It-skandalen var en ögonöppnare - nu måste jobbet göras

2018-01-29

Skandalen på Transportstyrelsen är egentligen en konsekvens, ett symtom, på hur det står till med säkerheten inom offentlig sektor och samtidigt ett bevis på att det finns en hel del kvar att göra. Den har skakat om på myndigheter och kommuner när det visat sig att det faktiskt kommer utkrävas ansvar om/när någonting går snett.

Under 29 månader, med start i maj 2015, hade ett 80-tal it-tekniker från Outsourcing-leverantörens systerbolag i Ungern, Tjeckien, Rumänien och Serbien tillgång till i princip samtliga uppgifter i datasystemet. Personalen var förvisso säkerhetsklassade enligt leverantörens krav, men personalen var inte säkerhetsprövad enligt gällande svensk säkerhetsskyddslag. All information i Transportstyrelsens system var inte hemlig men den samlade mängden av informationen, bulkdata, blir så känslig att den anses särskilt skyddsvärd och alltså numera även betraktas som röjd. Myndigheten har tvingats vidta extraordinära åtgärder i förebyggande syfte för att minimera konsekvenserna, och arbetsinsatserna har beskrivits som minst sagt omfattande.

IT-arvet

Det finns en del risker med att myndigheter outsourcar olika tjänster. Men det beror till stor del på dagens omfattande, komplexa och blandade it-miljöer. Miljöer som inte sällan är ett arv sedan lång tid tillbaka, i många fall ända sedan 1960- och 70-talen, men som successivt har byggts på utifrån förändrade behov och nya lagkrav. Under den tiden har driften i huvudsak hanterats inom den egna organisationen fram till dess att Outsourcing fick rejält fäste i branschen. Det historiska arvet har gjort att it-miljöer ofta utvecklats enligt det klassiska synsättet att - "allt är tryggt och säkert inom de egna väggarna". Det har lett fram till en IT-arkitektur där många av de olika systemen och dess information är åtkomlig från flera håll, eller från alla håll om man ska raljera. Det kan få förödande konsekvenser när man tilldelar alltför vidsträckta administratörsbehörigheter till någon annan extern part. It-miljön är helt enkelt inte anpassad för det.

It-miljöerna utformades utifrån målsättningen att det skulle vara enkelt att administrera. Om drift outsourcas blir resultatet att extern personal får motsvarande behörigheter som man tidigare använt sig av. Det innebär i praktiken att alla it-tekniker har åtkomst till och kan administrera alla system, har åtkomst till all data och därmed även potentiellt känslig information.

Systemen har alltså länge varit uppbyggda så att man har haft mycket högre behörigheter än nödvändigt. Men ur ett informationssäkerhetsperspektiv är alltid minsta möjliga behörighet att föredra. On a need to know basis.

Men inget ont som inte för något gott med sig

Informationssäkerhet är numera ett högt prioriterat område för de allra flesta. Massmedias signaler om hur viktigt informationssäkerhetsarbetet verkligen är kan inte ha undgått någon vid det här laget? Alla företag och myndigheter som hanterar skyddsvärd information börjar förstå att de måste arbeta systematiskt med sin informationssäkerhet.

Nyligen har även Regeringen beslutat att myndigheterna först måste samråda med Säpo och Försvarsmakten om man ska låta en leverantör hantera hemliga uppgifter utanför myndighetens egna lokaler. De kommer också få befogenhet att förelägga myndigheter som ska utkontraktera verksamhet att vidta åtgärder för att säkerställa säkerhetsskyddet. Om föreläggandet inte följs eller om säkerhetsskyddslagens krav inte uppfylls trots att ytterligare åtgärder vidtas kan Säkerhetspolisen eller Försvarsmakten alltså numera besluta att myndigheten inte får genomföra upphandlingen.

Även MSB (Myndigheten för samhällsskydd och beredskap) kommer stärkas i sin roll och i samarbete med Länsstyrelserna inrikta sig på att stärka kommunernas informationssäkerhet.

Självklart kan man outsourca

Risken är nu att många reflexmässigt backar bort från outsourcing istället för att analysera sin egen miljö och situation. Det är lätt att dra en förhastad slutsats att outsourcing är en dålig idé, men så är det givetvis inte. I många fall erbjuder outsourcing och molntjänster nämligen en mycket högre nivå av säkerhet än vad den egna organisationen någonsin skulle kunna åstadkomma på egen hand.

För självklart kan man outsourca sin it-miljö och drift!

Men kanske inte all information va? Det är alltså där skon egentligen klämmer. Inte all information.

Det gäller att tänka efter - före

Nyckeln till framgång heter givetvis "systematiskt och kontinuerligt informationssäkerhetsarbete", precis som det alltid har varit. Säkerhet bör vara en självklarhet inom alla organisationer med någon form av självbevarelsedrift.

I grund och botten handlar det alltid om att vara medveten om vilken typ av information man faktiskt hanterar, och vilka konsekvenser som kan uppstå om (eller när) man tappar kontrollen över den.

Det klassiska mantrat inom informationssäkerhet: Konfidentialitet, Riktighet, Tillgänglighet och Spårbarhet kommer aldrig bli omodernt. 

I Transportstyrelsens fall så är det nog uppenbart att de ytterst ansvariga inte ens visste vilken typ av information som lagrades i systemen, och därmed inte heller förstod konsekvenserna av sina beslut. All information är inte känslig, sekretessbelagd eller hemlig, men kombinationer av data kan ofta bli det.

En korrekt utförd Informationsklassning samt Risk- och Sårbarhetsanalys av outsourcing får de flesta varningsklockor att ringa redan på ett mycket tidigt stadium, så att man får chans och möjlighet att vidta rätt säkerhetsåtgärder. Att kartlägga och klassa sin information blir bara viktigare och viktigare när vi börjar lagra mer och mer information utanför våra egna väggar, i någon annans händer.

Systemkartläggning, informationsklassning, tydligt ägarskap av it-system och information, åtkomst- och behörighetsstrukturer, utpekade roller och ansvarsområden borde ligga högt på agendan, om inte överst.

Använder man sig av ett ledningssystem för informationssäkerhet, enligt ISO-standarden ISO27001, så har man mycket av det här på plats redan. Det gäller bara att implementera det i sin systemförvaltning och verkligen efterleva det.

Säpochefen hade nyligen en insiktsfull kommentar på det hela: –"Det enda som är gott med det här ärendet är att vi äntligen har fått den uppmärksamhet för de här frågorna som säkerhetstjänsten har efterlyst i många år, men det är ett långt arbete och mycket återstår att göra", säger Thornberg, och jag vet att alla vi som jobbar med Informationssäkerhet och it-säkerhet håller med honom.

Vid tangenterna

Richard Wikberg

Informationssäkerhetsspecialist
+46 243 24 89 67