CYBERGI

Cybersäkerhet – för alla

  • Segmentera mera – del 3

    Ett intrång räcker – men vad händer sen?

    I tidigare inlägg skrev jag att cybersäkerhet inte primärt handlar om att förhindra angrepp, utan om att skapa förutsättningar för att hantera dem. Det är inte en fråga om om, utan när ett dataintrång sker – och hur det kan begränsas. Här blir nätverkssegmentering inte bara teknisk strategi, utan ett uttryck för ett systematiskt förhållningssätt till risk, åtkomst och intern struktur.

    Vi ser återkommande exempel på hur ransomware inte tar sig in genom de mest centrala systemen, utan genom perifera. Det är inte kassadatorn, bokföringsprogrammet eller CAD-stationen som är initialt mål – det är en uppkopplad telefon, en oskyddad skrivare, en tillfällig uppkoppling utan åtkomstkontroll. När intrånget väl är etablerat handlar det om hur långt angriparen kan röra sig internt.

    Här återkommer vi till frågan om zoner – logiska avgränsningar inom nätverk där kommunikation är definierad och begränsad. Låt oss titta tillbaka på de tre tidigare exemplen – hemmet, det lilla företaget och caféet – och se vad som händer när ett intrång sker, och vad segmentering faktiskt kan åstadkomma i praktiken. Vi gör så att vi återbesöker case:n från del 2.

    Hemmet – spel, surfplattor och delade nätverk

    I hushållet med fyra personer finns en blandning av personliga och delade enheter: mobiler, tv, konsoler, arbetsdatorer. Det är inte ovanligt att alla dessa ligger i samma trådlösa nätverk – inklusive NAS-enheter eller molnsynkade mappar. Ett barn installerar ett spel med bakdörr. En fjärraktör får åtkomst. Därifrån skannas nätverket, åtkomliga resurser identifieras, och inom minuter kan bilder, dokument eller arbete krypteras.

    Med ett separat gästnätverk – eller ett dedikerat nät för barnens och IoT-enheter – hade det initiala intrånget saknat åtkomst till resten av nätverket. Inga gemensamma kataloger. Ingen spridning till arbetsstationerna. Ingen vidare rörelse.

    Det lilla företaget – funktionell samlokalisering, logisk sammanblandning

    I industribyggnaden finns en VD som hanterar kommunikation, en ekonomiansvarig med känsliga uppgifter och en konstruktör som arbetar med CAD. Allas enheter delar nätverk med trådlösa accesspunkter som satts upp för att täcka produktionsytan. En anställd öppnar en bifogad fil från ett phishingmejl. En exekverbar fil installeras. Ransomware aktiveras.

    Här blir den avgörande frågan: kan det som sker på en användarklient nå övriga delar av nätverket? Utan segmentering: ja. Med segmentering: nej – eller åtminstone betydligt svårare. Hade användarklienterna legat i ett separat nätverk, med tydliga brandväggsregler, hade attacken stoppats innan ekonomi- och konstruktionsdatorn ens blivit synlig i nätverksskanningen.

    Caféet – gästfrihet utan isolering

    Kassasystemet är uppkopplat. Administrationen sker från en bärbar dator. Samtidigt ansluter gäster till det öppna nätverket med okända enheter – ibland hundratals olika per vecka. En av dem har redan skadlig kod installerad. Så snart enheten ansluter börjar trafik genereras i det lokala nätverket: upptäckning, skanning, försök till åtkomst.

    Här är segmentering inte en rekommendation – det är en nödvändighet. Gästnätet ska inte ha åtkomst till kassan. Kassan ska inte svara på broadcast-trafik. Administration ska ske från ett isolerat arbetsnät, inte från samma SSID som används för allmänheten. Att detta är ovanligt i små verksamheter är inte ett tekniskt problem – det är ett systemproblem. Och ett utbildningsproblem.

