Alla som studerat på högskola eller universitet har någon gång kommit i kontakt med Sunet, Swedish University Network, eller i vart fall använt nätverket som student. Alla lärosäten i Sverige använder Sunet som operatör och för sin internet-access, och Sunet är i sin tur kopplade mot det nordiska universitetsnätet Nordunet, och vidare ut mot internet genom så kallad peering med andra operatörer.

Sunet räknas till en av de största nationella nätverken i Sverige och är i första hand ett forskningsnätverk för landets lärosäten, institutioner och studenter. Förutom lärosätena finns i marginalen andra abonnenter som använder Sunet som operatör, exempelvis vissa studentföreningar, men inga kommersiella aktörer. Sunet är en del av Vetenskapsrådet som är Sveriges största forskningsfinansiär.

Sunet är något av en särling i det svenska nätverkslandskapet i det att det inte är ett kommersiellt nätverk, utan finansierat via skattemedel i syfte att skapa ett så bra forskningsnät som möjligt. Det gör samtidigt att Sunet inte behöver ta kommersiella hänsyn, utan bygger och driver sitt nätverk utifrån premissen att leverera så hög kvalitet och tillgänglighet som möjligt för nätverkets ”kunder”. Det har i sin tur medfört att Sunet har kunnat bygga ett nätverk med mycket fina prestanda, och ett nätverk där man har möjlighet att implementera nya protokoll och standarder, och hålla en hög säkerhetsnivå.

Sunet består rent fysiskt av ett 800 mil långt trippel-redundant fibernät med en kapacitet på 100 gigabit per sekund som knyter samman alla större orter i Sverige och används dagligen av de 75 000 anställda inom akademin. Sammanlagt, inklusive alla studenter, rör det sig om cirka en halv miljon konton anslutna till Sunet. Sunet är ett nätverk att räkna med oavsett hur man räknar.

Huvudkontor i centrala Stockholm

Sunet har förstås en cert, computer emergency response team, som tillsammans med Sunets noc, network operating center, har en avgörande roll för att hålla nätverket säkert. Sunet har sitt huvudkontor på Tulegatan i Stockholm där David Heed, produktsamordnare soc/cert på Sunet, tar emot en regnig fredagseftermiddag. Tillsammans med David Heed samtalar vi med certens operatörer över videolänkar.

Man skulle kunna tro att ett sådant nätverk som Sunet, med den viktighet som nätverket ändå har, borde ha en organisation som håller ögonen på nätverket dygnet runt, alla dagar i veckan, men så är faktiskt inte fallet. Sunets cert har koll, men de är inte bemannade dygnet runt, och de som arbetar som operatörer på Sunets cert sitter inte samlade i ett speciellt rum, faktum är att de inte sitter samlade alls.

David Heed
David Heed.

Sunets cert har en intressant organisationsstruktur, dels med avseende på separationen mellan själva nätverket Sunet och dess kunder lärosätena, dels i fråga om hur certen i sig är organiserad. Varje lärosäte ansvarar för den egna it-säkerheten; det är med andra ord inget som Sunet kan ta ansvar för, men Sunet och dess cert samarbetar med lärosätena om it-säkerheten och assisterar vid behov.

Men samarbetet med lärosätena går djupare än så – de operatörer som arbetar på Sunets cert är anställda av sina respektive lärosäten, men är utlånade till Sunet för att arbeta med Sunets cert. De arbetar också rent fysiskt på sina respektive lärosäten, de sitter med andra ord utspridda över landet och samarbetar dagligen över videolänkar eller andra digitala kommunikationsmedel.

– Vi är helt beroende av att samarbeta över videolänkarna, säger David Heed, men det fungerar utmärkt. Sunets cert har funnits sedan 2001, men fram till 2016 levererades funktionen av Uppsala universitet. Uppsala ville då inte längre ensamma stå för cert-funktionen och vi bestämde oss för att sprida ansvaret över fler lärosäten och arbeta decentraliserat.

De som arbetar med Sunets cert är Patrick Forsberg, cert officer och anställd av Chalmers i Göteborg, Maria Edblom Tauson, cert officer och anställd av Umeå universitet, Arne Nilsson, cert officer och anställd av KTH och Anne-Marie Achrenius, produktägare och anställd av Chalmers.

Till skillnad från de ”hackers” som rekryteras till Polisens pm-cert och alltså tas ombord just för att de är bra på hacking, jobbar Sunets cert efter andra kriterier. På Polisens cert är det bara en av operatörerna som har en akademisk utbildning – det är inte det som är det viktiga för pm-cert – på Sunets cert är det, kanske inte så förvånande, tvärt om. Samtliga operatörer på Sunets cert kommer från akademin och har ofta bakgrund som systemadministratörer.

– Man kan säga att vi har en hög mognadsgrad bland våra medarbetare och är bra på att samarbeta och kommunicera med folk och behålla lugnet, säger Maria Edblom Tauson vid Umeå universitet. Vi har en stark pliktkänsla och vill se till att Sunet fungerar så bra som möjligt.

