Det sårbara digitala samhället

Det är mycket bra att DN i artikelserien Det sårbara digitala samhället har granskat IT-säkerheten och pekat på några av de brister som omger oss i allt från bredbandsmodem, webbkameror, skrivare, arbetsplatsdatorer, styrsystem för vattenkraftverk, webbplatser och bloggar, fastigheters styrsystem till polisens oförmåga att hantera IT-relaterade brott.

Omslag till boken.

DN:s rapportering om det sårbara digitala samhället visar att vi inte verkar ha lärt oss någonting om IT-säkerhet. Gamla misstag upprepas, igen och igen. 1989 skrev Clifford Stoll boken ”En hacker i systemet” från 1989 (The Cuckoo's Egg: Tracking a Spy Through the Maze of Computer Espionage).

Några av de inblandade parternas reaktioner har varit häpnadsväckande naiva och okunniga. Bredbandsbolaget menade att säkerheten i deras modem fortfarande var hög då ”det krävs en teknisk kunnig person för att kunna ta sig in på det sättet”. Comhem förnekade att deras modem var osäkra och backade först efter att ha fått se en film där tidningen hackar deras modem. Comhems råd till sina kunder är att vara ”försiktiga där ute” och att man ska ha ett ”bra virusskydd”. Mantrat att man ska ha brandväggar och uppdaterade antivirusprogram upprepas i TV av en företrädare för MSB. Problemet är att det inte hjälper, i synnerhet inte när en angripare har tagit kontroll över modemet och ändrat DNS-inställningarna. Antivirusprogram skyddar inte mot okänd skadlig kod. Brandväggar ger mycket sällan ett skydd när väl en skadlig kod finns på insidan.

Undersökningen av sårbara Flash- och Javaversioner hos företag, myndigheter, kommuner och landsting är en indikator att i det stora hela klarar vi inte av att hålla en acceptabel hygien i internetanslutna IT-system. Vän av ordning kan påminna oss om att internetanslutna IT-system sällan innehåller extremt skyddsvärda uppgifter (t ex som omfattas av sekretess och som rör rikets säkerhet). Vad är problemet? Det kan ändå finnas ett stort behov av att systemen ska kunna användas. Organisationer har i varierande grad ett behov av tillgängliga IT-system för att kunna leda och följa upp sina verksamheter. Uppgifternas konfidentialitet står sällan i proportion till verksamheternas behov av tillgängliga IT-system. Vinklingen avseende FRA tycker jag var lite fånig men följer medielogiken. Nackdelen är att någon kan bli uppgiven och säga något i stil med ”om inte FRA kan skydda sina IT-system, hur ska då vi kunna det?”

En organisations IT-system som inte alls innehåller någon uppgift som omfattas av sekretess kan fortfarande vara av mycket stor betydelse för att organisationen ska kunna genomföra sin verksamhet. Säkerhetspolisen har t o m krav på IT-säkerhet i IT-system som särskilt ska skyddas mot terrorism, även om systemen inte är avsett för uppgifter som omfattas av sekretess och som rör rikets säkerhet (se kapitel 4 i Säkerhetspolisens vägledning om säkerhetsskydd).

Som Stefan Pettersson skriver om på bloggen Springflod behöver inte alla sårbarheter i IT-system åtgärdas. Om en extern angripare kan utnyttja sårbarheter för att ge sig åtkomst till och ta kontroll över IT-system kan hen dock påverka IT-systemens tillgänglighet negativt. Användarna kan uppleva detta som att IT-systemen blir långsamma, ger återkommande felmeddelanden eller helt slutar att fungera. Sådana attacker kan, beroende på vilken verksamhet det är fråga om, vara ett hot mot rikets säkerhet.

Det är inte bra att att vi som informationssäkerhetskollektiv inte förmått oss att höja blicken från säkerhetsprodukter till arkitekturfrågor. Hur bygger vi säkra IT-system? Det är 2014 fortfarande möjligt att i e-post sända in okänd skadlig kod till en organisations interna IT-system och få den att exekvera där. Så lätt ska det inte vara för en angripare.

DN:s rapportering om det sårbara digitala samhället visar att vi inte verkar ha lärt oss någonting om IT-säkerhet. Gamla misstag upprepas, igen och igen. 1989 skrev Clifford Stoll boken ”En hacker i systemet” (The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage) [köp den hos Adlibris, Bokus eller Amazon] om hur han upptäckte och spårade ett intrång i ett forskningslaboratorium i USA. Det är en läsvärd bok om ett av de första dokumenterade intrången i IT-system. Modemen i boken har bytts ut mot fiber- och ethernetkablar, WLAN och LTE. Datorerna i dag är mindre, snabbare och billigare. I övrigt är sig mycket likt.

