IT sikkerhed og 5G

Om overvågning og 5G se mere her:
https://nejtil5g.dk/dokumenter/overvaagning-og-5g/
Se også under Internet of Things (IoT):
https://nejtil5g.dk/5g/internet-of-things-iot/

Indhold:
– Retsssikkerhed
– Den generelle sikkerhedsrisiko
– Hvordan sikrer vi os?

Retssikkerhed

Hvordan digitaliserer vi uden at skade vores retssikkerhed?
Niels Fenger, Folketingets Ombudsmand, FOB 2019
Digitaliseringen af den offentlige forvaltning rummer store muligheder. Men en række eksempler viser også, at uigennemtænkte IT systemer kan skade borgernes retssikkerhed. Om budsmanden opprioriterer sin indsats på området.
www.ombudsmanden.dk/findviden/fob-artikler/hvordan_digitaliserer_vi/

Den generelle sikkerhedsrisiko

Med en 32. plads står det skralt til med cybersikkerheden i Danmark.

Ifølge Global Cybersecurity Index 2020 (CGI), som netop er udsendt, får Danmark får en kedelig 32.-plads på indekset, lige efter Kasakhstan. Bag målingen står FN-agenturet International Telecommunication Union (ITU).(1)(2)
Som John Michael Foley (3) skriver i et opslag på linkedIn:
“I stedet for at gøre noget ved problemet er holdningen, at der skal igangsættes endnu flere tvangsdigitaliserede løsninger og projekter, hvor befolkningens data og oplysninger tages som gidsler. Især sundshedsdata og personlige oplysninger fra hver enkelt af os planlægges anvendt og samkørt, jf. den nye Life Science Strategi, der netop er udsendt og godkendt af regeringen. (4) Med hovedet under armen og tankeløst fortsætter politikerne og techgiganterne samt de profitivrige deres bestræbelser, uden omtanke og smålig skelen til at Danmark er blevet et land, der ikke tager hensyn til borgernes sikkerhed og beskyttelse af personlige oplysninger, tvangslagret i tusindvis af registre og servere.
De 31 lande, der får bedre karakterer end Danmark
I ordnet rækkefølge er det: USA, UK, Saudi-Arabien, Estland, Sydkorea, Singapore, Spanien, Rusland, De Forenede Arabiske Emirater, Malaysia, Litauen, Japan, Canada, Frankrig, Indien, Tyrkiet, Australien, Luxembourg, Tyskland, Portugal, Letland, Holland, Norge, Mauritius, Brasilien, Belgien, Italien, Finland, Egypten, Indonesien, Vietnam, Sverige, Qatar, Grækenland, Østrig, Polen, og som nævnt Kasakhstan.
Life Science Strategi
Af pressemeddelelsen fra den 16. april kan vi læse at fokus primært er på BNP potentialet, pakket ind i nogle pæne ord om grøn omstilling. Sundhedsministeriet skriver bl.a.:
Siden 1990 er life science-industrien blevet ni gange større målt på bidrag til landets BNP, mens industriens CO2-udledning er halveret. Men industrien rummer fortsat et stort potentiale, og derfor præsenterer regeringen nu 38 konkrete initiativer, der omfatter hele økosystemet omkring life science-industrien. Initiativerne skal sikre, at Danmark står stærkt i den globale konkurrence på området, og at life science-industrien i endnu højere grad er til gavn for patienter, borgere og det danske velfærdssamfund. Regeringen foreslår en række initiativer inden for syv hovedområder. Initiativerne skal blandt andet skabe bedre rammer for forskning og udvikling på sundhedsområdet, sikre bedre anvendelse af de danske sundhedsdata under hensyntagen til høj databeskyttelse og fortrolighed, understøtte det danske sundhedsvæsen som udstillingsvindue, sikre højt kvalificeret arbejdskraft, hjælpe eksportvirksomheder på de globale markeder, understøtte den grønne omstilling og styrke det offentlig-private samarbejde.” (5)
Kilder:
1) https://www.version2.dk/artikel/ny-maaling-danmark-bagdelen-fjerde-division-cybersikkerhed-1092908
2) https://www.itu.int/en/myitu/Publications/2021/06/28/13/22/Global-Cybersecurity-Index-2020
3) John Michael Foley er uddannet militærteknisk- og sikkerhedsofficer med it- og cybersikkerhed som speciale. Han er stifter af rådgivnings- og it-sikkerhedsvirksomheden COPITS.
4) Strategi for life science:
https://sum.dk/Media/637541521670727421/Strategi%20for%20life%20science.pdf
5) Pressemeddelelsen:
https://sum.dk/nyheder/2021/april/ny-strategi-skal-loefte-dansk-life-science-op-i-verdensklasse-og-sikre-endnu-bedre-patientbehandling

