• Hem
  • Kategorier
  • Senaste
  • Taggar
  • Populära
  • Användare
  • Grupper
Collapse
Dataportal logo

Community på Sveriges dataportal

Förslag: Ny lag om öppen data om driftstörningar

Scheduled Fäst Låst Flyttad Data
9 Inlägg 2 Posters 175 Visningar
    • Äldst till nyaste
    • Nyaste till äldst
    • Flest röster
Svara
  • Svara som ämne
Logga in för att posta
Det här ämnet har raderats. Endast användare med ämneshanterings-privilegier kan se det.
  • Nizo_PriskornN Offline
    Nizo_PriskornN Offline
    Nizo_Priskorn
    wrote on Senaste redigerad av
    #1

    Jag önskar mig öppen data om alla säkerhetsincidenter och driftstörningar hos all samhällsviktig verksamhet såväl privat som offentlig.

    Jag vill ha den CC0, strukturerad enligt ett vettigt schema och öppen såväl juridisk som praktisk. Då kan vi på Wikidata länka till datamängderna och vem som helst kan då sammanställa läget såväl nu som bakåt i tiden. Då går det tex att mäta om vi får färre incidenter över tid eller flera.

    b36d8a09-efdd-4038-8e57-9c58b03453be-image.png
    http://www.teknikaliteter.se/2021/11/05/it-skandaler-som-ingen-bryr-sig-om/
    @tove

    toveT Ett svar Senaste svaret
    0
  • toveT Offline
    toveT Offline
    tove
    replied to Nizo_Priskorn on Senaste redigerad av
    #2

    @Dennis_Priskorn du kan ta och diskutera den med Bankföreningen. Jag lägger min energi på annat ställe och avvaktar vad nya föreskrifterna om säkerhetsskydd från FI får för effekt.

    Men det jag kan dela är att det är ett aktivt val av i vart fall vissa banker att inte redovisa det. Om jag minns rätt (stor brask för att jag inte gör det) var argument:

    • risk för att exponera information om kritisk infrastruktur (inkl. vilken som är det),
    • risk för att möjliggöra kartläggning av infrastruktur eller infiltrering (söka jobb i vissa team),
    • risk för att det skapar datan för att möjliggöra förutseebarhet för sårbara perioder,
    • risk för att säkerhetstänket urvattnas och att man t.ex. transparent delar planerade driftstörningar, vilket möjliggör att någon planerar attacker utifrån detta.

    Men England har ju kommit väldigt långt med sitt Cybersecurity Partnership/membership också, så jag utgår ifrån att alla som omfattas av de reglerna ingår i det och då kan de få stängd vägledning och samverkan i hur de öppet ska kommunicera. Varför i vart fall punkt fyra bör kunna undvikas.

    Utveckla hur vi utvecklar säker systemutveckling samhällseffektivt & innovativt

    Nizo_PriskornN Ett svar Senaste svaret
    0
  • Nizo_PriskornN Offline
    Nizo_PriskornN Offline
    Nizo_Priskorn
    replied to tove on Senaste redigerad av Nizo_Priskorn
    #3

    @tove Intressant diskussion, problemet är att den inte förs offentligt i Sverige vad jag vet.

    Wikimedia har delat ALLT, dvs alla sina serverkonfigurationer, alla sina programvaror, alla sina säkerhetsluckor (de döljs tills de är fixade), m.m. öppet så vem som helst kan replikera deras infrastruktur.

    Hur är deras uppetid? Vi kan ta ett exempel: https://uptime.com/wikipedia.org

    Nu säger jag inte att samhällsviktiga organisationer ska kopiera deras strategi om radikal öppenhet direkt och börja dela detaljer om sina hemsnickrade och kassa proprietära it-system som har en massa ännu oupptäckta säkerhetshål. Däremot så önskar jag att vi ser en rörelse mot öppen programvara för alla delar av våra samhällsfunktioner.

