Stefan Pettersson bloggar om affärsmässig säkerhet för svenska företag.

Archive for

Om robusthet (och panik)

Posted on den 20 mars, 2016

Under lördagkvällen var flera svenska nyhetssajter otillgängliga på grund överbelastningsattacker. Enligt utsago har Aftonbladet, Expressen, Dagens Nyheter, Svenska Dagbladet, Dagens Industri, Sydsvenskan och Helsingborgs Dagblad legat nere helt eller delvis. I början av kvällen lades ett hot ut på Twitter, specifikt riktat till Aftonbladet: ”This is what happends when you spread false propaganda” (sic). Eftersom det rör sig om flera, stora webbsidor med tillgång till rejäl bandbredd krävs det också rejält mycket trafik för att överbelasta dem. Attackerna syns tydligt på graferna för vissa portar hos Netnod. (Netnod är en organisation som förvaltar flera gigantiska internetförbindelser till och från Sverige.) Just den här grafen, som plottar trafiken på en port mot Ryssland, spikar klockan halv åtta (ungefär samtidigt som meddelandet på Twitter) och avtar lika plötsligt…

Vad ska du ha en hotkatalog till?

Posted on den 16 mars, 2016

Vad är en hotkatalog egentligen? Den frågan ställde jag mig själv för länge sen. Det var visserligen raljerande… men en mer intressant fråga är: Vad ska du ha en hotkatalog till? Tesen jag tänker driva här är att generella hotkataloger inte fyller sitt syfte på grund av att de är överväldigande i omfattning och otydliga i innehåll. Hotkatalogerna Låt oss titta på de två exempel jag lyckades hitta genom att söka precis nu: en från Svenska kraftnät riktad till elbranschen och en från Sambi riktad till hälsa, vård och omsorg. Hotkatalog för elbranschen Svenska kraftnät tog fram en hotkatalog i slutet av 2013: Hotkatalog för elbranschen: Hot mot IT-, informationshantering, processkontroll och automation. På Svenska kraftnäts sida har de några frågor och svar rörande katalogen.…

Sårbarheter lämnas utan åtgärd, del 2

Posted on den 22 januari, 2016

Det här är andra delen i en serie inlägg. I föregående del (ja, det var över ett år sedan jag publicerade den) argumenterade jag för att sårbarheter, även allvarliga i system med känslig information, inte måste åtgärdas. Jag upplever ibland att beslutsunderlaget begränsas till hur känslig informationen i systemet är. Det finns betydligt fler omständigheter att ta hänsyn till än så. Tanken var att denna del skulle fokusera på när sårbarheter lämnas utan åtgärd omedvetet. Jag har tänkt om och vill i stället ta den föregående diskussionen ur ett annat perspektiv. Förra inlägget har beställarens syn på systemet: vilka sårbarheter ska åtgärdas, eller snarare, vilka säkerhetskrav ska ställas? Så i stället för att ha kravställarhatt tar vi utförarhatten. Kort sagt: som utförare, hur förhandlar vi bort säkerhetskrav som ställs på…