Hoten kommer från alla håll
1 Spionprogram går runt brandväggen
Efter upprepade informationsläckor har Ericsson infört ett hemligt rum där bolagets rapporter skrivs. Ingen dator i rummet får vara kopplad till internet. Det är lätt att förstå med tanke på hur många olika sätt en målmedveten expert kan använda för att ta sig förbi företagens skyddsmurar ut mot internet.
En stor mängd intrångsförsök sker dagligen på landets företag. Ofta studsar dessa mot brandväggarna som skyddar företagens interna nätverk.
En effektivare metod är att använda ett så kallat trojanprogram som öppnar en väg genom brandväggen från insidan. E-post är den vanligaste metoden för att placera en trojan innanför brandväggen.
Genom att skicka ett till synes vanligt dokument till ett antal användare på det aktuella företaget är chansen stor att någon öppnar det. När detta sker aktiveras samtidigt ett medföljande program som öppnar en väg in i nätverket och tar kontakt med spionens dator. Även om dagens virusskydd känner igen många trojaner är det enkelt att skräddarsy programmet så att det inte kan upptäckas.
Med hjälp av trojanen kan en spion på distans sedan få reda på lösenord, vilka dokument som finns på hårddisken, läsa e-post och dessutom använda den lokala datorn som ett brohuvud för vidare utforskning av andra datorer i företagets nätverk.
2 Bakdörren står öppen
Ett säkerhetshot som är lika gammalt som datortekniken är olika typer av medvetna bakdörrar eller dolda svagheter som finns i datorprogrammen.
En bakdörr är en funktion i ett program som ofta är okänd för köparen. I sin enklaste form kan den vara en väg förbi ett lösenordsskydd vilket gör att den som känner till bakdörren kan ta sig in i ett datorsystem med ett standardlösenord.
Bakdörrar är speciellt känsligt i samband med krypteringsprogram som används just för att hemlighålla känslig information.
Flera exempel finns som visar att krypteringsskyddet kan vara bedrägligt. Det har exempelvis dokumenterats fall där en till synes stark kryptering i själva verket är svag då inte hela krypteringsnyckeln används. Delar av en krypteringsnyckel skickas ibland också med den krypterade filen vilket kan utnyttjas av den som vet om denna svaghet.
Hela tiden pågår också försök att hitta svagheter i de mest populära operativsystemen och programmen. De ständiga säkerhetsuppdateringarna från Microsoft är ofta en konsekvens av att nya säkerhetsbrister har upptäckts.
3 Interna nätverket öppet för alla
Den snabba utbyggnaden av trådlösa nätverk gör det möjligt att, som Affärsvärldens eget test visar, lätt ta del av all information som skickas trådlöst mellan datorer. Den som vill läsa trafiken behöver bara en vanlig dator och ett nätverkskort samt några program som snabbt kan laddas ner från internet.
På bekvämt avstånd kan därefter spionen läsa e-posttrafik och andra data som skickas över nätet eller använda det trådlösa nätverket som en öppen dörr in till andra datorer i ett företags nätverk.
Trots att trådlösa nätverk har kryptering och andra skydd inbyggda som standard och trots att riskerna har varit kända i flera år är det forfarande en majoritet av de trådlösa nätverken som inte skyddas över huvud taget. Ofta är det enskilda anställda som sätter upp egna nätverk utan it-avdelningens vetskap. På samma sätt kan en infiltratör eller besökare koppla in utrustning för trådlöst nätverk som sedan kan användas för intrång utifrån.
Oskyddade trådlösa nät gör det också möjligt för en spion eller hacker att använda ett företags internetuppkoppling utan att lämna några spår. Det innebär att denne kan gå in på ett företags nätverk och därifrån surfa vidare ut på nätet och göra intrång hos andra företag. Om attacken upptäcks leder spåren till det oskyldiga företaget.
4 Datorer på vift
Bärbara datorer och hårddiskar från stationära datorer är heta informationskällor. En bärbar dator eller en handdator kan innehålla en mycket stor mängd information vilket skulle motsvara flera hyllmeter med pappersdokument.
Men en informationstjuv kan också komma över material på legal väg, exempelvis genom att köpa kasserade datorer där hårddiskarna sedan kan analyseras. Informationen på en hårddisk är svår att ta bort även om den till synes har raderats.
Den enda metoden att helt vara säker på att informationen är förstörd är att fysiskt destruera gamla hårddiskar.
5 Avlyssning enklare än det låter
Telefoni har alltid varit tacksamt att avlyssna. Svenska Säpos rekommendation är kort och gott att aldrig nämna känsliga uppgifter i telefon. Det gäller inte minst mobiltelefon.
Den allmänna uppfattningen är att mobiltelefonsamtal inte går att avlyssna. Så är inte fallet. Ny teknik gör det förhållandevis enkelt för den som vill lyssna på andras samtal i mobilen. Utrustningen kan köpas i exempelvis Tyskland.
