Artikel top billede

Dansk it-tjeneste: Sådan overvåger vi myndighederne

Dansk it-tjeneste overvåger hele tiden myndigheder, regioner, kommuner og private virksomheder. Læs her, hvor langt enheden kan gå i jagten på internetkriminelle.

Læs også:
Så meget netværkstrafik sniffer myndighedernes cyber-vagthund

Sådan kan du undgå at blive ramt af logningsbekendtgørelsen

GovCERT er de danske myndigheders cyber-vagthund, og kan med sit censornetværk overvåge myndighedernes netværk.

Det drejer sig om overvågning af al netværkstrafik, der går ind og ud af myndighedernes og et ukendt antal regioner, kommuner og private virksomheder.

Enheden har siden oprettelsen i maj 2009 haft mulighed for at overvåge såkaldt trafikdata, men fik ved hjælp af en ny lovgivning fra 2011 mulighed for at gå endnu længere.

Censornetværket består af én censor per myndighed, der kan videresende information om angreb direkte til GovCERT's analytikere.

Computerworld giver dig her et indblik i, hvilke data GovCERT-enheden placeret under Center for Cybersikkerhed, der hører hjemme ved Forsvarsministeriet har adgang til.

Så langt må de gå

GovCERT har adgang til at undersøge to helt centrale dele af netværkstrafikken.

Det drejer sig om såkaldt trafikdata, der bruges til at spore, hvem der er afsender og modtager data.

"Hvis du afsender en e-mail, oprettes der en forbindelse fra ham, der vil sende en mail til modtagerens mailserver. Her sker der en oprettelse af forbindelse, når der skal sendes en mail. Den oprettelse kalder man trafikdata," forklarer Ulf Munkedal, der it-sikkerhedsekspert ved FortConsult.

Denne type data har GovCERT opsnappet hos myndighederne siden enheden blev oprettet i maj 2009.

Et enigt folketing besluttede per 1. juli 2011 at udvide GovCERT's beføjelser, så enheden fik lov til kigge direkte ned i indholdet af datapakkerne.

"Selve indholdet af mailen, altså det der står af tekst, det kalder man pakkedata." fortæller Ulf Munkedal.

Ved at åbne for overvågning og analysering af pakkedata, har GovCERT fået endnu større mulighed for at efterforske hændelser.

"For at opfylde GovCERT's funktion og formål er det nødvendigt at have adgang til pakke- og trafikdata." siger Thomas Kristmar, der er chef for Krisestyrings- og Operations-afdelingen  ved Center for Cybersikkerhed.

Sådan længe gemmes data

GovCERT har lov til at gemme trafikdata i op til ét år, hvorimod pakkedata i udgangspunktet kun må gemmes i seks dage.

Men enheden har gennem lovgivningen selv mulighed for at vurdere, om pakkedata skal gemmes i længere tid.

"Udgangspunktet er, at pakkedata, der ikke vedrører en såkaldt sikkerhedshændelse, lagres i seks dage. Derefter slettes data automatisk." siger Thomas Kristmar og fortsætter:

"Hvis yderligere undersøgelser er nødvendige for at afgøre, om der er tale om en sikkerhedshændelse, vil GovCERT kunne gemme pakkedata i op til 14 kalenderdage. Efter den midlertidige periode skal pakkedata slettes,".

Enheden har samtidig mulighed for at gemme pakkedata i helt op til tre år, hvis analytikerne vurderer, at trafik- og pakkedata er relateret til en sikkerhedshændelse.

"Når der er tale om en sikkerhedshændelse, kan pakke- og trafikdata relateret til sikkerhedshændelsen gemmes i op til tre år." fortæller Thomas Kristmar.

Ifølge GovCERT gemmes al data lokalt på de enkelte censorer, der befinder sig hos myndighederne.

Her sidder censoren hos myndigheden

Som det ses på billedet ses et diagram over placeringen på censoren:


Kilde: GovCERT

Sådan behandles mistænkelig netværkstrafik

GovCERT's analyseafdeling består af otte mand, der har vidt forskellige kompetencer, herunder datanomer, fysikere og ingeniører.

Analytikerne modtager besked, hvis censorerne i netværket opfanger aktivitet, som filteret opfatter som mistænksomt.

"I første omgang er det et spørgsmål om at vurdere sikkerhedshændelsen på baggrund af en eksempelvis en alarm. Her får analytikeren én datapakke frem og må vurdere, om det er et falsk eller ægte positiv fra proberne." fortæller Thomas Kristmar og fortsætter:

"Hvis det vurderes, at alarmen er ægte, og dermed at der er tale om en formodet sikkerhedshændelse, oprettes der en sag i vores hændelsessystem med henblik på at hente pakkedata fra proberen til nærmere analyse. Hændelsen registreres, da vi i alle tilfælde dokumenterer, at vi henter pakkedata fra proberne."

Afdelingen sletter pakkedata, hvis hændelsen vurderes til at være en såkaldt falsk positiv.

