Hoppa till huvudinnehåll

Säkerhetsrisk när staten har dålig koll på flera av sina IT-system - angrepp hemlighålls också

Hackare
Statliga eller statssponsorerade hackare kan utföra många olika slags IT-attacker. Hackare Bild: Brian Klug hackare

Statens IT-säkerhet har flera olika brister. Det framkommer i en unik helhetsgranskning som Statens revisionsverk har gjort och som publicerades på tisdagsmorgonen.

– Varje myndighet bedömer riskerna med sina egna system, men man har glömt helheten, säger Pasi Korhonen som är ledande effektivitetsrevisor på Statens revisionsverk och en av författarna till rapporten om statens IT-säkerhet.

Han påpekar att det här kan leda till problem.

– Man reagerar för långsamt, för i ett visst läge vet man till exempel inte vilka alla statliga IT-system som är under attack.

De automatiska övervakningssystemen är inte heltäckande så det kan länge förbli okänt att ett visst datasystem har angripits.

– Dessutom vet man inte i vilken ordning systemen borde skyddas och fås att fungera igen, fortsätter Korhonen.

När motåtgärder inte sätts in tidigt kan fler lyckade IT-angrepp bli möjliga och det kan ta längre tid för de drabbade systemen att återhämta sig.

Fingrar på tangentbord.
Fingrar på tangentbord. Bild: User:Colin tangentbord,hackare

Samtidigt finns det många strategier kring cybersäkerhet som staten har försökt följa - på mer eller mindre lyckade sätt.

– De är i flera fall långa och kryptiskt skrivna. Många statliga instanser har därmed svårt att veta hur strategierna ska tillämpas i praktiken, säger ledande effektivitetsrevisor Pirkko Lahdelma.

Dessutom är det ofta oklart vilken instans som ansvar för verkställandet, man har inte gjort upp tidsplaner för åtgärderna och genomförandet har inte följts upp.

Pasi Korhonen och Pirkko Lahdelma.
Pasi Korhonen och Pirkko Lahdelma på Statens revisionsverk har tittat närmare på statens funktionssäkerhet och cyberskydd. Pasi Korhonen och Pirkko Lahdelma. Bild: Yle/Niklas Fagerström statens revisionsverk

Oklar ansvarsfördelning

Vid ett omfattande IT-angrepp skulle olika ministerier behöva förhandla sinsemellan om hurdana motåtgärder som ska tas och när, och det finns det inte nödvändigtvis tid för i ett sådant läge.

I teorin ligger ansvaret för IT-säkerheten i sista hand på de enskilda statliga instanserna själva.

I praktiken är det ändå oklart på vems ansvar statens IT-säkerhet egentligen är.

Statens center för informations- och kommunikationsteknik Valtori har ansvar enligt lagen, men de olika statliga instanserna har alltså också eget ansvar.

Valtori, som centralt sköter många statliga IT-system, har haft svårt att utveckla de gemensamma systemens säkerhet, när en del statliga kunder vill betala för vissa förbättrande åtgärder, medan andra inte vill göra det.

– Vissa kunder vill kanske betala men alla vill inte göra det. Valtori ger i princip alla samma service, kommenterar Pasi Korhonen.

Han säger att man kan ifrågasätta om det är fiffigt att erbjuda IT-tjänsterna på det här centraliserade sättet.

– Samma tjänst är inte bra för alla kunder. Vissa vill ha bättre säkerhet, medan andra betonar billigare lösningar.

Dessutom har säkerhetsnivån på Valtoris IT-tjänster i många fall varit oklar för kunderna.

Ytterdörren til Valtori.
Ytterdörren til Valtori. Bild: Yle/ Riika Raitio samarbetsförhandlingar

Statens IT-säkerhet är också till stora delar reaktiv, konstaterar Statens revisionsverk. Det innebär att den ofta reagerar på de dataintrång och IT-attacker som sker i stället för att förebygga problemen på förhand.

Ett konkret exempel i fjol gällde en överbelastningsattack mot Statsrådets webbplats, som staten troligen kunde ha skyddat sig mot om man bara hade lagt märke till att antalet överbelastningsattacker hade ökat och därmed höjt säkerheten.