    … Det här är exempel där nätverkssegmentering inte kräver ny utrustning, utan en annan förståelse för vad ett nätverk är. Inte en sluten kabelbärare, utan en struktur för åtkomst, kommunikation och i förlängningen: angreppsvektorer.

    Att segmentera ett nätverk är inte att tekniskt ”skydda något”. Det är att konstruera en topologi där skydd är möjligt. Där angrepp inte blir systemiska. Där lokal skada förblir lokal.

    Det här är systemtänkande. Och det börjar, som så ofta, med att formulera rätt fråga: vem behöver egentligen nå vad – och varför?

  • Segmentera mera – del 2

    Nätverkssegmentering och varför det borde vara en självklarhet

    När man talar om nätverkssäkerhet i praktiken möter man ofta en förvånansvärd likriktning: alla enheter – klienter, IoT-prylar, arbetsstationer, mobiltelefoner – befinner sig i samma logiska zon. Det är konfigurationsmässigt bekvämt, men också funktionellt sårbart. Det utgår från ett implicit antagande om att det inte finns något behov av inre gränsdragning. För större organisationer är segmentering ett etablerat koncept. Men i mindre sammanhang – hem, småföretag, enklare verksamheter – är det fortfarande något som antingen förbises eller aktivt väljs bort, ofta på grund av föreställningen att det är ”för avancerat”.

    Men nätverkssegmentering är inte avancerat. Det är en tillämpning av grundläggande systemtänkande: att isolera funktioner, begränsa kommunikationsvägar och därigenom minska intern exponering. Här följer tre konkreta exempel som illustrerar segmentering i tillämpning, med relativt enkel utrustning och utan specialistkunskap.

    Hemmiljön – bland tv-apparater, spelkonsoler och spontana uppkopplingar

    I ett hushåll med fyra personer – två vuxna, två barn – finns idag i regel ett tiotal enheter online samtidigt: telefoner, surfplattor, tv, spelkonsoler, skrivare, och ofta någon form av röststyrd assistent eller uppkopplad IoT-enhet. Utöver detta kommer tillfälliga gäster: barnens kompisar, vuxna bekanta, någon med egen dator eller telefon som kopplar upp sig mot det lokala nätet. Om samtliga dessa enheter tillåts kommunicera fritt med varandra uppstår en situation där sårbarhet på en enhet kan utnyttjas för att nå andra – t.ex. en dåligt uppdaterad konsol eller en mobil med osäkra appar.

    Det enklaste sättet att segmentera här är att använda routerns inbyggda funktionalitet för gästnätverk. De flesta konsumentroutrar tillåter att man aktiverar ett separat trådlöst nätverk med begränsad åtkomst till interna resurser. Alla enheter som inte är strikt hushållsbundna – t.ex. gästers telefoner – bör kopplas till detta nät. En ytterligare förbättring är att även IoT-enheter (TV, spelkonsoler, skrivare) placeras där, för att separera dem från hushållets datorer, särskilt om dessa används för arbete, studier eller personlig information.

    Gör man detta, har man i praktiken skapat tre zoner: en primär för personliga klientenheter, en sekundär för uppkopplade prylar, och en tredje för tillfälliga gäster. Allt som krävs är att man namnger nätverken tydligt och styr åtkomsten med olika lösenord.

    Det lilla företaget – kontorsfunktion i industriell miljö

    I ett mindre företag – kanske tillverkningsindustri eller konsultverksamhet – kan nätverket bestå av ett fåtal stationära datorer: en för VD med översikt och kommunikation, en för ekonomi (bokföring, bank, löner), och en för konstruktion/CAD. Utöver detta behövs ofta trådlöst nätverk tillgängligt för anställda, särskilt i lokaler där mobiltäckningen är svag på grund av material och byggnadstyp.

    Här är den kritiska punkten att arbetsstationerna – särskilt den för bokföring – inte ska befinna sig i samma segment som övriga trådlösa enheter. Likaså bör CAD-datorn hållas isolerad från den generella arbetsnätverkstrafiken om den innehåller produktionsnära information. En VLAN-kapabel router (vilket finns i många småföretagsanpassade modeller) gör det möjligt att separera nätverkstrafiken i olika zoner. Alternativt kan separata accesspunkter användas för kontorsnät och personalnät, där brandväggsregler styr vilka zoner som får kommunicera med varandra.

    Segmenteringsmålet här är tydligt: ekonomiinformation får inte exponeras för det allmänna nätet, även om det rör sig om ett litet företag. CAD-filer och tillverkningsrelaterad data får inte vara nåbar från en surfplatta i fikarummet.

    Det lilla caféet – driftkritiska system och gästnät

    I ett café eller annan publik miljö finns ofta två typer av nätverksanvändare: personal och gäster. Personal använder kassasystem, eventuellt bokningssystem och ibland en separat dator för administration. Gäster förväntar sig tillgång till Wi-Fi, och kommer och går med ett stort antal olika enheter – telefoner, laptops, surfplattor. Här är risken inte bara att en gäst med illvillig kod försöker angripa interna system, utan att sårbara kassaenheter exponeras för oavsiktlig trafik eller överbelastning.

    Segmentering här är inte ett val – det är en grundförutsättning. Gästnätverk ska konfigureras som ett helt isolerat nät, utan åtkomst till intern adressrymd. Kassaapparaten ska ha ett eget segment, eller åtminstone vara fysiskt ansluten till en port med brandväggsregler som blockerar övrig trafik. Om nätverket bygger på Wi-Fi bör separata SSID:n användas – ett för drift, ett för gäster – med olika autentiseringsuppgifter.

    Det kräver inte avancerad utrustning, men det kräver att någon faktiskt tänker igenom trafikflödet. Vad ska kunna prata med vad – och varför?

    Det gemensamma i dessa tre exempel är att segmentering inte handlar om komplex teknik, utan om att tänka i system. Vilka resurser behöver prata med varandra? Vad händer om en del blir utsatta för intrång? Vad bör aldrig vara åtkomligt från andra zoner? Det är samma frågor oavsett om nätverket består av tre enheter eller trehundra.

    Nätverkssegmentering är inte en säkerhetsfunktion – det är en systemprincip. Den ska finnas där innan säkerhetsfunktionerna aktiveras. Det är grunden.

  • Segmentera mera – del 1

    Nätverkssegmentering – vad det är, varför det behövs, och hur du kan göra det hemma

    Nätverkssegmentering borde vara en utgångspunkt när man lägger upp sitt nätverk. Det är en grundprincip inom system- och nätverksdesign: att begränsa kommunikation mellan komponenter, minska intern exponering och därmed reducera angreppsytan inom det egna nätverket. Det handlar inte om att ”skydda det viktiga” i någon allmän mening, utan om att minimera möjligheterna till lateral rörelse efter ett intrång. När en enhet i nätverket komprometteras – vilket förr eller senare sker – ska det inte finnas en öppen struktur som möjliggör för angriparen att nå andra delar av systemet utan motstånd.

    Det här är tillämpbart även i mycket små miljöer. I ett hem eller ett mindre kontor där det finns en konsumentrouter, några trådlösa klienter, kanske en NAS eller skrivare, och någon form av arbetsstation, är det fullt möjligt att segmentera funktionellt. Gästnätverk är ett exempel – inte som artighetsgest till tillfälliga besökare, utan som en isolerad zon där enheter med lägre tillit eller svagare uppdateringsregim kan hållas avskilda från primära klientsystem. Många routrar tillåter också att man stänger av trafik mellan trådlösa klienter, vilket kan ses som en minimal form av segmentering som ändå förhindrar viss typ av intern skanning och åtkomstförsök.

