Kan vi börja ta IT-säkerhet på allvar i år?

Det dröjde inte många minuter efter att jag levererat måndagens Digikoll i P4 Dalarna, innan nyheten om det största IT-haveriet någonsin i Sverige, klart allvarligare än Transportstyrelsens katastrof, briserade. Computer Sweden avslöjade då att 2,7 miljoner samtal till 1177 sedan 2013 lagrats på en öppen och oskyddad server. Det följdes upp med ett avslöjande om samtal för sjuktransporter som spelats in och lagrats öppet.

Vilka som bär ansvar är ganska uppenbart: det finns en tydlig ansvarskedja som börjar med Regionerna och slutar med MediCall i Thailand. Men det är skillnad på att ha ansvar och att ta ansvar, och här är det uppenbarligen många i kedjan som inte tagit det ansvar de borde.

Klart är att patientsäkerhet och konfidentialitet inom vården väger mycket tungt i svensk lagstiftning, med eller utan GDPR. Landstingen och Regionerna har ofta bra koll internt både på processer, riskanalys och användarbeteende. Däremot verkar de mycket svaga när det kommer till att säkerställa, bortom en upphandling med skall-krav, att underleverantörer (och underleverantörers underleverantörer) har samma koll.

Klart är också att vi är alldeles för naiva när det kommer till IT-säkerhet i Sverige. Det räcker med att läsa på i två timmar för att bli fullständigt paranoid kring vad som kan göras mot individer, organisationer och stater till följd av dålig säkerhet – ändå är det en fråga som inte tas på allvar.

På många sätt liknar det hanteringen av naturkatastrofer: ingen vill betala för dyra vattenbombningsplan förrän vi har en stor skogsbrand – då är plötsligt alla arga för att vi inte hade resurserna på plats. På samma sätt är det ingen som får en löneförhöjning för att man lägger timmar på att förebygga IT-fuckups som kanske aldrig uppstår (särskilt som de ju då är förebyggda) – och när de händer letar alla någon att hänga. Det är mänskligt, antar jag.

I Digikollen 18/2 pratade jag bland annat om hur kylrum och kyldiskar på ICA och Hemköp har kunnat fjärrkontrolleras och saboteras i flera år, tills dess att en outsider kontrollerar säkerheten. Nu var det en välvillig sådan, men föreställ dig en agent för främmande makt som genom hybridkrigsföring vill störa livsmedelstillgången i ett land. Vad bättre än att förstöra livsmedel vid sista distributionspunkt?

Jag tog också upp fjärrhackade elscootrar, och det finns gott om exempel på hur samhällsviktig infrastruktur kan hackas. Du minns kanske störningar under förra året som berörde flera banker, Swish och tågnätet.

Det gör onekligen lite ont i magen när man inser hur lätt det är att störa viktiga delar av vårt samhälle idag. Man behöver inte anordna en brand-REA för att skapa rejäl oreda, och om man ville så skulle det troligen gå nästan bara genom att attackera system som knappt är skyddade.

(En brand-REA kallas så för att ”allt måste bort” och är en koordinerad IT-attack där man slår ut transportsystem (tåg, flyg, väg, hamn), finansiella system (banker, korthantering) och infrastruktur (telefon, internet, elektricitet). Du kan använda det här som argument för att Die Hard 4 inte bara är fantastisk action utan också samhällsinformation, när det är din tur att välja film hemma.)

Ju mer digitaliserade vi blir desto mer sårbara blir vi helt enkelt. Då håller det inte att lagra patientdata på oskyddade servrar, eller hasta igenom upphandlingar som lägger känslig data i händerna på tjeckiska IT-tekniker.

Och don’t get me started on konsekvenserna av uppkopplade hem och IoT, men det får bli ett separat inlägg.

Kommentarer

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Denna webbplats använder Akismet för att minska skräppost. Lär dig hur din kommentardata bearbetas.