Infrastruktur

Rapport: Så kan vi säkra svensk offentlig sektor

Skandalen på Transportstyrelsen har fått myndigheter och kommuner att vakna upp. Men det finns fortfarande stora kunskapsbrister hos svenska myndigheter om hur vi täpper till säkerhetshålen. Här berättar två av nordens mest framstående säkerhetsexperter hur IT-säkerheten kan bli vassare.

Digitaliseringen är här – med en uppsjö nya möjligheter och tjänster. Men när utvecklingen prioriteras hamnar IT-säkerheten i skymundan, menar experterna idag. Flera undersökningar har visat att det inom offentlig sektor finns stora brister i säkerheten. I Sverige fick kommunerna nyligen lägst betyg i undersökningen Svenskt IT-Säkerhetsindex. Och i en undersökning som gjordes av det globala IT-säkerhetsföretaget NTT Securitys Nordiska gren för två år sedan svarade endast 42 procent av de tillfrågade att de regelbundet genomför tester. 37 procent av de tillfrågade IT-cheferna i börsbolag, kommuner och på myndigheter uppgav att tester av IT-skyddet endast har gjorts någon enstaka gång och 10 procent uppgav att det aldrig gjorts. Siffror som fortfarande ger en god bild av beredskapen inom offentlig sektor, enligt NTT Security.

Det är helt enkelt hög tid att ta nytt grepp om säkerheten inom offentlig sektor, menar Anne-Marie Eklund Löwinder, säkerhetschef för Internetstiftelsen i Sverige, IIS.

– Det politiska målet att myndigheter ska digitaliseras är gott, men det är lätt att ryckas med av alla digitala lösningar och innovationer. Då gäller det att stärka IT-säkerheten samtidigt som digitaliseringen drar igång, säger hon.

Myndigheter måste också veta vilken hotbild som finns, och vilka konsekvenserna av en eventuell attack skulle kunna bli, säger hon. Det är viktigt att kunna göra en korrekt bedömning av om det är värt att ta en risk eller inte.

– I riskanalysen måste du alltid väga in kostnad och effektivitet. Det kanske inte är optimalt att lägga pengar på ett skydd mot något som kanske inträffar en gång vart tionde år. Det måste du värdera från fall till fall, säger Anne-Marie Eklund Löwinder.

Klart är vart fall att många myndigheter och kommuner ligger under nivån för vad som är tillräckligt inom IT-säkerhet. Och dessa brister ligger framför allt på ledningsnivå, säger Anne-Marie Eklund Löwinder.

– I takt med digitaliseringen av den offentliga förvaltningen lockas ledningen av en mer flexibel IT, till en lägre kostnad än förut. Lösningen har blivit outsourcing. Tidspress och funktion får företräde framför säkerhet. Förståelsen för vad en god informationssäkerhet betyder är överlag alltför liten och arbetet prioriteras inte.

Vad tror du blir nästa stora säkerhetsfråga?

– Internet of Things, IoT, blir nästa stora säkerhetsfråga. Redan idag hittar vi trådlös kommunikationsteknik i allt från hemmaprylar som kylskåp och tv-apparater till samhällskritiska funktioner som broar, sjukvårdsutrustning och transportmedel. Men ett stort antal prylar saknar idag grundläggande krav på säkerhet. Och de säkerhetshål de blottar är alldeles för enkla att komma åt, säger hon.

– Vad vi måste komma ihåg är att alla dess prylar är datorer. Angriparna har ju bara utmaningen att hitta ett enda hål i den där komplexa prylen, medan vi på försvararsidan måste täppa till hela ytan. Med den insikten måste vi börja jobba ganska hårt med samhällskritiska säkerhetsfrågor inom myndigheter och kommuner.

Säkerhet från början

Henrik Davidsson, nordisk försäljningsdirektör på NTT Security, håller med Anne-Marie Eklund Löwinder om att säkerheten måste finnas med i kravbilden från början. Trots att bara 42 procent av IT-säkerhetscheferna i företagets undersökning regelbundet genomför tester så ansåg 88 procent av dem att deras verksamhet har mycket god eller god beredskap för IT-relaterade hot.

– Att så många som nio av tio anser att deras beredskap är god trots avsaknaden av regelbundna säkerhetstester är oroväckande. Undersökningen visar att många IT-chefer inte har en klar bild av hur deras skydd mot intrång ser ut, Henrik Davidsson.