5G, IoT Security and … Oh, Look, a Dancing Robot!
Mens 5G har været et varmt emne på den årlige Mobile World Congress (nu forkortet til kun MWC Barcelona) i de sidste par år, synes 5G-sikkerhed at være faldet ud ved vejkanten. Der er normalt nogle paneler om emnet, men diskussionen har været domineret af de prangende, nye teknologier og apps, som 5G vil muliggøre – ikke de utallige sikkerhedsrisici, der følger med disse smukke, glitrende ting. ”Fremtidigt it-miljø skal også sikre mange IoT-enheder, der begynder at omgive os,” sagde Check Point-administrerende direktør Gil Shwed på sit virksomheds indtjeningsopkald i sidste måned. ”For ikke at nævne de mobile enheder, som jeg mener er den største trussel mod vores privatliv og sikkerhed i dag. Samlet set tror jeg, at mængden af aktiver, vi skal sikre, vil øges ti gange i de kommende tre til fem år, men det er mere end bare den mængde aktiver, vi skal sikre.”
Der er også problemet med skalerbarhed. ”Hvis du går fra at administrere og sikre 50.000 enheder til 200.000 enheder, skal du pludselig nu kende til forskellige slags enheder, forskellige slags protokoller og følge de forskellige sårbarheder omkring disse enheder,” sagde Jon Oltsik, senior hovedanalytiker og grundlægger af Enterprise Strategy Groups cybersikkerhedstjeneste. “Vi har allerede en dyb mangel på cybersikkerhed, så det kan være en vanskelig opgave at finde folk, der har den tværfaglige viden om cybersikkerhed og IoT.”
https://www.sdxcentral.com/articles/opinion-editorial/5g-iot-security-and-oh-look-a-dancing-robot/2019/02/

EU’s risikovurdering af cybersikkerheden i 5G netværk

Fra Pressemeddelelse fra Europa-Kommissionen og det finske formandskab for EU-Rådet den 9. oktober 2019
Udrulningen af 5G-net forventes især at få følgende virkninger:

  • Øget eksponering for angreb og flere potentielle adgangssteder for angribere: Eftersom 5G-net i stigende grad baseres på software, er der stadig større risiko for alvorlige sikkerhedsbrister, bl.a. som følge af leverandørernes svage softwareudviklingsprocesser. Det kan også blive lettere for trusselsaktører at indsætte bagdøre i produkter og gøre dem sværere at opdage.
  • På grund af ny funktioner og nye egenskaber i 5G-netarkitekturen bliver visse dele af netudstyret eller ‑funktionerne mere følsomme, f.eks. basisstationer eller centrale tekniske netforvaltningsfunktioner.
  • Øget risikoeksponering som følge af mobilnetoperatørernes afhængighed af deres leverandører . Det vil også kunne føre til et større antal angrebsveje, der kan udnyttes af trusselsaktører, og øge den potentielle alvor af sådanne angreb. Blandt de forskellige potentielle aktører betragtes lande uden for EU og statsfinansierede grupper som de groveste og mest tilbøjelige til at angribe 5G-net.
  • På baggrund af den øgede eksponering for angreb, der skyldes leverandører, vil den enkelte leverandørs risikoprofil blive særlig vigtig, herunder sandsynligheden for, at leverandøren udsættes for interferens fra et ikke-EU-land.
  • Øget risici som følge af større afhængighed af leverandører: En stor afhængighed af en enkelt leverandør øger risikoen for en potentiel forsyningsafbrydelse, f.eks. hvis virksomheden går ned, og det forværrer også konsekvenserne heraf. Det forværrer samtidig de mulige konsekvenser af svagheder eller sårbarheder og af deres mulige udnyttelse af trusselsaktører, især når afhængigheden vedrører en leverandør, der udgør en høj risiko.
  • Trusler mod nettenes tilgængelighed og integritet vil blive et stort sikkerhedsproblem: Eftersom 5G-net ventes at blive rygraden i mange kritiske It-applikationer, vil nettenes integritet og tilgængelighed blive vigtige nationale sikkerhedsspørgsmål og en stor sikkerhedsmæssig udfordring set ud fra et EU-perspektiv. Dertil kommer spørgsmål som fortrolighed og trusler mod privatlivets fred.