"Men hvis vi vurderer, at det er sikkerhedshændelser, så kan vi tage flere pakkedata, og hvis det vurderes, at der er tale om et angreb vil Center for Cybersikkerhed udsende en varsling, eller hvad vi nu finder nødvendigt at gøre," siger Thomas Kristmar.

GovCERT kan ikke foretage politianmeldelse for myndighederne, derfor videregives varslingsinformation direkte til den angrebne part.

"Det er myndigheden selv, der foretager politianmeldelse ud fra vores information. De kan derefter bede politiet om at rette henvendelse til os, da vi har hjemmel til at videregive pakke- og trafikdata, der knytter sig til en sikkerhedshændelse," fortæller Thomas Kristmar og fortsætter:

"Forsimplet kan man sige, at der i processen omkring et angreb indgår tre roller: At opdage og imødegå angrebet, det gør Center for Cybersikkerhed. Vurdering af truslen ud fra de, der angriber, det er efterretningstjenesternes arbejde. Selve opgaven med at efterforske og få angriberne fanget, det er politiets opgave,"

GovCERT må ikke undersøge krypteret trafik
Det er midlertidig ikke al trafik, GovCERT har mulighed for at undersøge til bunds.

Hvis angriberne benytter sig af https, ssl eller andre krypteringsformer, så har GovCERT ikke hjemmel til at dekryptere pakkedata.

Hvordan analyserer I så krypteret data?

"Det er super simpelt. Det gør vi nemlig ikke, da vi ikke har hjemmel til det. I forbindelse med etableringen af GovCERT, undersøgte vi, hvilke judiske rammer der skulle tilvejebringes for etablering af GovCERT's monitorering af internetforbindelser." fortæller Thomas Kristmar og fortsætter:

"For at skabe et klart juridisk grundlag viste det sig, at vi skulle have vores egen lov, Lov om behandlinger af personoplysninger ved driften af den statslige varslingstjeneste, og i bemærkningerne til den lov står der, at hvis kommunikationen er krypteret, så må vi ikke dekryptere den,"

Hvis man ikke må dekryptere trafikken, kan der så ikke stilles spørgsmålstegn ved hele censornettes anvendelse?

"Der er ingen tvivl om, at krypteringen udgør en udfordring for vores mulighed for at fungere ligeså godt, som vi gerne ville," Thomas Kristmar.

Selvom om pakkedata er krypteret, kan GovCERT stadig analysere de trafikdata, der viser, hvilken destination trafikken kommer fra.

Omfanget af netværket kendes ikke

Via en bekendtgørelse, der trådte i kraft per 1. januar 2013, fremgår det, at kommuner, regioner samt private virksomheder, som beskæftiger sig med kritisk infrastruktur, efter anmodning kan tilsluttes GovCERT's censornetværk.

Her fremgår det samtidig, at indtrædelse i netværket årligt koster 82.360 kroner for betaling af driftsomkostninger.

Men i realiteten har selvsamme parter haft mulighed for at tiltræde censornetværket siden oprettelsen af GovCERT enheden.

"Før det havde vi en forsøgsordning, hvor vi også havde regioner og kommuner med. Simpelthen for at afprøve, om det var relevant at tilbyde GovCERT's ydelser til denne kred og for at få klarhed over, om vi kunne få noget ud af, at få et indblik i trafikmønstrene ved andre dele af den offentlige sektor," fortæller Thomas Kristmar.

Hvilke regioner, kommuner og private virksomheder, der indgår i netværket, vil GovCERT ikke ud med. Men om myndighederne siger de dog:

"De ministerområder, der har centraliseret it-drift, har bedre dækning. Hvorimod de ministerområder, der har decentraliseret driften af den ene eller anden årsag, de vil alt andet lige have en ringere dækning, da ikke al internet kommunikation monitoreres." siger Thomas Kristmar.

Sådan fungerer filteret

Nerven i hele censornetværket er filteret, der ud fra opsatte kriterier skal sørge for, at sniffe netværkstrafik, der er interessant.

Filteret fodres derfor med flere former for information fra det, som GovCERT kalder åbne og lukkede kilder.

"Vores åbne kilder stammer fra internetkilder og kommercielle løsninger. Her får vi mere almindelige angrebsmetoder og teknikker at se. Det kunne være oplysninger om bestemte skadelige domæner," fortæller Thomas Kristmar og fortsætter:

"Lukkede kilder kommer eksempelvis fra andre CERT'er, men information fra lukkede kilder kommer også fra efterretningsverdenen. Her får Center for Cybersikkerhed information om særlige IP-adresser, domæner eller særlige angrebskarakteristika. Information fra efterretningstjenesten giver en anden dybde i informationen."

Læs også:
Så meget netværkstrafik sniffer myndighedernes cyber-vagthund

Sådan kan du undgå at blive ramt af logningsbekendtgørelsen




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
EG Danmark A/S
Udvikling, salg, implementering og support af software og it-løsninger til ERP, CRM, BA, BI, e-handel og portaler. Infrastrukturløsninger og hardware. Fokus på brancheløsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere