Sverige

Nytt IT-larm: Sverige klarar inte säkerheten

Claes Norgren ser allvarligt på hanteringen av säkerhetsfrågor. ” De myndigheter som kan förväntas ha en helhetsbild har den inte.”
Claes Norgren ser allvarligt på hanteringen av säkerhetsfrågor. ” De myndigheter som kan förväntas ha en helhetsbild har den inte.” Foto: Jonas Eriksson

IT-hoten mot Sverige ökar, men regeringen och myndigheterna vidtar inte tillräckliga åtgärder för att skydda sig. Det slår Riks­revisionen fast i en ny rapport som innehåller svidande kritik mot svensk IT-säkerhet. ”Det här är bekymmersamt”, säger riks­revisorn Claes Norgren till DN.

I dag, torsdag, presenterar Riksrevisionen en granskning av hur svenska myndigheter och regeringen hanterar IT-säkerhetsfrågor. Den ger en dyster bild av läget. Till exempel slår Riksrevisionen fast att ”arbetet med informationssäkerheten inte är ändamålsenligt, sett till de hot och risker som finns”, enligt rapporten som DN har tagit del av.

Riksrevisorn Claes Norgren säger att granskningens resultat är allvarliga.

– De myndigheter som kan förväntas ha en helhetsbild har den inte. Arbetet med informationssäkerhet organiseras på ett sådant sätt att olika myndigheter har olika delar av ”pusslet”. Det utesluter inte att det finns snillen i systemet som har kunskap utanför sina formella gränser. Men för Sverige som helhet har ingen av expertmyndigheterna samlat in en heltäckande bild. Regeringen har därmed heller inte fått kunskap om det. Där finns det en central lucka i systemet, säger Claes Norgren.

Dagens Nyheter har de senaste veckorna, i serien ”Det sårbara digitala samhället”, avslöjat flera brister i hur myndigheter, företag och organisationer hanterar IT-säkerhetsfrågor. Det handlar till exempel om hur styrsystem till känsliga fastigheter och dammluckor ligger helt öppna på internet – och om bredbandsoperatörer som delar ut osäkra modem till sina kunder.

Enligt Claes Norgren bekräftar Riksrevisionens rapport delvis den bild som getts i DN:s rapportering. En slutsats som myndigheten gör är att tillsynen när det gäller IT-säkerhetsfrågor är otillräcklig.

– Det spretar mellan myndig­heterna, säger Claes Norgren.

Ansvaret för IT-säkerhetsfrågor är uppdelat på ett stort antal myndigheter, bland annat Försvarets radioanstalt (FRA), Post- och telestyrelsen (PTS), Datainspektionen, Säkerhetspolisen och Myndigheten för samhällsskydd och beredskap (MSB).

Inrikesminister Anders Ygeman (S) sade i en intervju med DN för en och en halv vecka sedan att han vill tydliggöra vilka myndigheter som har ansvaret för IT-säkerhetsfrågor i Sverige.

– Man skymtar i DN-rapporteringen att det inte är kristallklart var gränsdragningen ligger. Vi måste utreda det. I vilken form vi vill utreda det – om vi tillsätter en helt ny utredning eller gör den här på departementet – det måste vi få arbeta lite mer med. Men vi måste verkligen arbeta med att tydliggöra vilka myndigheter som har ansvaret, sade Anders Ygeman.

FRA har i dagsläget ansvar för att göra penetrationstester. De har på Riksrevisionens begäran gjort en bedömning av IT-säkerhetsläget i Sverige. I rapporten står det att FRA anser att det ”ofta är alltför lätt att bryta sig in i samhällsviktiga system”. Under 2013 genomförde FRA IT-säkerhetsanalyser vid elva olika statliga myndigheter och statligt ägda bolag. Resultaten brukar vara så allvarliga att det, enligt FRA, tar ”minst ett till två år, eller ibland mer” för att de granskade myndigheterna ska få ordning på sin IT-miljö. I många fall är de dessutom helt omedvetna om vissa brister.

Några av de vanligaste säkerhetsbristerna är dåliga lösenord, för många konton med höga behörigheter i nätverket och dåligt uppdaterade program i datorerna.

Enligt Riksrevisionen har IT-hoten mot Sverige ökat. Samtidigt bedömer 38 procent av landets myndigheter att kompetens, mandat eller resurser är otillräckliga för att utföra informationssäkerhetsarbetet på ett tillfredsställande sätt. Riksrevisionen konstaterar också att det inte finns någon samlad central funktion i regeringskansliet med ansvar för att bereda frågor om informationssäkerhet i statsförvaltningen.

DN granskar.

1 På tjänsten ”DN granskar” kan du tipsa oss om missförhållanden och lämna information som kan vara känslig. Adressen är dngranskar.dn.se. DN skyddar sina källor.

2 Tjänsten är uppbyggd för att ge dig som tipsare största möjliga säkerhet. Därför krypteras ditt tips.

3Du får vara anonym. Granskande reportrar tar hand om tipset.

dngranskar.dn.se

Fakta.

38% procent av landets myndigheter bedömer att kompetens, mandat eller resurser är otillräckliga för att utföra informationssäkerhetsarbetet på ett tillfredsställande sätt.

Källa: MSB och Riksrevisionen

Fakta.

Myndigheten för samhällsskydd och beredskap: Ska samordna och stödja arbetet med IT-säkerhet i Sverige. De har inget tillsynsansvar.

Säkerhetspolisen: Har tillsynsansvar över säkerhetsskyddet i de civila delarna i statsförvaltningen.

Försvarets radioanstalt: Ska stödja statliga myndigheter och statligt ägda bolag som hanterar information som bedöms vara känslig ur sårbarhetssynpunkt eller i ett säkerhets- eller försvarspolitiskt avseende. De utför penetrationstester.

Datainspektionen: Ska verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter.

Riksarkivet: Ansvarar för att se till att myndighetsarkiv hanteras säkert.

Post- och telestyrelsen: Har hand om frågor som rör elektronisk kommunikation och utför tillsyn, till exempel mot internetoperatörer och telebolag. DN