Det svenska fysiska säkerhetsföretaget Gunnebo har blivit hackat och vägrat betala utpressningspengar, varpå 19 GB filer har publicerats på nätet, vilket inkluderar kundinstallationer som banker, riksdagen med flera kunder. Säkerhet ska dock ej bygga på att den är okänd, utan vara så bra att även om den är kartlagd så går den inte att knäcka.
Fysisk säkerhet avslöjad |
Gunnebo påpekar delvis detta i DN:s artikel om läckan:
“Jag har förståelse för att man kan se ritningar som känsliga, men vi betraktar dem inte som känsliga per automatik. När det gäller kameror i offentlig miljö, till exempel, är halva poängen att de ska synas därför är en ritning med kameraplaceringar i sig inte särskilt känslig.”
Sedan är generellt inte kriminella några filmiska genier i stil med Hollywood-filmer, utan förlitar sig på våld mot personer och installationer för att forcera fysisk säkerhet. Kännedom om exakt modell på ett säkerhetsskåp kommer inte förändra något och även om man vet vilken modell på grind en anläggning skyddas av inomhus (där man inte bara kan köra en lastbil genom hindret) är det likt förbannat vinkelslip eller skärsvets som krävs, vilket är svårt att göra snabbt och utan att det märks så att motåtgärder anländer och konsekvensutsätter brottslingarna.
Intrånget är allvarligt men security by obscurity is no security. Säkerhet måste vara så stark att inte ens en läcka av ritningar och utrustning ska innebära ett problem.
Om säkerheten på t ex riksdagen inte fungerar om man känner till hur den är uppbyggd, så bör någon få sparken. Och då inte på Gunnebo. Tänk liksom om skyddsvakternas vapen skulle bli stulna från Rosenbad och regeringskansliet, något sådant kan ju bara inte hända om inte ritningarna läcker ut på Internet.
I en värld där alla går omkring med en kamera maskerad som en mobiltelefon så är det omöjligt att dölja något. Den största säkerhetsrisken förblir alltid den egna personalen. Och Gunnebo gör förstås rätt som inte betalade för att inte informationen skulle publiceras. Några garantier mot att inte informationen skulle hamna i orätta händer finns ändå inte. Sedan kommer förstås Gunnebo ha lite motigt med kunder framöver, både affärsmässigt och juridiskt. Vi får väl se om det blir någon marknadsreaktion när börsen öppnar.
Nu vet kunderna åtminstone att deras fysiska säkerhet är publik, om de nu hade förlitat sig på att den skulle vara hemlig för att fungera.
Vi avrundar väl med min översättning från Midvintermörker av Sun Zis Krigskonsten:
“Krigskonsten lär oss att inte lita på sannolikheten att fienden inte kommer, utan på vår egen beredskap att möta honom; inte på chansen att han inte anfaller, utan istället på det faktum att vi gjort vår position ointaglig.”
45 kommentarer
Om säkerheten är så stark att en läcka inte är ett problem, så borde säkerheten varit så stark att en läcka inte kunde ske.
Två koncept som du nog har missat att betänka här är "lägg inte alla ägg i samma korg" och "lagen om avtagande avkastning".
Varför skulle jag ha missat dem? Inte jag som lade alla ritningar på samma ställe. Och huruvida Gynnebo kommer att ha tjänat på bristande it-säkerhet återstår att se.
Anmärkningsvärt att de ens sparar all information om kunder,. Jag arbetar på säkerhetsföretag och vi raderar kunddata just pga denna anledning. Informationen bör finnas hos kunden (dvs utspridd).
Är det Håkan Buskhe som poserar på bilden?
Aha. De har ett Franz Jäger! Jag har en plan ..
Security by obscurity fungerar väl i de flesta fall utmärkt i praktiken? Inte ensamt, men som en del av försvarsförmågan.
Här på bloggen behandlas ju ofta exempelvis försvarsmakten och vikten av hur delar av deras verksamhet hålls hemlig.
Det är väl eg bara i rena utvärderingar av kryptoalgoritmer som man räknar bort obscurity helt.
Säkerheten ska givetvis inte knäckas av att strukturen avslöjas, men vi kan nog var aganska säkra på att nu röjda säkerhetsinstallationer kommer att uppdateras/modifieras för att inte stämma 100% med vad som läckt. Varför? För att öka säkerheten ytterligare mha obscurity.
Håll två tankar i huvudet samtidigt.