Samarbeten med andra forskningsnät

Samarbeten med andra organisationer och deras cert-funktioner är förstås mycket viktigt för Sunets cert, inte minst vad gäller att dela information mellan olika cert-funktioner. Samarbetena sker på flera nivåer utöver samarbetet med lärosätena. Sunets cert ingår bland annat Svenskt cert-forum, och Sunets cert rapporterar i vissa fall till cert-se på MSB även om Sunet inte har någon notifieringsplikt till MSB. Sunet cert har även en hel del samarbete med övriga nordiska forskningsnät och forskningsnät inom EU.

– Det är viktigt med tillit i samarbetet med andra cert-organisationer. Vi är alla beroende av delad information, samtidigt som vi inte får dela information med fel personer. Vi på Sunet vill vara så öppna med information vi bara kan, säger Arne Nilsson, cert officer och anställd vid KTH i Stockholm.

Det är ganska stor skillnad mellan de olika lärosätena i vilken förmåga de har att ta hand om sin egen it-säkerhet. De stora lärosätena har hög kompetens inom området och sköter sitt ansvar bra, medan de mindre behöver mer hjälp av Sunet. Rollen för Sunet cert är att lyfta förmågan hos lärosätena, men Sunet kan inte göra jobbet åt dem.

Som nämndes tidigare arbetar Sunet cert tillsammans med Sunets noc, och det är noc:en som arbetar i främsta ledet med att skydda nätverket mot attacker. Samarbetet fungerar i stora drag så att cert:en slår larm när incidenter sker och noc:en tar hand om de operativa åtgärderna. Det är också noc:en som har beredskap och ser till att eskalera larm till cert:en om så krävs, men själva cert:en har ganska lite övervakning av nätverket.

Liksom för Polisens pm-cert ser Sunets cert att nätfiskeattacker är den vanligaste typen av attacker. Sunet utsätts också för ddos-attacker, men nätverket har så pass hög kapacitet att det ska till ganska kraftiga attacker för att de ska skapa stora störningar, även om det naturligtvis finns gränser. Sunet kan svälja mycket men inte attacker på terabyte-per-sekund-nivå.

Just Sunets kapacitet är också en orsak till attacker som är lite speciell för Sunet. Nätverkskapaciteten är attraktiv för cyberkriminella som vill försöka utnyttja kapaciteten för attacker mot andra nätverk och organisationer. Detta är något som gällt under längre tid för Sunet, och det fortsätter att gälla än idag. De flesta attacker som går ut från Sunet är också smittade maskiner som ingår i bot-nätverk.

Attacker som syftar till att komma åt information är en annan typ av attack som Sunet cert ser ofta. Och även här har Sunet lite speciella förutsättningar eftersom nätverket är en bärare av olika typer av akademisk information som kan vara mycket värdefull. Här finns till exempel forskningsmaterial som inte får läcka ut, det finns även mycket värdefull och känslig data på de akademiska sjukhusen, och det finns även ett oindexerat (syns inte i sökmotorer) nätverk med forskningsdokument och publikationer på de akademiska biblioteken.

Studiesystemet Ladok utsätts för attacker

Dessa dokument och publikationer kostar ofta mycket pengar att köpa, och det är inte ovanligt att förövare helt enkelt försöker stjäla dem. Även studiesystemet Ladok utsätts för attacker, kanske för att komma åt betyg, examina och liknande.

Förr om åren kunde det heta att Sunets säkerhetsproblem inte kom från utsidan utan från insidan. Att studenter testade nätverket och resurser anslutna till nätverket hörde mer eller mindre till vardagen, dessutom är ju nätverket till för studenterna och forskarna, och det är inte alltid labbar och experiment går som tänkt. Att studenter kodade fel och kunde ställa till oreda var något att räkna med. Sunet har alltid haft en aura av liberalism och låt-gå-anda, men det har ändrats på senare år.

– Sunet och universitetsnäten är inte så liberala längre, öppen, extern access har stängts ned för delar av nätverken på senare år. Det är snävare med vad man får göra idag, säger Maria Edblom Tauson vid Umeå universitet.

Även den decentraliserade modellen kan ha sett sina bästa dagar på Sunet.

Under kommande år kommer Sunet att bygga upp ett samlat it-säkerhetscentrum som ska ge bättre överblick av säkerheten i nätverket, och hos de anslutna organisationerna. Till detta har Sunet fått så kallade 4:2-medel från MSB, medel öronmärkta för utveckling- och samverkansprojekt inom säkerhet. Då kommer organisationerna tillsammans även att börja öva på incidenthantering, något man på Sunet cert inte ägnat sig åt hittills. ”Vi vill bli det mest samarbetsvilliga säkerhetscentret” säger David Heed.

Läs också:
Polisens cert vilar aldrig – ”Vi ska bli bättre än FRA”
Bank-id-bossen: "Svensk e-legitimation gick snett från start"