Säkerhetsriskerna har flyttat hem

Under det senaste året har marknadskonsulten PMP, på uppdrag av säkerhetsbolaget Basalt, genomfört studien ”Svenskt säkerhetsindex”. I två omgångar har man undersökt hur 100 beslutsfattare inom samhällsviktig verksamhet ser på hot och risk, nu och i framtiden.
– Vintern 2020/2021 upplever 78 procent av beslutsfattarna att hotbilden mot deras informationsteknologi kommer att förvärras. Dessutom svarar 74 procent nej på frågan om de har tillräckligt bra hantering av möjliga hot mot sin verksamhet, förklarar Anders Brännström, strategisk rådgivare vid Basalt.
– Hoten ser olika ut, men 91 procent av studiens deltagare anser att det är mycket sannolikt att cyberhot, det vill säga it-attacker, kan skada verksamheten de närmaste tre åren.

Oron är befogad, enligt Säkerhetspolisen och Försvarets radioanstalt (FRA), som varnar för ökat cyberspionage mot svenska myndigheter, kommuner, regioner, företag och privatpersoner. It-angreppen sker dygnet runt, året om, från olika kriminella grupper. De mest avancerade hoten kommer enligt FRA:s kommunikationschef Ola Billger från utländska statliga angripare som vill gynna det egna landets intressen.
– För att skydda det allra mest skyddsvärda hjälper vi flera myndigheter och bolag med installation av TDV, ett tekniskt detekterings- och varningssystem. Lite förenklat är det ett avancerat virusskydd som upptäcker angrepp som de kommersiella systemen inte klarar att varna för.

Var TDV är installerat och hur många installationer som finns är hemligt, men bara under 2020 ökade FRA antalet överenskommelser om utplacering av systemet med 70 procent. Enligt Ola Billger har pandemin och dess följder ökat redan kända sårbarheter.
– Jag vill lyfta fram två risker. Den första är ett intensifierat utländskt intresse för intrång i medicinska forskningsmiljöer. Den andra är att när fler jobbar hemma så mångdubblas mängden tänkbara intrångsmöjligheter överlag.
– Oftast är skyddet hemma inte lika bra som på ett kontor. I värsta fall kan en angripare därför dels komma åt information i hemmiljön, dels öppna för åtkomst in i en organisations system, förklarar Ola Billger.

Enligt SCB:s arbetskraftsundersökning för juli–september 2020 jobbade drygt en tredjedel (35,6 procent) av de tillfrågade medarbetarna i offentlig förvaltning hemifrån mer än hälften av arbetsdagarna. De flesta var då tvungna att använda sin privata internetuppkoppling.
– Det finns bra kommersiella skydd, men man ska vara medveten om att allt som är uppkopplat mot internet är sårbart och riskerar att utsättas. Vissa aktörer, exempelvis utländska staters, har resurser som de flesta svenska nätverk inte kan stå emot, säger Ola Billger.
– Det finns många olika metoder, bland annat lösenordsattacker, phishing, spearphishing, webbattacker, vattenhåls- och supply chain-angrepp. Mobiler, surfplattor och andra bärbara enheter kan också användas som verktyg för inhämtning eller avlyssning.

Informationssäkerhet och distansarbete är ett område där beredskap, förkunskaper och resurser varierar stort mellan olika kommuner och regioner. I huvudstadsregionen är det relativt väl förspänt på området. Emma Wahlin, tillförordnad it-direktör vid Region Stockholm, berättar att i merparten av regionens nämnder och bolag har minst hälften eller fler av de anställda genomgått en obligatorisk utbildning i informationssäkerhet som bland annat innehåller vägledning för hemarbete. Karin Johannesen, säkerhetschef vid Stockholms stad, meddelar att staden redan före pandemin hade teknisk infrastruktur och tjänster på plats för att medarbetare ska kunna arbeta på distans på ett säkert sätt.
– Det innefattar bland annat VPN-förbindelser som krypterar kommunikationen hela vägen mellan distansmedarbetarens dator och stadens nät, säger hon.

Tekniken VPN, Virtual Private Network, används av flera kommuner, regioner och statliga verk för att skapa en säker förbindelse mellan två punkter i icke-säkra nätverk, som internet. Vid distansarbete har arbetsgivaren dock sämre kontrollmöjligheter över den arbetsplats som används, vilket gör att skadlig kod kan introduceras innan VPN börjar användas och sedan föras över via uppkoppling till organisationen.
– Sitter du hemma och jobbar är det förstås bättre att använda VPN än ingenting alls. Men det finns fortfarande sårbarheter, säger Ola Billger.

För att förbättra samhällets förmåga att skydda sig mot cyberangrepp inrättade regeringen under 2020 ett nationellt cybersäkerhetscenter. Sommaren 2020 presenterade centret en serie åtgärder kring cybersäkerhet avsedda för alla kommuner, regioner och statliga myndigheter.
– När man arbetar hemifrån är det extra viktigt med god cybersäkerhet redan från början. Följer du våra tio tydliga rekommendationer kommer du långt, både som kommun och som privatperson, säger Ola Billger.

Pierre Eklund