CFCS vil simulere phishing-angreb og bruge ondsindede USB-nøgler

Illustration: Virrage Images/Bigstock
Et lovforslag lægger op til at gøre det muligt for CFCS at simulere phishing-angreb mod virksomheder - efter anmodning.

Med et lovforslag vil forsvarsminister Claus Hjort Frederiksen udvide Center for Cybersikkerheds (CFCS) beføjelser på en række områder. Det har Politiken bemærket.

Lovforslaget, der er sendt i høring, kan ses her (PDF).

Med lovforslaget lægges der op til, at CFCS efter anmodning fra en virksomhed eller en myndighed kan iværksætte såkaldte forebyggelsesaktiviteter rettet mod udvalgte medarbejdere eller enheder i myndigheden eller virksomheden.

Af bemærkningerne til forslaget fremgår det, at det vil sige spear-phishing-angreb målrettet udvalgte medarbejdere.

»Emailen vil være udformet på en sådan måde, at den skal få medarbejderen til at sende oplysninger til centeret, som centeret kan benytte til at skaffe sig adgang til myndighedens eller virksomhedens netværk eller opnå særlige rettigheder i systemerne, f.eks. administratorrettigheder. Det vil være kendetegnende for spear-phishing-mails, at centeret udgiver sig for at være en anden for at franarre medarbejdere bestemte oplysninger,« hedder det i bemærkningerne til lovforslaget, som fortsætter:

»Centeret vil dog kun udgive sig for at være medarbejdere i den myndighed eller virksomhed, der er genstand for undersøgelsen.«

USB-nøgler

Som en anden forebyggelsesaktivitet nævnes et gammelt hacker-trick, nemlig placering af USB-nøgler på den pågældende organisations matrikel:

»Dette element vil f.eks. også kunne indebære, at der placeres usb-nøgler eller andre eksterne medier på myndighedens eller virksomhedens område, som potentielt giver fjernadgang til systemerne, såfremt en medarbejder indsætter usb-nøglen eller mediet i sin computer,« står der i bemærkningerne til lovforslaget.

I forbindelse med ovenstående aktiviteter er der - selvsagt - en risiko for, at en medarbejder i den organisation, der bliver testet, ender med at bryde organisationens it-sikkerhedsregler.

»Når sådanne oplysninger videregives til myndigheden eller virksomheden, vil det i særlige tilfælde kunne få ansættelsesretlige konsekvenser for medarbejderen. Det bemærkes, at eventuelle ansættelsesretlige konsekvenser vil være reguleret af almindelige retsgrundsætninger, herunder krav om saglighed og proportionalitet,« lyder det i forbindelse med lovforslaget.

Niels Bertelsen, formand for it-fagforeningen Prosa siger til Politiken om den del:

»De beder jo om at få lov til at gøre noget, der er ulovligt i al almindelighed, nemlig at udgive sig for at være nogle andre. Det er ikke tilstedeligt i retssamfundet, at man har en statslig virksomhed, der har til opgave at gå ud at forsøge at få medarbejdere til at gå i fælden«.

Honey pots og sinkholes

Blandt de mere teknisk-klingende tiltag i lovforslaget er ønske fra CFCS om at kunne anvende sinkholes og honey pots. Sidstnævnte vil sige systemer, der har til formål at tiltrække hackere og malware, som så efterfølgende kan studeres nærmere.

»Dermed lokkes angrebsaktøren til at bruge sine ressourcer på at angribe et system, der er indrettet til formålet, i stedet for reelle mål på netværket. Ved at lade systemet udsætte for kompromittering kan Center for Cybersikkerhed endvidere indsamle oplysninger om angrebsaktørens færden og brug af kommandoer i systemet, herunder tilegne sig de angrebsværktøjer, som aktøren søger at placere på det sårbare system,« hedder et i bemærkningerne til lovforslaget, som fortsætter:

