Säkerhet

Dags att lagstifta om kryptering

Kryptering är en säkerhetsåtgärd som drastiskt minskar möjligheten för främmande makt att i ett krisläge sprida desinformation. Det bör därför lagstiftas om att alla större företag och myndigheter ska stödja krypterad mailtrafik. Merkostnaden är minimal satt i relation till riskerna med att inte kryptera.

Helgens attacker mot den svenska IT-infrastrukturen har lyft upp frågan om informationssäkerhet på dagordningen. Men det är inte i första hand överbelastningsattacker som vi bör oroa oss för – de går säkert att hantera med olika filter. 

Den allvarligaste konsekvensen blir att nätet fungerar sämre på grund av alla filter och restriktioner som nätleverantörerna måste använda för att skydda sig – nätet blir mer lokalt till sin natur. Något allvarligt hot mot samhället utgör dessa attacker däremot inte, de visar bara att nätverksteknikerna måste göra ett bättre jobb än hittills och vara mer förberedda.

Men tyvärr finns det betydligt allvarligare hot mot IT-infrastrukturen än så kallade DDOS-attacker. Såväl Säkerhetspolisen och Myndigheten för samhällsskydd och beredskap (MSB) har nyligen pekat på strukturella problem i Sverige. 

MSB noterar speciellt att svenska myndigheter blir allt mer beroende av externa leverantörer av IT. Säpo har varnat för att myndigheter lägger allt mer information i så kallade molntjänster.

Att behålla IT-kompetens i den egna organisationen och att undvika molntjänster när det är möjligt är några önskvärda förändringar för att skydda informationen. Båda myndigheterna pekar också ut spioneri som ett reellt hot mot det svenska samhället.

Det är en senkommen insikt att IT-infrastrukturen är sårbar. Att den amerikanska myndigheten National security agency (NSA) kunde utveckla ett söksystem som i princip gör det möjligt att gå in i varje enskild användares postlåda via en sökmotor – X-keyscore – beror inte bara på att NSA har stora resurser. Det beror också på att IT-säkerheten hos myndigheter och privatpersoner världen över är i stort sett obefintlig.

Edward Snowdens avslöjanden har fått länder och organisationer över hela världen att vakna upp. De IT-kunniga har alltid vetat om att trafiken som går mellan webbläsare och servrar är okrypterad och att de email som skickas över nätet är läsbara och möjliga att manipulera för vem som helst som råkar befinna sig på vägen från sändare till mottagare.

Det som har saknats är beslutsfattare som drar slutsatser av denna kunskap. Hur skickar man lämpligen information över ett nätverk som är öppet? Ja, rimligen inte utan att först ha försäkrat sig om att informationen som passerar över nätverket är oläsbar för alla andra än sändaren och mottagaren.

Det sorgliga är att svenska myndigheter inte ens har plockat de lågt hängande frukterna. Att en myndighets webbsida stödjer kryptering borde vara självklart. En webbsida som inte gör det är sårbar för så kallade man-in-the-middle-attacker. 

Det handlar inte enbart om risken för att informationen ska kunna läsas - den kan mycket väl även manipuleras och personer med onda avsikter kan i värsta fall injicera skadlig kod i webbtrafik och i mail.

Att utländska underrättelsetjänster redan förberett punkter i fibernäten där trafiken kan tappas är något som vi måste utgå ifrån. Gör de på rätt sätt finns ingen möjlighet för vare sig sändare eller mottagare att se på vilket sätt informationen lästs eller manipulerats.

Om myndigheterna däremot har krypterat trafiken kommer varje försök att förändra informationen att göra den oläsbar. Detta gäller såväl webbtrafik som mailtrafik. Att kryptera är därför en säkerhetsåtgärd som drastiskt minskar möjligheten för främmande makt att i ett krisläge sprida desinformation.

De lågt hängande frukterna, som nämns ovan, är enkla åtgärder som borde vara självklara som ett led i svensk krisberedskap: 

1) Tillhandahåll inga webbsidor utan säkra protokoll. All myndighetsinformation bör säkras med hjälp av https.

I dag kan 99 procent av alla webbläsare hantera krypterade webbsidor. Det finns inget skäl att svenska myndigheter ska ta risken att någon förändrar informationen på vägen till mottagaren. Https är beprövat och kompatibelt med i stort sett alla webbläsare.

2) Installera stöd för olika former av krypterad e-post. Viktigast är stödet för OpenPGP, en standard som baseras på öppen källkod och som är det i dag vanligaste sättet att kryptera epost.

Till skillnad från när det gäller webbsidor kan vi inte räkna med att alla mottagare kan läsa krypterade mail. Kryptering bör dock användas när det är möjligt. 

För användaren innebär detta ingen skillnad – annat än att man i sitt mailprogram ser ett hänglås när mailet till mottagaren är krypterat. Det bör därför lagstiftas om att alla större företag och myndigheter ska stödja krypterad mailtrafik. Merkostnaden är minimal satt i relation till riskerna med att inte kryptera.

Dessutom kan fungerande kryptering göra det möjligt för myndigheter och organisationer att skicka sekretesskyddad information som annars inte kan skickas via epost. Sannolikt är införandet av stöd för krypterad epost kostnadseffektivt, eftersom man då slipper investera i andra lösningar för att skicka exempelvis personuppgifter inom och mellan myndigheter.

Att tala om IT-beredskap och IT-säkerhet utan att plocka de lågt hängande frukterna blir meningslöst. Det handlar inte så mycket om att utreda som att göra. Vi vet att IT-säkerheten är obefintlig och vi vet vilka de första åtgärderna för att förbättra IT-säkerheten är. 

Regeringen bör därför ta fram ett lagförslag - kalla det Lex Putin eller Lex NSA, det spelar inte så stor roll varifrån vi tror hotet kommer. Det viktiga att vi gör något innan det behöver vara gjort.

Det här är en opinionstext publicerad i Dagens Samhälle. Åsikterna som uttrycks i artikeln står skribenten/skribenterna för.

Läs hela Dagens Samhälle

Dagens Samhälle vänder sig till beslutsfattarna på den offentliga marknaden. Tidningen kommer ut varje torsdag, 45 gånger per år. Prova gratis här.