ReferatOlof Santesson:
Med tonvikt på IT-säkerhet
2000-talets värld är sårbar. Begreppet har blivit självklart. Vi lever farligt med våra alltmer avancerade system för hög standard, välfärd och utveckling. Inte minst gäller detta som en sanning för allt som förknippas med dataåldern.
Med säkerheten i våra datorer är det likafullt si och så. Anmärkningsvärt många vet heller inte vad de vill få ut av sina system. Kanske kan det inte begäras mer av en alltjämt yrvaken teknik – betänk att nästan inga av dagens verktyg fanns för bara ett par årtionden sedan.
Man kan för den skull inte bara sucka över bristerna i hanteringen. Något måste göras. Om detta handlade en välbesökt Stockholmskonferens den 29 januari, ”Skydd mot informationsoperationer”, i Landstingssalen i Landstingshuset vid Hantverkargatan. Inbjudan hade gått till informatörer i kommuner, landsting, organisationer och företag; ett sjuttiotal personer hade hörsammat kallelsen.
Mötet organiserades av allmänna försvarsföreningen i samarbete med Stockholms Läns Försvarskommitté. Den första har individuella medlemmar, den andra består av en rad organisationer.
Många myndigheter
tävlar
Med tanke på arrangörernas inriktning hade nog många
av åhörarna, med ett påfallande starkt inslag
av gamla kämpar i frivilligorganisationerna, väntat
sig att få ta del av hur en ovänlig kraft, en fiende,
kunde tänkas angripa våra infrasystem genom just informationsoperationer,
ett begrepp hämtat från den militära miljön.
Men tonvikten lågt helt på IT-säkerhet, delvis
med så välmatade framställningar att det inte
var helt lätt att tillgodogöra sig innehållet.
Massmedierna uppbygger oss tid efter annan med larm om olika lömska virus. Vi får räkna med större angrepp var tredje månad, löd ett kärvt besked i radion i början av året. Det betyder dock alls inte att Sverige har gett upp om att våra system skall vara stabila och skyddade.
Mer än måhända de flesta av oss har insett har det bara under 2000-talet byggts upp ett helt myndighetsbatteri för ökad säkerhet i cyberrymden. Inte mindre än fyra verk är inbegripna i ädel tävlan, resultatet av kompromisser mellan olika statsdepartement.
Samordnare utan operativt
ansvar
Slutrapporten från centerpartisten Anders Svärds utredning
till regeringen om en nationell strategi för informationssäkerhetsarbetet
väntas föreligga 2005. I väntan på en kommande
utvärdering får man se dagens insatser som en försöksverksamhet
som behöver utvärderas.
För den viktigaste samordningsrollen svarar KBM, den nya krisberedskapsmyndigheten, vars talan fördes av enhetschefen för informationssäkerheten Staffan Karlsson. Han redogjorde inledningsvis för Sveriges nya krishanteringssystem, där tidigare satsning på funktionsansvariga myndigheter har ersatts av sex samverkansområden. Navet, motorn, det är det tänkt att KBM skall vara. Organisationen har dock inte något operativt ansvar. Dess uppgift är att utveckla förmågan till krishantering hos andra aktörer genom utbildning, spel och övningar. Två miljarder finns också att fördela årligen. Betydande arbete läggs ned på omvärldsanalys. Det är KBM som skall förse regeringen med lägesanalyser på krishanteringsområdet.
Rusat in i cybervärlden
Ett direkt ansvar för svensk IT-kompetens har, nog oväntat
för de icke insatta, FRA, Försvarets Radioanstalt.
Dess kärnverksamhet – spaningen i etern – är
lika sekretessbelagd som någonsin, men organisationen åtar
sig i IT-åldern också att höja nivån på
svenskt säkerhetstänkande. Föredragshållaren
från myndigheten, Dan Larsson, visade bilder från
förskräckande kaotiska datamiljöer, med sladdar
hängande och dinglande överallt och med manualer i
en enda röra.
När man frågar företagen visar de sig mest rädda för sabotage, trots att sådant inträffar i relativt få fall. Av talares problemkatalog framgick hur många har rusat in i cybervärlden utan att förstå vad de håller på med. Analys, tidsplanering, utbildning – allt brister på många håll. Av 105 företag var det endast tre som hade en kontinuitetsplan för att hålla igång verksamheten i utsatta lägen, ännu sämre var det med testandet av hållbarheten.
Faller ihop av sig själva
Om evaluering och certifiering på dataområdet talade
främst Mats Ohlin från FMV, Försvarets Materielverk.
