Nyhet
It-säkerhet
18 februari 2021 kl 03:00

Säkerhetsriskerna har flyttat hem

Tiotusentals offentliganställda jobbar på distans under pandemin – trots att det medför stora säkerhetsrisker. Enligt FRA ökar arbete i hemmet risken för dataintrång och skadliga angrepp riktade mot kommuner och regioner.

Under det senaste året har marknadskonsulten PMP, på uppdrag av säkerhetsbolaget Basalt, genomfört studien ”Svenskt säkerhetsindex”. I två omgångar har man undersökt hur 100 beslutsfattare inom samhällsviktig verksamhet ser på hot och risk, nu och i framtiden.
– Vintern 2020/2021 upplever 78 procent av beslutsfattarna att hotbilden mot deras informationsteknologi kommer att förvärras. Dessutom svarar 74 procent nej på frågan om de har tillräckligt bra hantering av möjliga hot mot sin verksamhet, förklarar Anders Brännström, strategisk rådgivare vid Basalt.
– Hoten ser olika ut, men 91 procent av studiens deltagare anser att det är mycket sannolikt att cyberhot, det vill säga it-attacker, kan skada verksamheten de närmaste tre åren.

Oron är befogad, enligt Säkerhetspolisen och Försvarets radioanstalt (FRA), som varnar för ökat cyberspionage mot svenska myndigheter, kommuner, regioner, företag och privatpersoner. It-angreppen sker dygnet runt, året om, från olika kriminella grupper. De mest avancerade hoten kommer enligt FRA:s kommunikationschef Ola Billger från utländska statliga angripare som vill gynna det egna landets intressen.
– För att skydda det allra mest skyddsvärda hjälper vi flera myndigheter och bolag med installation av TDV, ett tekniskt detekterings- och varningssystem. Lite förenklat är det ett avancerat virusskydd som upptäcker angrepp som de kommersiella systemen inte klarar att varna för.

Var TDV är installerat och hur många installationer som finns är hemligt, men bara under 2020 ökade FRA antalet överenskommelser om utplacering av systemet med 70 procent. Enligt Ola Billger har pandemin och dess följder ökat redan kända sårbarheter.
– Jag vill lyfta fram två risker. Den första är ett intensifierat utländskt intresse för intrång i medicinska forskningsmiljöer. Den andra är att när fler jobbar hemma så mångdubblas mängden tänkbara intrångsmöjligheter överlag.
– Oftast är skyddet hemma inte lika bra som på ett kontor. I värsta fall kan en angripare därför dels komma åt information i hemmiljön, dels öppna för åtkomst in i en organisations system, förklarar Ola Billger.

Enligt SCB:s arbetskraftsundersökning för juli–september 2020 jobbade drygt en tredjedel (35,6 procent) av de tillfrågade medarbetarna i offentlig förvaltning hemifrån mer än hälften av arbetsdagarna. De flesta var då tvungna att använda sin privata internetuppkoppling.
– Det finns bra kommersiella skydd, men man ska vara medveten om att allt som är uppkopplat mot internet är sårbart och riskerar att utsättas. Vissa aktörer, exempelvis utländska staters, har resurser som de flesta svenska nätverk inte kan stå emot, säger Ola Billger.
– Det finns många olika metoder, bland annat lösenordsattacker, phishing, spearphishing, webbattacker, vattenhåls- och supply chain-angrepp. Mobiler, surfplattor och andra bärbara enheter kan också användas som verktyg för inhämtning eller avlyssning.

Informationssäkerhet och distansarbete är ett område där beredskap, förkunskaper och resurser varierar stort mellan olika kommuner och regioner. I huvudstadsregionen är det relativt väl förspänt på området. Emma Wahlin, tillförordnad it-direktör vid Region Stockholm, berättar att i merparten av regionens nämnder och bolag har minst hälften eller fler av de anställda genomgått en obligatorisk utbildning i informationssäkerhet som bland annat innehåller vägledning för hemarbete. Karin Johannesen, säkerhetschef vid Stockholms stad, meddelar att staden redan före pandemin hade teknisk infrastruktur och tjänster på plats för att medarbetare ska kunna arbeta på distans på ett säkert sätt.
– Det innefattar bland annat VPN-förbindelser som krypterar kommunikationen hela vägen mellan distansmedarbetarens dator och stadens nät, säger hon.

