Temagrupp Cyber Threat Intelligence

[24-10-30]

Mall Föreningsavtal för hotdelning

Bakgrund

Hotdelning är ett komplicerat område, där många hotdelningsgrupper utgår från att klassificera olika hot i trafikljusfärger baserat på sekretessnivå, vilket kräver förhandsklassificering innan delning vilket i de flesta fall är tidskrävande och leder till fördröjning av hotdelningen. Denna praxis förhindrar i praktiken verksamheter från att dela hotinformation med varandra. Grundproblemet ligger alltså i en brist på ömsesidigt förtroende mellan parterna som delar hotinformation.  

Det råder även problem där delningsplattformar ibland blir en arena för spridning av felaktig eller irrelevant hotinformation.  Detta fenomen uppstår ofta på grund av att användare hämtar information från externa källor och delar den vidare utan att noggrant granska innehållet.

I USA, Storbritannien och Norge har statliga organ skapat organisationer för att främja samarbete och öppen dialog om cybersäkerhet. Dessa ger företag och statliga enheter en trygg plattform för att dela erfarenheter och varna varandra, vilket stärker säkerheten på bred front. Trots framgångarna har liknande initiativ ännu inte etablerat sig fullt ut i Sverige.

Att ovannämnda typ av organisationer inte ännu fått fäste i Sverige, bör inte hindra verksamheter och företag från att själva grunda sina egna föreningar för att dela med sig av hotinformation.

Genomfört arbete av TG CTI

För att tackla denna utmaning har temagruppen TG CTI inom Cybernoden på RISE engagerat sig i att utveckla en ny infallsvinkel på hur hotdelning kan fungera. TG CTI har tagit fram en mall till föreningsavtal för de som vill skapa denna typ av föreningar, vilket bör förenkla hotdelningen. Denna mall till avtal kan då agera skyddsnät och skapa en trygg omgivning för hur informationsutbyten ska ske. Genom föreningsskapande säkerställs korrekt hantering av delad hotinformation, vilket ger trygghet för både avsändare och mottagare.

Avtalsmallen är anpassad efter en förening för just hotdelning. Eftersom mognadsnivån är olika i olika verksamheter så har ett antal krav på mognadsnivå definierats för alla som medverkar i föreningen. Dessa krav anges i mallens bilaga 1.

Många tror att hotdelning bara handlar om att dela hemlig eller känslig information om olika angrepp. Men i själva verket kan det även innefatta bakgrundsinformation, som nyligen skannade nätverk eller observerade phishing-kampanjer. Genom att dela denna typ av information kan medlemmarna i en hotdelningsförening filtrera bort brus och fokusera på mer riktade attacker. Denna bilaga är fri att använda för alla föreningar som vill dela hotinformation och är avsedd som ett tillskott för att förbättra hotdelningen i Sverige.

Framför allt har Björn Persson bidragit genom att assistera med avtalet. Mikael Simovits och Steward Kowalski har varit medverkande i att utveckla mognadsgraden för hotdelning. Christoffer Strömblad har skapat förslag angående vilken information som bör delas och hur detta bör genomföras. Vi tackar även övriga medlemmar i Cybernoden för att ha läst och gett synpunkter på dokumentet.

Mallen

Mallen finns nedan för nedladdning.

Om gruppen

Temagruppen CTI arbetar för att öka svensk förmåga inom Cyber Threat Intelligence. Syftet är att svenska aktörer ska kunna skapa, inhämta och samverka kring Threat Intelligence-information av hög kvalitet och med hög relevans för Sverige. Informationen ska kunna bearbetas, analyseras och anpassas till lokala och nationella branscher och sektorer i Sverige.

Temagrupp CTI arbetar med att ta fram krav/underlag som ska hjälpa svenska företag, myndigheter och organisationer att dela hotinformation på ett säkert sätt.

Pågående arbete

Temagrupp CTI har tagit fram ett avtalsförslag/underlag till svenska aktörer. Fokus ligger på att skapa en pålitlig delning av information mellan MISP-noder inom Sverige, som medger delning av aktuell och kvalitativ information.

Temagruppen arbetar också för att ta fram en standard för att IOC:er ska registreras (taggas) så att en aggregerad operativ analys kan göras av informationen och en generell bild av läget kan skapas. (IOC = indication of compromise.)

Gruppens säkerhetskategori: Öppen grupp med förbehåll för Ryssland, Kina, Nordkorea och Iran, språk: svenska som grund. 

Gruppledare: Mikael Simovits, Simovits Consulting AB

Kontakt: mikael@simovits.com

Deltagande företag/organisationer: RISE, Simovits Consulting, Microsoft, ATEA, Nimblr, Swedavia, SUNET, CSRM, EUROCAE, Skövde Universitet, Combitech, Clavister.

Är du intresserad av att delta i gruppen, kontakta Mikael Simovits (mikael@simovits.com).

Processen för inval av nya medlemmar:

  • En blivande medlem skickar en kort motivering för intresset, samt en Linkedin-länk (eller motsvarande).
  • Ansökan meddelas på ett gruppmöte. Gruppen gör en bedömning, eller vid behov en omröstning.
  • Om inga hinder konstateras, välkomnas den nya medlemmen till kommande gruppmöte.

Mikael Simovits har arbetat som IT-säkerhetskonsult sedan 1994 och driver sedan 1997 Simovits Consulting, ett konsultföretag med specialisering inom informations- och IT-säkerhet. Mikael har bred kunskap och erfarenhet av säkerhetsverksamhet med särskild kompetens inom bland annat säkerhetskravställningar, säkerhetsgranskningar, kryptoteknik och ledning.