Enkelt sabotera samhällsviktig IT-struktur

Samhällsviktig IT-infrastruktur behöver ett betydligt bättre skydd mot angrepp. Men det största hotet idag är inte främmande makt eller organiserad brottslighet utan istället datorintresserade personer som sysslar med vad man kan kalla digital skadegörelse. Samhället måste bygga upp bättre skydd i IT-systemen, skriver säkerhetsexperten Fredrik Ljunggren.

5 februari 2011 kl 19:04

I takt med att allt fler samhällsviktiga system kopplas upp på internet, ökar vårt samhälles sårbarhet mot IT-angrepp. Det är i skrivande stund inte främmande makt eller organiserad brottslighet som är största hotet mot dessa system. De allra flesta incidenter uppkommer genom datorintresserade personer som sysslar med vad man kan kalla digital skadegörelse. Denna kunskap skulle dock kunna användas som ett verktyg för att skapa verklig oreda i vårt uppkopplade samhälle.

Under det nyligen genomförda estniska statsbesöket passade Centrum för Asymmetriska Hot- och Terrorismstudier (CATS) på att bjuda in till seminarium om IT-säkerhet på Försvarshögskolan. På agendan stod att diskutera hur Sverige och Estland kan bidra till en säkrare och stabilare tillvaro i cyberrymden. Talare var utrikesminister Carl Bildt och Estlands president Toomas Hendrik Ilves, som båda gjorde ett mycket gott intryck och var anmärkningsvärt pålästa i ämnet.

Diskussionen kretsade dock uteslutande kring olika juridiska och regulatoriska verktyg för att underlätta att utreda och lagföra cyberbrottslingar, ett område som närmast kan betecknas som minerad mark och därför dömt att hamna i långbänken. Redan 1996 inleddes arbetet med att utforma en konvention om IT-relaterade brott inom EU. Denna publicerades i sin nuvarande form år 2001 (ETS No. 185), men är inte helt okontroversiell. Sverige, som åtminstone bland svenskar betraktas som ett föregångsland, har efter nästan ett decennium ännu inte lyckats ratificera konventionen. Kanske just för att internettillgången bland svenskar är så hög, och att de åtgärder som krävs ansetts alltför integritetskränkande. Konventionen förutsätter såväl trafikdatalagen som den så kallade FRA-lagen.

Problemställningarna gör inte ämnet mindre viktigt, särskilt som IT-brottslingar inte känner några nationsgränser. Men det är reaktiva åtgärder som förbereds. Överst på agendan borde istället vara att minska samhällets sårbarhet och förebygga IT-angrepp, innan skadan uppstår.

Tyvärr står vi i många avseenden handlingsförlamade på området. En stor mängd samhällsviktig IT-infrastruktur saknar effektivt skydd mot IT-angrepp. Särskilt tydligt blir det i kommunal verksamhet, som till exempel vattenförsörjning och fjärrvärme. Här saknas ofta både kunskap och resurser för att stärka motståndskraften mot IT-angrepp, och det finns heller inga affärsrisker eller verksamhetskrav som driver på arbetet. Inte sällan är det så enkelt som att koppla upp sig via det allmänna telenätet för att styra delar av anläggningarna. Och telefonnumren finns i telefonkatalogen.

De system som styr den här typen av anläggningar har en förväntad livslängd på 15-20 år, och ändras minimalt under denna livscykel. Eftersom det inte ställs några relevanta säkerhetskrav kommer det nu, under 2011, att installeras nya bristfälliga system som alltså förväntas vara i drift fram till 2030.

Och när dessa redan antika anläggningar nu av besparings- och bekvämlighetsskäl kopplas upp på internet, ofta via trådlös teknik, krävs inte längre ens ett vanligt hederligt telefonabonnemang för att komma åt dem. Sårbarheterna vidgas ytterligare, och ingångarna till systemet blir än fler. Sabotage kräver inte längre ens verkshöjden av ett pojkstreck, men konsekvenserna riskerar att bli av ett slag vi tidigare inte erfarit.

Det måste bli ändring! Utan kristallklara och handfasta krav på att förbättra befintliga system kommer inget att hända. Det måste pekas ut vad som ska göras, när det ska göras och vem som ska betala.

Myndigheten för Samhällsskydd och Beredskap (MSB), som är den myndighet ansvaret faller tyngst på, försitter gång på gång sina chanser att staka ut vägen. De förefaller alltför rädda för att trampa andra myndigheter och institutioner på tårna. Något nytänkande sedan Krisberedskapsmyndigheten blev MSB och gick från att vara ett ansvar för näringsdepartementet till ett för försvarsdepartementet går heller inte att se.

