Kartläggning: De utsätts för flest it-attacker i Sverige

2017-05-17 06:01  

Svenska kommuner, universitet och högskolor är särskilt utsatta för it–attacker. Det visar listan över de svenska verksamheter som fått flest varningsmejl från MSB de senaste åren.

Ny Teknik har granskat 6 315 säkerhetsmeddelanden från krisberedskapsmyndigheten.

Via internationella datakällor får Cert.se, krismyndigheten MSB:s it-incidentorgan, dygnet runt ett inflöde av information om huruvida svenska datorer infekterats eller angripits via nätet. Men man får också underhandsinformation, om man lovar att inte avslöja källan (Non Disclosure Agreement.)

– Det är exempelvis vanligt att svenska ip–adresser kan ha påträffats i samband med att botnät hittats någonstans i världen, säger Robert Jonsson, ställföreträdande chef för Cert.se.

Botnät är infekterade datornätverk. Svenska datorer kan alltså ha infekterats med trojaner (spionprogram), som kan stjäla känslig information, skapa sabotage eller utnyttja datorerna i andra, större cyberattacker. Men datorerna kan också ha förslavats att skicka skräppost.

I april skickade Cert.se exempelvis ett säkerhetsmeddelande till ett företag om att sårbarheter förknippade med gamla versioner av molntjänsten Own Cloud hittats i verksamhetens it–system. Om säkerhetshålet utnyttjades riskerade hela nätverket att komprometteras.

Läs mer:

Läs mer: ”Lösenord läckte från partimedarbetares jobbdatorer”

Men Ny Teknik kan i dag avslöja att det är kommunerna som i särklass toppar listan över de instanser som Cert.se de senaste åren skickat flest varningsmejl till.

– Att skicka säkerhetsmeddelanden innebär att vi medvetandegör svenska verksamheter om att de kan vara utsatta för angrepp, säger Robert Jonsson.

Ny Teknik har begärt att få ta del av statistik över MSB:s varningsmejl från de senaste fem åren.

Hittills har Cert.se lämnat ut siffror från maj 2013 och fram till och med mars i år, 2017. Namnen på varje mottagare och dr utsatta ip–adresserna har sekretessbelagts – men tidningen har fått uppgift om antal mejl, när de skickats och till vilken kategori av verksamhet.

Antal säkerhetsmeddelanden denna period uppgår till 6 315 stycken. Och i nära hälften av fallen är mottagaren en svensk kommun (2 838 stycken).

– Det är känt att kommuner har bristande it–säkerhet. Men jag förvånas över att de toppar listan med så stor marginal, säger Robert Jonsson.

Näst härefter kommer universitet och högskolor som fått 938 varningsmejl – och på tredje plats webbhotell, som mottagit 803 stycken.

Enligt Jonsson är huvudorsaken till att kommunerna toppar listan, att de liksom lärosäten har många tusentals användare i sina nät som riskerar klicka på infekterade länkar, hemsidor eller Facebookmeddelanden, eller använda sina lösenord slarvigt.

Samma skäl anger Björn Söderlund, representant för SKL, Sveriges kommuner och landsting och utvecklingschef i Lidingö stad, utanför Stockholm.

Läs mer:

Läs mer: Det här vet vi om Wannacry-attacken

Varför skickas så många säkerhetsmeddelanden till kommunerna?

– I kommunernas it-miljöer rör sig många, många medborgare och anställda. Man måste ställa den höga frekvensen i relation till antalet användare i näten.

– Generellt sett har kommuner och exempelvis universitet och högskolor öppnare nät, vilket påverkar och gör att de blir mer exponerade för olika it-hot.

Men måste de inte ta med detta i planeringen och gardera sig för det?

– Jo, de måste förmodligen ha bättre säkerhetsskydd. Om exponeringen ökar via mobiler, laptops och surfplattor, behöver man mer omfattande skydd, nå högre nivå.

Är kommunernas nät speciella mål för angripare?

– De skulle kunna utnyttjas som verktyg för att komma åt annat, som kritisk infrastruktur. Men jag vill inte spekulera i det.

Björn Söderlund understryker dock att alla svenska verksamheter måste vara betydligt mer vaksamma framöver.

– Utmaningarna ökar för alla organisationer, i takt med att brottsligheten ökar. Vi måste jobba mer och mer med säkerhet.

Ibland sker det också toppar i utskicken av varningsmejl. I november 2013 exempelvis mejlade Cert.se ut 288 meddelanden till olika kommuner.

