Foto: TT

FRA: Många myndigheter uppfyller inte säkerheten

Uppdaterad
Publicerad

Det kan ta en timme för Försvarets radioanstalts professionella hackare att ta sig in i svenska myndigheters IT-system. I vissa fall avbryter man säkerhetsgranskningen tills de mest elementära bristerna är åtgärdade.

– Tyvärr ser vi hos många myndigheter att man man inte uppfyller säkerheten, säger informationschef Anni Bölenius.

I början av april var Försvarets radioanstalt, FRA, med och avslöjade en omfattande internationell cyberattack, riktad mot företag som sköter IT-tjänster och deras kunder. Angreppet, kallat Cloud Hopper, ska ha pågått sedan 2016 men tros ha påbörjats redan 2014.

Flera svenska myndigheter och företag drabbades när deras IT-leverantör utsattes för attacken.

IT-skandalen

LÄS MER: Stor internationell cyberattack avslöjad – Sverige drabbat

Metoden gick ut på att komma åt företag och myndigheter via de nätverksuppkopplingar och behörigheter som tjänsteleverantören har för administrera kundernas nätverk.

Förslag på åtgärder

Efter angreppet lade FRA fram en rapport med förslag på en rad åtgärder som myndigheter kan vidta för att stärka skyddet vid outsourcing. Men FRA hade redan tidigare varnat för outsourcing av IT-tjänster, som man hävdar utgör en utmaning för myndigheter och ställer höga krav på beställarkompetens.

– Det är en risk som vi har uppmärksammat. Man ska inte vara kategorisk och säga att man aldrig ska outsourca, men om man ska göra det måste man tänka i flera steg. Det kanske går att få säkerhet, men det ställer högre krav på beställarkompetensen, säger Anni Bölenius, informationschef på Försvarets radioanstalt.

I rapporten trycker FRA bland annat på vikten av att behålla egen nyckelpersonal som IT-säkerhetsspecialister, för att ha tillräcklig kunskap att beställa rätt typ av säkerhet.

Hackar sig in

FRA genomför regelbundet säkerhetsgranskningar ute på 10–15 av de mest skyddsvärda myndigheterna. Det går ut på att FRA:s personal, med myndighetens godkännande, låtsas vara angripare och hackar sig in i IT-systemet.

”Hackarna” kommer alltid in, även om tiden kan variera allt ifrån en timme och uppåt.

– Det vi kommer åt kan även främmande makt komma åt. Tyvärr ser vi hos många myndigheter att man man inte uppfyller säkerheten och det finns också en hel del som behöver jobba mer. Samtidigt är det svårt att skydda sig, som angripare måste man bara hitta en sårbarhet medan myndigheten måste skydda sig mot allt.

LÄS MER: Så avslöjades cyberattacken i våras

Ett av de vanligaste problemen är att myndigheten inte fokuserar på att värna om sin mest skyddsvärda information. Det förekommer även allt för enkla lösenord och bristfällig hantering av USB-stickor så att man riskerar att få in virus i systemet.

Ibland händer det att myndigheten avbryter säkerhetsgranskningen för att det inte är meningsfullt att fortsätta innan de mest elementära säkerhetsbristerna är åtgärdade.

– Vi ser att hos de myndigheter vi kommer tillbaka till år efter år så blir säkerheten bättre. Medvetenheten blir större, samtidigt ökar hela tiden sårbarheten i och med den nya teknikutvecklingen. Det finns alltid ett glapp att jobba ikapp.

Men när delar av IT-driften är outsourcad riskerar det att försämra säkerhetsgranskningens kvalitet, eftersom man kanske inte kommer åt att granska vissa delar.

Ständiga angrepp

Attacken i våras var långt ifrån den enda som var riktad mot Sverige. Enligt FRA pågår det hela tiden angrepp, grovt räknat handlar det om tiotusentals aktiviteter varje månad. Det kan vara alltifrån kapade datorer, till skadlig kod som gör upprepade intrångsförsök och fullbordade angrepp.

– Vi har sett att det finns utländska stater som faktiskt plockar ut information, att de systematiskt kartlägger saker som har att göra med vår nationella säkerhet.

FRA vill dock inte uttala sig om säkerhetsbristerna inom Transportstyrelsen eller om man hjälpt myndigheten att vidta några åtgärder.

LÄS MER: Transportstyrelsens IT-affär: Detta har hänt

Så arbetar vi

SVT:s nyheter ska stå för saklighet och opartiskhet. Det vi publicerar ska vara sant och relevant. Vid akuta nyhetslägen kan det vara svårt att få alla fakta bekräftade, då ska vi berätta vad vi vet – och inte vet. Läs mer om hur vi arbetar.

IT-skandalen

Mer i ämnet