Det här är en opinionstext. Åsikter som uttrycks är skribentens egna. I september avslöjades att en kinesisk statsunderstödd hotaktör, kända som Salt Typhoon, infiltrerat stora amerikanska telekomföretag som AT&T, Verizon och T-Mobile. De lyckades använda gammal nätverksutrustning samt bakdörrar, skapade för att möjliggöra rättslig avlyssning, för att komma åt stora mängder okrypterad kommunikation. Hotaktören kunde […]
Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
I september avslöjades att en kinesisk statsunderstödd hotaktör, kända som Salt Typhoon, infiltrerat stora amerikanska telekomföretag som AT&T, Verizon och T-Mobile. De lyckades använda gammal nätverksutrustning samt bakdörrar, skapade för att möjliggöra rättslig avlyssning, för att komma åt stora mängder okrypterad kommunikation.
Hotaktören kunde både lyssna på telefonsamtal och läsa SMS i realtid, samtidigt som de samlade in metadata om telefonsamtal, som telefonnummer och vissa geografiska positioner. Bland de som drabbades fanns den tidigare presidenten Donald Trump, senator JD Vance och medarbetare i Kamala Harris kampanjstab. Trots att krypterade meddelanden på plattformar som Signal och WhatsApp inte komprometterades, var volymen av exponerad kommunikation ändå stor.
Hur omfattande Salt Typhoon-attacken på telekombolagen i USA verkligen var är oklart och många detaljer är inte publika. Men det står klart att det är allvarligt och att en obekväm sanning avslöjas: även lösningar som är skapta för att upprätthålla lag och ordning kan bli de mest kritiska svagheterna i ett system. Senator Mark Warner beskriver situationen som ”en lada där dörrarna fortfarande står på vid gavel.”
Det är tydligt att åtgärderna för att säkra de här systemen har varit otillräckliga. Många av de utnyttjade komponenterna var föråldrade och det saknades möjligheter att uppdatera dem, något som gjorde att hotaktören kunde röra sig mellan olika system och samla in känsliga data.
Det här väcker en central fråga: hur skyddar vi bakdörrar och system skapta för att legalt samla in data från att bli ett verktyg för hotaktörer? Låt det vara osagt om bakdörrar eller sådana system ska finnas eller inte, men om de finns måste de designas och skyddas med säkerhet som högsta prioritet.
Salt Typhoon-hacket har väckt frågor inte bara om teknikens sårbarheter, utan också om ansvarsfrågan. Vem bär ansvaret för att skydda de här systemen, är det regeringarna som kräver att bakdörrar ska existera, eller leverantörerna som utvecklar dem? Den här händelsen belyser att cybersäkerhet inte längre kan betraktas som en valfri investering utan måste prioriteras som en fråga om nationell och global säkerhet.
Framöver måste säkerheten kring bakdörrar och system för legal avlyssning, för såväl tal som data, ses som ett projekt av högsta prioritet av de som tillhandahåller tjänsterna, att isolera kritiska system, övervaka avvikelser i realtid och säkerställa att gamla komponenter ersätts genom att det finns en väl fungerande förvaltning är bara början. En säkerhetskultur som genomsyrar hela kedjan – från design till implementering – är avgörande för att skydda oss mot framtida attacker. Det gäller både för existerande bakdörrar och sådana som kommer att skapas i framtiden.
Låt den här händelsen vara kanariefågeln, som likt i gruvor varnat och räddat gruvarbetare, som varnar oss och får oss att göra allt som krävs, med genomtänkta processer, kontinuerlig övervakning och robusta tekniska lösningar. Det behöver göras för att förhindra att hotaktörer kan utnyttja bakdörrar och system som finns av legala skäl.
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Anmäl dig till vårt nyhetsbrev!
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
