Omvärldskollen april 2024

Omegapoints månadsrapport sammanfattar ett urval av de säkerhetshändelser och händelser inom cybersäkerhet som skett senaste månaden.

Under april har Försvarsmakten intensifierat sitt arbete med, och inom, NATO. Sverige och Finland har bland annat samarbetat kring att försvara sig mot drönare på fartyg i övningen Freezing Suns – den första finska marinövning sedan Finland blev officiell medlem i NATO. Under april har det även presenterats att brigadgeneralen Torbjörn Sahlin blir Sveriges första Natogeneral. 

En undersökning från DN/IPSOS visar att väljarnas förtroende för det svenska försvaret ökat kraftigt. Under de två senaste åren har undersökningar påvisat en starkt positiv kurva, där 38% av de tillfrågade svarar att de har ett stort förtroende till att det svenska försvaret kan försvara landets gränser. Det finns en tydlig förklaring till ökningen då Sverige blev fullständig NATO-medlem den 7 mars 2024, samt på grund av de senaste årens försämrade säkerhetsläge i Sverige och omvärlden. År 2017 återinförde regeringen skyldigheten att mönstra och genomföra grundutbildning med värnplikt. Detta efter att den varit vilande under fredstid sedan år 2010. 

Sverige har under de senaste åren utsatts för omfattande desinformationskampanjer. Under år 2022 spreds desinformation om att den svenska socialtjänsten kidnappar barn och förra året fick koranbränningarna stort fokus i internationell media vilket bidrog till ett spänt diplomatiskt läge. Under hösten reste utrikesministern Tobias Billström till FN:s toppmöte i New York med målet att återställa tilliten för Sverige efter en turbulent sommar. 

Regeringen har fått ett omfattande arbete som har krävt att flera specialgrupper via Svenska Institutet tillämpas för att utförligt kunna bemöta de hot som Sverige står inför i samband med att desinformation sprids utomlands. Den 1 januari 2022 bildades Myndigheten för Psykologiskt Försvar för att “samordna, utveckla och stärka Sveriges psykologiska försvar”. Ett syfte till skapandet av denna myndighet är att den ska hjälpa civilbefolkningen att stärka försvarsviljan och att stå emot informationspåverkan från främmande makter som avsiktligt hotar rikets säkerhet.

I slutet av april inledde NATO världens största scenarioövning inom cybersäkerhet –Locked Shields. NATO:s kunskapscenter för cybersäkerhet har gått ut med att mer omfattande och komplexa attacker sker i samband med utvecklingen av AI (Artificiellt Intelligens). Detta år deltog 40 länder i övningen där scenariot var en hackerattack på en fiktiv ö. Förra årets Locked Shields vann Sverige i lag med Island, i år vann Litauen. 

Den 12 april signerade Försvarsmakten ett samarbete kring cyberförsvar tillsammans med United States European Command (USEUCOM). Sverige har länge samarbetat nära USA i arbetet inom cyberförsvar, och detta blir ännu ett steg för att bättre möta de mer avancerade hot som framstår i samband med exempelvis utvecklingen av AI. USA har tryckt på att detta samarbete är viktigt för att hindra hot mot kritiska system och nätverk som Sverige och USA delar. Analysen, som samarbetet är grundat i, bygger på fem överenskomna områden: policy, interoperabilitet, utbildning och övning, förmågeutveckling och cyberoperationer.

Under april har det diskuterats mycket i säkerhetskanalerna kring den så kallad XZ Backdoor. En bakdörr har identifierats i XZ Utils som är ett open sourceverktyg för data komprimering och används i en mycket stor grad över operativsystemet som Linux.

Sårbarheten har klassats 10.0 i CVSS-skalan (skala för hur kritisk en sårbarhet är), vilket är det maximala nivån. Det som har hänt är att skadligkod har lagts till i de nya versioner av XZ, vilket skapar en bakdörr där obehöriga kan autentisera sig genom SSH som är ett protokoll för att ansluta till en fjärrdator eller server över internet. Detta innebär att obehöriga skulle kunna, under rätta förutsättningar, få tillgång till det drabbade systemet.

Sårbarheten upptäcktes i samband med ett prestandatest där resultatet skiljde sig minimalt från det normala. Det var en mycket noggrann utvecklare som nästan av en slump hade exakt rätt förutsättningar och teknisk kompetens för att upptäcka bakdörren. En minimal tidsskillnad noterades vilket utlöste en djupare analys som till slut avslöjade bakdörren som underliggande orsak. Annars hade denna bakdörr kunnat gå omärkt förbi under lång tid.

Det verkar som att denna bakdörr har tagits fram under flera års tid och med tanke på hur sofistikerat detta var, spekuleras det om främmande makt som skulle kunna ligga bakom attacken. Det verkar som att förutom en teknisk typ av attack, så har man till en mycket stor del troligen utfört social engineering attack där man har utnyttjat människans tillit till andra för att ha lagt till den skadliga koden.

En sårbarhet som klassats med en maximal CVSS-klassning på 10.0 av 10.0 har upptäckts i vissa versioner av PAN-OS brandvägg som används i GlobalProtect. GlobalProtect är ett skydd för fjärranslutning som företaget Palo Alto Networks erbjuder. Med denna sårbarhet kan det utnyttjas genom att en obehörig kan köra godtycklig kod med root-behörighet (högsta behörigheten) i brandväggen, vilket innebär att den obehöriga kan få kontroll.

Sårbarheten upptäcktes i samband med att ett säkerhetsbolag övervakade en brandvägg åt sina kunder. Palo Alto Networks har kommit ut med hotfixes som är en snabbkorrigering som användarna med de drabbade versionerna av PAN-OS kan uppdateras till för att täppa igen sårbarheten.

Den senaste tiden har Artificiell Intelligens, AI, blivit ett än mer omtalat ämne och ett verktyg som används allt oftare. För att skydda såväl demokratin som EU-medborgares rättigheter, som AI anses kunna utgöra en hot emot, har EU därför tagit fram en AI-förordning. Förslaget till regleringen togs fram under april 2021 och har under mars 2023 antagits av Europaparlamentet och räknas börja gälla till våren 2026.

Med den nya förordningen blir det mer kontroll över AI-system där riskbedömning ska utföras på AI-systemet för att förstå risken den utgör mot EU-medborgare. Användning av AI-system för biometrisk identifiering och kategorisering av fysiska personer, biometriska identifieringssystem i realtid och på distans, social poängsättning, kognitiv beteendemanipulation av personer eller specifika sårbara grupper anses av EU som oacceptabel risk (undantag vid brottsbekämpningssyfte). Förbud kommer upprättas mot detta och kommer att börja gälla 6 månader efter förordningen har trätt i kraft.

Förutom en riskklassificering på AI-system ställer den nya förordningen krav på att uppfylla kraven på transparens och copyrightlagstiftningen inom EU. Ett exempel är att innehållet måste märkas med att det har genererats av AI.

ISO 27001 är en best practice standard för att jobba systematisk och riskbaserat med informationssäkerhet. Denna standard kan organisationer certifieras mot för att påvisa efterlevnad.

Versionen av standarden som kom ut 2013 upphör snart att gälla och övergår nu till versionen från 2022. Detta innebär att det är rekommenderat att certifieras mot ISO 27001:2022. För de organisationer som erhållit en giltig ISO 27001:2013 certifiering måste de övergå till ISO 27001:2022 senast 1 oktober 2025, där revisionen är utförd senast 31 juli 2025 för att bibehålla fortsatt ISO-certifiering. 

1. https://www.forsvarsmakten.se/sv/aktuellt/2024/01/har-ovar-svenska-och-finska-fartyg-pa-att-forsvara-sig-mot-dronare/ ↩︎
2. https://www.dn.se/sverige/historisk-omsvangning-valjarna-litar-pa-forsvaret/ ↩︎
3. https://www.dn.se/sverige/specialgrupp-ska-starka-sverigebilden-utomlands/ ↩︎
4. https://www.forsvarsmakten.se/sv/aktuellt/2024/04/sverige-och-island-ovar-tillsammans-for-det-globala-cyberforsvaret/ ↩︎
5. https://www.forsvarsmakten.se/sv/aktuellt/2024/04/sverige-och-usa-fordjupar-samarbetet-inom-cyberforsvar/ ↩︎
6. https://www.wired.com/story/xz-backdoor-everything-you-need-to-know/ ↩︎
7. https://www.cert.se/2024/04/kritisk-sarbarhet-i-pan-os.html ↩︎
8. https://www.europarl.europa.eu/topics/en/article/20230601STO93804/eu-ai-act-first-regulation-on-artificial-intelligence ↩︎
9. https://svenskcertifiering.se/overgang-till-iso-iec-270012022/ ↩︎