Ekot: Tusentals it-system har allvarliga säkerhetsbrister

Ekot kan avslöja att flera myndigheter, kommuner och företag har allvarliga brister i sin it-säkerhet.
Vår kartläggning visar på tusentals sårbara system som bland annat används till att styra avloppssystem, fjärrvärme och brandlarm.
I över 1000 fall krävs överhuvudtaget inget lösenord för att kontrollera systemen.
Allt mer i samhället är uppkopplat på internet för att kunna övervakas och styras på distans. Ekot har därför sökt av internet med en speciell sökmotor.
Vi har kategoriserat över 7000 system med säkerhetsbrister och bland annat hittat samhällskritisk infrastruktur.

http://sverigesradio.se/sida/artikel.aspx?programid=83&artike...

Kommentar? Min detta har jag vetat länge, även ställen där det finns lösenord är hanteringen av dessa usel. Jag vet flera system där lösenord finns sparat i klartext, men även om det inte vore det så är det så enkla lösenord de använder. Och många kör med samma lösenord överallt.

Kostnad att få en riktig säkerhet, ja fördubbla budgeten för IT är det första. Liksom kommunikation strular som bara tusan, folk kämpar till det sista att få igång kommunikationen på enklast möjliga sätt. Vissa gateways har standardlösenord som i princip aldrig får bytas, för när en helt annan aktör ska in på den så ska den kunna göra detta utan behöva bläddra igenom ett par tusen sidor för att hitta lösenordet till just denna pryl.
Sedan ska ej lösenord stå i något dokument utan ska hanteras i något program och bytas med jämna mellanrum, ja lycka till med detta när det kanske är 10 000st olika enheter som ska uppkopplas på en anläggning.
Jag tror många tänker såhär, ett system med låg säkerhet kostar säg 20 miljoner. Hög säkerhet kostar 40 miljoner, om det är något väldigt litet system som inte direkt någon känner till så strunta i säkerhet och köp Hummus och sprit för resten av pengarna.

Man får skilja på vad man pratar om, kommunikation ut emot internet så är VPN ett populärt sätt och det finns en drös tekniker för att få bra säkerhet kring vpn som inte enbart handlar om ett lösenord. Nu handlade artikeln om att företag struntade skydd emot internet som VPN.

Däremot internt i lokala tekniska nätverk så är det ofta den bästa säkerhet man skulle kunna göra att byta lösenord, men även om man har ett lösenord som ingen knäcker så går trafiken ofta okrypterad. Att höja säkerheten på dessa områden, ja det kostar verkligen multum. Inom många områden finns det nämligen inga alternativ att köpa där det är bra säkerhet hela vägen, utan man måste ha utrustning i ställen där obehöriga ej har tillgång till. Att få bandbredden att räcka till och även datakraften är ofta enorma problem och då utan kryptering, lägg till kryptering på all data och dagens datorer får problem att hantera det.

Så säkerheten kommer i den närmsta 20 åren lär vara kass på de tekniska nätverken. Tekniska nätverk ska inte jämföras med de nätverk som kontorsfolk/systemutvecklare sitter emot, dessa har knappast någon hårdvara alls inkopplad och kan då ha hög säkerhet på dessa. Denna enkla hårdvara som de använder är dessutom enkelt att skydda och tillverkaren brukar göra det.

Jag är tveksam till att folk ändrar sig, grundproblem ligger i ekonomi.
Där man såklart ska skilja på olika system, vissa som de ett spelkasino/bettingsida på internet är en stor måltavla för attacker. Detta vet alla om och det är lätt att övertyga investerarna att här bör det satsas pengar.

Men går man ner till lite mindre saker som att det finns 50 givare lite varstans som ska insamlas värden ifrån och ett företag vill göra det så billigt som möjligt, så går det göra en lösning där man skickar all data helt okrypterad och ingen extra hårdvara behövs.

Eller så kan man köpa in industriroutrar med vpn som ska tåla -40 grader och de kostar runt 10 000kr/st, lägg därtill arbete och konfiguration så slutsumman kanske hamnar på 600 000kr extra för att ha bra säkerhet.
Det är då väldigt lätt för mindre företag att säga, skit i säkerheten vad är det värsta som kan hända? Där de inte alltid tänker på att det kanske är struntsumma att andra kommer åt mätvärdena, men kan de komma åt annat? Som att styra det som ska mätas? Även om nu detta ej var tanken.

Nu finns det såklart billigare routrar än såna för 10 000kr/styck, fast hur många konsument är godkända för -40 grader med fukt och annat?

Och grundproblemet är småskalig utveckling, gör man något riktigt stort, ja då kan specialutrustning för detta göra, man får bra säkerhet till bra pris. Dessa unika saker där man köper in generell industrihårdvara och monterar ihop blir svindyrt och det blir att folk kommer tumma på säkerheten.

Konsumentprylar så är kryptering ganska standard, men inte industriell. Och det har lite med att göra att man köper en produkt från ett visst fabrikat, 10 år efter kanske man köper en annan apparat av ett annat fabrikat som ska prata med denna.
Och det kan vara minst sagt ett helskotta att få detta att fungera, där man ofta avlyssnar kommunikationen för att se var det går galet.
Blanda in kryptering i detta, det är alldeles för långt borta, säkerheten lägger man i ett helt annat lager.
Ibland händer det ju att trafik uteblir och man ska avlyssna trafiken för att se var som går fel, kryptering på detta gör det kört.

Tar vi det som det rapporteras om så handlar det om att de lägger saker ut på internet som egentligen borde gå över ett skyddat tunnel som vpn.

*edit*
Angående hårdvaror så har jag flera polare som har insett att drivers inte finns mellan två system, då är det läsa specifikationer och avlyssna trafiken för att skapa kommunikation som gäller. Ibland kan man prata med tillverkarna men de brukar inte vilja samarbeta utan att ta betalt för detta. Att skapa en driver emot en enhet som krypterar sin datatrafik och man genom avlyssning ska bygga upp protokollet, ja lycka till.

Bra industrirouter som tål -40 grader minus med vpn på lite mer avancerad nivå, där man kör med oliak kryptering beroende på om en förbindelse upprättas eller redan finns säg 10 000kr. Att få en helt vanlig tekniker som ej pysslar med nätverk att få denna att fungera, där resa fram och tillbaka ingår säg 20 000kr. Om ingen vpnserver finns på mottagarsidan säg 8000kr för att lägga in en sådan.
Så det blir 38 000kr dyrare än bara säga: F-ck security.

Grundproblemet är många, som att det tar tid att göra saker första gången. Undra hur stor andel av alla nördar här på swec som ens har satt upp vpn tunnel kring en hårdvara som de fjärrstyr flera mil bort?
Det är inget märkvärdigt, men man får tänka på saker som att trafiken enbart får går genom vpn och att routern automatisk ska anslutas till vpnservern om kommunikationen går ner etc.

Bristande kompetens, visst. Problemet är att man ska kunna så otroligt mycket och om folk lägger ner mer tid på att lära sig om säkerhet, ja då får de minska tiden som de lägger på något annat.
Grundproblemet idag tycker jag att IT-folk generellt är kass på precis allt, lösningen är att göra mer standardiserade produkter så folk slipper lära sig så mycket.

*edit*
För en som jobbar med nätverksteknik så kan en vpnklient på en router vara superlätt att konfigurera. Men tänk att helt vanliga systemutvecklare ska göra konfigurationen och det är ungefär samma sak som att be era morfar/mormor göra jobbet.