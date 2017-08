Den stora mängden uppkopplade saker ökar träffytan för attackerare, skriver artikelförfattarna. Foto: Lise Åserud/TT

DEBATT | IT-SKANDALEN

Debatten i kölvattnet av Transportstyrelsens haveri har visat på hur svårt det är med informationssäkerhet. Förklaringsmodeller har varierat från statlig styrning till att ledningar inte tycker att säkerhet är viktigt. Åtgärder för att komma till rätta med problemet har varierat från att förbjuda outsourcing av myndigheters it-drift, till bättre målstyrning för myndigheter, till mer pengar på it-säkerhet.

Debatt Det här är en argumenterande text med syfte att påverka. Åsikterna som uttrycks är skribentens egna.

Det enda man med säkerhet kan dra som slutsats av debatten är att det varken finns någon samsyn kring vare sig orsak eller åtgärder för att hindra framtida haverier.

Kanske kan det vara dags att snabbt se över vad vi egentligen vet om it och informationssäkerhet. Samhället blir allt mer digitaliserat, helt i enlighet med regeringens och andras uttalade vilja. Statistik från Cisco och Ericsson visar att antalet uppkopplingar har ökat från 500 miljoner 2003 till 16 miljarder 2016. Det är alltså drygt två uppkopplingar per person i världen.

Annons X

Vad är det då som kopplas upp? I decennier har vi kopplat upp datorer, servrar och senare telefoner. Man har gjort sina misstag och lärt sig av det, med allt bättre antivirus, uppdateringshantering, rättighetsstyrning och så vidare. Vad vi sett de senaste åren är dock att saker som aldrig har kopplats upp tidigare nu kopplas in: tv-apparater, tvättmaskiner, till och med Barbie-dockor. Dessa produkter kommer från bolag som typiskt sett inte har varit utsatta för it-utveckling tidigare och risken är därför stor att man råkar bygga in sårbarheter som inte finns i en normal it-miljö. Utöver nya saker så kopplas även gamla saker upp. 30 år gamla kontrollsystem för infrastruktur, som inte byggdes för dagens hotbild, kopplas in på nätet i allt högre takt.

Den stora mängden uppkopplade saker ökar träffytan för attackerare. Det räcker med ett hål för att vattnet ska rinna ut ur poolen. På hotbildssidan pekar det mesta – trots ett stort mörkertal – på att antalet incidenter ökar från år till år. Medier skriver om de senaste CIA- och kinesiska hacken som kräver stor teknisk kompetens för att genomföra och är nästan omöjliga att skydda sig emot, men i realiteten är de flesta utnyttjade sårbarheter sådana som har varit kända i åratal. Återigen är digitaliseringen ”boven” – ju fler och olika saker man kopplar upp mot Internet, desto besvärligare blir det att hålla dem säkra.

Varför lägger vi inte mer pengar på säkerhet om det nu är så viktigt? Det gängse svaret verkar vara att beslutsfattarna inte tar säkerhet på allvar. Vi tror inte att det är hela sanningen. Däremot är det svårt att veta om man lägger pengarna rätt. Att bara kasta pengar på problemet räcker inte. Summorna som läggs på it-säkerhet är redan idag betydande. Siffror från PwC och andra visar att bolag i snitt lägger 4–6 procent av sina it-budgetar på säkerhet. Vissa lägger betydligt mer än så, men blir ändå hackade. Säkerhetsproffsen är dessutom ofta fast i en ”lås-ner-allt”-mentalitet som är omöjlig att upprätthålla i digitaliseringens tidevarv.

Dessutom är säkerhet inte ett problem man kan lösa inom säkerhetsfunktionen. I Transportstyrelsens fall talar vi inte ens om ett externt hot, utan faktiskt den högste chefen som skrev under på att bryta mot lagen och utsätta känslig information för risk. Varför gjorde högsta chefen det? Tidspress och okunskap är hennes egen förklaring i Säpo-förhören.

Hur ska man då hantera informationssäkerhet och it-säkerhet? Vi föreslår en ganska enkel modell:

Ledningen sätter sig in i vad som är skyddsvärda tillgångar inom organisationen och talar om hur mycket pengar man är beredd att lägga. Säkerhetsfolket talar om för ledningen vilka åtgärder man behöver vidta för att skydda dessa, och ungefär hur mycket pengar de behöver.

Sedan vidtar en dialog där båda sidor närmar sig varandra tills man har hittat en optimal avvägning mellan risk och kostnad. Den ena sidan kan inte lösa problemet utan den andres medverkan. Ofta ligger lösningarna inte ens på säkerhetsavdelningen, utan på verksamheten i form av ändrade rutiner eller arbetssätt.

På så sätt blir det möjligt att använda den begränsade summa pengar som finns tillgänglig för att höja skyddet på det verkligt skyddsvärda. Då kan man också sänka säkerheten på information som inte är lika känslig och understödja digitalisering på rätt sätt.

Robert Lagerström

docent och lektor i industriell informationssystemarkitektur på KTH samt gästforskare på Harvard Business School

Jacob Henricson

rådgivare på Foreseeti AB och tidigare it-säkerhetschef på LM Ericsson

Pontus Johnson

professor i industriella informationssystem vid KTH