Statsrådets hus
Statsrådets webbplats drabbades. Statsrådets hus Bild: Yle/Touko Yrttimaa statsrådets hus

Godtyckliga prioriteringar

Ledande effektivitetsrevisor Pasi Korhonen konstaterar dessutom att staten satsar för lite på att skydda vissa system, och för mycket på andra.

– Man har inte alls funderat på vad det är viktigt att satsa på, säger han.

Han tillägger att staten förstås hela tiden utvecklar riskhanteringen, men att situationen i nuläget är allt annat än bra.

– Man borde tänka på hur dyrt det blir då ett visst system inte är i drift och utgående från det bestämma hur mycket man borde satsa på att skydda det.

Angrepp rapporteras inte alltid

Dessutom låter olika aktörer - både statliga och privata - ofta bli att rapportera att de har råkat ut för IT-attacker.

Vad det beror på är oklart, men kanske de vill undvika att få dåligt rykte, eller så rapporterar de helt enkelt inte för att de inte måste göra det.

Korhonen berättar som exempel att en statlig organisation drabbades av en överbelastningsattack, och organisationen lät bli att informera andra delar av staten om det här.

Inte ens Valtori som sköter om många centrala system fick reda på det och kunde därmed inte öka säkerheten.

Det borde bli obligatoriskt för staten och affärslivet att meddela om IT-angrepp.― Pasi Korhonen vid Statens revisionsverk

Tre dagar senare inleddes en motsvarande attack mot Valtoris system och det ledde till problem i en viss tid innan problemet kunde lösas.

– Det borde bli obligatoriskt för staten och affärslivet att meddela om IT-angrepp, säger Korhonen.

Då skulle Cybersäkerhetscentret kunna upprätthålla en bättre lägesbild över IT-säkerheten i vårt land. Den lägesbilden används sedan för att kunna skydda de olika systemen bättre.

– Till exempel i samband med större IT-attacker så kunde man bättre prioritera vilka tjänster som först måste fås att fungera igen.

Kod på dataskärm i Hewlett Packards cybersäkerhetscenter i Tyskland 9.9.2014
Kod på dataskärm i Hewlett Packards cybersäkerhetscenter i Tyskland 9.9.2014 Bild: EPA/DANIEL NAUPOLD cyberkrig

Inga uppenbara säkerhetsbrister

Statens revisionsverk har inte granskat hur väl skyddad informationen är i olika system, rent tekniskt.

Men de statliga organisationerna verkade ändå ha en god nivå på IT-säkerheten.

Korhonen säger att man i vissa fall till och med skyddade informationen onödigt väl.

– Man klassificerar uppgifterna som mer känsliga än de egentligen är. Det kan ske till exempel när man inte kan jämföra dem med andra motsvarande uppgifter.

Han tillägger att risken finns att viss information skyddas väl på statlig nivå, men dåligt på kommunal nivå.

– Om vissa uppgifter inte skyddas så väl i en kommun, så är det kanske onödigt att staten satsar mycket på att skydda de samma uppgifterna.

Pasi Korhonen påpekar också att staten borde öva sig på att svara på möjliga IT-hot i praktiken, och inte endast i teorin.

– När problemsituationer uppstår är det viktigt att man har övat tidigare. Då kan man återhämta sig snabbare.

Rekommendationer

Statens revisionsverk rekommenderar bland annat följande:

- att Finansministeriet utreder hur skydd av IT-tjänsterna bör beaktas i finansieringen av dem under hela livscykeln.
- att Statens center för informations- och kommunikationsteknik Valtori förbättrar genomförandet, utvärderingen och utvecklingen av förfarandena för cyberskydd och för att upptäcka IT-angrepp.
- att Finansministeriet förbättrar framtagningen av den operativa lägesbilden över cyberskyddet genom att instruera myndigheterna att anmäla IT-angrepp till Cybersäkerhetscentret.
- att Finansministeriet fastställer och genomför en operativ hanterings- och ledningsmodell för IT-tjänster inom statsförvaltningen så att den bättre kan klara av omfattande IT-störningar.

Läs också

Nyligen publicerat - Inrikes