1. Om din säkerhet bygger på att ingen känner till den så är den för dålig
2. Finns ingen anledning att sprida den ändå, men om den sprids – vilket kommer hända förr eller senare – så ska det inte spela någon roll
Oklart vad du menar med "bygger på". Självklart ska inte obscurity inte vara den enda komponenten i ett säkerhetssystem. Eller ens vara grundmuren. Men obscurity kan, och i flesta fall bör, vara en komponent i helheten som höjer säkerheten ytterligare. Jag vill hävda att det tillför relativt mycket säkerhet i relation till hur mycket det kostar.
Överallt där man vill ha maximal säkerhet (militär, personskydd, larm, övervakning av kritisk materiell osv) använder man sig av obscurity. Röjs hemlig information sjunker säkerheten och man försöker i den mån det är möjligt att ändra de bitar som röjts.
Det som jag tror ökar utan obscurity är mängden incidenter. Säg att du har adekvat larm/skydd mm. Då tillkommer ändå en kostnad/störning om någon försöker, om de inte vet var du finns eller vad du har att skydda så slipper du många.
Det som är känsligt är väl att all information finns praktiskt sammanställd på ett ställe. Av samma anledning är det olagligt för exempelvis MÖPar att kartlägga försvarets anläggningar och resurser. Men det kanske är nya tider nu, så att det är bättre att publicera allt offentligt, och sen arrangera försvaret utifrån det. Lite Open Source tänk.
Har sett några IT-haverier på nära håll och läst om ytterligare fall och det finns ett mönster som går igen: Företagsledningen är fullständigt okunnig och dessutom livrädd för allt som har med IT att göra. Man brukar vara ytterst noga med att IT-chefen också skall vara inkompetent så att h*n inte kan få resten av ledningen att framstå som idioter. Personer med kompetens betraktas som ett direkt hot eftersom de efter skandaler kan vittna om inkompetensen hos de andra perukstockarna i ledningen.
Som CIO är jag självklart kränkt av ditt inlägg. 🙂 Allvarligt dock så ligger det nog en viss del i det du säger, men jag skulle vilja lägga till att ur min erfarenhet så finns det en vilja från ledning/styrelser att man ska agera säkert, att it-system och rutiner osv ska vara top-notch – och det finns ofta pengar för den typen av investeringar (det är ofta egentligen relativt lite pengar jämfört med omsättning totalt). Där det inte finns en förståelse, och där CIO/IT-chef oftast är fel person för att kunna påverka ledningen åt rätt håll är att informationssäkerhet är mycket mer än bara rätt konfigurerat DMZ och uppdaterade brandväggar. Som Cornu skriver är det personal som är det största läckan och för att komma till rätta med det krävs omfattande utbildning för alla medarbetare, kontinuerligt. Och det kostar pengar. Massor med pengar. I de fallen finns det alltid en CFO eller nån liknande pengavändare som står där och tycker att det är overkill och för dyrt. Vilket i sin tur leder till att man ofta har state-of-the-art-utrustning samtidigt som medarbetare lämnar sina datorer olåsta på Starbucks…
Det där resonemanget känner jag igen från folk som är så djupt nere i sin stack så att de knappt överhuvudtaget kan kommunicera med någon utanför den. Så kallar man ledningen inkompetent för att de inte vill prata patchar på ledningsgruppsmötet.
OCh ovanstående var till Chipp 🙂
Sen finns det ju massor med exempel där varken VD/GD eller CIO/IT-chefen har nån koll på vikten av fungerande it- och informationssäkerhet. tex Transportstyrelsen
Ja, precis som jag dagligen ser motsatsen också. Där en IT chef har lyckats få ledningen att plöja ner alldeles för mycket pengar och tid i att bygga ett Fortnox för ett bolag där 1/10 av insatsen hade räckt.
Att känna till sin kontext är allt.
Mmmm Lena… Du låter som en typisk inkompetent VD som skaffat en IT-chef att skylla på. Om ledningen fungerar är det deras skyldighet att skaffa en IT-chef som också fungerar. Simple as that. IT-frågor är ledningsfrågor och inget som kan delegeras till tekniker.
Yes C-N men allt landar på samma ställe: IT-frågor ÄR ledningsfrågor som ledningen måste ta direkt ansvar för och inte delegera till tekniker. När man säger det till dem ser de ut som om de skall få ett femliters fotogenlavemang…
Har varit på mer än en ett ställe där utvecklarna har admin-rättigheter på driftsystemet för att det är enklare att felsöka och patcha samt skrivrättigheter på alla ansluta delningar. Är det då någon som blir lurad och får in en ransonware så blir skadan stor så jag är tyvärr inte alls förvånad att sådant här inträffar.