Henrik Davidsson säger att om vi tidigt bygger in IT-säkerheten i utvecklingsarbetet och har rutiner för säkerhetstester så minskar risken för intrång och informationsläckage.

– Vi pratar om Security by design, eller DevOpSec, det vill säga att säkerheten ska finnas med från starten när du utvecklar en applikation eller inför ett nytt system. Det innebär att du har ett helhetsperspektiv och väver in säkerheten i utvecklingsprocessen så den inte kan åsidosättas.

Då gäller det vid säkerhetstesterna att länka de berörda systemen till sårbarhet och risker för att upptäcka håligheter där det kan uppstå incidenter. Genom testerna får du kunskap om riskerna och vilka åtgärder som krävs för att höja säkerheten. Detta är en låg kostnad i förhållande till vad ett intrång kan kosta i form av ett skadat rykte samt förluster av affärshemligheter och kundinformation. Därför är det också viktigt att inte stressa fram lösningar utan låta utvecklingen ta den tid som behöv.

– Ofta handlar det om uppdrag som ska genomföras på begränsad tid och med begränsad budget. Men när du skapar nya funktioner kommer också risker som du inte ser. På så sätt bygger vi upp en riskskuld över tid. Har vi dock med risktänkandet från början så hamnar vi inte där.

Kan du ge tips på något nytt effektivt verktyg som kan förhindra attacker?

– En intressant teknik är nätverksanomalier som letar efter avvikelser i både nätverkstrafik och användarbeteende genom att skapa digitala illusioner i infrastrukturen. Med det menas att du lägger ut ett antal falska filer som direkt skickar larm om det sker något oförutsett. Dessa typer av teknologier är inte de billigaste, men otroligt effektiva att finna inkräktare.

Missa inte guiden: Datasäkerhet och dataintrång

Hur stor är risken att drabbas av attacker?

– Eftersom informationen inom offentlig sektor ska vara nåbar för många människor ökar också risken för att drabbas av intrång, ransomware eller skadlig kod. Den risken är extremt stor idag, därför att attackmetoderna är så intrikata och svåra att spåra. Därför ska du inte tänka "om" något inträffar utan snarare "när" det inträffar". Och ha en beredskap för det.

Anne-Marie Eklund Löwinders råd för att öka IT-säkerheten:

  • Alla viktiga funktioner i samhället ska ha ett grundskydd. Det vill säga, att vi fastställer en nivå vi inte går under.
  • Ha strikta behörighetsregler – det vill säga att medarbetare inte har mer behörigheter än nödvändigt för att göra sitt jobb. Segmentera nätverk – skilj dem åt redan i infrastrukturen för de olika systemen så att de inte är öppna för varandra. Se sedan till att hålla allt uppdaterat och säkerhetskopierat. Håll säkerhetskopian frånskild från nätverket.
  • Arbeta systematiskt med säkerhetsrisker och ha en process för att rapportera säkerhetsbrister eller incidenter kopplade till informationshanteringen.
  • Ha en omvärlds¬bevakning och ha koll på vad som vad som händer i världen. Var påläst. Diskutera aktuella säkerhetsfrågor inom organisationen på ett tidigt stadium.
  • Låt inte kostnadseffektivitet vara ett huvudmål, då är man helt fel ute. Ha ett helhetsperspektiv på säkerhet och kvalitet redan på planeringsstadiet.

Henrik Davidssons tips för att minska riskerna för IT-intrång:

  • Det är omöjligt att skydda sig helt från alla tänkbara hot, men det går att värdera och hantera risker. Ha därför en handlingsplan för hotbilder och riskhantering.
  • Genomför tester och sammanställ resultatet i form av risker och tänkbara konsekvenser. Vidta sedan åtgärder för att höja säkerheten. Börja med att åtgärda de mest kritiska och omfattande säkerhetsriskerna.
  • Låt en utomstående expert utföra testerna. Resultatet ska kunna jämföras med liknande organisationer. Detta för att skapa en tydlig bild av den egna säkerhetsnivån.
  • Fundera på att arbeta med en managerad tjänsteleverantör som passar er verksamhet. Detta för att komplettera med resurser och kompetens, då det ofta är väldigt specifik kompetens som krävs.

Ladda ner guiden för bättre datasäkerhet.

Läs mer om Dustins kompetens inom offentlig sektor.