Få hela storyn
Starta din prenumeration

Prenumerera

Arbetsvillkor

Bristande säkerhetsrutiner bakom stora dataläckor

Organisationer som drabbas av dokumentläckor skyller ofta på hackers och bortser från det egna säkerhetsansvaret. Men det egna ansvaret är stort och är på väg att bli ännu större med EU:s nya dataskyddsreform.

Publicerad: 22 april 2016, 08:54

Det här är opinionsmaterial

Åsikterna som uttrycks här står skribenten/skribenterna för.

Den gängse bilden är att hackers är intelligenta digitala kassaskåpssprängare som kan ta sig igenom alla tänkbara digitala lås och skydd, trots att it-attacker ofta beror på bristfälliga rutiner, skriver Tom Andersson.


Ämnen i artikeln:

It-säkerhetSkatterEkonomi

Under ett år läckte dokument om brevlådeföretag från Mossack Fonseca, advokatfirman i Panama. Läckan är den största någonsin: 4,8 miljoner e-postbrev, 3 miljoner databasutdrag, 2,2 miljoner PDF-filer, 1,1 miljoner bilder och 320 000 textdokument. Panama-läckan bekräftar regeln, cybervigilanter exponerar allt större mängder känsliga uppgifter och de drabbade skyller på hackers.

Den gängse bilden är att hackers är intelligenta digitala kassaskåpssprängare som kan ta sig igenom alla tänkbara digitala lås och skydd, trots att it-attacker ofta beror på bristfälliga rutiner och insider-problem. Även stora dataläckor i USA, till exempel Anthem (sjukvårdsförsäkringar) och Office of Personnel Management (amerikanska arbetsgivarverket), har bottnat i slarvig behörighetshantering. Av allt att döma har också säkerhetsarbetet på Mossack Fonseca varit eftersatt.

Så länge organisationer inte måste informera allmänheten om de dataintrång som de utsätts för är det lätt att gömma sig bakom bilden av hackers. Men strategin är inte hållbar. EU:s nya dataskyddsreform träder i kraft 2018 och ställer krav på organisationer att informera alla drabbade konsumenter om dataintrång. Då lär Sverige och EU få en hårdare granskning i likhet med den i USA.

I amerikansk hälso- och sjukvård är det krav på offentlig rapportering av dataintrång. Statistiken visar digitala journalsystem leder till färre men större dataläckor. Det totala antalet drabbade ökar. I högre grad än tidigare rör det sig också om medvetna intrång. Ju större mängd viktig och känslig information, desto större lockelse för cybervigilanter.

De växande informationsriskerna kan inte hanteras på traditionellt sätt. Säkerhetssatsningar har varit reaktiva. De följer på incidenter och kriser, varför de inriktas på enskilda problem och isolerade åtgärder. Amerikansk forskning inom hälso- och sjukvården visar att sådana reaktiva satsningar är ineffektiva. Effektiva åtgärder förutsätter ett mer systematiskt arbete, till exempel följande fem punkter för att förebygga dataläckor.

■ Värdering av informationsrisker

■ Kartläggning och bevakning av händelser

■ Varningssystem för avvikande aktiviteter

■ Riskprofiler för användare och beteendemönster

■ Uppföljning och utveckling

Första punkten är självklar, men en Akilleshäl. Det räcker inte med att några få experter bedömer några få hot mot enskilda it-system. Långt större systematik och bredare samsyn krävs för effektiva säkerhetskontroller och varningssystem. För uppföljning, till exempel loggranskning i hälso- och sjukvården, bör också riskprofiler användas för styrning av kontrollarbetet.

Alla punkter måste omfatta medverkan och samverkan inom och mellan organisationer. Det är avgörande för god riskmedvetenhet och förankring av säkerhetsåtgärder. Alla medarbetare har kunskaper och erfarenheter av relevans. Även externa it-leverantörer, experter och konsulter, som sitter på nycklarna till verksamhetskritiska system, bör här betraktas som ”medarbetare”.

Samverkan och medverkan är vidare grunden för en god säkerhetskultur, en gemensam värdegrund för information och kommunikation som är förankrad i medarbetarnas egna kunskaper och erfarenheter. Det kräver öppenhet och delaktighet. Dagens brist på det senare kan dock utveckla sig till den största säkerhetsrisken av dem alla, inte minst om värdegrunden saknas.

Tom Andersson, fil dr, konsult inom riskhantering, Basalt AB

Det här är opinionsmaterial

Åsikterna som uttrycks här står skribenten/skribenterna för.

Ämnen i artikeln:

It-säkerhetSkatterEkonomi

Dela artikeln:

Nyhetsbreven som ger dig bäst koll på samhället

Välj nyhetsbrev

Se fler branschtitlar från Bonnier News