Utred inte haverierna – bygg säkra it-system i stället

Att samhällskritiska digitala system i Sverige är sårbara och att myndigheter slarvar med informationssäkerheten är angelägna frågor som Niels Paarup-Petersen med flera adresserar i Dagens Samhälle (2019-12-08).

Författarna föreslår att man inrättar en it-haverikommission med flyget som förebild när det gäller säkerhetskultur. Haverikommissioner och öppenhet är där viktiga komponenter för att göra systemen säkrare. Tanken är att det är bättre att lära sig av misstagen än att straffa dem som gjort fel.

Frågan är om samma lösning fungerar för it-system. Problemet med undermålig it ligger nämligen sällan i att vi inte vet hur vi bygger säkra lösningar, utan att man inte gör det. Det är den verkliga anledningen att den ena häpnadsväckande attacken efter den andra kan ske. Frågan är därför vad en haverikommission skulle kunna visa som vi inte redan vet. Att det finns buggar i programvara? Att det förekommer slarv, okunnighet och snålhet som går ut över säkerheten?

Det finns egentligen bara ett sätt att skapa säkra it-system. Det är att bygga in säkerheten redan när man börjar fundera på hur man ska lösa ett samhällsproblem. Tyvärr är det angreppssättet ovanligt vid utvecklandet av myndigheters it-system. Ett konkret exempel bland flera är systemet för LSS (lagen för stöd och service till funktionshindrade) som man har byggt så att man inte säkert vet att pengarna betalas ut till rätt personer och till rätt belopp. It-säkerhet i sig löser alltså inte de svagheter som finns med systemet.

När det kommer till den konkreta it-säkerheten så vet vi också ganska väl vilka de två största problemen är: användare som missbrukar sina behörigheter och externa hackare. Lösningen på det första problemet är ordentlig styrning av åtkomst och behörighet. Det behövs också skydd mot att data läcker från systemen. Det andra problemet beror till två tredjedelar på dålig programmering. Ett tydligt exempel är skolwebben i Stockholm. Där var det en kombination av dålig identitetsstyrning, dåligt läckageskydd och dålig programmering som orsakade problemen.

Visst skulle en haverikommission kunna visa exakt vilken mix av de faktorerna som har varit framme i ett givet fall. Men ska vi lära oss säkerhetskultur av flyget så måste vi se hela bilden: Säkerhet som inte är inbyggd redan från början blir ingen riktig säkerhet, något jag tyvärr sett otaliga exempel på. Om leverantörer kan vinna upphandlingar med osäkra lösningar kommer det aldrig att finnas plats för seriösa aktörer i samhället, hur kompetenta individerna i de enskilda delarna av it-projektet än är. Därför kommer vi heller inte ifrån att adressera ansvarsfrågan:

￭ It-köpare måste börja kräva skadestånd av sina leverantörer när säkerheten inte var som utlovat.
￭ Datainspektionen måste börja utnyttja hela skalan för att ta betalt för överträdelser mot GDPR.

Använder vi de juridiska redskap som redan finns på ett effektivare sätt behöver vi alltså inte avvakta något riksdagsbeslut eller ett eventuellt inrättande av någon ny myndighet för att identifiera redan kända problem.

Greger Wikstrand, tekn. dr. datavetenskap, styrelseledamot IEEE Computer Society Sverige, chefsarkitekt CGI Skandinavien