2017-10-11 06:00

2017-10-11 06:00

Tar inte IT-säkerhet på allvar

LEDARE

Det verkar dessvärre som om it-säkerhetsskandalen på Transportstyrelsen inte var ett undantag, utan snarare toppen på ett isberg. Medvetenheten om behovet av robust it-säkerhet tycks vara bedrövligt låg hos våra myndigheter, och även i självaste regeringskansliet.

I måndags kunde Dagens Nyheter avslöja att regeringskansliet under många år själva har outsourcat betydelsefulla delar av sitt it-system till olika företag, och det utan att man skaffat ett så kallat säkerhetsskyddsavtal. Det innebär i praktiken att de utomstående personer som arbetat med it-systemen inte har kunnat säkerhetskontrolleras. Precis det som skedde på Transportstyrelsen. I sammanhanget är det värt att påpeka att det inte är outsourcingen i sig som nödvändigtvis behöver vara ett problem, utan det är just avsaknaden av kontroll över vilka som arbetar med känsliga uppgifter.

Regeringskansliet försvar sig med att dessa konsulter bara sysslar med underhåll av it-nätverket, men inte har tillgång till den information som passerar i nätverket. Och därför skulle det inte behövas något säkerhetsskyddsavtal. Det låter mest som hårklyverier. Ann-Marie Eklund Löwinder, som är säkerhetschef på Internetstiftelsen i Sverige, säger till DN att den som kontrollerar ett nätverk också har stor kontroll över informationen som passerar. Bland annat skulle man tillfälligt kunna leda om trafiken, förmodligen utan att upptäckas.

Det är sedan år 2012 som detta skett, först med företaget Cygate, och sedan i september är det Atea som står för it-underhållet utan säkerhetsskyddsavtal. Pikant nog var båda företagen, enligt SVT Nyheter, utsatta i den härva som rullats upp i Malmö och som lett till ett stort bedrägeriåtal efter grova dataintrång. Eftersom det började redan under den förra regeringen så kommer allianspartierna att ha svårigheter att anklaga regeringen då de själva varit lika aningslösa.

Däremot är det bra märkligt att den nuvarande regeringen så sent som den 1 september i år slöt ett nytt liknande avtal med Atea. Detta var ju efter sommarens avslöjanden om säkerhetsläckan på Transportstyrelsen och sparkandet av dess generaldirektör. Två statsråd har till och med tvingats avgå, men det tycks ändå inte ha föresvävat regeringskansliet att sopa rent framför den egna dörren. Den beklagansvärda aningslösheten var tidigare om inte ursäktlig så dock en förklaring till att läckor uppstått. Men nu duger den inte längre.

Vad skall krävas innan vi får ett ordentligt uppvaknande? Säkerhetsmedvetenheten är uppenbarligen bedrövligt låg hos våra myndigheter. Det gäller också hos kommunerna. Tidningen Dagens Samhälle skriver i sitt senaste nummer om hur det brister i säkerhetshanteringen hos många kommuner och att man nu närmast i panik står i kö hos olika säkerhetskonsulter för att få det åtgärdat. Bättre sent än aldrig, men det är också oerhört avslöjande.

I måndags kunde Dagens Nyheter avslöja att regeringskansliet under många år själva har outsourcat betydelsefulla delar av sitt it-system till olika företag, och det utan att man skaffat ett så kallat säkerhetsskyddsavtal. Det innebär i praktiken att de utomstående personer som arbetat med it-systemen inte har kunnat säkerhetskontrolleras. Precis det som skedde på Transportstyrelsen. I sammanhanget är det värt att påpeka att det inte är outsourcingen i sig som nödvändigtvis behöver vara ett problem, utan det är just avsaknaden av kontroll över vilka som arbetar med känsliga uppgifter.

Regeringskansliet försvar sig med att dessa konsulter bara sysslar med underhåll av it-nätverket, men inte har tillgång till den information som passerar i nätverket. Och därför skulle det inte behövas något säkerhetsskyddsavtal. Det låter mest som hårklyverier. Ann-Marie Eklund Löwinder, som är säkerhetschef på Internetstiftelsen i Sverige, säger till DN att den som kontrollerar ett nätverk också har stor kontroll över informationen som passerar. Bland annat skulle man tillfälligt kunna leda om trafiken, förmodligen utan att upptäckas.

Det är sedan år 2012 som detta skett, först med företaget Cygate, och sedan i september är det Atea som står för it-underhållet utan säkerhetsskyddsavtal. Pikant nog var båda företagen, enligt SVT Nyheter, utsatta i den härva som rullats upp i Malmö och som lett till ett stort bedrägeriåtal efter grova dataintrång. Eftersom det började redan under den förra regeringen så kommer allianspartierna att ha svårigheter att anklaga regeringen då de själva varit lika aningslösa.

Däremot är det bra märkligt att den nuvarande regeringen så sent som den 1 september i år slöt ett nytt liknande avtal med Atea. Detta var ju efter sommarens avslöjanden om säkerhetsläckan på Transportstyrelsen och sparkandet av dess generaldirektör. Två statsråd har till och med tvingats avgå, men det tycks ändå inte ha föresvävat regeringskansliet att sopa rent framför den egna dörren. Den beklagansvärda aningslösheten var tidigare om inte ursäktlig så dock en förklaring till att läckor uppstått. Men nu duger den inte längre.

Vad skall krävas innan vi får ett ordentligt uppvaknande? Säkerhetsmedvetenheten är uppenbarligen bedrövligt låg hos våra myndigheter. Det gäller också hos kommunerna. Tidningen Dagens Samhälle skriver i sitt senaste nummer om hur det brister i säkerhetshanteringen hos många kommuner och att man nu närmast i panik står i kö hos olika säkerhetskonsulter för att få det åtgärdat. Bättre sent än aldrig, men det är också oerhört avslöjande.