IT-säkerhetsutredaren Wennerström: ”Svensk IT-säkerhet måste bli bättre”

Sveriges IT-säkerhetsarbete håller inte jämna steg med den digitala utvecklingen. Snart presenteras en regeringsutredning om hoten det medför – och nya mål och strategier för hur Sverige kan bli säkrare. BRÅ:s generaldirektör Erik Wennerström leder arbetet.

Utredningen presenteras den 1 december, så än kan inte Erik Wennerström avslöja vilka förslag den innehåller. Han tror dock att den kommer att röna en hel del uppmärksamhet, särskilt med tanke på att MSB, Myndigheten för samhällsskydd och beredskap, i slutet av augusti presenterade resultatet av sin stora enkät om myndigheters IT-säkerhetsarbete (eller informationssäkerhetsarbete som är den bredare termen). Den gav vid handen att mer än en fjärdedel av svenska myndigheter inte kontrollerar att riktlinjerna följs av medarbetarna. Och att en lika stor andel inte har någon informationssäkerhetsansvarig alls.

– Det visar att det återstår en hel del att göra, säger Erik Wennerström, och att det finns ett behov av en nationell strategi, något som Sverige aldrig haft tidigare.

Det finns, enkelt förklarat, två glapp att ta hänsyn till: för det första mellan det som faktiskt görs och de existerande riktlinjerna. Och för det andra mellan dessa riktlinjer och vad de borde vara för att uppnå ett optimalt IT-skydd. Det beror på att digitaliseringen gått så snabbt, menar Erik Wennerström. Vi – myndigheter, företag, privatpersoner ­– hanterar allt mer information i olika digitala system och kanaler, bär runt på den i våra fickor och placerar den i moln på servrar som vi inte alltid har kunskap om. Då blir också hoten större och fler mot olika samhällsviktiga funktioner, el- och telenät, finanssystem, infrastruktur och militära system.

– I detta nu pågår ett stort antal attacker mot bland annat Sverige, och det är människor i alla världsdelar som arbetar hårt för att störa eller komma åt information. Det är inte på låtsas, säger Erik Wennerström.

Dessa uppsåtliga angrepp är en mycket kostsamma, både för att tekniskt täppa till säkerhetshål och för att rädda det skadade anseendet, återupprätta förtroenden, ersätta eventuella förlorade investeringar och förlorad information. En uppskattning baserad på BNP visar att det handlar om mellan 14,5 och 50,9 miljarder kronor i Sverige årligen.

– Det motsvarar en Förbifart Stockholm om året. Vi har alla ett stort intresse av att de pengarna får snurra i ekonomin i stället, säger Erik Wennerström.

sverigebildstor

En vanlig fredag i september 2014 finns 47 859 infekterade och uppkopplade datorer i Sverige, enligt den kartläggning i realtid som Sveriges nationella så kallade Computer Security Incident Response Team, CERT-SE, gör.

Den utredning som Erik Wennerström och hans grupp av sakkunniga kommer att presentera för regeringen den 1 december är uppdelad på fyra: en beskrivning av dagsläget, ett avsnitt om olika begrepp inomITt-säkerhet, ett antal mål för statlig verksamhet samt ett förslag till nationell strategi som alltså inte bara berör myndigheter utan alla i samhället. Den förordar – så mycket kan han avslöja – ett mycket långsiktigt och genomgripande arbete med många olika insatser.

– Det handlar om lagstiftning, styrning av myndigheter, regler om upphandling, standardiseringar och framför allt kunskapsspridande på alla nivåer.

Kanske, siar Erik Wennerström, borde vi lära oss informationssäkerhet i skolorna på samma sätt som vi lär oss trafiksäkerhet.

– Våra möjligheter att värja oss för attacker och skydda den frihet och det välstånd som vi har och vill ha, bygger på att vi inte blundar för kunskap.

globalbildstor

De globala cyberhoten är inte på låtsas, vilket blir tydligt när man tittar på NORSE:s livekarta. Skärmdump från den 16 september 2014.

Om Erik Wennerström

• Är generaldirektör på Brottsförebyggande rådet sedan 2012.

• Har disputerat i juridik och har tidigare arbetat på Justitiedepartementet, Folke Bernadotte-akademin, inom EU-kommissionen (bland annat med lagstiftning om IT-brottslighet i samband med införandet av euron) och på Utrikesdepartementet.

• Personliga reflektioner om utredningsarbetet: ”Jag är mer angelägen nu än tidigare om hur jag hanterar min värdefulla information, om var den finns och vem som kan komma åt den.”

Om utredningen

På uppdrag av Alliansregeringen har Erik Wennerström tillsammans med sakkunniga från berörda departement samt representanter från SAMFI-myndigheterna (Samverkansgruppen för informationssäkerhet bestående av MSB, Försvarsmakten, FRA, FMV, PTS och Rikspolisstyrelsen) fått i uppdrag att föreslå en ny strategi och nya mål för hantering och överföring av information i elektroniska kommunikationsnät och IT-system. ”Vi som medborgare måste kunna lita på våra IT-system för att Sverige ska kunna dra full nytta av digitaliseringens möjligheter”, sa IT- och Energiminister Anna-Karin Hatt när utredningen tillsattes i december 2013.

Länk- och lästips

• Se antalet infekterade datorer i realtid på www.cert.se

• Se pågående globala cyberattacker, vart de kommer ifrån och vart de riktas på map.ipviking.com (öppna med Google Chrome).

• Ladda ned MSB:s kartläggning över informationssäkerhetsarbetet vid svenska myndigheter här.