»En honey pot fungerer dermed både som afledningsmanøvre i forsvaret af relevante netværk og som redskab til at opnå større viden om angrebsaktørens værktøjer og fokusområder. Den særlige mulighed for på en honey pot at følge med i et cyberangrebs fulde udstrækning vil kunne give Center for Cybersikkerhed en dybere indsigt i de anvendte angrebsmetoder og dermed et bedre grundlag for at styrke beskyttelsen mod cyberangreb. Tilegnelsen af konkrete angrebsværktøjer og den efterfølgende analyse af angrebsaktørens metoder m.v. kan således føre til udviklingen af nye signaturer på cyberangreb og opdatering af alarmenhederne hos tilsluttede myndigheder og virksomheder, således at lignende angrebsforsøg kan opdages.«

Af bemærkningerne fremgår det, at et sinkhole vil sige, at CFCS eksempelvis registrerer et domænenavn eller en mail-adresse, som indgår i en aktørs angrebs-struktur, og som endnu ikke er registreret. Tanken er, den trafik, der ville være tilgået aktøren, i stedet tilgår CFCS.

»Desuden vil centeret på tilsvarende vis kunne købe adgang til ip-adresser, der anvendes i et cyberangreb. Dermed kan centeret f.eks. modtage data, som angrebsaktøren har hentet fra en inficeret enhed, eller kommandoer, som angrebsaktøren – via domænenavnet eller ipadressen – sender til inficerede enheder.«

Kritik

Lovforslaget indeholder også et punkt om, at CFCS skal kunne udstede et påbud til virksomheder og myndigheder om at blive sluttet til den såkaldte netsikkerhedstjeneste.

Det vil sige et sensor-netværk, som bevirker, at en tilsluttet organisations datatrafik kommer omkring CFCS.

»Endvidere vil der med lovforslaget blive skabt mulighed for, at der i helt særlige tilfælde vil kunne gives påbud til særligt samfundsvigtige virksomheder eller myndigheder om at blive tilsluttet netsikkerhedstjenesten,« står der i bemærkningerne til lovforslaget.

Dansk IT skriver om den del i et høringssvar:

»Ønsket om at CFCS kan påbyde virksomheder at blive tilsluttet netsikkerhedstjenesten, er i den foreslåede ordning mere vidtgående og vidtrækkende end nødvendigt.«

»For det første vil et påbud alene være omfattet af almindelig rekursadgang. Det er der altså ministerområdet selv, som vurderer og beslutter, om en virksomhed eller myndighed skal tvangstilsluttes netsikkerhedstjenesten og dermed give indsigt i al kommunikation i virksomheden eller myndigheden. Ved et så vidtgående indgreb bør CFCS’ vurdering af behov og nødvendighed suppleres med en vurdering eller som minimum rapportering til en uafhængig part.«

Dansk IT's høringssvar kan læses i sin helhed her (PDF).

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
John Foley

Man kan kun håbe på at de mange relevante og kritiske høringssvar bliver taget alvorligt og forhåbentlig medfører at lovforslaget trækkes tilbage. Næstbedst, at behandlingen af forslaget trækker ud indtil valget udskrives. Så stoppes processen og skal startes op helt forefra, såfremt man ønker at forsætte med dette umulige og stærkt kritisable forslag til efter valget. Så bliver der bedre tid til at advare og gøre befolkningen opmærksom på, hvad dette forslag egentlig indebærer og forhåbentlig får det standset en gang for alle.

Anne-Marie Krogsbøll

Næstbedst, at behandlingen af forslaget trækker ud indtil valget udskrives. Så stoppes processen og skal startes op helt forefra, såfremt man ønker at forsætte med dette umulige og stærkt kritisable forslag til efter valget.

Ja, det må vi håbe - selv om man går ind for øget datasikkerhed, så skal det jo netop ikke være på bekostning af ret til privatliv og retssikkerhed og - i sidste ende - demokrati. For det er jo det, der er på spil i det lange løb.

Og så må vi håbe, at vi så får en anden regering, som har en bedre forståelse af, hvad der er nødvendige forudsætninger for at sige, at man har demokrati, retssikkerhed, ret til privatliv.