    I praktiken behöver det inte vara mer komplicerat än att låta datorer som hanterar känslig information vara trådanslutna i ett primärt LAN, medan trådlösa enheter – särskilt telefoner, surfplattor, eller smarta produkter – får en separat zon, helst med begränsad routing eller brandväggsregler som blockerar intern trafik. Om man dessutom avstår från onödiga tjänster som UPnP och fil- eller skrivardelning på klientnivå har man redan byggt ett enklare men tydligt skiktat nätverk, där varje zon har en tydligt definierad funktion och ett kontrollerat exponeringsläge.

    Det viktiga är inte att uppnå perfekt segmentering – det är sällan möjligt i verkligheten – utan att införa ett sätt att tänka där nätverk inte är homogena, utan strukturerade utifrån funktion och risk. Det innebär också ett brott med det som i praktiken fortfarande är den implicita normkonfigurationen: att varje enhet, oavsett syfte, har lika mycket rätt att kommunicera med resten av nätet som alla andra. Det är varken rimligt ur ett tekniskt, organisatoriskt eller säkerhetsmässigt perspektiv.

  • Första inlägget woop woop!

    Jag har under många år rört mig mellan klassrum, diverse serverhallar, kommunala verksamheter och universitetets seminariemiljöer. Överallt – oavsett kontext – dyker samma fråga upp, ibland uttalad, oftare underförstådd: Hur håller vi oss säkra i en digital värld vi inte riktigt förstår – fullt ut?

    Cybersäkerhet har under lång tid betraktats som något tekniskt, något som it-avdelningen ”tar hand om”. Det är ett bekvämt narrativ. Men det stämmer inte. Inte längre – kanske aldrig. För varje gång jag sett ett lösenord delas i ett öppet mejl, ett gammalt användarkonto ligga kvar utan åtkomstkontroll, eller ett digitalt verktyg införas utan att någon funderat över loggar, backup eller ansvar – har jag också sett att det inte handlar om teknik i första hand. Det handlar om förståelse. Om prioriteringar. Om kultur.

    Jag har arbetat med kommuner där lösenordshantering skett i kalkylblad. Jag har sett hur driftpersonal får ta ansvar för informationsklassning. Jag har utbildat framtida lärare som aldrig hört talas om autentiseringsprinciper men ändå förväntas använda lärplattformar med känsliga elevdata. Jag har läst statliga utredningar där begreppet ”säkerhet” nämns utan att det definieras. Jag har också sett kompetens, lösningsvilja, systemkunnande och en vilja att lära – men isolerat, spritt, beroende av eldsjälar snarare än strukturer.

    Cyberhoten har blivit mer sofistikerade. Mejl från ”VD:n” är numera skrivna på korrekt svenska. Chatbottar och språkmodeller kan nu simulera supportpersonal och fiska inloggningsuppgifter över telefon. Men det verkligt oroande är inte tekniken i sig – det är vår brist på systemförståelse. När organisationer saknar incidentrutiner, när säkerhet betraktas som något som ”stör” verksamheten, och när kompetensutveckling prioriteras bort eftersom det ”inte är akut” – då har vi ett större problem än någon enskild hotbild.

    Det är därför jag startar CyberGI. Ett initiativ, men också ett samtal. Här vill jag undersöka, formulera och ibland ifrågasätta våra sätt att tala om och hantera digital säkerhet. Jag vill visa hur cybersäkerhet hänger ihop med utbildning, med organisatoriska strukturer, med pedagogik, juridik och teknik. Men jag vill också prata om det mänskliga – rädslan för att göra fel, tron att teknik är något för andra, och behovet av att bygga säkerhetskultur genom förtroende snarare än kontroll.

    CyberGI kommer att bjuda på analyser, reflektioner, praktik, kritik – och kanske lite självdistans. För i slutändan handlar inte säkerhet om att låsa in, utan om att möjliggöra. Att förstå sina system – och att kunna lita på dem.

    Det börjar här. En del spännande, en liten del pretentiöst,
    men ett första steg är ändå ett första steg.