    Jag skulle vilja gå så långt som att säga att det är en säkerhetsrisk i sig att leverera samhällsviktiga funktioner (som tex banksystem) byggd på proprietära system. Jag ser ingen anledning att regeringen/FI tillåter att det fortsätter framöver. Ge dem en tydlig lag och en rimlig omställningsperiod samt kräv öppen programvara för alla organisationer som ansöker om ny banklicens. (förslagsvis kan lagen innehålla krav på banken att publicera öppen länkad data om sina banksystem så att vem som helst kan kolla att deras programvaror verkligen är öppna)

    Om vi tvingar de privata banker t.ex. att öppna upp sina system eller bli ersatt av nån annan som har öppna system, vad väljer de då? (bankerna har själva valt att driva sin verksamhet dold och intransparent och på det viset liknar de många av våra myndigheter. Det är knappast till samhällets bästa vad jag kan se)

    Bahnhof valde ett öppet system för sin senaste satsning på Cloud tex. Det är ett exempel på potentiell samhällsviktig infrastruktur och därmed anmärkningsvärt!

    Det finns iaf 8 öppna bankinfrastruktursystem enligt en väldigt snabb sökning: https://www.goodfirms.co/banking-software/blog/the-best-8-free-and-open-source-banking-software-solutions-1

    toveT Ett svar Senaste svaret
    0
  • toveT Offline
    toveT Offline
    tove
    replied to Nizo_Priskorn on Senaste redigerad av
    #4

    @Dennis_Priskorn jo, men vad har Wikimedia för krav på säkerhet, governance och riskarbete? Jag som kund i banker vill inte att alla ska kunna replikera min banks infrastruktur.

    Håller med om att delar borde kunna vara mer öppet, men Swedbank har väl öppet repo för Swedbank Pay (i alla fall öppet read).

    Jag påbörjade ett konstruktivt pedagogiskt svar men sen när du skriver saker som nedan så är det svårt att inte dras med.

    @Dennis_Priskorn sa i Förslag: Ny lag om öppen data om driftstörningar:

    Jag ser ingen anledning att regeringen/FI tillåter att det fortsätter framöver.

    @Dennis_Priskorn sa i Förslag: Ny lag om öppen data om driftstörningar:

    förslagsvis kan lagen innehålla krav på banken att publicera öppen länkad data om sina banksystem så att vem som helst kan kolla att deras programvaror verkligen är öppna

    Det är inte upp till varken regeringen eller FI, eftersom vi är del av ett globalt finansiellt system. Svenska banker har ju en radda av regler att förhålla sig till när det kommer till operativ risk som detta kallas (såväl internationella som nationella som branschstandard om de exempelvis vill ha möjlighet till utlandstransaktioner eller ta betalt).

    Vill du lägga dina pengar i en bank som för alla har öppet hur pengarna är förvarade och skyddade? Även om de inte tillhandahåller nycklar eller hela planritningen så är det ju väldigt mycket lättare att ta sig in om du har planritningen, även om vissa rum är svarta lådor. Jag berör den frågan något här (på engelska och kallat blueprints).

    Spontant tänker jag att analysen för driftinfo för banker berör bl.a. PCI-DSS, EBA guidelines (de spottar ur sig nästan värre än EU för tillfället) som FI i många fall behandlar som lag, NIS och FI:s Författningar (FFFS) som nu inkluderar säkerhetsskydd (bortser från allt kring investering, penningtvätt, terrorverksamhet osv då jag inte tror det påverkar denna fråga).

    Du kan läsa mer om reglerna här på FI:s hemsida.

    Sen håller jag som sagt med om att vissa system borde kunna vara mer öppna även i finansiell sektor och de kanske kan tillhandahålla någon typ av nuvarande driftstatus utan historik (men säkerställa att även om någon scrapar den så är den inte så specifik att det innebär en operational risk för kritiska system). Men det beror ju på hur det är uppbyggt bakomliggande om man vill automatisera det. Jag tror många aktörer i andra branscher har en plain sida som en webbredaktör manuellt uppdaterar och då är frågan vad syftet med informationen är och om formen säkerställer det.

    Som sagt är det ju öppet att ta en öppen diskussion med exempelvis Bankföreningen. Men om jag får ge ett icke efterfrågat tips skulle jag läsa på lite om vad som faktiskt är möjligt, då det blir långt och är svårt att besvara förslag som är omöjliga. Jag förstår att man ibland för dramaturgi använder sig av aldrig eller alltid eller extrema exempel för att visa på ett behov, men man måste komma ihåg att ibland är nyttan större att ge lösningen eller argumenten för de 99% av fallen än för den sista extrema %.

    Om du är intresserad av en konstruktiv dialog om öppen och säker informationshantering och systemutveckling bl.a. sårbarhet- och incidentrapportering, så håller jag på med en projektbeskrivning om det just nu. Vi kan i så fall ta en dialog och se om det finns möjlighet till samverkan mot ett gemensamt mål, för det behövs fler händer om detta ska komma i mål.

    Utveckla hur vi utvecklar säker systemutveckling samhällseffektivt & innovativt

    Nizo_PriskornN 2 svar Senaste svaret
    0
  • Nizo_PriskornN Offline
    Nizo_PriskornN Offline
    Nizo_Priskorn
    replied to tove on Senaste redigerad av
    #5

    @tove sa i Förslag: Ny lag om öppen data om driftstörningar:

    @Dennis_Priskorn jo, men vad har Wikimedia för krav på säkerhet, governance och riskarbete? Jag som kund i banker vill inte att alla ska kunna replikera min banks infrastruktur.

    Varför inte? Vad ser du för risker med det? Hela iden/rörelsen mot öppen källkod bygger ju på att jag kan sätta upp ett liknande system, förbättra det och skicka in mina ändringar.

    toveT 2 svar Senaste svaret
    0
  • Nizo_PriskornN Offline
    Nizo_PriskornN Offline
    Nizo_Priskorn
    replied to tove on Senaste redigerad av Nizo_Priskorn
    #6

    @tove sa i Förslag: Ny lag om öppen data om driftstörningar:

    Vill du lägga dina pengar i en bank som för alla har öppet hur pengarna är förvarade och skyddade?

    Ja, se https://en.wikipedia.org/wiki/Security_through_obscurity är varken säkert eller effektivt. Se även https://www.schneier.com/tag/obscurity/

    Schneier är knivskarp när det gäller IT-säkerhet och otroligt påläst på området. Jag följde hans blogg i flera år för ca 10 år sedan och kan varmt rekommendera den.

    Även om de inte tillhandahåller nycklar eller hela planritningen så är det ju väldigt mycket lättare att ta sig in om du har planritningen, även om vissa rum är svarta lådor. Jag berör den frågan något här (på engelska och kallat blueprints).

    Värdet av att vem som helst kan försöka knäcka systemet är högt. Att dölja hur infrastrukturen är satt ihop är en riktigt dålig ide om du frågar mig eftersom det tippar balansen till idoga välfinansierade angriparnas fördel vilket vi ju inte vill.

    Iden om att dölja verkar vara vanlig och kulturellt förankrat i just denna sektor, men även hos våra myndigheter. Problemet är att det inte finns någon forskning på att det är effektivt att skydda sig genom att dölja implementationsdetaljer eller nätverksdetaljer.

    Självklart finns det ett värde i att bygga skalskydd och brandväggar och liknande runt system, men de måste testas jämt av kompetenta team och alla incidenter måste redovisas öppet så vi alla kan lära oss ihop.

    Just därför är det så himla effektivt att öppet publicera sårbarheter så som görs inom open source-miljön. Jag har kört Linux i 20+ år och har aldrig haft en säkerhetsincident. Jag har administrerat flertalet servrar åt kunder och lappat hål.

    Telegram utlovade tidigare en stor dusör på 300.000$ för de som lyckades knäcka deras IT-system inom en given tidsperiod. Svenska banker skulle troligtvis effektivt kunna tillämpa något liknande om de vill ha hjälp att testa sina skal och system.

    toveT Ett svar Senaste svaret
    0
  • toveT Offline
    toveT Offline
    tove
    replied to Nizo_Priskorn on Senaste redigerad av
    #7

    @Dennis_Priskorn sa i Förslag: Ny lag om öppen data om driftstörningar:

    dölja hur infrastrukturen är satt ihop

    Jag håller med om att vår samverkan måste bli bättre både nationellt och i unionen. Det kanske ska vara partnerships och semi-öppna bounty program eller öppna bounty program i en testmiljö, men utan karta. Men det är inget som säger att man inte kan göra sådant i dagsläget.

    Jag tror som sagt att fler applikationer kan vara öppna än det är idag. Men jag tror inte på full transparens om kritisk infrastruktur är vägen för att få maximal operationell säkerhet.

