Leveranskedjan av IT-produkter hotar systemens säkerhet

Att skydda IT-system mot sårbarheter är lättare sagt än gjort.

Leveranskedjan av IT-produkter hotar systemens säkerhet 1Ju fler aktörer som är inblandade i leveransen av produkten, och ju komplexare mjukvaran är, desto svårare blir det att garantera säkerheten. Det visar en studie från FOI om hotbilder i cyberleveranskedjor.

Från att en IT-produkt utvecklas fram till att den levereras passerar den allt från systemarkitekter till personal inom produktion, lagerhållning, transport och installation. Under hela den så kallade cyberleveranskedjan är produkten utanför mottagarens kontroll och kan utsättas för avsiktlig påverkan.

Dessutom gör komplexiteten hos många IT-system att sårbarheter blir svåra att upptäcka, och kan ligga dolda under en lång tid för att senare aktiveras av angripare.
Under senare år har flera uppmärksammade händelser inträffat som visar hur sårbar leveranskedjan för IT-system är.

– Sättet som IT-system byggs på har gjort dem till en allt viktigare måltavla för kriminella. Hotbilden har ökat och det finns inte någon enkel lösning för att säkra upp cyberleveranskedjor, säger Daniel Eidenskog, forskare på FOI:s avdelning för ledningssystem.

Plockade sönder en dator

På uppdrag av Försvarsmakten har FOI undersökt vilka hotbilder som finns i leveranskedjorna. Syftet med studien är att öka kunskapen om riskerna och vad som går att göra för att motverka dem. Enligt Daniel Eidenskog, en av rapportförfattarna, har Försvarsmakten i många fall samma produkter i sina IT-system som andra organisationer.
För att undersöka den fysiska uppbyggnaden plockade forskarna sönder en dator i mindre delar och kollade på vad som hade tillverkats av vem.

– Många av komponenterna hade amerikanska företagsnamn men har i själva verket tillverkats i Asien. Datorn innehöll även flera fysiska komponenter som lagrar inbyggd mjukvara. Där skulle man kunna tänka sig att en angripare lägger in saker som är svåra att upptäcka, men som kan göra så att systemet exempelvis läcker information på olika sätt, säger Daniel Eidenskog.

Forskarna tittade också på ett helt spann av mjukvaror, från lite enklare till mer komplexa. Detta för att se hur stor komplexiteten är i mjukvarorna och illustrera svårigheterna med att upptäcka brister. Bland annat visade sig till exempel webbläsaren Firefox innehålla så mycket källkod (programtext) att det inte skulle gå att tränga igenom för att upptäcka alla sårbarheter. Som forskarna själva uttrycker det är komplexiteten i mjukvarorna IT-säkerhetens största fiende.

Värt att satsa på åtgärder

Men finns det något som Försvarsmaktens personal inom anskaffning och förvaltning av IT-system kan göra för att minska hotbilden? I rapporten ingår ett antal rekommendationer som är plockade från olika publikationer. En av de viktigaste är enligt Daniel Eidenskog att balansera åtgärder mot kostnader.

– Medan man inte bör lägga så mycket pengar på ett mindre kritiskt system är det värt att satsa på avancerade åtgärder om man har ett system som Sverige är totalt beroende av. En naturlig följd av detta är också att välja samarbetspartners med omsorg, att ha någon som går att lita på. Lågt pris är inte alltid en bra faktor vid val av samarbetspartner.