INDUSTRISPIONAGE Johan Östlund och Pontus Winstén skriver en artikelserie om industrispionage för Skydd & Säkerhet. Denna gång tittar de närmare på de metoder som angripare använder. JOHAN ÖSTLUND är grundare och ägare av, samt vd för, Ganeida Security Consulting. Johan har en ek. mag i företagsekonomi från Uppsala universitet, med inriktning mot informationssystem. Den enskilde individen utgör företagets svagaste länk E n tydlig trend de senaste tio åren är att industrispionage ökar i absoluta termer samtidigt som IT-intrången ökar i förhållande till mer traditionella spionagemetoder. Förklaringen är enkel. De teknologiska framstegen, det omfattande elektroniska informationsutbytet och det ökade beroendet av mobila enheter och trådlösa uppkopplingar har inte bara inneburit att företagens exponeringsyta ökat avsevärt, utan också att angripare som utnyttjar de elektroniska färdvägarna har ljusare utsikter att undkomma. IT-intrångens ökade popularitet bygger således på en högst rationell kombination av tillgänglighet, kostnadseffektivitet och ren självbevarelsedrift. När vi pratar med Säkerhetspolisens chefsanalytiker för kontraspionaget, Wilhelm Unge, bekräftar han en ökad observation av elektroniska angrepp. Man ska dock ha klart för sig att IT-intrång bara är en av flera olika metoder som utländska stater använder i underrättelsesammanhang. Något som Unge också poängterar. TILL DETTA SKA sedan läggas ytterligare element vars motiv är mer otydliga och metoder i högre grad varierande. Här och nu har vi dock inte möjlighet att redogöra för mer än verktygslådans basutbud, då det särskilt vad gäller dataintrång finns en enorm mångfald. Vad vi beskriver ska därför ses som ett axplock där modus operandi för industrispionage skulle kunna se ut som följer. Kartläggningen av målorganisationen samt dess nyckelindivider är grundläggande och sker vanligen inom lagens ramar då antagonisten i denna initiala fas använder konventionell spaning och öppna källor. Man behöver etablera vilken organisation som sitter på den begärliga informationen samt analysera hur exakt man ska agera för att komma åt den. PONTUS WINSTÉN är utredare och riskanalytiker på Ganeida Security samt verksam i arbetsgruppen ASIS Young Professionals. Pontus har en fil. kand. i sociologi med inriktning på risk och krishantering. Angriparen kan försåtsminera de sajter som kartläggningen visar att målindividerna troligen kommer besöka. 46 | S&S NUMMER 7 2014 Den enskilde individen utgör i princip alltid företagets svagaste länk och angriparen börjar därför med att ingående kartlägga målindividernas relationer och beteendemönster. För att kunna eludera företagens IT-försvar har den sofistikerade angriparen redan köpt in alla på marknaden kända virusprogram och utsatt dessa för reverse engineering. Man kan därefter försåtsminera de sajter som kartläggningen visar att målindividerna troligen kommer besöka och när så sker infekteras deras dator eller surfplatta med skadlig kod. nätverket vara isolerat från omvärlden kan detta lösas genom att angriparen planterar ut ett så kallat road apple, vilket i korthet innebär att ett infekterat USB-minne delas ut på ett event, alternativt droppas vid ett legitimt besök på målföretaget. När en anställd sedan ovetandes använder USB-minnet infekteras hela nätverket. Enligt FRA är det en metod som absolut förekommer och som man också sett användas. Ett exempel på ett framgångsrikt road apple är hur masken Stuxnet hösten 2009 inplanterades i nätverket vid en iransk anläggning för berikning av uran (Natanz) genom att utländska agenter ”tappade” infekterade USB-minnen på parkeringsplatsen som sedan plockades upp och användes av aningslös personal. Social engineering är en annan populär metod, vilken i breda ordalag går ut på att man använder sin sociala förmåga för att få en person vanligen en anställd - att bortse från rådande säkerhetsrutiner och lämna ut konfidentiell information eller installera illegitim programvara på sin dator. De bedragare som ringer och påstår sig vara från Microsofts kundsupport är ett exempel. SKULLE DET BEGÄRLIGA I Har man en insider på plats - eller tillfälligt kan bereda sig tillgång till företagets lokaler - är en bugg relativt enkel att placera ut… TVÅ ANDRA KLASSISKA metoder som för tankarna till Kalla Kriget men som faktiskt fortfarande är högst aktuella är värvning av agenter och avlyssning. En värvning sker enligt en mycket systematisk process i sex steg, som Säpo refererar till som värvningstrappan. Målet är att etablera ett så kallat human intelligence, HUMINT, network av insiders som kan förse antagonisten med begärlig information. Rumsavlyssning med utplacerade mikrofoner - så kallad buggning - är en metod som tidigare var reserverad de resursstarka men som i dag genom dumpade elektronikpriser är allmänt tillgänglig. Har man en insider på plats - eller tillfälligt kan bereda sig tillgång till företagets lokaler - är en bugg relativt enkel att placera ut. En mer avancerad variant av infiltration är att en agent från grunden bygger upp en trovärdig bakgrund som möjliggör en anställning på målföretaget. Den långsiktige angriparen går ibland så långt att denne köper upp ett existerande företag som redan har en etablerad relation till målföretaget. Säpo bedömer att det i dag finns ett hundratal utländska underrättelseofficerare som aktivt värvar agenter i Sverige - men med dagens turbulenta världsordning kan vi nog förvänta oss fler framöver. c JOHAN ÖSTLUND PONTUS WINSTÉN Din organisation för säkerhetsutveckling S W E D E N Under mer än 50 år har ASIS International varit säkerhetschefens primära källa för kunskap, personlig utveckling och nätverkande. Med fler än 37000 medlemmar globalt och växande, är ASIS den ledande organisationen för professionella säkerhetsutövare. ASIS sammanställer den information och de resurser som du behöver. Samtidigt som du kan fokusera på ditt arbete och förbereda dig inför morgondagens hot. Bli medlem idag, besök oss på asis.se S&S NUMMER 7 2014 | 47