Sammen skaber disse udfordringer et nyt sikkerhedsparadigme, der gør det nødvendigt at revurdere den nuværende politiske og sikkerhedsmæssige ramme, der gælder for sektoren og dens økosystem. Det er også vigtigt, at medlemsstaterne træffer de nødvendige afbødende foranstaltninger.
Hele rapporten kan downloades fra pressemeddelelsen:
https://ec.europa.eu/commission/presscorner/detail/da/IP_19_6049

NOTITS TIL FOLKETINGETS EUROPAUDVALG
EU’s risikovurdering af cybersikkerheden i 5G netværk
Hovedelementerne i risikovurderingen er:
– Med 5G forøges angrebsfladen og antallet af mulige angrebspunkter på mellem langt sigt, idet funktionaliteten i nettet gradvist decentraliseres sammenlignet med de nuværende mobilnetværk, hvor kernefunktionaliteten i vid udstrækning er centraliseret.
– 5G består i større grad af mange forskellige softwarepakker, hvorfor udviklings- og op-dateringsprocesser giver anledning til forøget risiko for konfigurationsfejl.
– De nye teknologiske egenskaber i 5G vil forøge mobiloperatørernes afhængighed af under leverandører og øge den sikkerhedsmæssige betydning af forsyningskæden.
– Markedet for teleudstyr udgøres hovedsageligt af en håndfuld globale leverandører. Det øger samlet set sårbarhederne.
– Forsyningskæden kan være særligt sårbar, når der er tale om leverandører under påvirkning af ikke-EU-stater.
25. november 2019.
https://www.ft.dk/samling/20191/almdel/UPN/bilag/51/2116736/index.htm

Rapport: 5G-nettet øger sårbarheden over for cybertrusler.
Når 5G-netværket rulles ud, bliver sårbarheden overfor cyberangreb større, advarer Center for Cybersikkerhed.

Truslen fra hackere og organiserede kriminelle grupper vil være meget høj i Danmark under 5G-netværket, der ventes udrullet de kommende år, lyder advarslen i en dansk risikovurdering af 5G-netværket af Center for Cybersikkerhed.
29. nov. 2019.
https://www.dr.dk/nyheder/politik/rapport-5g-nettet-oger-sarbarheden-over-cybertrusler
https://borsen.dk/nyheder/generelt/rapport-5g-nettet-oeger-saarbarheden-over-for-cybertrusler-1b2di

Center for Cybersikkerhed

Trusselvurderinger
“Forsvarets Eterretningstjeneste vurderer, at danske myndigheder og virksomheder er truet af en omfattende og voksende spionage via internettet. Truslen kommer især fra statsstøttede aktører, der udfører spionage med henblik på at bruge informationer til at understøtte deres egen økonomiske, militære og samfundsmæssige udvikling. Den teknologiske udvikling gør, at cybertruslen er meget dynamisk. Dette stiller store krav til detekionsevne, sikkerhedsforanstaltninger og beredskab.

