Säkerhet växande problem

Svenska myndigheter brister i IT- och informationssäkerhet. Polisen är just nu ifrågasatt för bristande informationssäkerhet. Foto: Polisen.

2017-09-08

Växande IT-säkerhetsproblem bekymmer för myndigheter

Radarbloggen. Polisen indragen i säkerhetshärva, traktortillverkare digitaliserar genom jätteuppköp och nytt konsultköp som pekar på trend. Det är några av de viktigaste nyheterna från den gångna veckan.

1. Inte bara polisen och Transportstyrelsen – hela staten för dålig på cybersäkerhet

Polisen gjorde ett undantag från Säkerhetsskyddsförordningen när personal- och lönehanteringssystemet skulle outsourcas. Rikspolischefen själv, Dan Eliasson, godkände avsteget våren 2015, vilket innebär att polisen gav leverantören CGI rätt att komma åt systemet utan att använda försvarets krypteringslösning. Det enligt en granskning av Ekot och P4Stockholm i veckan.

I systemet, Palasso, finns namn, personnummer och löneuppgifter på polisens anställda. Dessutom uppgifter om närmast anhöriga, även barn.

Utomstående experter är kritiska till hanteringen, till exempel Pia Gruvö, chef för IT-säkerhet på Militära underrättelse- och säkerhetstjänsten, MUST. Hon säger till Ekot att rikspolischefen inte har rätt att besluta om undantag från Säkerhetsskyddsförordningen.

Enligt polismyndigheten själv har man däremot inte gjort avsteg mot förordningen.

– Vi har inte skickat hemliga uppgifter till någon annan aktör. Vi har hanterat all hemlig information och känslig information på ett sätt som är förenligt med Säkerhetsskyddsförordningen, säger Dan Eliasson till Ekot.

För en utomstående är det svårt att tolka vad som verkligen har skett. Men så här säger en säkerhetsexpert med kopplingar till polisen till Radarbloggen:

– Polisens förklaring känns som en rökridå.

Säpo ska nu utreda om ett brott har begåtts. Många, inte minst fackrepresentanter för polisen, jämför det inträffade med när Transportstyrelsen gjorde flera avsteg från gällande lagstiftning kring sin outsourcing till IBM. Det innebar bland annat brott mot Personuppgiftslagen, Offentlighet och sekretesslagen, samt just Säkerhetsskyddslagen. Som konsekvens har generaldirektören och två ministrar tvingats avgå.

Radar har i tidigare inlägg konstaterat att

  1. Outsourcing i sig är inte problemet. Metoden är kostnadseffektiv och innebär stora affärsmässiga fördelar, både för att spara pengar och att lösa kompetensbehov.
  2. Den som gör en sourcingupphandling måste ha gjort ett grundligt informations- och IT-säkerhetsarbete i förväg, för att veta vilken information som är skyddsvärd, vilka personer och roller som ska ha åtkomst till vilken information, för att se till att data är tekniskt skyddad och att man följer gällande lagstiftning.

Radars VD Hans Werner förklarade begreppen och sammanhangen i en intervju i P4 Kristianstad i veckan.

Radars analytiker Sverker Brundin uttalar sig också i ämnet i en intervju med Ny Teknik, som gjort en större granskning av svenska kommuners outsourcing.

Många experter ser nu Transportstyrelsen och polisen som symptom på ett större problem i den svenska myndighetsvärlden. Det bekräftas i en hemligstämplad rapport från FRA och Säpo, som lämnats till regeringen och som Svenska Dagbladet, SvD, har tagit del av.

FRA och Säpo anser att staten prioriterar IT-säkerhet lågt.

Större delen av rapporten är hemligstämplad, men SvD skriver att det ändå framgår att FRA och Säpo anser att staten prioriterar IT-säkerhet lågt. Exempel är bristande uppdateringsrutiner, lösenordshantering och dålig koll på vad som är skyddsvärt.