    Även om det blir säkrare teknik för att vi kollektivt, när som helst, kan försöka knäcka systemet så underlättar du för exempelvis social engineering och annan kartläggning av utvecklare. Det finns risk att sätta en större måltavla på dina anställda och kanske minska deras privata sfär då de pga sitt yrke behöver iakta extra försiktighet, mer än det är idag.

    Telegram skyddas inte av social engineering och finns ju fall i flera länder att ministrar och andra fått sina konton hackade. Man är heller inte av spionprogram såsom Pegasus eftersom de läser av enheten och inte påverkas av krypteringen (som numera inte ens kräver en interaktion/click av dig utan det har räckt med att din telefon är på, någongång). Dessutom kräver det väl mobilnummer och om det går att återställa med det blir SIM-swapping en risk också.

    Sen det viktigaste tycker jag om vi är inne på Telegram, så för mig handlar ju open source om att dela och möjliggöra utveckling och innovation. Att någon kan återanvända och förbättra och samtidigt hjälpa till att hitta sårbarheter i min kod eftersom deras tjänar på det. Men jag förstår det som att Telegram är som en genomskinlig box, du kan se men egentligen inte röra på ett bra sätt exempelvis.

    Utveckla hur vi utvecklar säker systemutveckling samhällseffektivt & innovativt

    Ett svar Senaste svaret
    0
  • toveT Offline
    toveT Offline
    tove
    replied to Nizo_Priskorn on Senaste redigerad av
    #8

    @Dennis_Priskorn sa i Förslag: Ny lag om öppen data om driftstörningar:

    Varför inte? Vad ser du för risker med det? Hela iden/rörelsen mot öppen källkod bygger ju på att jag kan sätta upp ett liknande system, förbättra det och skicka in mina ändringar.

    För att måltavlan och risken för din data, system och anställda blir de fakto högre om du tar dig in i en banks system än i Wikimedia. Exempelvis hack för många år sedan i US att några kunde låta bankomater spotta ut pengar tills de var tomma.

    Risken är högre för någon med mer att skydda av flera anledningar men dels i att balansen är för skev mellan profit för att anmäla det och att utnyttja det, dels att du påverkar anställdas privata sfär och hotbild.

    Men som sagt, öppna samarbeten med insyn mellan de med kritisk infrastruktur kan ju vara något om det inte redan genomförs.

    Utveckla hur vi utvecklar säker systemutveckling samhällseffektivt & innovativt

    Ett svar Senaste svaret
    0
  • toveT Offline
    toveT Offline
    tove
    replied to Nizo_Priskorn on Senaste redigerad av
    #9

    @Dennis_Priskorn sa i Förslag: Ny lag om öppen data om driftstörningar:

    Varför inte? Vad ser du för risker med det?

    Kom på en fråga. Efter helikopterrånet så insåg man att det inte varit bra att man kunde begära ut planritningar för den specifika värdedepån som allmän handling för händelseförloppet och hur de kunnat planera rånet.

    Om du skulle vara med och öppna en värdedepå idag, skulle du aktivt be dom inte sekretessmarkera planritningen?

    Om det känns för abstrakt har jag en annan. Om du skulle vinna/ärva något väldigt värdefullt föremål och det ingår ett bankfack som du får välja. Skulle du välja:

    1. Ett som har planritning över hela banken och 3D-skiss på valvet, material och de fysiska skyddet, beskrivet och du får följa med in i valvet och låsa.
    2. Eller ett där de säger att du får vänta i ett rum och de kommer med en gedigen låda du får lägga ner sakerna i och låsa (även så du hämtar ut det sen). De lägger in det i valvet och säger att de låser särskilt om din låda också (förutom ditt lås) samt till valvet. Men att ingen får tillträde pga säkerhetsrisken.

    Väljer du 1 eller 2?

    (Andra får gärna svara också, bara intressant hur vi tänker olika.)

    Utveckla hur vi utvecklar säker systemutveckling samhällseffektivt & innovativt

    Ett svar Senaste svaret
    0

Finansieras av Europeiska unionen logo
  • Logga in
  • Har du inget konto? Registrera
  • Login or register to search.
  • Första inlägget
    Sista inlägget
0
  • Hem
  • Kategorier
  • Senaste
  • Taggar
  • Populära
  • Användare
  • Grupper
  • Logga in
  • Har du inget konto? Registrera
  • Login or register to search.