I går kunne man læse dette:
https://www.berlingske.dk/danmark/papes-juridiske-eksperter-sat-fra-best...

Det forklarer jo i høj grad, at der de senere år er kommet det ene lovforslag efter det andet, som virker som brud på almindelige retsstatsprincipper. Det er skræmmende, at vi har fået en regering, som ikke kan lide at blive modsagt, som manipulerer med alt, hvad der kan komme i vejen for dens totalitære drømme, og som i det skjulte simpelthen bid for bid afmonterer de instanser, som netop skal være med til at holde vores samfund på et demokratisk og retsbevidst spor.

Men hvorfor har de øvrige partier ikke råbt op om dette? Har ikke engang de vidst det?

Bjarne Nielsen

Det er skræmmende, at vi har fået en regering, som ikke kan lide at blive modsagt ...

I P1 Orientering kom en af gæsterne med det synspunkt, at når politik bliver til enkeltsager, og man reducerer det til et spørgsmål om, hvem som kan vise størst handlekraft, så er der ikke tid til at vente på organer som Straffelovsrådet.

Men hvorfor har de øvrige partier ikke råbt op om dette? Har ikke engang de vidst det?

Igen med henvisning til P1 Orientering blev gæsten (som var fagperson, og ikke politiker) spurgt om det samme, og svaret var, at det ikke var blevet nedlagt; det var bare blevet ignoreret. Og er det nemt at tænke, at det bare er en enkeltstående begivenhed, eller at ting taget tid.

Der er godt nok rigtigt meget, som virker voldsomt ugennemtænkt for tiden, og det virker som om at vi er på en lang slingrekurs - CHFs forslag på vegne af CFCS er nok et grimt, men desværre ikke enestående eksempel - og det virker til at være en systemisk fejl. Jeg er langt fra overbevist om, at den ene farve skulle være bedre end den anden, så jeg tvivler på at valget vil kunne gøre en forskel.

Povl H. Pedersen

Jeg forstår ikke den hysteriske modstand mod phishing mails. De kriminelle sender dem hele tiden, så medarbejderen giver vel ikke noget til CfCS som de ikke ville give til Igor, Vladimir, Kim, Donald eller hvem ellers der nu er ude med snøren.

Og så kan man også forestille sig at fagforeningerne vil gøre noget for at hjælpe deres medlemmer til Cyber awareness, og skoler m.m.

Ville jeg kunne falde i, også uden at opdage det ? Ja, der kan laves ret gode kampagner. Jeg har testet på kyndige IT kolleger med eleverede rettigheder (rent vanskabeligt), og de spottede den ikke, og opdagede ikke at de havde afleveret credentials til mig. Men den var også skræddersyet til virksomheden, og bortset fra en enkelt stavefejl i URL var alt som det plejer at være.

Det er et godt salgsargument for Multi-faktor authentication.

Flemming Riis

Jeg forstår ikke den hysteriske modstand mod phishing mails

Udover det er spild af penge og tid så

Er der vel 2 hold

1 , Hvorfor skal en offentelig myndighed lave test af private
2 , Hvorfor skal en offentelig myndighed lave konkurrence mod private virksomheder (støjende hylekor)

1 , kan man argumenter imod
2 , har jeg personligt ikke et problem med , hvis de laver det "gratis" kan kunderne bruge deres budget på rigtig sikkerhed

Morten Simonsen

Hvorfor skulle det være forkert at teste datasikkerheden i det offentlige og det private.
Jeg kender flere private virksomheder, der bruger denne metode, og det gør de, fordi et angreb kan få fatale følger. Vi savner, at det offentlige beviser, at deres håndtering af IT er seriøs, og et alvorligt indbrud i udbetaling Danmark, SKAT eller "alle de andre vigtige funktioner" kan lægge Danmark ned
Så kom endelig i gang med at teste.

