommer de snart att användas på ett säkert sätt.

Under hösten har Blackberry förlorat sin ena stora prestigekund efter den andra. Pentagon, motsvarigheten till Migrationsverket och Tullverket i USA, byter från Blackberry till Iphone. Det mest intressanta för oss är att för en månad sedan fick myndigheter i England godkänt att använda Iphone till känsliga mejl. Tidigare fick bara Blackberry användas. En förutsättning är självklart att säkerhetsmekanismerna som finns används.

Eftersom vi har en liknande lagstiftning för personuppgifter i Sverige borde det även vara möjligt för myndigheter här.

Rent tekniskt ser jag inga problem med det, men det finns två stora utmaningar. Den ena är att förklara för användarna varför telefonen plötsligt bara accepterar ett lösenord som är minst åtta tecken långt. Den fyrasiffriga koden knäcks lätt på 30 minuter.

Den andra är att implementera en process där alla användare får en mobil som kommunicerar med det interna nätet på ett säkert sätt. För att lösa det är ett mdm-system ett måste.

Men Android då, frågar ni nog, är det säkert? Svaret blir: det beror på. Till skillnad från Iphone har Android en öppen arkitektur som varierar från tillverkare till tillverkare. Från och med version 4.0 finns kryptering av minnet vilket är en av de viktigaste funktionerna för att skydda data. Alla tillverkare har inte ens kommit till version 4 och funktionen för kryptering måste aktivt slås på. Det finns andra betänkligheter också, men sammanfattningsvis är krypteringen på senare versioner av Android hyfsad.

Det är bara att konstatera, det finns inga undanflykter längre. Det går att göra sina mobiltelefoner säkra. Det är på tiden nu när vi nästan använder dem mer än våra datorer.

Tio tips för säker utveckling

”Det kostar 5-10 procent mer att utveckla ett säkert system än ett taffligt och osäkert system”, skriver Åsa Schwarz.

Publicerad: 2012-12-02 14:21, i Computer Sweden

Många it-system är osäkra, andra är direkt livsfarliga. Vissa hävdar att det beror på att leverantörerna som utvecklar dem är okunniga. Det tror inte jag. Däremot tror jag att de gillar pengar. En kvartalsrapport med fina siffror sitter aldrig fel.

Det kostar 5–10 procent mer att utveckla ett säkert system än ett taffligt och osäkert system. Om organisationen som gör systemet aldrig arbetat på ett säkert sätt tidigare, kan kostnaden vara ända upp till 25 procent högre, men minskar snabbt när processerna sätter sig. Trots kostnaden lönar sig investeringen eftersom högre kvalitet radikalt minskar antalet driftavbrott, lyckade hackarangrepp och annat elände. För att inte tala om huvudvärken som du slipper.

När utvecklingen läggs på en extern leverantör uppstår problemet att du tar affärsrisken medan leverantören levererar mot en kravspecifikation. Om säkerhet inte är med i specifikationen kommer säkerhet inte att levereras. Varför ska leverantören minska sina marginaler med 5–10 procent? Om någon oombedd räknar in säkerhet i priset, kan den till och med förlora affären eftersom kunden väljer ett billigare alternativ.

Det finns bara en lösning. Ha med säkerhetskrav i upphandlingen och följ upp dem. Tro mig, du vill inte ha program som inte klarar åtminstone nedanstående:

1. Systemet ska inte ha något av Sans 25 programmeringsfel och om det är en webbapplikation ska det inte ha några av säkerhetshålen i Owasp Top 10.

2. Leverantören ska specificera vilka mjukvaraukomponenter, inklusive versionsnummer, som har använts för att skapa systemet.

3. Leverantören ska enbart använda standardiserade metoder för kryptering och signering. All säkerhetsrelaterad dokumentation ska vara tillgänglig på förfrågan.

4. Du ska ha rätt att säkerhetsgranska systemet.

5. Leverantören ska överlämna dokumentation om hur systemet installeras med ett minimum av åtkomsträttigheter till operativsystemet samt vilken nätverkstrafik som är nödvändig för att systemet ska fungera i aktuell miljö.

6. Leverantören ska ange cykeln för uppdateringar.

7. Leverantören ska kunna visa hur säkerhetsarbetet är integrerat i systemets hela livscykel.

8. Beroende på vilket som kommer först ska leverantören informera om sårbarheter som upptäcks i systemet inom 30 dagar alternativt när en uppdatering som löser problemet kommer.

9. Systemet ska logga alla händelser och följa siem-standarder.

10. Systemet ska kunna identifiera och autentisera användare samt bekräfta behörighet. Det ska följa öppna iam-standarder.

Egentligen ska du göra en säkerhetsanalys för att hitta rätt säkerhetsnivå och kostnadskostym. Men ovanstående punkter är en bra början. Då står du inte med lång näsa när systemet kraschar eller pulveriseras av hackare. Och du kan lugnt slänga huvudvärkstabletterna.