Det är skrämmande naivt hur vissa svenska företag och myndigheter ser på IT-säkerhet, anser IT-säkerhetsbolaget Advenica.
Det är skrämmande naivt hur vissa svenska företag och myndigheter ser på IT-säkerhet, anser IT-säkerhetsbolaget Advenica.

Stora brister kring svensk IT-säkerhet

Svenska företag och myndigheter blundar för riskerna för en attack mot deras IT-system. Transportstyrelsens upphandling där databaser hamnade i utlandet är bara ett exempel, enligt IT-säkerhetsbolaget Advenica. Det finns en "skrämmande naivitet", säger tekniska chefen Jonas Dellenvall.

ANNONS
|

De senaste årens snabba tekniska utveckling har skett i en tid då det varit relativt lugnt på IT-säkerhetsfronten.

- Fram till för bara ett fåtal år sedan var det en positivare värld där man inte tog höjd för riskerna som finns, man har tagit på sig risker som inte var genomtänkta. Det är det som vi till viss del måste lappa upp, säger Jonas Dellenvall.

Advenica arbetar bland annat med VPN-system, där bolaget har den högsta säkerhetsklassningen, och levererar bland annat till svenska försvaret. I sina kontakter med olika organisationer stöter han i bland på en "skrämmande naivitet", berättar han.

ANNONS

Väljer billigaste

Det finns pengar att spara på att lägga ut delar av IT-systemen exempelvis i molnet. Och hoten är inte alltid tydliga.

- Då kanske man väljer den billigaste lösningen, som Transportstyrelsen som lade en databas utomlands, som generaldirektören råkade i blåsvädret för. Liknande saker tror jag man kan se i olika verksamheter. I bästa fall förstår man inte, i värsta fall bryr man sig inte, säger Dellenvall.

Även inrikesminister Anders Ygeman (S) har varit inne på samma spår.

- Om du har samhällskritisk information är det inte en bra idé att lagra den någonstans där du inte har kontroll över den. Risken med att använda en utländsk molntjänst är att du inte har kontroll över vem som skulle kunna komma åt informationen. Pratar vi då om en angripare som är en utländsk stat som har hög kapacitet finns uppenbara risker med den typen av outsourcing, sade han nyligen till TT i samband med att den uppdaterade nationella strategin för cybersäkerhet presenterades.

ANNONS

Dellenvall säger att han träffat på företag som tänker: "Men vem skulle vara intresserad av vår verksamhet?", trots att de arbetar med kritisk infrastruktur, exempelvis el- eller vattenförsörjning, vilket i värsta fall skulle kunna innebära att någon skulle kunna slå ut sådana system på distans.

- Det är skrämmande så klart, säger han.

"Inte förstått"

Det senaste året har flera uppmärksammade attacker genomförts. Det handlar både om överlastningsattacker och så kallad ransomware, som låser användarnas datorer. Det finns tecken som tyder på att en stat eller en statsstödd aktör ligger bakom den senaste tidens attacker. I den nationella strategin pekas just de ut som det allvarligaste cybersäkerhetshotet mot Sverige.

- Det som är speciellt med verksamheten är att det går att öva utan att nödvändigtvis bli upptäckt, man kan vara ute och testa vad som fungerar och inte, men också att se hur den attackerade reagerar, säger Dellenvall.

ANNONS

Han säger att mycket gott görs, men att det viktigaste är att höja de som har allra sämst säkerhet, eftersom en attackerare oftast väljer det enklaste målet.

- Framförallt handlar det om att verksamheter måste bli medveten om riskerna. Man har inte satt sig in i hur sårbar man är, och inte riktigt förstått vilken typ av attacker som är möjliga att göra, säger han.

TT
Fakta: Åtgärder för IT-säkerhet

I maj nästa år föreslås en lag om informationssäkerhet, det så kallade NIS-direktivet, införas i Sverige. Det handlar om att vissa viktiga sektorer (energi, transporter, bank, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur). Leverantörerna måste ha en viss säkerhet och rapportera till Myndigheten för samhällsskydd och beredskap (MSB).

Alla så kallade bevakningsansvariga myndigheter, som har ett särskilt ansvar att stå emot hot och risker, har också fått i uppdrag av regeringen att gå igenom sin egen informationssäkerhet, och vilka hot och brister som finns.

Myndigheterna ska senast den 1 mars 2018 rapportera till regeringen och MSB. MSB ska i sin tur tillsammans med försvaret och Säpo göra en sammanvägd rapport och återkoppla senast den 1 oktober 2018.

Källa: Regeringen

Bakgrund: Generaldirektör fick gå

Transportstyrelsens generaldirektör Maria Ågren fick sparken och dömdes till 70000 kronor i böter för att ha röjt sekretessbelagda uppgifter. Myndigheten lade ut IT-driften till IT-jätten IBM. Det gjorde att länder i Östeuropa fick ansvar för Transportstyrelsens databas, där bland annat information om alla fordon i Sverige, även polisens och militärens, ingick.

ANNONS