Det stigende antal IoT-enheder kan føre til flere og mere alvorlige cyberangreb
Der ses i disse år en stor stigning i antallet af enheder, der ikke traditionelt har været forbundet til internettet, som nu kobles på. Nogle estimater anslår, at der inden 2020 vil være mere end 20 mia. nye enheder koblet på internettet, og andre estimater er langt højere. Der er tale om alt fra køleskabe til store industrielle kontrolsystemer, som kobles på internettet.
Der er flere risici forbundet med det stigende antal IoT-enheder, som kobles på internettet, og IoT-enheder anslås allerede nu at være blandt den type af enheder på internettet, der bliver udsat for flest cyberangreb.
Et cyberangreb på en IoT-enhed kan påvirke enhedens funktion eller medføre en kompromittering af det netværk, som enheden er installeret i. Målet er ofte at installere malware på enheden, som gør det muligt for angriberen at fjernstyre den, så den kan udnyttes i andre cyberangreb. Kompromitterede IoT-enheder har typisk været brugt som led i overbelastningsangreb, hvor angriberen retter et meget stort antal enheders netværkstrafik mod en server og derved forsager et nedbrud.
IoT-enheder er ofte sårbare, fordi de bliver udviklet med et specifikt formål for øje, og de netværksfunktioner, som gør det muligt for enheden at kommunikere via internettet, er kun sekundære funktionaliteter. Derfor har enhederne ofte en utilstrækkelig netværkssikkerhed sammenlignet med traditionelt it-udstyr, der er udviklet med henblik på at blive koblet på internettet. Derudover er mange IoT-enheder ikke designet til at kunne modtage sikkerhedsopdateringer. Det betyder, at de sårbarheder, der bliver opdaget i produktets levetid, ikke kan rettes og derfor kan udnyttes af hackere, så længe produktet er i brug. Det er især et problem for IoT-enheder, der er designet til at kunne fungere i flere år uden menneskelig indblanding.”

Trusselvurderingerne kan findes her:
https://fe-ddis.dk/cfcs/publikationer/trusselsvurderinger/Pages/default.aspx

Forsker: 5G har hastigheden, men ikke sikkerheden til kritisk infrastruktur
DEBAT: Angrebsfladen for ondsindede jamming-angreb bliver større med 5G. Derfor skal vi være varsomme med at benytte 5G inden for kritiske områder, mener Birger Andersen, professor ved DTU Diplom.
https://www.altinget.dk/digital/artikel/forsker-5g-har-hastigheden-men-ikke-sikkerheden-til-kritisk-infrastruktur

Hvordan sikrer vi os?

DTU-professor: 5G bør ikke være fremtidens eneste netværk i Danmark
https://www.altinget.dk/digital/artikel/dtu-professor-5g-boer-ikke-vaere-fremtidens-eneste-netvaerk-i-danmark