Vad behövs för att dessa misstag inte ska upprepas? Det finns inget enkelt svar utan förbättringar krävs på flera plan. På konferensen Rätt Säkerhet 2014 tyckte Erik Wennerström (särskild utredare i NISU) att det allmänna borde kunna ställa tuffare krav vid upphandling. Upphandlarna är för försiktiga för att ställa säkerhetskrav på leverantörer av tjänster och varor. Där kan vi bli bättre.

En annan del handlar om styrning genom t ex lagstiftning. MSB får för vissa statliga myndigheter föreskriva bestämmelser om informationssäkerhet. I en enkätundersökning som MSB låtit genomföra svarade 84 procent att de har en informationssäkerhetspolicy. Enkäten undersökte endast befintligheten av en policy och inte deras kvaliteter. För att kunna undersöka kvaliteten i myndigheternas informationssäkerhetsarbete behöver MSB mandatet att genomföra tillsyn, ett mandat som de nu saknar.

DN:s undersökning visar att många inte tar infosäk på allvar. Driftorganisation måste hantera kända sårbarheter med rutiner och verktyg.

Åh, jag är med i tidningen! Jag fick frågan om att delta i en intervju men avstod.

I lördagens DN citeras ett av mina tweets. ”DN:s undersökning visar att många inte tar infosäk på allvar. Driftorganisation måste hantera kända sårbarheter med rutiner och verktyg.” Det jag avsåg var att driftorganisationer måste ges ekonomiska, personella och tekniska förutsättningar för ordning och reda i IT-systemen. Det handlar bl a om att ha kunskap om vilka hård- och mjukvaror som ingår i systemen för att kontinuerligt kunna uppdatera program och konfigurationer för att motverka kända sårbarheter. IT-system är sällan statiska utan förändras under sin livstid och kan därför komma att se helt annorlunda ut än när de togs i drift. En driftorgansiation som enbart agerar i efterhand, på användarnas felanmälningar, för att hålla systemen vid liv kommer inte kunna agera när sårbarheter i hård- och mjukvaror blir allmänt kända.

Pierre Anderberg, en av mina kolleger i Högkvarteret, skriver på Twitter att IT-organisationer generellt inte tas på allvar. När dessa är underdimensionerade för förvaltning ger det bristande drift och framsynthet. Han menar vidare att många organisationer har svårt att se till livscykelkostnaderna för system och att nya IT-projekt prioriteras före vidmakthållande av befintliga IT-system. Min tolkning är att de som har till uppgift att se helheten, gör just inte det.

DN:s Kristoffer Örstadius har gjort ett bra arbete. PTS och MSB har påbörjat granskningar. Den ansvarig ministern Anders Ygeman (S) vill nu införa obligatorisk incidentrapportering i någon form. Troligen är det redan något som ligger halvfärdigt på Regeringskansliet då MSB redan 2012 tagit fram ett förslag. De juridiska aspekterna är komplicerade. Förhoppningsvis kan uppmärksamheten för frågorna leda till att andra konkreta förslag som expertmyndigheterna tidigare har lämnat till regeringen kan komma att genomföras.

DN:s avslöjanden är en cyberfis i cyberrymden. Bristerna i samhällets informationssäkerhet är, enligt min erfarenhet, mycket mer omfattande och mycket mer allvarliga än vad de flesta någonsin kan föreställa sig. Artikelserien gör dock nytta som en uppmaning till politiker, myndighetschefer och företagsledare att sätta sig in hur det verkligen ser ut. Den egna rosaskimrande självbilden om säkerhetsläget är kanske inte den som de som faktiskt arbetar med informationssäkerheten har? Organisation och ansvarsförhållanden är klassiska felgrepp. Är det IT-chefen som ansvarar för IT-säkerheten och rapporterar om det till VD? Är myndighetens säkerhetsskyddschef underordnad chefsjuristen eller kanslichefen? Det kanske inte är bra – för informationssäkerheten.

En uppenbar risk är att politiker, myndighetschefer och företagsledare eller deras underställda prioriterar ner skyddsåtgärder när IT-system tas fram. Begrepp som ”risktagning” och ”nyttohemtagning” yttras. Lätt att säga och lätt att besluta, när den som beslutar överlåter de potentiella konsekvenserna av säkerhetsbrister till nästkommande beslutsfattare. Det leder ofelbart till framtida tidningsavslöjanden om det digitala sårbara samhället.

/Kim Hakkarainen