Morten Simonsen

"Men det skal da være tilgængelig information, og ikke gemmes bag CFCS' skæg og blå briller. Her er der brug for at sprede information og lærdom"

Enig, men hvad gør man så?
Hvem har ekspertisen og evnen til at håndtere følsomme personoplysninger? Er det private bedre?
Erfaringerne med diverse angreb er, at det svage led er den enkelte medarbejder, og et brud på retningslinjer kan medføre konsekvenser.
Jeg har skimmet lovteksten, bemærkninger og høringssvar, og må indrømme at det er rimeligt kompliceret.

Erik Andersen

Udkastet til lovforslaget bekræfter, at CFCS anvender uforholdsmæssig tid på ISO/IEC 27001, dvs. en tyrker tro på, at man vha. procedurer beskrevet i en 37 sider pamflet kan sikre cybersikkerhed. En væsentligdel af den nuværende kommunikation i kritiske infrastrukturer er Machine-to-Machine (M2M) kommunikation. Man kan ikke henstille til en enhed i et M2M netværk, at den skal opføre sig ordentlig. Den reagerer nok heller ikke på spear-phishing angreb. Den reagerer iflg. den software, som er indlagt. Der er meget lidt vægt på produktsikkerhed vs. sikkerhedsprocedurer.

Jesper Frimann

Jeg forstår ikke den hysteriske modstand mod phishing mails. De kriminelle sender dem hele tiden, så medarbejderen giver vel ikke noget til CfCS som de ikke ville give til Igor, Vladimir, Kim, Donald eller hvem ellers der nu er ude med snøren.


Jo men humlen er jo, at det ikke længere kun er dig selv (IT-sikkerhed hos firmaet/offentlig myndighed), der udfører 'tests'.

Hvordan vil du kunne kende forskel på faktiske angreb og 'tests' lavet af CfCS ?
Hvordan vil CfCS kende forskel på faktisk angreb og tests lavet af IT-sikkerhed hos pågældende firma/myndighed ?

Mit take er, at CfCS ikke er gearet til at kunne interface med større antal 'kunder', der har en berettiget forventning om samarbejde på mange teknisk, arkitektur, juridisk og ledelsesmæssig nivau.

// Jesper

Ditlev Petersen

Hvis en person fra FE henvender sig til mig og "beder" mig om at medvirke i et "simuleret phishingangreb" for at "få ram på" en kollega, hvordan skal jeg så vide, at det ikke er en hacker, der optræder som en FE mand? Eller om det er en FE-mand, der optræder som en hacker, for at få ram på mig? Er det strafbart at afvise FE-manden?

Jeg kan i øvrigt godt lide den omtale, der er af centrets adgang til firmaers indre dele: Som udgangspunkt er der tale om en frivillig ordning! Tvang kommer KUN på tale, hvis firmaerne ikke frivilligt vil medvirke.

Nu er jeg helt tryg.

Anne-Marie Krogsbøll

... har en tilsvarende diskussion:
https://www.nrk.no/norge/pst-svaert-kritisk-til-forslaget-til-ny-e-lov-1...

Der er det norske PST bekymret ved udsigten til, at det norske CFCS/FE (jeg kan ikke præcist gennemskue den danske parallel) kan komme til at lappe ind over PSTS arbejdsområde - uden at PST ved det. Og omvendt.

Kan det også gøre sig gældende herhjemme?

Og så er PST bekymrede for den udstrakte adgang for norske CFCS/FE til at overvåge og hente oplysninger uden dommerkendelse, og at det kan blive uklart, om PST kan få adgang uden dommerkendelse ad denne vej:

"«Dersom tjenestenes mandat i Norge overlapper, og det kan stilles spørsmål ved om PST får utstrakt informasjon utlevert fra Etterretningstjenesten og på den måten omgår domstolskontroll, er PST bekymret for at dette i ytterste konsekvens kan bidra til at vår tillit i samfunnet svekkes.», heter det i høringssvaret."

Kan man have lignende bekymringer herhjemme - at politiet kan omgå kravet om dommerkendelse via samarbejde med norske CFCS, eller er vores lovforslag og vore ansvarsområder anderledes skruet sammen?

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize