Sverige

FRA:s system sårbart för dataintrång

○ Försvarets radioanstalt (FRA) har en allvarlig säkerhetslucka som gör att utomstående skulle kunna hacka sig in hos myndigheten.

○ ”Det är naturligtvis pinsamt”, säger FRA:s talesperson när Dagens Nyheter konfronterar myndigheten med uppgifterna.

○ DN har testat IT-säkerheten hos myndigheter och storföretag. Nästan varannan, till exempel Luftfartsverket, domstolarna och Swedbank, slarvar med viktiga säkerhetsuppdateringar.

Försvarets radioanstalt (FRA) arbetar under sträng sekretess med signalspaning, underrättelseinfor­mation och IT-säkerhetsfrågor i Sverige. DN kan i dag avslöja att FRA har en sårbarhet i sitt system som skulle kunna utnyttjas för data­intrång.

Det handlar om datorprogrammet Flash som i grunden håller hög säkerhet om det hanteras på rätt sätt. Gamla versioner har däremot ofta sårbarheter som enkelt kan utnyttjas av hackare för att ta över datorn.

När DN gör ett stickprov hos FRA visar det sig att det finns ett säkerhetshål, via en gammal version av Flash, som gör att det med stor sanno­likhet skulle gå att hacka sig in i myndighetens datornätverk.

Det finns till och med färdiga exempel och program på internet, så kallade ”exploits”, som kan utföra attacken.

– Det är naturligtvis pinsamt i och med att vi håller på med IT-säkerhet själva – och ändå har sårbarheter. Det visar också hur svårt det är. Har man ganska många datorer, så måste man ständigt hålla dem uppdaterade. Det är både en kostnad och resurskrävande, säger Fredrik Wallin, talesperson på FRA.

DN har genomfört ett säkerhetstest hos landets kommuner, landsting, myndigheter och de 50 största före­tagen. Vi bad dem fylla i en webbenkät om IT-säkerhet – och på samma hemsida kunde vi samtidigt kontrollera vilken version datorerna hade av programmen Flash och Java.

DN:s webbenkät skickades till FRA:s centrala mejladress och till informationschefen. Enkätsidan besöktes fem gånger. Det är ett av dessa besök som har gjorts från en dator som har en gammal version av programmet och som står på myndigheten.

Via enkätsidan tog DN endast reda på uppgifter om vilka versioner av program som fanns installerade i webbläsaren, vilket är lagligt. Men vår bedömning är att det relativt enkelt skulle gå att via sidan plantera en ”exploit” hos den be­sökande datorn.

Det finns ju färdiga skript på hur man hackar sig in i datorn och nätverket. Vad skulle det få för konsekvenser hos er om det sker?

– Förhoppningsvis inte alltför stora. Vår kärnverksamhet har vi på helt avskilda nätverk som inte har någon som helst koppling till internet. Men det är ju ändå inte alls särskilt bra att ha en sårbarhet. Någon informationsförlust bör inte kunna ske, men det skulle kanske gå att förstöra saker, säger Fredrik Wallin.

FRA ska se över sin säkerhet och uppdatera datorerna för att säkerställa att det inte finns någon sårbarhet.

Gamla Java- och Flashversioner är en av de vanligaste sårbar­heterna som utnyttjas i samband med data­intrång, enligt Myndigheten för samhällsskydd och beredskap.

Hur svårt det är att utnyttja bristerna beror på vilka övriga säkerhetsåtgärder som har vid­tagits, till exempel brandvägg och antivirusprogram.

Leif Nixon är IT-säkerhetsexpert vid Linköpings universitet. Hans bedömning är att högkvalificerade hackare – till exempel hos utländs­ka underrättelsetjänster – förmodligen skulle kunna kringgå sådana säkerhetsåtgärder.

DN:s genomgång visar att det finns ett utbrett slarv med säkerhetsuppdateringar. 119 av 262 myndigheter som deltog i DN:s test – alltså 45 procent – hade versioner av antingen Flash eller Java som var mer än ett halvår gamla. Sedan dess har allvarliga sårbarheter avslöjats i programmen som skulle kunna användas för att kapa datorn. En stor del av myndigheterna har ännu äldre versioner än så.

