Artikel top billede

Dansk it-tjeneste: Sådan overvåger vi myndighederne

Dansk it-tjeneste overvåger hele tiden myndigheder, regioner, kommuner og private virksomheder. Læs her, hvor langt enheden kan gå i jagten på internetkriminelle.

Læs også:
Så meget netværkstrafik sniffer myndighedernes cyber-vagthund

Sådan kan du undgå at blive ramt af logningsbekendtgørelsen

GovCERT er de danske myndigheders cyber-vagthund, og kan med sit censornetværk overvåge myndighedernes netværk.

Det drejer sig om overvågning af al netværkstrafik, der går ind og ud af myndighedernes og et ukendt antal regioner, kommuner og private virksomheder.

Enheden har siden oprettelsen i maj 2009 haft mulighed for at overvåge såkaldt trafikdata, men fik ved hjælp af en ny lovgivning fra 2011 mulighed for at gå endnu længere.

Censornetværket består af én censor per myndighed, der kan videresende information om angreb direkte til GovCERT's analytikere.

Computerworld giver dig her et indblik i, hvilke data GovCERT-enheden placeret under Center for Cybersikkerhed, der hører hjemme ved Forsvarsministeriet har adgang til.

Så langt må de gå

GovCERT har adgang til at undersøge to helt centrale dele af netværkstrafikken.

Det drejer sig om såkaldt trafikdata, der bruges til at spore, hvem der er afsender og modtager data.

"Hvis du afsender en e-mail, oprettes der en forbindelse fra ham, der vil sende en mail til modtagerens mailserver. Her sker der en oprettelse af forbindelse, når der skal sendes en mail. Den oprettelse kalder man trafikdata," forklarer Ulf Munkedal, der it-sikkerhedsekspert ved FortConsult.

Denne type data har GovCERT opsnappet hos myndighederne siden enheden blev oprettet i maj 2009.

Et enigt folketing besluttede per 1. juli 2011 at udvide GovCERT's beføjelser, så enheden fik lov til kigge direkte ned i indholdet af datapakkerne.

"Selve indholdet af mailen, altså det der står af tekst, det kalder man pakkedata." fortæller Ulf Munkedal.

Ved at åbne for overvågning og analysering af pakkedata, har GovCERT fået endnu større mulighed for at efterforske hændelser.

"For at opfylde GovCERT's funktion og formål er det nødvendigt at have adgang til pakke- og trafikdata." siger Thomas Kristmar, der er chef for Krisestyrings- og Operations-afdelingen  ved Center for Cybersikkerhed.

Sådan længe gemmes data

GovCERT har lov til at gemme trafikdata i op til ét år, hvorimod pakkedata i udgangspunktet kun må gemmes i seks dage.

Men enheden har gennem lovgivningen selv mulighed for at vurdere, om pakkedata skal gemmes i længere tid.

"Udgangspunktet er, at pakkedata, der ikke vedrører en såkaldt sikkerhedshændelse, lagres i seks dage. Derefter slettes data automatisk." siger Thomas Kristmar og fortsætter:

"Hvis yderligere undersøgelser er nødvendige for at afgøre, om der er tale om en sikkerhedshændelse, vil GovCERT kunne gemme pakkedata i op til 14 kalenderdage. Efter den midlertidige periode skal pakkedata slettes,".

Enheden har samtidig mulighed for at gemme pakkedata i helt op til tre år, hvis analytikerne vurderer, at trafik- og pakkedata er relateret til en sikkerhedshændelse.

"Når der er tale om en sikkerhedshændelse, kan pakke- og trafikdata relateret til sikkerhedshændelsen gemmes i op til tre år." fortæller Thomas Kristmar.

Ifølge GovCERT gemmes al data lokalt på de enkelte censorer, der befinder sig hos myndighederne.

Her sidder censoren hos myndigheden

Som det ses på billedet ses et diagram over placeringen på censoren:


Kilde: GovCERT

Sådan behandles mistænkelig netværkstrafik

GovCERT's analyseafdeling består af otte mand, der har vidt forskellige kompetencer, herunder datanomer, fysikere og ingeniører.

Analytikerne modtager besked, hvis censorerne i netværket opfanger aktivitet, som filteret opfatter som mistænksomt.

"I første omgang er det et spørgsmål om at vurdere sikkerhedshændelsen på baggrund af en eksempelvis en alarm. Her får analytikeren én datapakke frem og må vurdere, om det er et falsk eller ægte positiv fra proberne." fortæller Thomas Kristmar og fortsætter:

"Hvis det vurderes, at alarmen er ægte, og dermed at der er tale om en formodet sikkerhedshændelse, oprettes der en sag i vores hændelsessystem med henblik på at hente pakkedata fra proberen til nærmere analyse. Hændelsen registreres, da vi i alle tilfælde dokumenterer, at vi henter pakkedata fra proberne."

Afdelingen sletter pakkedata, hvis hændelsen vurderes til at være en såkaldt falsk positiv.

"Men hvis vi vurderer, at det er sikkerhedshændelser, så kan vi tage flere pakkedata, og hvis det vurderes, at der er tale om et angreb vil Center for Cybersikkerhed udsende en varsling, eller hvad vi nu finder nødvendigt at gøre," siger Thomas Kristmar.

GovCERT kan ikke foretage politianmeldelse for myndighederne, derfor videregives varslingsinformation direkte til den angrebne part.

"Det er myndigheden selv, der foretager politianmeldelse ud fra vores information. De kan derefter bede politiet om at rette henvendelse til os, da vi har hjemmel til at videregive pakke- og trafikdata, der knytter sig til en sikkerhedshændelse," fortæller Thomas Kristmar og fortsætter:

"Forsimplet kan man sige, at der i processen omkring et angreb indgår tre roller: At opdage og imødegå angrebet, det gør Center for Cybersikkerhed. Vurdering af truslen ud fra de, der angriber, det er efterretningstjenesternes arbejde. Selve opgaven med at efterforske og få angriberne fanget, det er politiets opgave,"

GovCERT må ikke undersøge krypteret trafik
Det er midlertidig ikke al trafik, GovCERT har mulighed for at undersøge til bunds.

Hvis angriberne benytter sig af https, ssl eller andre krypteringsformer, så har GovCERT ikke hjemmel til at dekryptere pakkedata.

Hvordan analyserer I så krypteret data?

"Det er super simpelt. Det gør vi nemlig ikke, da vi ikke har hjemmel til det. I forbindelse med etableringen af GovCERT, undersøgte vi, hvilke judiske rammer der skulle tilvejebringes for etablering af GovCERT's monitorering af internetforbindelser." fortæller Thomas Kristmar og fortsætter:

"For at skabe et klart juridisk grundlag viste det sig, at vi skulle have vores egen lov, Lov om behandlinger af personoplysninger ved driften af den statslige varslingstjeneste, og i bemærkningerne til den lov står der, at hvis kommunikationen er krypteret, så må vi ikke dekryptere den,"

Hvis man ikke må dekryptere trafikken, kan der så ikke stilles spørgsmålstegn ved hele censornettes anvendelse?

"Der er ingen tvivl om, at krypteringen udgør en udfordring for vores mulighed for at fungere ligeså godt, som vi gerne ville," Thomas Kristmar.

Selvom om pakkedata er krypteret, kan GovCERT stadig analysere de trafikdata, der viser, hvilken destination trafikken kommer fra.

Omfanget af netværket kendes ikke

Via en bekendtgørelse, der trådte i kraft per 1. januar 2013, fremgår det, at kommuner, regioner samt private virksomheder, som beskæftiger sig med kritisk infrastruktur, efter anmodning kan tilsluttes GovCERT's censornetværk.

Her fremgår det samtidig, at indtrædelse i netværket årligt koster 82.360 kroner for betaling af driftsomkostninger.

Men i realiteten har selvsamme parter haft mulighed for at tiltræde censornetværket siden oprettelsen af GovCERT enheden.

"Før det havde vi en forsøgsordning, hvor vi også havde regioner og kommuner med. Simpelthen for at afprøve, om det var relevant at tilbyde GovCERT's ydelser til denne kred og for at få klarhed over, om vi kunne få noget ud af, at få et indblik i trafikmønstrene ved andre dele af den offentlige sektor," fortæller Thomas Kristmar.