MSB har utarbetat en gammal hederlig femårsplan som de kallar ”strategi för samhällets informationssäkerhet 2010-2015”, och som ges ut i form av en glättig fyrfärgsbroschyr. I strategin saknas dock helt konkreta mål, och undermeningen tycks vara att om vi bara pratar med varandra så löser sig allt av sig självt. Detta strutsbeteende riskerar att leda till att vi möter ytterligare ett förlorat decennium vad gäller säkerhet och mognad i samhällsviktig IT-infrastruktur.

Reglering och juridiska verktyg i all ära, men Sverige behöver gå i bräschen för att utforma europeiska riktlinjer för IT-säkerhet i styrsystem, och ställa konkreta krav på alla verksamheter som kan betecknas som samhällsviktiga. Det går att hämta mycket inspiration från USA, där man handfast och på ett föredömligt sätt gjort just detta.

Det är dags att agera, innan vi ser mer allvarliga incidenter än att ett en och annan röntgenavdelning får stänga till följd av problem med skadlig kod, eller att ett bostadsområde får värmen avstängd mitt i smällkalla vintern. Regeringen bör ge MSB ett tydligare mandat att tvärsektoriellt driva frågor om skydd för samhällsviktig infrastruktur.

FREDRIK LJUNGGREN

IT-säkerhetsexpert på Kirei, arbetar med säkerhetskritisk infrastruktur inom både privat och offentlig sektor, på leverantörs- och kundsidan

Tweet
57 kommentarer

Twingly Blogsearch

Ansvarsprincipen i Sverige som den är formulerad medför osäkerhet...

nilserikforsberg
Fler kommentarer 57

Visa kommentarer (57 st)

Välkommen att säga din mening på SvD.se. Våra regler är enkla: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. För att få kommentera på SvD.se måste du registrera ett konto med Disqus eller använda ett befintligt konto på Facebook, Google, Yahoo eller OpenID.
Du kan skriva max tre kommentarer per artikel. Läs reglerna i sin helhet Vänliga hälsningar, Fredric Karén, chef SvD.se

Toppnyheter Brännpunkt

”Kornas lyckliga tid på bete krymper”

Veterinärer mfl: Djurskyddet på väg att urholkas.
”Migranter ska inte fängslas utan grund”

Röda Korset: Handlar om rättssäkerhet.
”Reformer ska inte vara ett hafsverk”

Baylan (S): Nu ställer vi högre krav på regeringen vid...

SENASTE NYTT

Annons | Projectplace

Så kan sociala medier göra ditt jobb enklare Facebook och Twitter har gett dig ett hjälpmedel.

Ledarredaktionens blogg

POPULÄRAST PÅ OPINION

SvD Utvalt

Skivrecension – The Hives

Howlin' Pelle Almqvist och Vigilante Carlstoem i The Hives under en festival i Indio, Kalifornien förra månaden.

Bildspel

”Ljuvligt skamlig och rå vintagerock”

Första skivan från det egna skivbolaget låter allt annat än slätstruken.

FOTO: ap

Hetast

Guldkorn bland charterfavoriter
Recension

Italiensk omstart på Il Tempo
HEMMA HOS

Bildspel

”Korparna avgjorde husets färg”

	Målare Erfarna målare för ett snyggare hem
	Flytthjälp Snabba och pålitliga flyttfirmor
	Hemstädning Rent hem snabbt och billigt
	Flyttstädning Hitta billig och effektiv städhjälp
	Elektriker Hitta certifierade elektriker
Se alla kategorier

Per JohnssonSnart möts du av hologram i New York

Enkelt sabotera samhällsviktig IT-struktur

Toppnyheter Brännpunkt

”Kornas lyckliga tid på bete krymper”

”Migranter ska inte fängslas utan grund”

”Reformer ska inte vara ett hafsverk”

SENASTE NYTT

Annons | Projectplace

Ledarredaktionens blogg

En professionaliserad debatt där få kan delta

Sveriges radios dåliga Nordkoreajournalistik, andra omgången

Varde diskrimineringsdebatt!

POPULÄRAST PÅ OPINION

SvD Utvalt

”Ljuvligt skamlig och rå vintagerock”

Hetast

Recension

HEMMA HOS

Harry Amster

Clemens Poellinger

Recensioner

Fler nyheter

Nyheter

Näringsliv

Kultur

Brännpunkt

Sport

Resor

Mat och Vin

Ledarsidan