Hvorfor stjæler de cyberkriminelle personlige data – og hvad skal du gøre, hvis de stjæler dine 🤔Cybersikkerhedseksperten Revi Sen (1) giver i denne artikel fra The Defender nogle nyttige tip til, hvad du bør vide, og hvad du kan gøre, hvis dine personlige data er blevet stjålet. (2)Milliarder af data stjæles verden over hvert år, men hvad sker der med de data, der stjæles?
Destinationen for stjålne data afhænger af, hvem der står bag et databrud. Er datatyvene motiverede til at genere en person eller en organisation, afdække formodede fejl eller at forbedre cybersikkerheden, har de en tendens til at frigive de relevante data til det offentlige domæne.
Gengældelse
Feks. stjal hackere i 2014 stjal hackere bakket op af Nordkorea medarbejderdata fra Sony Pictures Entertainment. Hackerne offentliggjorde derefter e-mails for at gøre virksomheden flov, formentlig som gengældelse for at have frigivet en komedie om et plot om at myrde Nordkoreas leder, Kim Jong Un.
Spionage
Andre gange når data stjæles af nationale regeringer, afsløres eller sælges de ikke. I stedet bruges det til spionage. F.eks. Blev hotelkæden Marriott offer for et databrud i 2018, hvor personlige oplysninger om 500 millioner gæster blev stjålet. De vigtigste mistænkte i denne hændelse var hackere bakket op af den kinesiske regering. En teori er, at den kinesiske regering stjal disse data som en del af en efterretningsindsamlingsindsats for at indsamle oplysninger om amerikanske regeringsembedsmænd og virksomhedsledere.
For det meste handler det om penge
Selvom tyveri af data kan være en national sikkerhedstrussel, handler 86% om penge, og 55% begås af organiserede kriminelle grupper, ifølge Verizons årlige rapport. De stjålne data ender ofte med at blive solgt online på det mørke web.For eksempel tilbød hackere i 2018 mere end 200 millioner poster, der indeholdt personlige oplysninger om kinesiske enkeltpersoner, til salg. Bl.a. oplysninger om 130 millioner kunder i den kinesiske hotelkæde Huazhu Hotels Group.
Salgssteder
Mens det er let at finde salgssteder som Rescator gennem en simpel Google-søgning, kan andre salgssteder på det mørke web kun findes ved hjælp af specielle webbrowsere.Den mest almindelige måde at betale for transaktionen er med bitcoins eller via Western Union. Priserne afhænger af typen af ​​data, efterspørgsel og udbud. For eksempel forårsagede et stort overskud af stjålne personligt identificerbare oplysninger, at prisen faldt fra 4 US $ for information om en person i 2014 til 1$ i 2015.
Hvad bliver de stjålne data brugt til?
Købere bruger de stjålne data på flere måder. (3) Kreditkortnumre og sikkerhedskoder kan bruges til at oprette klonekort til at foretage falske transaktioner. Sociale sikringsnumre, hjemmeadresser, fulde navne, fødselsdatoer og andre personligt identificerbare oplysninger kan bruges til identitetstyveri. For eksempel kan køberen ansøge om lån eller kreditkort under offerets navn og indgive falske selvangivelser.Andre gange købes de stjålne personlige oplysninger af marketingfirmaer eller virksomheder, der specialiserer sig i spam-kampagner. Købere kan også bruge stjålne e-mails i phishing og andre angreb fra social engineering og til at distribuere malware.
Sundhedsdata
I de senere år er sundhedsdata blevet eftertragtede og i nogle tilfælde er motivationen afpresning.Et godt eksempel er tyveri af patientdata fra det finske psykoterapi-praksisfirma Vastaamo. Hackerne brugte oplysningerne, de stjal, til at kræve en løsesum ikke kun fra Vastaamo, men også fra dets patienter. De mailede til patienterne med truslen om at afsløre deres mentale sundhedsregistre, medmindre ofrene betalte en løsesum på 200 euro i bitcoins. Mindst 300 af disse stjålne poster er blevet offentliggjort online, ifølge en rapport fra Associated Press.Stjålne data herunder medicinske eksamensbeviser, medicinske licenser samt forsikringsdokumenter kan også bruges til at skabe en medicinsk baggrund.
Hvornår ved man det, og hvad man skal gøre?
For at minimere risikoen for at få stjålet sine data er det første trin at finde ud af, om dine oplysninger er sat til salg på det mørke web. Du kan bruge websteder som haveibeenpwned og IntelligenceX (4) for at se, om din e-mail er en del af stjålne data. Det kan også være en god ide at abonnere på beskyttelse for identitetstyveri.
Er du blevet et offer for tyveri af data, kan du tage flere skridt for at minimere virkningen: Informer kreditrapporteringsbureauer og andre organisationer, der indsamler data om dig, såsom din sundhedsudbyder, forsikringsselskab, banker og kreditkortselskaber samt skift adgangskoder til dine konti. Anmeld tyveriet til politiet. (5) (6)
Kilder:
1) Ravi Sen er Associate Professor, Management Information Systems, Mays Business School, Texas A&M University
2) https://childrenshealthdefense.org/defender/why-cybercriminals-steal-personal-data-what-to-do/
3) https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/what-do-hackers-do-with-your-stolen-identity
4) a) https://haveibeenpwned.com/ b) https://intelx.io/
5) https://www.tomsguide.com/us/data-breach-to-dos,news-18007.html
6) https://www.borger.dk/internet-og-sikkerhed/Identitetstyveri/Offer-for-identitetstyveri

Please follow and like us: