Skatteverket / Logica hackat
 

Expressen, IDG mfl rapporterar att Skatteverket blivit hackat under förra veckan och polisutredning är pågående.

Eftersom det är en såpass allvarligt händelse tycker jag det förtjänade en egen tråd.

Läs mer på
http://www.idg.se/2.1085/1.440750/skatteverket-hackat
http://www.expressen.se/nyheter/hack...-skatteverket/

Jag vet inte exakt vad som skett, men jag antar att det kommer komma fram förr eller senare...

Tillbaka lite till vår diskussion om polisanmälningar - dessa lite mer "highprofile" organisationerna har förstås en stor möjlighet att påverka. Jag hoppas att Polisen både lär sig och tar till sig av hur allvarligt detta är - även när det inte är statliga organisationer - eller för den delen stora organisationer som blir hackade. Kan vara nog så allvarligt.

Myndigheter omfattas även av andra, starkare, lagar vilket gör att de har större stöd i lagen att bedriva utredningar. Jag var på ett seminarium för ett år sen där MSB var med och då gick de igenom vilka vägar vi skulle gå för att kunna få deras stöd i säkerhetsarbetet. Det gick mer elle rmindre ut på att hitta anknytningar till myndigheter för då blev det inom MSB:s intressesfär och när MSB blir intresserade så lyfts ärendet till en helt annan nivå.

I det här fallet så är det solklart att det hamnar inom MSB:s intressesfär och kan antagligen klassas som något av nationellt intresse.

Det vore kanske synd att säga någonting positivt om den här tilldragelsen men sådant här kanske tyvärr behövs ibland för att det ska hända något.

Någonting bra som händer just nu är EU:s satsning på Cybercrime Centre. Hur bra det sedan fungerar i praktiken återstår väl att se men det går definitivt i rätt riktning.

Och en stora frågan.. Var uppgifterna ens krypterade? Tänker mest på de tusentals skyddade personuppgifterna...

Troligtvis inte, det skulle förvåna mig om de var det då t.ex. lönesystem, patientjournalsystem osv. inte använder krypterad data (däremot krypterad kommunikation i de flesta fall).

Frågan är väl om det alls är lämpligt att skicka dessa uppgifter digitalt via ett privat företag. Det är inte mer än något tusental personer som lever med skyddade personuppgifter, det manuella arbetet som skulle krävas där är nog motiverat.

Ett ord: outsourcing.

Hackat kan betyda så mycket i det här sammanhanget, behöver inte vara säkerhetshål som utnyttjats utan rutiner som är bristfälliga, kunden som slarvat. Ofta hängs leverantörer ut som ansvariga för allt möjligt när det egentligen är kunden som varit en dålig beställare.

Jag har haft en del med de stora drakarna att göra och när man får lösningar i stil med tuggummi och ståltråd på säkerhetsproblem så beror det knappast på kunden som beställer "lös det här på ett säkert sätt."

Mer konkret, en okrypterad tomcatsida skulle säkras upp med SSL. Lösning: Sätt en apache med ssl och mod_proxy framför tomcaten.

Sen är det ju "roligare" att hänga ut dom stora drakarna en tex kalles el och data med två anställda, eftersom ingen då skulle bry sig.

Sen det andra som är lite konstig är att man direkt hänger ut "hyresvärden" när något har fått inbrott utan att först ta reda på om "hyresgästen" har låst dörren.

Ska bli skoj att se hur det fortsätter.

Logica har blivit hackade förut, så det är märkligt att de inte krypterat de uppgifter som är känsligast, speciellt när de vet om att deras säkerhet brustit tidigare. Det går alldeles utmärkt att spara informationen i krypterat format så att en hacker som rootar servern inte kan få ut nått vettigt.

Med tanke på vilken påverkan det får (prestanda etc.) så är det inte alltid ett alternativ.

Hur vet ni ens att Logica byggt systemet och inte bara driftar det?
Lycka till att själva drifta gamla system från tidigt 90-tal som är som ostar utan ost :)

När det gäller personuppgifter på folk som lever med skyddad identitet? :o Om det handlar om att välja mellan att köpa in extra servrar eller att lagra skyddade identiter helt okrypterat så är valet rätt självklart. Det kan betyda skillnaden mellan liv eller död om databasen läcker ut. I det allra flesta fall när det gäller bristande kryptering handlar det om okunskap, inte pengar, i alla fall när det gäller sådana här känsliga uppgifter.

Kunden får vad kunden betalar för. svårare än så är det inte.
Hur vet du att det tex inte en en klientdator med adminrättigheter i systemen som är hackad? Eller en användare som har password123 som lösenord? I 9 av 10 fall är det den mänskliga faktorn som ligger bakom intrång och inte sårbarheter i "systemet"

Nja, ibland är det så, ibland inte. Leverantörer kan även lova saker om de sen inte håller.

Jag vet inte vad som hänt i just detta fall med Logica/SKV, det är inte klargjort ännu. Men använder man tvåfaktorautentisering på klienterna så räcker det inte med enbart lösenord till klientdatorn, och remote attacker mot klienterna blir betydligt svårare. Många som hanterar känlig info har det. Magnetkort/smartcard/RFID har använts på flera myndigheter och banker som jag har besökt.

Tja, det är människor som byggt systemen, i så fall är det nog 10/10 som beror på "mänskliga faktorn" :) Om du med den "mänskliga faktorn" menar slutkunden och inte systemleverantören, så är det inte så mkt som 9/10, visserligen är det vanligt med användarfel, men det finns nästan lika mkt fel hos systemleverantörer, t.ex SQL-injektioner som är rätt vanliga har inget med slutanvändaren att göra, opatchade servrar osv. osv.

Det är flera system som använder den här datan, t.ex. registret Master som i stort sett alla kommuner, landsting och myndigheter får sina folkbokföringsuppgifter ifrån. Det blir som sagt stor påverkan och det är billigare och bättre att lägga krut på skalskydd.

Sen som sagt så vet vi inte exakt vad som har hänt i det här specifika fallet.

EDIT: Det skulle rent teoretiskt kunna vara Master som är "hackat" men jag är tveksam till att det innehåller skyddade uppgifter.

Jo, det är klart det blir en viss påverkan, men jag håller inte med om att det är bättre att lägga all krut på skalskydd. Jag tycker säkerhet ska byggas på alla fronter. Jag är även rätt övertygad om att det vanliga tankesättet med skalskydd kommer att ändras framöver, ju flera servrar som blir hackade och ju fler känsliga uppgifter som läcker.

Mer och mer databasinformation lär krypteras i framtiden. Precis som med lösenord, förut lagrades de i klartext, medans de nu oftast lagras som hashsummor. Påverkan på prestandan blir mindre och mindre iom att CPU:erna blir bättre, och de vanligaste krypteringsinstruktionerna finns nu inuti CPU:n för att minimera prestandaförlusten.

Men som skrivits tidigare i tråden, jag håller med om att vissa uråldriga system är mer komplicerade & dyrare att skydda :/

Känns väl inte så meningsfullt att spekulera i vad som hänt då vi inte vet något alls om detta. Det bästa vore nog trots allt att dessa personuppgifter inte hanterades digitalt alls eller åtminstone att de inte finns på lagringsmedia som kan nås utifrån, oavsett vilket system som sedan används.

Precis som SimonP säger så handlar det om liv och död här om oturen är framme och då måste man också behandla informationen därefter.

Fast är omöjligt idag att inte ha saker digitalt, och grunden är att allt kan nås utifrån på något sätt. Framför alltid när SKV har så många olika kontor och ställen som ska ha en koppling till systemet.

Sedan kan man ju alltid lagra uppgifter krypterad och inte ha några nycklar på det stället utan en blandning mellan server/klient och digitala cert/nycklar på kort.

För har man saker rätt krypterad så skulle man kunna ha datan helt public för alla personer utan någon större risk för skada.

De personuppgifter som verkligen behöver skyddas och har det starkaste skyddet finns inte i registren; åtminstone inte fullt ut.

I så fall bör det inte vara några extremt känsliga uppgifter som läckt ut? Inte för att det är särskilt lyckat ändå.

Det är ju ett problem som SLL har i så fall. Alla vårdgivare ska ha rutiner för skyddad indentitet och jag vet flera som också har det i praktiken.

Dessutom så ska en patient kunna begära spärrar på sina journaler vilket SLL borde ha på gång annars åker de på vite.

SQL-injektioner samt säkerhetshål i applikationer/oprativsystem känns inte att det har med dom som DRIFTAR servern att göra heller, utan med med dom som har byggt satt upp systemet och det är ganska ofta inte dom som "äger servrarna" Men visst är det lätt att sitta komma med smarta idéer EFTER att det har hänt.

Fast det är väl Logica ensamt som ansvarar för distributionen av data? Även om de använder andra företags hårdvara och mjukvara så ligger ansvaret på dem. Inte för att jag tycker man bör lägga någon större energi på att försöka skuldbelägga någon, vilket är populärt hos experter som vill verka duktiga, utan den stora frågan är hur information som absolut inte får läcka ut ska behandlas. Jag anser fortfarande att den inte alls bör distribueras digitalt. Misstag kommer alltid att begås.

Som jag sa det ska bli intressant att se vart felet ligger. Sen kan det ju vara så att ett bolag "äger" applikationerna på servern och ett annat "äger" själva servern, det är inte alls ovanligt och då blir ansvarsfrågan ganska knepig.

Om vi nu får veta det. Journalister brukar vara dåliga på uppföljning och såvida det inte blir något rättsligt efterspel tror jag inte någon av parterna är särskilt intresserade av att tala om exakt vari felet låg.