@Chipp
Och du låter som en IT-ansvarig för 15 år sedan. Om vi byter ämne till att se till att IT arbetar med att effektivisera leveranser, jobba med ökad kvalitet, hitta kostnadseffektva lösningar, en lagom säkerhetsnivå så att användarna faktiskt kan arbeta – då är det inte lika kul längre. Då säger du säkert att det är någon annan ansvar att se till att de förutsättningarna finns?
Hej Lena – jag har slut på förolämpningar så jag tvingas hålla mig till saken… förargligt.
De problem och haverier jag sett har alla skett i miljöer där gamla mogna industrier och institutioner tvingats till modernisering av sin informationshantering. Typiskt banker, myndigheter och mogna industriföretag. Jag har också sett ett antal välfungerande moderna företag som är helt i takt med sin omvärld men de ger inte lika roliga skandaler.
Nu vet man väl inte hur detta gick till exakt, social engineering för att få in ransomware med ett listigt utformat mail som kanske såg ut att komma från vd, spoofad mobilnr/klonad mobil för att slå ut 2-faktor eller en ren kopiering av en oärlig eller utpressad anställd.
Rimligt 😉 Då går vi tillbaka till diskussionen.
Jag har också sett min beskärda del av katastrofer. Där man konsoliderar superkänslig data hos Saas-leverantörer utan att förstå att man just har öppnat en direktlinje för utomstående rätt in i företagets hjärta.
Där man arbetar stenhårt med att hemlighålla saker för marknaden, och internt me ninte förstått att det är helt oviktiga saker(då allt går att hitta via öppan källor). Där enda stora risken är ransomware – men det ignorerar man.
Sett säkerhetsavdelningar där man inte brytt sig om felkonfigurerade Sharepoints för man tycker inte att det är problem – medans börspåverkande data ligger öppet för hela bolaget.
Dit jag vill komma är att man måste förstå hotbilden för sitt bolag. Det finns inga lösningar som passar alla.
Exakt SB – och vi vet inte vad som finns kvar. De som tagit sig in och försöker utpressa ett hyggligt stort företag vore idioter om de brände allt krut i ett enda offentliggörande. Med minsta lilla överlevnadsinstinkt skulle de hålla på de saftigaste bitarna och sen återkomma till företagsledningen med förnyade önskemål. Om företaget är tillräckligt misskött kan det finnas listor med lösenord och i riktigt otrevliga fall defaultlösenord som används av företagets tekniker.
Den här kommentaren har tagits bort av skribenten.
@Sjunkbomben
Det är ju ofta mindre avancerat än man vill tro. Tittar men på den stora Über-läckan så var det ju helt enkelt så att utvecklare hade publicerat ett publikt repository på GitHub, det man missade var att det innehöll användarnamn och lösen på Über.
Det blev rakstäcka in för hackare som stal 57 miljoner kunders info.
Kollar man Norsk Hydro fallet så var det en trojan via email. Dock med det ganska ovanliga undantaget att kompetenta hackare sedan utnyttjade det hela genom att pusha ut nya ransomware via Hydros egna domän.
Det man ofta missar i alla dessa fallen är ju att själva IT-attacken som sådan är ganska ointressant för den som attackerar. De är sofistikerade nog att göra pengarna på börsen istället då de kan bestämma när ett bolag ska attackeras och när det ska 'friges'.
Samt men ingen säkerhet är 100% (alltid en kompromiss av kostnad, funktion och säkerhet) och med en inventering av skyddsåtgärder ökar risken för att t.ex en känd/okänd sårbarhet identifieras. Även tidsaspekten är viktig för upptäckt och respons och med alla detaljer går ett angrepp snabbare. Informationen kan i sig också locka till sig angripare. Sekretess är förstås bara en del av helheten och säkerheten ska förstås inte fallera enbart pga en publicering för då har man nog kompromissat väl mycket.
Jag jobbade på "ett skyddsobjekt" förut. Grinden gick att rycka upp, det fanns ett stort hål i staketet, det fanns fönster som hade glömts öppna, det fanns fönster med dåliga lås som behövde bara lite handkraft att rycka upp och det fanns olåsta containers med datorer etc. på området. Problemen finns dock inte längre kvar.
Universitetet hade den allra sämsta säkerheten av alla ställen som jag har jobbat på, vem som helst kunde släppas in av "snälla" ex-jobbare eller städpersonal och nästan alla labb hade dörren olåst och öppen och folk utifrån kunde gå in och fotografera allt utan problem.
