Altingets cybersäkerhetsnätverk: Första träffen

Efter en lyckad crowdfunding-kampanj fick Piratpartiet en plats i Altingets cybersäkerhetsnätverk under ledning av Mikael Odenberg (M), tidigare försvarsminister. Aveen Ismail representerade Piratpartiet på den första träffen, som Altinget själva beskrev såhär:

Ska digitaliseringen kunna fortsätta måste cybersäkerheten i Sverige öka. Hur åstadkommer vi detta i praktiken? Richard Oemhe, expert på frågor som rör cybersäkerhet och skydd av kritisk infrastruktur på Knowit, berättar idag mer om detta och diskuterar med nätverket kring åtgärder och förebyggande insatser för både små och stora verksamheter. 

Richard har lång erfarenhet av underrättelse- och säkerhetsfrågor och har tidigare haft ledande positioner på organisationer som FRA och MSB. På MSB var han bland annat med och byggde upp Verksamheten för cybersäkerhet och skydd av samhällsviktig verksamhet. Utöver det har han även varit ansvarig för regeringskansliets säkerhetssektion och chef för en analysfunktion på Statsrådsberedningen. 

Här följer Aveens rapport från träffen.

Digitalisering och cybersäkerhet – strategiska hot och risker

Den 6 januari var första träffen i Altingets Cybersäkerhetsnätverk. Det fanns ca 25 deltagare som representerade kommuner, universitet och andra lärosäten, stora svenska företag och några få myndigheter. De allra flesta deltagare hade ledande positioner inom informationssäkerhet och dataskydd i deras organisationer. Nästan alla deltagare angav att de deltar för att höra andras perspektiv och diskutera med andra som har annat bakgrund och ser på saker på ett annat sätt.

Format

Träffen började kl 10 med en halvtimmespresentation av Richard Oehme, Senior Advisor Societal Security på it-konsultföretaget Knowit och Ordförande för Säkerhets- och försvarsföretagens (SOFF) Cyberförsvarsgrupp. Under presentationen gick Richard genom de största cybersäkerhets utmaningarna som medföljer ökad digitalisering. Efter presentationen var det fridiskussion mellan deltagarna där även Richard Oehme deltog.

Läget nu

  • Alla bolag är numera IT bolag. IT tillhör inte bara IT avdelningen längre. Det samma bör sägas om myndigheter.
  • Säkerheten inom Supply Chain bör anses vara lika viktigt som säkerhet i det egna organisationen.
  • Grafen förställer hur säkerheten har ökat i takt med digitaliseringen i Sverige. Det ser inte bra ut.
  • Cybersäkerhet i militären är bättre än cybersäkerhet inom civila samhället
  • Undersökning förra året visade att det finns 30 000 till 40 000 smittade datorer i offentliga sektorn.
  • Förra året fanns det 240 000 polisanmälda digitala brott i Sverige.
  • 93% av cyberattacker kan förhindras med mycket enkla åtgärder, tex patch:a mjukvaror.
  • Ericsson bygger en stor del av 5G infrastruktur. Bra
  • Vill vi ha bättre säkerhet så måste vi välja svenska leverantörer

Utmaningar

  • Exempel på en verklig attack i Sverige: Två elever ville inte skriva ett prov, så de köpte en DOS attack* mot skolan i förhoppningen att provet ska ställas in den dagen. Eftersom skolans datorsystem och kommunens datorsystem inte var separerade, hela kommunen blev drabbat. Åtgärderna kostade 10 miljoner kronor.
  • Exempel på en verklig attack i Ukraina: En mycket stor och kompetent företag inom säkerhet hade 300 underleverantörer. En av de leverantörerna fick en malware** som i sin tur smittade företagets datorer och tog ner hela deras system. Enda anledning att de kunde bygga om deras system är att de hade några off-line backup datorer i Afrika. Det tog flera veckor för dem att bygga om deras system.

I regel så har svenska myndigheter inte sådan backup process.