Hvilke regioner, kommuner og private virksomheder, der indgår i netværket, vil GovCERT ikke ud med. Men om myndighederne siger de dog:

"De ministerområder, der har centraliseret it-drift, har bedre dækning. Hvorimod de ministerområder, der har decentraliseret driften af den ene eller anden årsag, de vil alt andet lige have en ringere dækning, da ikke al internet kommunikation monitoreres." siger Thomas Kristmar.

Sådan fungerer filteret

Nerven i hele censornetværket er filteret, der ud fra opsatte kriterier skal sørge for, at sniffe netværkstrafik, der er interessant.

Filteret fodres derfor med flere former for information fra det, som GovCERT kalder åbne og lukkede kilder.

"Vores åbne kilder stammer fra internetkilder og kommercielle løsninger. Her får vi mere almindelige angrebsmetoder og teknikker at se. Det kunne være oplysninger om bestemte skadelige domæner," fortæller Thomas Kristmar og fortsætter:

"Lukkede kilder kommer eksempelvis fra andre CERT'er, men information fra lukkede kilder kommer også fra efterretningsverdenen. Her får Center for Cybersikkerhed information om særlige IP-adresser, domæner eller særlige angrebskarakteristika. Information fra efterretningstjenesten giver en anden dybde i informationen."

Læs også:
Så meget netværkstrafik sniffer myndighedernes cyber-vagthund

Sådan kan du undgå at blive ramt af logningsbekendtgørelsen




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Jobindex Media A/S
Salg af telemarketing og research for it-branchen, it-kurser og konferencer

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
AI i praksis: Fokus på teknologi og best practice

Tag med os på en rejse ind i AI’s verden, hvor vi udforsker anvendelsesmulighederne og belyser, hvordan AI kan gøre en positiv forskel. Vi kigger nærmere på de teknologier og platforme, som det kan give mening for din virksomhed at satse på, og eksperterne giver dig gode råd til, hvordan man kan arbejde innovativt og agilt med kunstig intelligens-løsninger.

19. august 2021 | Læs mere


MS Power Platform - hvad kan det for dig?

Med Microsoft Power Platform kan virksomhederne både visualisere og dele deres data helt uden kendskab til at kunne kode og digitalisere arbejdsgange. Hør hvordan en række danske virksomheder anvender platformen i store dele af virksomheden – og med succes.

24. august 2021 | Læs mere


Opgøret med legacy-systemer: Få styr på mulighederne, planen og businesscasen

I en verden hvor alt forandres konstant, og hvor kravene til virksomhedernes digitale formåen vokser, er der stadig mange organisationer og virksomheder, der bliver hæmmet af deres legacy-systemer. Det kan være en lang og hård rejse at afskaffe disse systemer, men på sigt kan virksomhederne høste frugt af deres arbejde.

25. august 2021 | Læs mere






Premium
Intels store plan afsløret: Fire nye generationer af processorer klar inden 2025 - og en helt ny æra er på vej
Intels nye CEO Pat Gelsinger har fremlagt planen for de fem års produkter. Planen rummer hele fire nye processorteknologier og en vild ny standard for produktionsteknologien. Se planerne her.
Computerworld
Tysk unicorn-app stormer ind på det danske marked: Vil levere dine dagligvare-indkøb på 10 minutter
Gorillas er en app-drevet udbringningstjeneste, der er blevet kaldt for Europas hurtigstvoksende startup. Tjenesten vil nu udbringe dagligvare til danskerne inden for 10 minutter.
CIO
Årets CIO 2021: Nu skal Danmarks dygtigste CIO findes - er det dig? Eller kender du en, du vil indstille?
Det er den mest eftertragtede titel for danske it-chefer og CIO'er, der er på spil, når Årets CIO kåres 16. september 2021. Søg selv eller prik til en, som du kender - og læs mere om prisen her.
Job & Karriere
Så meget kan du tjene: Disse stillinger giver den højeste løn i den danske it-branche lige nu
Du skal have ledelsesansvar, hvis du vil helt tops i lønhierakiet i den danske it-branche, viser nye tal. Se hvor meget du kan tjene i de stillinger i it-branchen, der giver den højeste månedsløn lige nu.
White paper
Går du glip af fordelene ved at være på flere online markedspladser?
Der er store fordele ved at være på flere e-handelskanaler – men potentielt også mere besvær. I dette whitepaper kan du læse, hvordan du optimerer indsatsen og samler det hele i én platform.