- Den måste stämma bra överens med verkligheten. Många har dåliga rutiner för att se till så att kablarna är dragna till rätt switchar och rätt portar, och att matcha det mot hur konfigurationer faktiskt ser ut i switchen eller brandväggen. Där upptäcker vi många sårbarheter. Många är också dåliga på att separera sina system, säger han.
Uppsagda snor data
- Många av de utredningar jag gjort handlar om personer som är på väg till en konkurrent eller som ska starta eget under uppsägelsetiden kopierar information som de kommer åt tekniskt men inte har juridisk rätt att komma åt.
- I den typen av utredningar tittar vi inte bara på om någon kartlagt eller kopierat information, utan även på förändringar i användarens beteende. Det är mer en beteendeanalys för att upptäcka avvikande beteenden i datoranvändning.
Peter Bayer har handfasta tips:
- Ominstallera all godkänd mjukvara i telefonerna med jämna mellanrum, och ta bort allt som inte ska vara där. Dels för att det finns sårbarheter i de flesta mjukvaror som med tiden upptäcks och blir kända bland angripare. Dels för att det dyker upp program som inte är sanktionerade av arbetsgivaren i telefonerna, både installerade av användaren och installerade av angripare utan att användaren vet om det.
- På arbetsdatorer kan det vara bra att införa en rutin att formatera om hårddisken en gång per år. Det kostar mycket för en organisation som har väldigt många anställda, så en tanke är att begränsa det till att gälla företagsledningens enheter. Allt är bättre än att inte göra någonting, säger Peter Bayer.
FRA tror på tekniken
Johan Sigholm, forskare på Försvarshögskolan, tror på tekniska hjälpmedel. Ett exempel är tdv, teknisk detektions- och varningssystem, som FRA har tagit fram.
- Det går ut på att FRA sätter en teknisk utrustning mellan internet och myndighetens nätverk där de kan lyssna av och analysera trafiken utifrån olika parametrar. Jag tror att mer statiska skyddsfunktioner som brandväggar, virusskydd och sånt inte riktigt har effekt mot den nya typen av hot som vi ser utvecklas. Vi behöver vara lite mer offensiva, gå in och titta, jämföra och spana.
Spåra läckta dokument
I ett längre perspektiv ser Johan Sigholm en möjlighet att spåra läckta dokument genom så kallad attribution.
- Det går ut på att vi till exempel skulle kunna ha ett samarbete med virusskyddsföretag. Säg att det läcker ett dokument från en organisation och att du har en liten hash-fil, som ett fingeravtryck av filen. Genom samarbeten mellan en myndighet som FRA eller NSA och olika virusskyddsföretag eller tillverkare av operativsystem skulle det gå att spåra filen.
Det här påminner om det amerikanska it-säkerhetsföretaget Mandiants rapport från tidigare i år, som de byggde på att de såg stulna dokument passera datorer som styrdes med hjälp av kinesiska tecken.
Spärra läsmöjligheten
Det finns också sedan länge tekniska skydd mot att personer med systemrättigheter ska kunna se enskilda dokument. Till exempel CA:s program ACF2 och Top Secret samt IBM:s program RACF. Dessa tillhör visserligen stordatorvärlden, men liknande program för så kallad separation of duties (uppdelning av sysslor) finns för våra vanligaste serveroperativsystem också.
Men av de mest uppmärksammade läckorna i modern tid hade sådana tekniska skydd bara kunnat stoppa NSA-läckan Snowden.
Armé-analytikern Bradley Manning, den hemliga källan i den svenska IB-affären och biträdande FBI-chefen Mark Felt som berättade för pressen om Watergate-skandalen var alla insiders med rätt att hantera den information som de valde att läcka.
David Jacoby, it-säkerhetsexpert på Kaspersky, framhåller två problem: Dels vet inte alla vilken information de har i företaget. Dels är det många som inte vet vad de vill skydda.
- Då blir det svårt att ta kloka beslut om hur det ska skyddas och mot vad, säger han.
Innehållsförteckning
Under arbetet med den här artikeln växte det fram en bild av att USA gärna vill peka ut Kina som den största aktören bakom cyberspionage. I Verizons rapport klassas tjugo procent av de 621 analyserade dataintrången som cyberspionage. Kina pekas ut som förövare i 96 procent av fallen. I övriga fyra procent av fallen är förövaren okänd. De personer vi intervjuade för artikeln bekräftade i stort den bilden.
Bilden som växte fram var att den stora mängden cyberspioneri bedrevs av Kina i form av industrispionage. Deras verktyg är lätt modifierade versioner av vanligt förekommande trojaner och liknande verktyg. USA, Storbritannien och Israel antas av många bedriva mer småskaliga men tekniskt mycket mer avancerade cyberspionage med specialskrivna verktyg, till exempel Stuxnet. Deras spionage är främst politiskt och militärt.
Vi bad den kinesiska ambassaden om en kommentar om anklagelserna och fick i maj ett artigt svar skrivet av Kinas utrikesministerium: ”Kina fäster stor vikt på cybersäkerhet och utsätts själv för många allvarliga attacker [...] Cyberrymden behöver inte krig utan regler och samarbete.”
Sedan kom Snowden.
Det är värt att notera att Verizon är ett av de bolag som givit NSA tillgång till sina servrar.
Det är också värt att notera att cyberspionaget i Verizons rapport uteslutande gäller data i vila eller under bearbetning, aldrig i rörelse. Enligt NSA-läckan Snowden är det just genom hackande av internet-routrar som USA bedrivit sitt cyberspionage mot Kina.