Tekniken VPN, Virtual Private Network, används av flera kommuner, regioner och statliga verk för att skapa en säker förbindelse mellan två punkter i icke-säkra nätverk, som internet. Vid distansarbete har arbetsgivaren dock sämre kontrollmöjligheter över den arbetsplats som används, vilket gör att skadlig kod kan introduceras innan VPN börjar användas och sedan föras över via uppkoppling till organisationen.
– Sitter du hemma och jobbar är det förstås bättre att använda VPN än ingenting alls. Men det finns fortfarande sårbarheter, säger Ola Billger.

För att förbättra samhällets förmåga att skydda sig mot cyberangrepp inrättade regeringen under 2020 ett nationellt cybersäkerhetscenter. Sommaren 2020 presenterade centret en serie åtgärder kring cybersäkerhet avsedda för alla kommuner, regioner och statliga myndigheter.
– När man arbetar hemifrån är det extra viktigt med god cybersäkerhet redan från början. Följer du våra tio tydliga rekommendationer kommer du långt, både som kommun och som privatperson, säger Ola Billger.

Fakta
10 steg för ökad cybersäkerhet i kommuner och regioner

FRA, Försvarsmakten, MSB och Säkerhetspolisen ingår i Sveriges nya nationella center för cybersäkerhet som tagit fram tio rekommendationer till kommuner och regioner.

1. Installera säkerhetsuppdateringar så fort det går.

2. Förvalta behörigheter och använd starka autentiseringsfunktioner.

3. Begränsa och skydda användningen av systemadministrativa behörigheter.

4. Inaktivera oanvända tjänster och protokoll (härda systemen).

5. Gör säkerhetskopior och testa om informationen går att läsa tillbaka.

6. Tillåt endast godkänd utrustning i nätverket.

7. Säkerställ att endast godkänd mjukvara får köras (vitlistning).

8. Segmentera nätverken och filtrera trafiken mellan segmenten.

9. Uppgradera hård- och mjukvara.

10. Säkerställ en förmåga att upptäcka säkerhetshändelser.

För mer information om varje punkt, se pdf ”Cybersäkerhet i Sverige 2020”.

Källa: FRA

Fakta
Socialstyrelsens interna råd

Socialstyrelsen har på sitt intranät publicerat råd till sina medarbetare:

  • Arbetsutrustning, till exempel dator, surfplatta och mobiltelefon är personlig och ska inte användas för privat bruk eller av andra. Informationen där ska skyddas. Du ska alltid logga ut och låsa datorn när du lämnar den, även hemma.
  • Skriv inte ner personnummer, lösenord eller annan känslig information i chattar, meddelanden och e-post. Känslig information ska kommuniceras via telefon
  • USB-minnen som används i arbetsdatorn får inte anslutas på privat utrustning eftersom virus kan spridas mellan enheterna.
  • Spara aldrig känslig information i privata molnlösningar (Dropbox, Google Drive osv).
  • Vid digitala arbetsmöten utanför Socialstyrelsens lokaler måste du göra en bedömning av risken att andra kan höra eller se informationen som förmedlas. Tänk även på vad som diskuteras om mötet spelas in.
  • Du kan själv minska risken för att bli utsatt för bedrägeri genom att låta bli att klicka på̊ länkar eller bilagor från okända avsändare.
  • Ladda inte ned program som kommer via e-post, sms eller olika webbsidor, särskilt när avsändaren är okänd.

Källa: Socialstyrelsen

 

Det här är en nyhetstext från Dagens Samhälle. Dagens Samhälle står oberoende från organisationer, partier, religioner och särintressen. Vi värnar pressetikens regler, det kritiska tänkandet och konsekvensneutraliteten. Det vi publicerar ska vara sant, bekräftat och präglas av kvalitet och trovärdighet.

Publicerad: 18 februari 2021 kl 03:00
Uppdaterad: 19 februari 2021 kl 07:39