Några exempel på myndigheter som har gamla versioner är Bo­verket, Skatteverket och Luftfartsverket. I stort sett alla tingsrätter och hovrätter har gamla versioner av Java – med flera kända säkerhetsluckor. Domstolsverket, som ansvarar för IT-säkerhetsfrågor hos domstolarna, känner till problemen. Orsaken till att det ser ut så är att deras diarieprogram inte fungerar hos de senaste versionerna av Java, enligt Håkan Sonesson, informationssäkerhetschef på myndigheten.

– Vi har vidtagit andra åtgärder för att skydda oss. Vi har bland annat olika säkerhetsprodukter som tittar på webb- och mejltrafik som känner till de ”exploits” som finns. Jag känner mig ganska trygg.

Men det måste väl ändå vara säkrare med en ny version av Java? Det är ju inte bra att ha sårbara versioner.

– Absolut. Vi påtalar hela tiden att vi måste uppdatera Javaversionerna. Det är inget snack om att det är bättre att ha ”up to date”. Egentligen ska man nog inte köra Java över huvud taget om man ska vara riktigt säker. Java är inte en säker plattform att jobba utifrån.

Men ändå använder ni det?

– Ja, för vårt målsystem är baserat på Java. Det är något vi tittar vidare på nu.

105 av 223 kommuner och landsting som deltog i testet har gamla versioner av antingen Java eller Flash.

DN testade även hos de 50 största företagen, baserat på omsättning. 32 av dem deltog – och hälften hade gamla versioner av programmen. Bland de berörda finns Swedbank och Handelsbanken. Båda banker säger sig vara medvetna om problemen. Företagen har också vidtagit andra säkerhetsåtgärder för att försöka upptäcka och stoppa intrångsförsök.

– Vi kommer att göra några åtgärder nu på kort sikt för att minimera hålet. Sedan kommer vi att täppa till det helt. Man kan säga att det är tack vare att ni nu uppmärksammar oss på det. Oavsett vilken bank man pratar om är förtroendet för IT-säkerheten oerhört viktig. Men det är också viktigt att komma ihåg att det här säkerhetshålet inte innebär att kundernas pengar är i fara, ­säger Claes Warrén, presskontakt på Swedbank.

Johan Wallqvist, presschef på Handelsbanken, säger:

– Den dator som DN mejlade till hade inte Java fullt uppdaterat under ett kort ögonblick, men vi har sedan länge vidtagit relevanta skyddsåtgärder mot det. Från den datorn går det för övrigt inte att komma åt känslig information i banken.

Så skyddar du dig

Se till att hålla dina versioner av Java och Flash uppdaterade. Det gäller oavsett vilket operativsystem du använder.

På https://browsercheck.qualys.com/?scan_type=js finns ett bra verktyg för att skanna webbläsaren för säkerhetsrisker.

Java går att ladda ned på: www.java.com/sv/download

Flash går att ladda ned på: get.adobe.com/se/flashplayer

Ordlista

Exploit: Är ett program som används för att utnyttja en bugg eller sårbarhet i ett annat program. Det skulle kunna vara i ont syfte för att stjäla information, men även för att säkerhetstesta ett system.

Flash: Heter egentligen Adobe Flash Player och är ett program som kan användas i webbläsaren för att göra snygg grafik eller spela upp filmer och ljud.

Java: Är också ett program som kan användas i webbläsaren. Java är en teknik som används för att utveckla till exempel spel, interaktiva kartor och onlineutbildningar.

Så gjorde vi granskningen

DN skickade ett mejl till alla landets kommuner, landsting, statliga myndigheter och de femtio största företagen, baserat på omsättning. I mejlet uppmanade vi dem att gå in på en länk till en webbenkät om IT-säkerhetsfrågor.

På hemsidan med enkäten kontrollerade vi även vilka versioner av Flash och Java som datorerna hade. Detta är uppgifter som webbläsaren ger ut – och som vanligtvis ingår i de flesta statistikverktyg.