Community på Sveriges dataportal
Öppen eller "Semi-stängd" data om sårbarheter eller cybersäkerhetsanalyser?
-
Hej!
Data om sårbarheter och cybersäkerhetsanalys finns öppet eller semi-stängt (hålls inom landet men öppet mellan privat och offentlig sektor) i andra länder. Vet vi om något sådant finns i Sverige?Jag har kollat MSB, nybildade Nationella centret för cybersäkerhet, vårt nationella CSIRT CERT-SE mm och även på privata sidan Tech Sverige m.m. Men har inte hittat någon strukturerad data eller ens api till ostrukturerade analyser/artiklar.
Så undrar om någon vet om vi någonstans nationellt öppet använder API:er från National Vulnerability Database (NVD) mer känt som CVE? Kanske kopplar det till svenska incidenter?
Vet att CERT-SE hänvisar till aktuella CVE i en del nyhetsbrev och rekommendationer t.ex. här, men det är vad jag kan se helt ostrukturerat och manuellt hämtat.
UK har ett "Cyber Security Information Sharing Partnership (CISP) is a joint industry and government digital service to allow UK organisations to share cyber threat information in a secure and confidential environment." (länk om någon vill läsa mer). Det är ju svårt att säga vad för typ av datadelning som är bakom inlogg men "in-depth analysis of cyber threat information" låter i alla fall strukturerat
Ni får flytta eller ta bort om detta inte hör hemma här, är min första nystartade tråd
-
@tove relevant fråga!
Jag gissar på att många programkods-auditverktyg använder sig av NVD, men också andra källor.
Jag känner bara till nyhetsbrev från CERT. men frågan är hur dessa brister nått CERT. Vem rapporterar in? Eller kommer infon från NVD?
Vet någon om det Finns en nationell inrapportering av de sårbarheter vi själva upptäcker? Det hade annars varit bra.
-
@Maria_Dalhage rapportering av sårbarheter i Sverige kan vara krav på enligt NIS och anmälan om att sådan ska ske sker oftast via en av de fem tillsynsmyndigheterna för NIS (beroende på bransch samt om samhällsviktig verksamhet och/eller digital tjänst) men tror all rapportering vid en it-incident sker direkt till MSB. Dit kan också sk frivillig rapportering ske.
MSB har årlig information till allmänheten/branschen i rapportform av lärdomar av It-incidenter som rapporterats till följd av NIS (2021 info här).
Medan den dagliga, veckosamma eller sk "blixtmeddelanden" hänvisar till nyhetssidor och/eller NVD (utan länk). Exempel på veckomeddelande när dataintrång skedde på Naturvårdsverket, enbart hänvisning till svt.
Så det känns som det är helt olika datakällor och att vi såsom systemet är uppbyggt idag inte tillvaratar datan som rapporteringen av NIS innebär. Om vi tar Naturvårdsverket som exempel så förstår jag att vissa uttalanden inte kan göras pga förundersökning, men att få ut information om det är sårbarheter som andra (även i privat sektor) behöver agera på, behöver ske mer skyndsamt än inom ett år. Och just nu får vi endast den inputen utifrån eller av människors goda vilja, om jag förstår processerna rätt.
Notera att jag inte alls berömmer eller tar upp allt gott arbete som görs i forumform och kommunikationsarbete. Utan detta berör bara hur vi samverkar vid en incident och/eller hantering vid kända sårbarheter.
-
@tove sa i Öppen eller "Semi-stängd" data om sårbarheter eller cybersäkerhetsanalyser?:
Så undrar om någon vet om vi någonstans nationellt öppet använder API:er från National Vulnerability Database (NVD) mer känt som CVE? Kanske kopplar det till svenska incidenter?
Utan detta berör bara hur vi samverkar vid en incident och/eller hantering vid kända sårbarheter.
Hej Tove, viktiga frågor, och känns väldigt aktuella. Har tyvärr inte hört något (och kan ha helt fel, då säkerhet inte är mitt specialområde) om att det finns motsvarande Cyber Security Information Sharing Partnership (CISP) som du nämner, men det kanske är en fråga som skulle få gehör om initiativ togs, och någon/några hade långsiktigt engagemang att sätta fokus på att efterfråga ett sådant utbyte. En semistängd modell, tills lösningar och berörda fått en chans att ordna låter rimligt.
Ja, kan iaf bara instämma med att det annars är ju väldigt aktuellt ämne inom Öppen Källkods-världen att söka igenom projekt och/eller beroenden, både efter sårbarheter och licenser både på kodbas och i container-miljöerna., där de flesta av lösningarna i grund använder NVD och sedan kompletterande källor. Tror vidare att det är en flerstegsresa för många organisationer att formalisera detta (när man inser hur mycket kritiska CVE's man har:), hur får man in att löpande hantera dess resultat osv
,men inom en inte allt för avlägsen framtid är jag positiv till att det är del av grundpraxis att dessa CVE-uppslag med mera hör till standardpraxis för de flest något mer seriösa utvecklings/deployment-projekt.Förutom de alternativ du nämner är en annan del att fundera hur man som organisation kan uppmuntra och göra det så enkelt som möjligt att få in upptäckter om (icke kända offentliga) sårbarheter från allmänhet/enskilda individer. Kanske inte något som händer varje dag, men har varit med om det tillräckligt många gånger för att funderar på hur många gånger någon inte orkade rapportera in något-
-
@Josef_Andersson håller helt med dig, och besvarar stycke 1 och 2 senare. Men tycker om att du lyfter uppmuntran till att anmäla. Jag skulle säga att vi idag med den arbetsrätt (stränga anställningsavtals villkor) till och med ibland har vissa hinder att rapportera, medverka i open source och hjälpa till att förhindra incidenter i Sverige. Eller i vart fall en otydlighet för individen. Vet flera fall där arbetsgivare har gått efter, men även fall där man blivit anmäld till polisen.
Håller på att ta fram projektunderlag ang detta och du får gärna säga till om du har tid för en e-kaffe och diskutera vilka möjligheter respektive hinder du ser.
Exempel på anmälan är ju Folkhälsomyndighetens covid db, om det stämmer så främjar ju inte det direkt att rapportera de sårbarheter man ser. Jag vet att personen som anmälde skrev via anonym e-post så möjligt att det finns omständigheter som inte framgår av mediebevakningen men jag ser det som anmärkningsvärt om det stämmer att personen skrev ett mail och blev polisanmäld redan vid mail nr 1. Och hans mail 2 var efter att de hade haft stängt och sedan öppnat efter säkerhetsgenomgång.
"I mejl från hackaren, skickade till bland annat Folkhälsomyndigheten, intygar personen att hen inte är ute efter att skada, utan bara vill varna för säkerhetshålet. För att bevisa att Sminet verkligen var öppet för intrång bifogade hackaren information från databasen som inte innehöll känsliga personuppgifter. Vid det andra tillfället visade samma person att hen själv kunde lägga in data, genom att plantera en falsk covid-patient i registret." (länk till dn,ev betalvägg dock)
-
@Josef_Andersson nu har jag skrivit en projektbeskrivning för finansiering av detta och MSB har varit positiva. Om det är någon som vill ge input innan det skickas in imorgon (10 sidor) får ni hojta!
Jag ska kolla hur det skulle funka att publicera delar här (personuppgifter, så hela blir det inte).
