2017-09-08 17:47

2017-09-08 17:47

It-säkerheten måste bli bättre

Kritik. Säkerhetspolisen och Försvarets radioanstalt, FRA, anser att den svenska statens it-säkerhet är för svag. Den senaste tidens avslöjanden om statliga myndigheters lättsinniga hantering av it-systemen visar att det behövs en rejäl uppryckning av säkerhetsarbetet.

Den kritik som Säpo och FRA riktar mot statens it-säkerhet framkommer i en hemlig rapport som regeringen beställt, men som Svenska Dagbladet tagit del av (8/9). I rapporten framkommer att medvetenheten om säkerhetsriskerna inte är på topp i de statliga organisationerna.

Lösenorden är för dåliga och uppdateringen av säkerhetsprogrammen släpar. Att bota dessa brister borde vara relativt enkelt. Det allvarliga är att arbetet med dessa enkla säkerhetshöjande åtgärder fortfarande haltar. Bakgrunden till att regeringen beställt den nu aktuella rapporten är de it-intrång som flera myndigheter och företag drabbades av i våras.

I rapporten framhålls att staten måste prioritera upp en samlad it-säkerhet. Förståelsen av vad som är skyddsvärt information måste också bli bättre. Skandalen kring Transportstyrelsens upphandling av it-tjänster visar tydligt att medvetenheten om riskerna med it-intrång i databaser är anmärkningsvärt låg.

Det senaste säkerhetsdebaclet står Polisen för. För att skydda uppgifter i Polisens personal- och löneadministrationssystem krävs en kryptering som är godkänd av Försvarsmakten. För att spara tid uppges Polisen ha gjort ett undantag. Vad som har hänt i detalj utreds men hela affären visar att det tas för lätt på riskerna med dåligt skyddad information.

I myndighetsregister finns ofta personliga uppgifter om medborgare som inte får hamna i fel händer. Det kan handla om skyddade identiteter och liknande. Företag drabbas också av it-intrång och hemlig affärsinformation kan komma i orätta händer.

Industrispionage är otroligt farligt för den svenska ekonomin som är beroende av att vara i framkant av teknikutvecklingen. Tekniska lösningar och forskningsdata måste hållas hemliga om svenska företags konkurrenskraft ska kunna bevaras. Även företagen har all anledning att ta åt sig av kritiken som nu riktas mot statens it-säkerhet.

Svagheter i företags it-system kan få stora konsekvenser för deras kunder. Ett aktuellt exempel på detta är en hackerattack mot kreditupplysningsföretaget Equifax i USA. Hackarna kan ha kommit över 209 000 konsumenters kreditkortsnummer. Personliga uppgifter som socialförsäkringsnummer för omkring 143 miljoner konsumenter finns i databaserna.

Samhället är allvarligt hotat av cyberattacker. Strömförsörjning och kommunikationer kan slås ut och skapa stora problem och kostnader för samhället. För att möta det ökade hotet, inte minst militärt, måste fler satsningar göras för att stärka it-försvaret. Extra anslag om 430 miljoner kronor för åren 2018-2020 har beslutats av regeringen. Det är bra men inte tillräckligt.

Ny teknik är dyr att köpa och att utveckla. Personalförsörjningen måste också säkras i konkurrens med en expansiv it-sektor. Säpo och FRA förslår att ett system för teknisk detektering och varning (TDV) som kan upptäcka it-angrepp för de civila myndigheterna.

Det är bra att medvetenheten om it-säkerheten ökar, men det räcker inte. Aktiva åtgärder för att täppa till hål i säkerheten och större resurser för att skydda it-systemen behövs också.

Den kritik som Säpo och FRA riktar mot statens it-säkerhet framkommer i en hemlig rapport som regeringen beställt, men som Svenska Dagbladet tagit del av (8/9). I rapporten framkommer att medvetenheten om säkerhetsriskerna inte är på topp i de statliga organisationerna.

Lösenorden är för dåliga och uppdateringen av säkerhetsprogrammen släpar. Att bota dessa brister borde vara relativt enkelt. Det allvarliga är att arbetet med dessa enkla säkerhetshöjande åtgärder fortfarande haltar. Bakgrunden till att regeringen beställt den nu aktuella rapporten är de it-intrång som flera myndigheter och företag drabbades av i våras.

I rapporten framhålls att staten måste prioritera upp en samlad it-säkerhet. Förståelsen av vad som är skyddsvärt information måste också bli bättre. Skandalen kring Transportstyrelsens upphandling av it-tjänster visar tydligt att medvetenheten om riskerna med it-intrång i databaser är anmärkningsvärt låg.

Det senaste säkerhetsdebaclet står Polisen för. För att skydda uppgifter i Polisens personal- och löneadministrationssystem krävs en kryptering som är godkänd av Försvarsmakten. För att spara tid uppges Polisen ha gjort ett undantag. Vad som har hänt i detalj utreds men hela affären visar att det tas för lätt på riskerna med dåligt skyddad information.

I myndighetsregister finns ofta personliga uppgifter om medborgare som inte får hamna i fel händer. Det kan handla om skyddade identiteter och liknande. Företag drabbas också av it-intrång och hemlig affärsinformation kan komma i orätta händer.

Industrispionage är otroligt farligt för den svenska ekonomin som är beroende av att vara i framkant av teknikutvecklingen. Tekniska lösningar och forskningsdata måste hållas hemliga om svenska företags konkurrenskraft ska kunna bevaras. Även företagen har all anledning att ta åt sig av kritiken som nu riktas mot statens it-säkerhet.

Svagheter i företags it-system kan få stora konsekvenser för deras kunder. Ett aktuellt exempel på detta är en hackerattack mot kreditupplysningsföretaget Equifax i USA. Hackarna kan ha kommit över 209 000 konsumenters kreditkortsnummer. Personliga uppgifter som socialförsäkringsnummer för omkring 143 miljoner konsumenter finns i databaserna.

Samhället är allvarligt hotat av cyberattacker. Strömförsörjning och kommunikationer kan slås ut och skapa stora problem och kostnader för samhället. För att möta det ökade hotet, inte minst militärt, måste fler satsningar göras för att stärka it-försvaret. Extra anslag om 430 miljoner kronor för åren 2018-2020 har beslutats av regeringen. Det är bra men inte tillräckligt.

Ny teknik är dyr att köpa och att utveckla. Personalförsörjningen måste också säkras i konkurrens med en expansiv it-sektor. Säpo och FRA förslår att ett system för teknisk detektering och varning (TDV) som kan upptäcka it-angrepp för de civila myndigheterna.

Det är bra att medvetenheten om it-säkerheten ökar, men det räcker inte. Aktiva åtgärder för att täppa till hål i säkerheten och större resurser för att skydda it-systemen behövs också.