Stora brister kring svensk IT-säkerhet

IT-säkerhet. Svenska företag och myndigheter blundar för riskerna för en attack mot deras IT-system.

Transportstyrelsens upphandling där databaser hamnade i utlandet är bara ett exempel, enligt IT-säkerhetsbolaget Advenica.

Det finns en "skrämmande naivitet", säger tekniska chefen Jonas Dellenvall.

De senaste årens snabba tekniska utveckling har skett i en tid då det varit relativt lugnt på IT-säkerhetsfronten.

– Fram till för bara ett fåtal år sedan var det en positivare värld där man inte tog höjd för riskerna som finns, man har tagit på sig risker som inte var genomtänkta. Det är det som vi till viss del måste lappa upp, säger Jonas Dellenvall.

Advenica arbetar bland annat med VPN-system, där bolaget har den högsta säkerhetsklassningen, och levererar bland annat till svenska försvaret. I sina kontakter med olika organisationer stöter han i bland på en "skrämmande naivitet", berättar han.

Väljer billigaste

Det finns pengar att spara på att lägga ut delar av IT-systemen exempelvis i molnet. Och hoten är inte alltid tydliga.

– Då kanske man väljer den billigaste lösningen, som Transportstyrelsen som lade en databas utomlands, som generaldirektören råkade i blåsvädret för. Liknande saker tror jag man kan se i olika verksamheter. I bästa fall förstår man inte, i värsta fall bryr man sig inte, säger Dellenvall.

Även inrikesminister Anders Ygeman (S) har varit inne på samma spår.

– Om du har samhällskritisk information är det inte en bra idé att lagra den någonstans där du inte har kontroll över den. Risken med att använda en utländsk molntjänst är att du inte har kontroll över vem som skulle kunna komma åt informationen. Pratar vi då om en angripare som är en utländsk stat som har hög kapacitet finns uppenbara risker med den typen av outsourcing, sade han nyligen till TT i samband med att den uppdaterade nationella strategin för cybersäkerhet presenterades.

Dellenvall säger att han träffat på företag som tänker: "Men vem skulle vara intresserad av vår verksamhet?", trots att de arbetar med kritisk infrastruktur, exempelvis el- eller vattenförsörjning, vilket i värsta fall skulle kunna innebära att någon skulle kunna slå ut sådana system på distans.

– Det är skrämmande så klart, säger han.

"Inte förstått"

Det senaste året har flera uppmärksammade attacker genomförts. Det handlar både om överlastningsattacker och så kallad ransomware, som låser användarnas datorer. Det finns tecken som tyder på att en stat eller en statsstödd aktör ligger bakom den senaste tidens attacker. I den nationella strategin pekas just de ut som det allvarligaste cybersäkerhetshotet mot Sverige.

– Det som är speciellt med verksamheten är att det går att öva utan att nödvändigtvis bli upptäckt, man kan vara ute och testa vad som fungerar och inte, men också att se hur den attackerade reagerar, säger Dellenvall.

Han säger att mycket gott görs, men att det viktigaste är att höja de som har allra sämst säkerhet, eftersom en attackerare oftast väljer det enklaste målet.

– Framförallt handlar det om att verksamheter måste bli medveten om riskerna. Man har inte satt sig in i hur sårbar man är, och inte riktigt förstått vilken typ av attacker som är möjliga att göra, säger han.

TT