  • Risker med ökad digitalisering:
    • Global beroendet
    • Cyber-fysiska system
    • IOT (Internet of Things***)
    • AI (Artificiel Inteligence)
    • Cyberkriminella och cyberkrig
  • Internet fiberkablar som kopplar Sverige till resten av världen går i havsbotten. Om de blir skadade av jordbävning eller sabotage, så kan Sverige tappa kontakt med världen under en lång tid. Bilden nedan visar undervatten fiberledningarna. Just nu finns det bara 5 skepp i världen som används för att laga de ledningarna och de är fullbokade i flera år framåt.
  • Mycket av svenskarnas vardaglig teknologi är beroende av utländska företag, tex BankID appen som inte funkar utan Google i mobilen. Beroendet av utländska företag medför andra typer av säkerhetshot.
  • Vi behöver lagstiftning som sätter base-guidelines och best-practices när det gäller cybersäkerhet. Någonting i stil med “alla datorer i offentlig sektorn måste patchas inom 24 timmar när en patch blir tillgänglig”
  • Vi behöver krav på säker kryptering. Just nu finns det inga krav från svenska staten på kryptering. Det finns försök att öva påtryckningar på regeringskansliet för att göra kryptering av data i offentlig sektorn till ett krav men de har fortfarande inte lyckats.
  • Vi behöver resursallokering av teknisk kompetens. Just nu finns det ingen prioritering alls från staten på att försöka anställa teknisk kompetens
  • Vi behöver ha krav på att mjukvara som används måste vara secure-by-design och att källkoden går att inspektera
  • Vi behöver IAM (Identity Access Manager), dvs ett set att se vem som har gjort vad
  • Kompetensförsörjning är en strategisk fråga. Mer än 50% av de som läser masterprogram eller högre i Sverige är utländska studenter som inte kan stanna efter deras utbildning. Det är kompetens som Sverige förlorar.
  • Det finns idag 7 myndigheter i Sverige som har digitalförsvar i sin arbetsbeskrivning, men det är ingen som vet vem som har ledning, vilket leder till att ingen leder. Regeringskansliet måste förstå att detta är ett problem.
  • Läget i energisektorn är en aning bättre än i andra sektorer eftersom MUST (Militära underrättelse- och säkerhetstjänsten) och energibolagen har mer samarbete. Det är dock alltid upp till de enskilda företag och branscher för det finns ingen struktur för en sådan samarbete.
  • Sverige har en decentraliserad förvaltningsmodell, så alla kommuner och myndigheter i princip gör vad de vill utan ledning från en övre organ. Decentralisering har sina egna fördelar i form av att undvika en single-point-of-failure, men saknaden av ledarskap betyder att ingenting mer omfattande eller strukturellt blir gjort och ingenting prioriteras
  • Ekonomiskt effektivitet brukar komma förra säkerhet. Säkerhet och att göra saker rätt från början ses alltid som en kostnad. I slutändan så är det alltid en politisk beslut och eftersom “datorer måste patch:as inom 24 timmar” är inte lika synlig som att bygga en idrottsplats, så blir det aldrig en prioritet.
  • Det saknas kunskap och kompetens bland politikerna. Sverige styrs av 30 000 politiker. Politikerna är allmänheten. Vill vi ha mer kompetens hos politikerna så behöver vi ha kompetensen hos allmänheten också.
  • Läget i privatsektorn är bättre än offentlig sektor eftersom riskerna syns bättre i form av potentiella kostnader. När GDPR kom så behövde företag strukturera om hur de hanterar data för potentiella böter var jättehöga. De hade ingen tanke om att “det är rätt att göra så”. De hade inga moraliska motivationer. Det var helt enkelt för dyrt att bli bötfälld. Motsvarande motivation finns inte i offentlig sektor, vilket gör att risker tas inte på allvar
  • Offentliga sektorn beställer många tjänster från den privata sektorn, men det finns ingen krav på en basnivå av säkerhet eller kompatibilitet. Bara att ha ett sådan baskrav kan gå en lång väg till att förbättra läget.
  • Även när lagar och regler finns, ofta finns det ingen uppföljning. Utan uppföljning och utan konsekvenser för att ett lag inte följs så kommer den inte att följas
  • Vi behöver mer forskning inom beteende. Bästa sätet för att öka säkerhet är att göra det lätt att göra rätt. Idag är det mycket svårt att göra saker rätt. Praktisk erfarenhet visar tex att krav på att läsa licens och hantering av person data policy innan man installerar eller använder någon programvara på jobbet inte funkar. Oftast har man själv inte koll på vad som är tillåtet eller inte och man behöver få hjälp av IT avdelning, som tar 2 veckor innan de svarar, jämfört med de två minuterna det tar för att klicka på “installera” knappen. Detta är speciellt problematisk i akademisk sammanhang då man typiskt jobbar långt mer än heltid och inte har tid att tänka på “är den här programvaran säker/trygg att använda?”

Sammanfattning

  • Ett återkommande problem var saknaden av ledarskap från staten när det gäller cybersäkerhet. Även i fall där regelverk finns, så finns det ingen uppföljning och därmed inga konsekvenser om man bryter mot reglerna, vilket leder till att de inte följs.
  • Åtgärder för att göra Sverige säkrare digitalt är en politisk fråga som prioriteras ner eftersom konsekvenserna inte är omedelbart synliga.
  • Det finns inte i närheten av tillräckligt med teknisk kompetens inom offentlig sektorn och det verkar inte finnas planer från regeringen för att skaffa den.

Personliga slutsatser

  • Personlig integritet och cybersäkerhet flätar samman. Finns inte Piratpartiet representerad i den gruppen så kommer inte integritet relaterade frågor att lyftas fram
  • Det finns inte lagar och regler på plats för att försäkra rätt beteende och rätt hantering av Sveriges digital infrastruktur. Bästa läget att påverka sådan lagar är att göra det innan de blir lagar och regler. Piratpartiet behöver lobbyister.