Ulrika Evertsson vid FRA, försvarets radioanstalt, ingår i den grupp som har till uppgift att kontrollera it-säkerheten hos myndigheter och statliga företag. Nu växer efterfrågan från andra typer av företag som vill att deras system ska testa s av FRA.
Försvarets radioanstalt, FRA, är en av de mest hemliga delarna av det svenska försvaret och ägnar sig i huvudsak åt signalspaning. Men i FRA:s uppdrag ingår också it-säkerhet.
FRA ska hjälpa statliga myndigheter och statligt ägda bolag som hanterar känslig information mot dataintrång. Men det är en begränsad krets myndigheter och företag som FRA får hjälpa. FRA kontrollerar bara säkerheten i de allra känsligaste systemen, hos de företag och myndigheter som har information som är ”känslig ur sårbarhetssynpunkt eller ur ett säkerhets- eller försvarspolitiskt avseende”, heter det i regeringens instruktioner. Här hamnar därmed stora delar av den militära sfären.
I dag kontrollerar FRA säkerheten hos flera statliga myndigheter och företag genom att på deras uppdrag försöka bryta sig in i datasystemen.
– För att skydda ett system måste vi veta hur man kan bryta sig in i det, säger Ralf Törzsök, chef för TKF, teknikkompetensfunktionen vid FRA.
Det är den gruppen som står för de här säkerhetstesterna, och som nu för första gången berättar öppet om sitt arbete. Och det finns stora brister i säkerheten i de myndigheter och företag som kontrollerats hittills.
– Generellt sätt är säkerheten på de interna nätverken mycket låg. Och säkerheten i de system som är exponerade mot internet är medioker, säger Martin Gustafsson, en av de it-säkerhetsexperter vid FRA som utför penetrationsförsöken.
Tonåriga amatörhackare är en sak. Men hotet från kvalificerade angripare är betydligt värre än tidigare. Och till de kvalificerade angriparna räknas en flora av utländska underrättelsetjänster, den avancerade brottsligheten och ett antal högt kvalificerade hackare och hackergrupper.
Målen är både militära och högteknologiska företag. Andra mål kan vara kritisk infrastruktur och beredskapen på det här området har brister:
– De flesta av våra kunder kan inte stå emot ett kvalificerat hot och vi har upptäckt exempel på lyckade attacker, säger Ralf Törzsök.
FRA har flera exempel på eftersatt säkerhet. Av sekretessskäl vill inte FRA gå in på några detaljer i de enskilda fallen.
•Men i ett fall blev ett projekt på en statlig myndighet kontaktat av en amerikansk myndighet. Det känsliga projektet hade placerat datorer utanför brandväggarna. Flera hackare hade tagit kontroll över en dator.
•I ett annat fall upptäckte FRA en bakdörr in till datasystemet hos en känslig myndighet. Bakdörren hade varit öppen i minst två år, och tusentals personer kan ha tagit sig in.
När det gäller kvalificerade angrepp – antingen skickliga hackare, organiserad brottslighet eller utländska säkerhetstjänster – har ett statligt företag och en myndighet råkat mycket illa ut de senaste två åren. I de fallen har angreppen lyckats.
•Ett företag fick mycket hemlig information stulen.
– Attacken var klart riktad och det var mycket känslig information som stals. Dessutom har vi indikationer på att den här informationen auktionerades ut på Internet, säger Martin Gustafsson.
Det tyder på att angriparen som ville tjäna pengar kom från den organiserade brottsligheten snarare än underrättelsevärlden.
•Ytterligare en statlig myndighet har på kort tid utsatts för två mycket kvalificerade attacker. Minst en av attackerna lyckades och ärendet utreds fortfarande av polisen.
– Angriparna visade stor urskillningsförmåga när vissa känsliga dokument kopierades, säger Ralf Törzsök.