Radar har för Riksrevisionens räkning tittat på IT- och informationssäkerhet i statliga myndigheter, under 2015–2016. Den genomsnittliga kostnaden för proaktiv informationssäkerhet ligger på 24,5 miljoner kronor per verksamhet och år, vilket betyder 16 367 kronor per sysselsatt och år. Skillnaderna är dock stora mellan olika myndigheter.

– Undersökningen visar att det uppfattas som abstrakt för både verksamhet och IT att modellera informationsströmmar. Det är lättare att titta på konkret teknik och därför har teknik högst andel av de investeringar i informationssäkerhet man gör, säger Petter Wallin, senior rådgivare på Radar.

Teknik står för två tredjedelar av de totalkostnader för informationssäkerhet som svenska myndigheter har.

– Man har svårare att förstå hur information går mellan olika system och IT-tjänster och vad det innebär för risker att inte har gjort informationsmodelleringen. Hemläxan gäller även privata aktörer, säger Petter Wallin.

Det uppfattas som abstrakt för både verksamhet och IT att modellera informationsströmmar. Det är lättare att titta på konkret teknik, säger Petter Wallin.

Generellt går det också att säga att ju större verksamhet och ju tydligare det är var informationen finns, desto mer intressant är verksamheten för illasinnade hackare. Ett exempel i veckan är amerikanska Equifax, som hanterar kreditinformation. Företaget har råkat ut för ett jättelikt intrång. Känsliga uppgifter om 143 miljoner amerikaner har läckt. Däribland socialförsäkringsnummer, adresser och i vissa fall körkortsnummer. Sådan information som banker och försäkringsbolag använder för att bekräfta att kunden är den som den utger sig för att vara. Om man undantar barn och andra utan kredithistorik omfattar intrånget mer än hälften av USA:s invånare, skriver Arstechnica.

I månadens Thought Leadership, som gick ut till Radars prenumeranter i veckan, berättar för övrigt Hans Werner om hur molnjättar som Amazon, Google och Apple resonerar kring molnsäkerhet. Varför är molnjättarna så oroade över bakdörrar, frågar han sig.

2. Alla måste digitalisera – även traktortillverkarna

Världens största tillverkare av jordbruksutrustning, amerikanska John Deere, har köpt startupföretaget Blue River Technology för 305 miljoner dollar, motsvarande 2,4 miljarder kronor. Det är väldigt mycket pengar.

Blue River har teknik för datorseende, som ska göra det enklare att kolla upp varje enskild planta på åkern. Digitalisering, inte minst Internet of Things-teknik, big data och drönare är väldigt hett inom jordbruket. Det gör värderingarna höga för bolag i sektorn och pressen ökar på de stora leverantörerna att hänga med. Affären visar också att ingen sektor längre kan sitta still i digitaliseringsbåten, i annat fall är risken stor att bli omkörd.

3. Franskt Kentor led i konsulttrend

Svenskgrundade IT-konsulten Kentor är en del av franska Sopra Steria sedan den 1 september. Sopra Steria, noterat på Parisbörsen och med 40 000 medarbetare i 20 länder, ökar nu markant sin närvaro i Norden. Enligt ett pressmeddelande har bolaget efter sammanslagningen med Kentor 375 medarbetare i Stockholm, Göteborg och S:t Petersburg.

Kentor grundades  1983 och bytte 1997 namn från Mandat Consult. Under 2007–2016 var Kentor en del av norska Telecomputing-koncernen. De senaste 1,5 åren har Londonbaserade riskkapitalbolaget IK Investment ägt företaget.

Radars rapport Leverantörskvalitet 2017 konstaterar att för konsulttjänster är närvaro och samarbete extra viktigt. Kunderna är generellt mest nöjda med lite större företag, med en stark lokal närvaro. I den kontexten är affären helt logisk. Sopra Steria tillför internationell expertis och kan som större leverantör snabbare och potentiellt mer flexibelt sätta in kompetens i projekt. Samtidigt tillför Kentor den efterfrågade lokala närvaron och verksamhetskompetensen.

Andra viktiga nyheter i veckan:



Sverker Brundin
Content Manager/Analyst
sverker.brundin@radareco.se
Mob +46 736 79 91 47