Handlar detta om massutskick?

– Nej, vi gör inga massutskick, vi mejlar bara om någon blivit utsatt, uppger Robert Jonsson. Vad som ligger bakom topparna har inte Cert–se analyserat, men sannolikt har de kopplingar till något stort hack, allvarliga säkerhetshål eller att omfattande dataintrång avslöjats i världen.

MSB får dock ingen heltäckande information om alla it-hot mot svenska verksamheter via sina datakällor, Dessutom mejlar man bara en verksamhet en gång per vecka, även om den svenska ip–adressen angripits flera gånger samma vecka. Man vill inte trötta ut mottagarna, är förklaringen.

– Våra säkerhetsmeddelanden ger bara en fingervisning av vad som rör sig under ytan i cybermiljöerna. Det finns ett stort mörkertal när det gäller it–angrepp i statistiken. Många förblir oupptäckta, säger han.

Nästa it-hot, som lurar runt hörnet, hur ser det ut?

– Det vi nu är oroliga för är det ska komma en större våg av ransomware som kidnappar filer och avkrypterar dem mot betalning. En mask som sprider sig betydligt snabbare än vanliga virus, säger Robert Jonsson bekymrat.

Och i helgen smällde det. Över 200 000 datorer i 150 länder drabbades av Wannacry, en mask som utnyttjar ett känt säkerhetshål i Windows.

– Wannacry är precis den typ av mask som jag – och många med mig – har befarat ska komma, säger han.

 

Fotnot: (Cert är en förkortning av engelska benämningen Computer Emergency Response Team).

Prenumerera på Ny Tekniks kostnadsfria nyhetsbrev!

”Så varnas svenska medier, företag och myndigheter”

Uppgifter om sårbarheter rörande svenska datorer och nät, får Cet.se via stiftelser, organisationer eller företag såsom Shadowserver, Zeustracker, Malwarepatrol, DroneBL och Autoshon. 

De mejlas vidare till ägarna av de berörda ip–adresserna. Det sker form av så kallade säkerhetsmeddelanden, som antingen sänds automatiskt via systemet Megatrone eller manuellt av MSB–anställda, och når kontaktpersoner på exempelvis statliga myndigheter, banker, kommuner, webbhotell, samhällsviktiga företag, mediehus, landsting, riksdagspartierna eller internetleverantörer.

Det finns i dag ip–adresser som hör till omkring 700 svenska verksamheter inlagda i Megatrone.

 

Exempel på säkerhetsmeddelande:

---

Det tyska företaget Nextcloud GmbH har utfört skanningar efter installationer med gamla versioner av ownCloud som finns öppet tillgängliga på Internet. ownCloud är en programsvit för att köra egna instanser av molntjänster för synkronisering och delning av data.

Den innehåller sårbarheter som kan utnyttjas för att få obehörig åtkomst till data som lagras i systemet.

En angripare kan potentiellt få tillgång till känslig information så som privata dokument, bilder eller kunddata från företag.

Säkerhetsbristerna kan även utnyttjas för att exekvera godtycklig kod på molnservern vilket potentiellt leda till en full kompromettering av systemet.

Nedan listas de system som påträffats i ert nätverk.

Tidsstämpeln (tidszon UTC) visar när den sårbara installationen identifierades. Dessutom visas även en angiven risknivå för varje påträffat system. Sårbara installationer i ert nät:

P-adress: IP-ADRESS

Port: 80

Datornamn: XXX

Alt. datornamn: XXX.XXX

Tidsstämpel: 2017–04–03 01:54:49 UTC

Installerad version: 6.0.2.2

Risknivå: critical

Kontakta oss gärna vid frågor.

Vanliga frågor och svar

–-

CERT–SE har funnit att en eller flera datorer i ert nätverk finns med i en RBL–lista (realtime blacklist).

En IP–adress kan hamna i en RBL–lista om skräppost (spam) har skickats från adressen eller om e–postservern är felkonfigurerad.

I vissa fall rör det sig om infekterade klientdatorer som ingår i ett botnät, men i allvarligare fall kan e–postservern ha tagits över av "spammare".

Det kan också röra sig om så kallat "backscatter" då även korrekt konfigurerade e–postservrar kan hamna i en RBL–lista.

Mer info: Wikipedia.  http://en.wikipedia.org/wiki/Backscatter_%28e–mail%29.

Det finns en antal webbplatser där en IP–adress kan kontrolleras mot ett flertal RBL-listor: Mtoolbox och Antiabuse.

IP-block: XXXX

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt