Brister åtgärdade – ökad säkerhet vid externt trafikutbyte på internet
Telia, Telenor, Hi3G (Tre), Netnod och Tele2 har åtgärder på plats eller ska vidta åtgärder för att täppa till inbyggda sårbarheter i överföring av trafik på internet.
Post- och telestyrelsen (PTS) har granskat hur de fem företagen arbetar för att hantera kända sårbarheter i funktionen Border Gateway Protocol (BGP) som är nödvändig vid externt trafikutbyte på internet.
Det är första gången som PTS granskat internetoperatörers säkerhetsarbete gällande externt trafikutbyte på internet. Myndigheten är också först bland EU-länderna att granska detta.
Några av företagen har behövt vidta ytterligare säkerhetsåtgärder utöver det säkerhetsarbete som de redan har haft på plats. De ytterligare säkerhetsåtgärder som PTS i tillsynen har bedömt som nödvändiga är att bolagen filtrerar bort felaktiga BGP-annonseringar i peering- och transittjänster genom att använda RPKI (Resource Public Key Infrastructure). De har också behövt införa förbättrade övervakningsverktyg som snabbt ger larm och mer detaljerad information om inträffade BGP-avvikelser.
För fyra av de fem företagen är granskningen avslutad. Det som kvarstår för det femte företaget är återrapportering till myndigheten innan tillsynen kan avslutas.
PTS inledde tillsynen hösten 2020 med anledning av de kända sårbarheterna. Myndigheten har granskat riskanalyser, riskhantering och vidtagande av säkerhets- och skyddsåtgärder samt följt upp företagens åtgärdsarbeten och kontrollerat om eventuella utfästa åtgärder har genomförts.
Efter att tillsynen har avslutats har nya sårbarheter i säkerhetsåtgärden RPKI uppdagats. (Stalloris: RPKI Downgrade Attack | RIPE Labs). Det åligger tillhandahållarna att analysera risker och löpande justera sitt säkerhetsarbete enligt säkerhetsreglerna i lagen (2022:482) om elektronisk kommunikation och PTS föreskrifter (PTSFS 2022:11).
Mer information
Erika Hersaeus, tfn 08-678 57 75 eller Therese Braathen, tfn 073-644 55 37
PTS presstjänst, tfn 08-678 55 55
Om Border Gateway Protocol (BGP)
Internet består av mängder av nätverk som kallas automona system (AS). Dessa nätverk skapar tillsammans internet och sammankopplas via BGP. Edge-routrar i varje AS skickar BGP-annonseringar för att utbyta information om nätverkens nåbarhet. BGP beräknar sedan den bästa vägen för att informationen i datapaketen ska nå sin utpekade destination på internet, då används de BGP-annonseringar som routrarna har skickat ut. När sårbarheter i BGP har utnyttjats har det internationellt sett inträffat allvarliga incidenter med omdirigerad, avlyssnad och även stoppad trafik.
Om PTS arbete med säkerhet i allmänna elektroniska kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster
Alla i Sverige ska kunna kommunicera i säkra elektroniska kommunikationsnät och tjänster. PTS har i uppgift att säkerställa att operatörerna följer säkerhetsreglerna i lagen (2022:482) om elektronisk kommunikation och PTS föreskrifter och allmänna råd om säkerhet i nät och tjänster (PTSFS 2022:11). PTS genomför därför tillsynsinsatser för att granska att tillhandahållare lever upp till reglerna för säkerhet i nät och tjänster.
Den nya säkerhetsparagrafen i 8 kap. 1 § lagen (2022:482) om elektronisk kommunikation fokuserar på risker som hotar säkerheten i nät och tjänster och på åtgärder för att hantera dessa risker. Tillhandahållarna ska bland annat regelbundet genomföra riskanalyser och uppdateringar ska också göra en riskanalys efter att tidigare okända hot har identifierats. Aktuella och relevanta omvärldsföreteelser ska beaktas. Se 5 kap. 1 §, 3 § 3 p. och 5 § PTSFS 2022:11.