Thinkstock

Foto Thinkstock

Myndigheternas IT-skydd – en avgörande del av samhällsskyddet

IT-säkerhet Vid sidan av fysiska hot är myndigheternas och andra kritiska samhällsfunktioners IT-skydd en avgörande del av det svenska samhällsskyddet och beredskapen. FRA genomför regelbundet riktiga försök att hacka sig in i myndigheters IT-system, med syftet att sätta IT-skyddet på prov. Dessutom bedriv forskning och utbildning som ska höja myndigheternas kompetens kring IT-säkerhet.

annikawihlborg

Annika Wihlborg

Företag och myndigheter som MSB anlitar FOI:s forskare för att genomföra analyser av informationssäkerhet. Informationssäkerhet är också ett organisatoriskt problem. Därför analyseras företags och myndigheters kommunikation kring informationssäkerhetsfrågor och forskarna utvecklar metoder för hur det ska organiseras. Vid FOI sker forskning om IT-säkerhet på en teknisk nivå och IT-hot kan demonstreras på ett praktiskt sätt.

Sedan ett par år tillbaka bedriver FOI och MSB bland annat ett forskningssamarbete med inriktning på att säkra samhällets kritiska IT-infrastruktur. Hittills har man blanda annat analyserat säkerhetsnivån i Trafikverket och delar av sjukvårdens IT-infrastruktur.

 

Förutser och värderar intrång och IT-attacker

Mikael Wedlin
Mikael Wedlin

– Vår informationssäkerhetsforskning bottnar i mångt och mycket i sambandet mellan organisation, människa och teknik. En viktig del av vår forskning fokuserar på att förutse och värdera intrång och IT-attacker. Genom att i en avskärmad miljö studera virus, trojaner, intrång i system, kan vi upptäcka vilka svagheter som döljer sig i IT-systemen. Med utgångspunkt i vetenskapligt underbyggda metoder skapar vi beslutsunderlag för IT-säkerhetsåtgärder, säger Mikael Wedlin, som är forskningsansvarig för FOI:s forskargrupp inom IT-säkerhet.

IT-säkerhet utifrån ett samhällssäkerhetsperspektiv inkluderar alltifrån konkreta åtgärder, som att montera brandväggar och installera antivirusprogram till strategiska åtgärder som att studera och utveckla metoder som kan bidra till att förebygga IT-krigsföring. En av de största IT-säkerhetsriskerna är organisationens egna medarbetare. FOI arbetar därför mycket med att utbilda myndigheternas medarbetare kring hur de bör agera i sitt dagliga arbete för att förebygga och upptäcka IT-relaterade hot.

Medarbetarnas okunskap är definitivt en betydande riskfaktor när det kommer till myndigheters IT-säkerhetsarbete, i dag är det exempelvis många gånger alltför lätt för obehöriga att komma över sekretessbelagd information.

 

Den IT-säkerhetsmässiga infrastrukturen kring myndigheternas styrsystem är ofta bristfällig.

 

Styrsystemens säkerhetsmässiga infrastruktur ofta bristfällig

– Många myndigheter sätter likhetstecken mellan IT-säkerhet och informationssäkerhet. De är måna om att skydda sin information men det finns ofta luckor i strategin kring myndighetens kritiska infrastruktur. Infrastrukturen inkluderar bland annat samtliga styrsystem som är kopplade till myndigheternas nätverk och styr alltifrån fastigheternas uppvärmning och elförsörjning. Trots att myndigheterna blivit alltmer beroende av styrsystem är den IT-säkerhetsmässiga infrastrukturen kring dessa ofta bristfällig, säger Mikael Wedlin, forskningledare inom IT-säkerhet på FOI.

Han menar att bristerna i myndigheternas IT-säkerhet börjar tydliggöras på en sådan nivå att allt fler uppmärksammar frågan och satsar på ett förstärkt skydd. De mer övergripande IT-säkerhetssatsningarna dröjer, enligt Mikael Wedlin, sannolikt tills problemen blir än mer uppenbara.

Samtidigt bör man inte överdriva de IT-relaterade riskernas dignitet för vår övergripande samhällssäkerhet.

– Överlag bedrivs för lite forskning på IT-säkerhetsområdet i Sverige, även om utlysningarna av forskningsmedel har ökat på senare år, vilket resulterat i fler riktade forskningsprojekt med fokus på IT-säkerhet. Många av de IT-säkerhetsåtgärder som svenska myndigheter vidtar saknar vetenskaplig och analytisk grund. Det innebär att många av åtgärderna genomförs utan eftertanke eller på ren rutin, utan att föregås av en gedigen analys av det aktuella säkerhetsläget, säger Mikael Wedlin.

Han efterlyser mer forskning på IT-säkerhetsområdet, vilket kan förebygga många av de ad hoc-åtgärder som genomförs.

Ett gediget forskningsunderlag på IT-säkerhetsområdet skapar istället förutsättningar för mer robusta system som utformats utifrån de IT-hot som är mest påtagliga för tillfället.