Nu jobbar jag på distans, men en person från min privata uppdragsgivare var hemma hos mig på "inspektion av arbetsmiljön" och det såg ut som han smygfilmade, fast jag hade täckt det mesta som är känsligt och som inte tillhör uppdraget, med presenningar. Sedan ringde han två månader senare och sa "jag behöver komma och inspektera lite till". Sedan kläckte han ur sig att han ville komma och inspektera varannan månad i fortsättningen, för att jag ska få leverera till dem. Jag sa nej till fortsatta inspektioner. Redan tidigare kom det ett krav att skicka all dokumentation som inte tillhörde uppdraget och min privata laptop till dem omedelbart.
Som en liten romantisk spionnovell.
Försökter föreställa mig hemmakontoret, med presenningar över bohag och familj. Stående i vardagsrummet försöker Inspektören klumpigt förföra Uppdragstagaren, med önskemål om intim "dokumentation som inte tillhör uppdraget".
Poidel, jag misstänker att du sett på för mycket vuxenfilm.
Efter "pizzabudet" och "poolskötaren" kommer nu "säkerhetskonsulten". Modernisering.
Marjattas inlägg är alltid roliga att läsa. Oftast annorlunda och ofta smågalna 😄
Jag har ingen familj, men jag är min egen poolskötare. Jag faktiskt mycket egenutvecklad "mätutrustning" hemma, så stället är ganska belamrat och det finns väldigt lite utrymme för några "intima relationer". "Inferno" kallar kompisen som bor i gäststugan mitt hus.
Jag blev faktiskt anklagad för spioneri på universitetet av en "utländsk medborgare" , som blev arg på min forskning och började jaga mig i kafferummet och förhöra mig om vilken mätutrustning som "vi" hade placerat nära hans lands gränser. Han påstod att jag, min uppdragsgivare och deras uppdragsgivare jobbade åt en "främmande makt" och "ville förstöra hans land genom en förebyggande militär attack".
Sedan kom flera medarbetare fram till att min forskning "väckte anstöt och inte passade till universitetet". Så jag sa upp mig och universitetet gick miste om mina feta Overhead. En bidragande orsak var att enheten drabbades av stora underskott och jag och andra externt finansierade skulle dela på det och jag skulle därmed tvingas att dra in två årslöner, vilket jag och min uppdragsgivare inte gick med på. Men vi har fortfarande samarbete och personalen där är fortfarande förbittrad över mitt svek och utebliven Overhead (som brukar vara mellan 30-70% påslag på lönen).
Apan! Man behöver inte vara galen för att bli uppfinnare och "djävulens vetenskapsman", men det underlättar! Mitt tänkande följer inte normala banor, det är sant.
Ja visst är det spännande att arbetsgivare helt plötsligt har blivit intresserade av att inventera hemarbetsplatsens å att den uppfyller säkerhetskrav och ergonomiska krav. Att arbetsplatsen på kontors-kontoret inte är i närheten att uppfylla samma krav tycks spela mindre roll….
Hur står sig Sverige generellt när det gäller IT-säkerheten? Internationell toppklass – eller kanske inte?
Samma kriminella påstås ha gjort samma sak med ThyssenKrupp System Engineering vilket är en ännu större läcka.
https://securityaffairs.co/wordpress/108840/malware/mount-locker-ransomware.html
Ett finskt företag, som behandlar folk med psykiska problem, "Vastaamo", blev hackat och klienternas journaler spreds på Internet och de krävdes på pengar och utsattes för ID-stöld.
Har oxå jobbat i omgångar inom försvarsindustrin. Förr var det ett jättelikt kassaskåp på rummet som gällde, och ett tomt skrivbord när man inte är där.
Numera är det fortfarande ett tomt skrivbord, med en laptop där man måste logga in 3 ggr. Först på pc'n, sen 2 ggr till olika virtuella miljöer & servrar som inte har förbindelse med internet, och där all info finns. Inga gula lappar med pwd's, och en pc som är så fullproppad med antivirus att man knappt kan göra någonting…
Hmm, är det inte så att om det inte är skyddsobjekt eller sekretess pga något… så kan man alltid gå till plan&bygg/stadsbyggnadskontoret på kommunen och få ut ritningar på i princip vilken byggnad man vill som krävt bygglov för att genomföra. Nu är det ju iofs bara det som krävs för bygglovet som är redovisat på de handlingarna. Men ändå…
När en av de högre cheferna frågar vem den där "noreply" är…
Så förstår att det varnas för konstiga mail med länkar…
Huvudkontoret Gunnebo, sommaren 2020. VD: Corona slår hårt, vi får inga nya kunder. CIO: Tror jag har en lösning, vad sägs om att alla våra kunder tvingas köpa en "uppgradering"? VD: Bra Berra, vi kör på din ide!