Metoden bygger på att den som avlyssnar sätter upp en egen falsk basstation som lurar offrets mobiltelefon att ansluta sig. Trafiken skickas sedan vidare till en riktig basstation men på vägen kan samtal spelas in i klartext. På liknande sätt går det även att avlyssna de digitala trådlösa
kontorstelefoner som blivit allt vanligare på senare år.
En annan svaghet i GSM-nätet är att trafiken ofta sänds i klartext via radiolänk från basstationen och vidare till det fasta nätet.
Mobilerna bjuder på fler avlyssningsmöjligheter. Bluetooth-utrustade telefoner har blivit allt vanligare och visar sig nu också vara sårbara på flera punkter. Det går bland annat att lyssna på samtal mellan telefonen och bluetooth-hörluren.
De mer klassiska metoderna att avlyssna fast telefoni fungerar naturligtvis fortfarande men då måste en installation av något slag göras. En annan risk är att det finns bakdörrar liknande de i datorprogram som kan vara inbyggda i företagens digitala telefonväxlar och som är åtkomliga utifrån.
De traditionella buggarna som fungerar som mikrofoner och sändare är i dag mycket avancerade och svårupptäckta om man inte använder speciell spårningsutrustning. De kan placeras i stort sett var som helst i de rum som ska avlyssnas och kan också föras in i helt vanliga elektronikprodukter som exempelvis mobiltelefoner och miniräknare.
6 Falska företag
En både kostsam och omfattande metod för att komma innanför skinnet på ett konkurrerande företag är att starta konsultbolag av olika slag. Dessa kan fungera som täckmantel för antingen en stat eller ett företag. Bolaget kan i egenskap av konsult få tillgång till andra företags innersta hemligheter.
7 Storebror ser dig
I länder där stat och näringsliv är nära sammankopplade är det inte ovanligt att storföretagen får tillgång till information som landets underrättelsetjänst samlat in.
Det kan röra sig om signalspaning och avlyssning av en enskild affärsman som exempelvis kontaktar hemmakontoret under en utlandsresa, men det kan lika väl röra sig om en allmän informationsinhämtning i jakt på intressant information för nationens näringsliv.
Echelon är ett sådant världsomspännande avlyssningssystem som drivs av ett antal Nato-länder med USA i spetsen. En rapport från EU-parlamentet visar att Echelon använts vid exempelvis internationella budprocesser men också att även flera EU-länder har liknande system i mindre skala.
8 Agenter på insidan
Ett inte ovanligt komplement till teknisk avlyssning är rent personella insatser. Faktum är att den mänskliga faktorn fortfarande nämns som ett av de största hoten trots den snabba teknikutvecklingen. Det gäller både medvetet och omedvetet agerande från personer på företagen.
Även om det i dag finns en rad metoder för att samla in information på distans så underlättar en person placerad på insidan. Ett alternativ är att låta en person ta anställning på ett konkurrerande företag och låta denne föra ut vital information.
Ett annat alternativ är att försöka värva en redan anställd person som mot betalning avslöjar företagshemligheter.
Det finns också exempel på företag som ordnat falska anställningsintervjuer med nyckelpersoner i konkurrerande företag. I förhoppningen om att få ett nytt attraktivt jobb är det inte ovanligt att den arbetssökande berättar mer än han/hon borde under intervjuns gång.
Att ta med sig hemlig information från en gammal arbetsgivare är kanske ett av de största hoten. En anställd som blir uppsagd eller på andra sätt tvingas bort från sitt jobb känner förmodligen inte längre samma lojalitet med sin arbetsgivare. Att ta med sig känslig information som kundregister, affärsplaner och liknande kräver bara ett minneskort stort som en tändsticksask eller en snabb kopiering av informationen till en lagringsplats på internet.
Ett exempel på detta är det uppmärksammade fallet med de så kallade Ericssonspionerna som på digital väg förde ut uppemot 50 000 sidor information från Ericsson.
9 Papperskorgen
Spioneri handlar inte enbart om högteknololgi och agentverksamhet utan också om så simpla metoder som att snoka i grannens papperskorg.
Moderna företag producerar enorma mängder dokument varav det mesta åker i papperskorgen. Företag har
insett att konkurrenters pappersavfall kan vara rena guldgruvorna.
Där finns inte sällan utkast till avtal, intern information och hemlig korrespondens.nullnullnullnull
Kommentera artikeln
I samarbete med Ifrågasätt Media Sverige AB (”Ifrågasätt”) erbjuder Afv möjlighet för läsare att kommentera artiklar. Det är alltså Ifrågasätt som driver och ansvarar för kommentarsfunktionen. Afv granskar inte kommentarerna i förväg och kommentarerna omfattas inte av Affärsvärldens utgivaransvar. Ifrågasätts användarvillkor gäller.
Grundreglerna är:
- Håll dig till ämnet
- Håll en respektfull god ton
Såväl Ifrågasätt som Afv har rätt att radera kommentarer som inte uppfyller villkoren.