Han var den ende som något nalkades ämnet IT-operationer:
sådant som elektronisk krigföring, psykologiska operationer
(psyops), vilseledning. Dit får man också räkna
samverkan civilt-militärt (CIMIC) och informationstjänst.
Det handlar ju om att både påverka (offensivt) och
skydda sig (defensivt).
Mest fick man dock höra om ”kvalitetssäkringen” inom datavärlden, för att låna uttryck från andra verksamheter. Ett genomgående honnörsord var ”tillit”, vi måste kunna känna oss trygga med tekniken. Målet är att få dataverktygen certifierade, något som sker i internationell samverkan. FMV håller för närvarande på med att bygga upp en organisation för detta. En första provcertifiering skall ske under innevarande år, 2004.
Att verksamheten är angelägen framgår av uppgiften om att det internationellt påträffas 700 svagheter i kommersiella produkter per kvartal. Det är ungefär åtta per dag. Någon har sagt att det inte behövs några hackare i operativsystemen; ”de faller ihop av sig själva”. Kruxet, utmaningen, är att få tillverkarna att tänka efter före.
Hemsidan säker?
Siste talaren, Lars Hedensjö, berättade som myndighetsföreträdare
om hur Post- och Telestyrelsen, PTS, bygger upp ett svenskt IT-incidentcentrum,
SITIC, tämligen fristående från modermyndigheten.
Verksamheten sedan starten för ett år sedan består
av fyra delar: incidenthantering och –rapportering; omvärldsbevakning;
förebyggande råd och statistikrapportering. På
gång är ett laboratorium för tester, verifieringar
och rekonstruktioner av förlopp. Ett viktigt verktyg är
en dagligt uppdaterad hemsida. Man samverkar med andra myndigheter,
även polisen och statskontoret.
Den än så länge blygsamt bemannade organisationen utarbetar regelbundna rapporter, håller seminarier, genomför extra analyser och kan även utfärda särskilda råd som ”blixtmeddelanden”. Under frågestunden framgick det att endast ett blixtmeddelande hade skickats ut under det första verksamhetsåret.
På en undran om en bättre och snabbare kommunikationsmetod än krypterad fax, kryfax, inte vore behövlig blev svaret endast en hänvisning till telefon och hemsidan. Risken att en hackare skulle kunna ta sig in och förvanska hemsidan blev hängande i luften utan något tydligt besked om riskbedömningen.
En frågeställare ville höra om något mer än skydd av tekniska system. Vad gör man mot vilseledande operationer och psyops? Här hänvisade Staffan Karlsson i första hand till Försvarsmakten. Men även KBM hade i regleringsbrevet getts ett visst ansvar; myndigheten har ju övertagit delar av SPF, Styrelsen för psykologiskt försvar.
Slarv med virusskydd
Förändras då hotbilden? Det undrade en av konferensens
arrangörer, aff:s generalsekreterare Ulf Rubarth. Staffan
Karlsson tyckte att massmedierna i sina redovisningsambitioner
alltför mycket lyfte fram det sällsynta och spektakulära.
Han bekymrade sig mer för det vardagliga: dålig administration,
dåliga rutiner och policybeslut, medarbetare som inte vet
vad som behöver skyddas och saknar nödvändiga
kunskaper. Det är detta som man behöver titta på
först. Vad som kan byggas bort här ger också
ett rimligt skydda mot det spektakulära.
Som oroande företeelser pekade Mats Ohlin på mängden ständigt uppkopplade hemdatorer som inte är konfigurerade på rätt sätt, där det slarvas med brandväggar och virusskydd. Till sårbarheten hör att så många använder samma operativsystem. Trots talet om ett stigande problem kan man fråga sig om inte användarna av hemdatorer uppträder försiktigare och mer genomtänkt än många företag, som blott alltför ofta faller för lömska virusangrepp.
Hur funktionellt är
det då med dagens fyra delvis konkurrerande myndigheter,
KBM,
FRA, FMV och PTS? Auditoriet kunde dra sina slutsatser av Staffan
Karlssons besked att man behöver avsätta mer tid för
att hitta lämpliga gränsdragningar, kort sagt bli sampratade.
Informationsoperationerna får komma en annan gång. Det blir nog fler tillfällen, att döma av avslutningsorden från försvarskommitténs ordförande Hendry Andersson, också i form av nya samarbetsarrangemang med allmänna försvarsföre­ningen.
Olof Santesson har varit Dagens Nyheters utrikesredaktör