Hoppa till huvudinnehåll

Skyddspolisen: Utländska stater kan dra nytta av att kritiska it-system i kommunerna ofta har bristfällig it-säkerhet

Nätverkskablar.
Kommunernas data kan sparas i många olika slags it-system. Nätverkskablar. Bild: AOP Nätverkskabel,överbelastningsattack

Att kommunerna ofta har relativt gamla och dåligt uppdaterade datasystem, och dessutom köper in it-tjänster av företag är en klar säkerhetsrisk. Det kommenterar Skyddspolisen, efter Svenska Yles nyhet i går, som bland annat tog upp att många kommuner främst använder sig av externa it-experter.

– Den trenden som har oroat oss redan under en längre tid, kan man säga, är att man lägger ut samhällskritiska funktioner på entreprenad, och det sker i allt större utsträckning, säger Jyri Rantala som är stabschef på Skyddspolisen.

Rantala säger att it-säkerheten dessutom riskerar att försämras inom den närmaste framtiden.

– Det finns skäl att oroa sig ännu mer just nu på grund av den pågående coronaepidemin. Den kommer att drabba ekonomin både hos kommunerna och staten.

Han säger att det finns många underleverantörer som sköter kommunernas it, och att de i många fall är den svagaste länken, även om de försöker göra sitt bästa.

– Privata företag måste anpassa systemskyddet enligt sina inkomster, och kunna driva verksamheten effektivt och lönsamt.

När kommunerna väljer externa aktörer, ofta eftersom det blir billigare, så är konsekvensen alltså lätt att it-säkerheten lider.

Jyri Rantala betonar att det här kan öppna dörren för utländska statliga aktörer, som kan vara intresserade av att samla in information från kommunerna.

Han påpekar att det tidigare har nämnts att till exempel Kinas och Rysslands underrättelsetjänster har ett särskilt intresse för Finland.

Kommuner har viktiga data

En liten kommun är alltså inte nödvändigtvis ointressant för en stor stat.

– Faktiskt, det finns stora mängder samhällskritiska data hos kommunerna. Det kan gälla till exempel hälsoinformation som främmande aktörer kan ha intresse för.

– Genom att kombinera information från olika håll, eller olika kommuner så kan de kanske skapa en helhetsbild som kan vara skadlig för oss, tillägger han.

Kommunerna äger också en stor del av den kritiska infrastrukturen. Det finns enligt Skyddspolisen tecken på att främmande stater försöker få tillgång till sådan infrastruktur här i Finland.

Rantala säger att om det lyckas så kunde det få mycket skadliga följder för kommunerna själva, och framför allt för statens säkerhet.

– Då kan det vara elförsörjning, vattenförsörjning eller kommunikationerna som drabbas.

Kommunerna kan ändå välja att fokusera på säkerheten när de konkurrensutsätter it-tjänster.

– I dagsläget har vi bra lagstiftning och det går redan nu att lägga vikt på säkerhetsaspekter till exempel när man gör konkurrensutsättningar i kommunerna.

Rantala säger att det dessutom kunde vara en bra idé att kommunerna gör mer själva, med hjälp av myndigheterna.

Vi vill stöda kommunerna så mycket vi kan― Jyri Rantala, stabschef på Skyddspolisen.

Skyddspolisen jobbar också hela tiden förebyggande med kommunerna, enligt underrättelseinformation man får fram, för det är ytterst viktigt att risker och konkreta hot känns igen i ett tidigt skede.

Just nu satsar man ännu mer på det här förebyggande arbetet än förr.

– Vi vill gärna vara proaktiva och kunna förse kommunerna med den information och den hjälp de behöver i sitt beslutsfattande. Vi vill stöda så mycket vi kan, säger Jyri Rantala.

Cybersäkerhetscentret är också oroat

På Cybersäkerhetscentret vid Transport- och kommunikationsverket Traficom anser man att det nuvarande lapptäcket av olika it-system i kommunerna är riskabelt.

Det gör det till exempel svårt att ständigt hålla alla system uppdaterade.

– De externa it-leverantörer en kommun använder har ofta inte heller någon helhetsbild av it-systemen i kommunen, säger Jan Wikholm, som är informationssäkerhetsexpert på Cybersäkerhetscentret.

Därför vet de inte nödvändigtvis vilka klara risker som finns och vilka system och uppdateringar som behöver prioriteras.

Wikholm betonar att det är av kritisk betydelse att kommuner faktiskt upprätthåller god it-säkerhet, särskilt inom hälso- och sjukvården.

– När vi snackar om cybersäkerhet inom kommunsektorn är det fråga om liv och död.

Porträtt på Jan Wikholm.
Jan Wikholm på Cybersäkerhetscentret säger att cybersäkerhet inom kommunsektorn är en fråga om liv och död. Porträtt på Jan Wikholm. Bild: Jan Wikholm datasäkerhet,Säkerhetshål,hackande (databehandling),Internet threatening,polisen,Cybersäkerhetscentret,reservdelsförsäljare

Ett tragiskt exempel på vad som kan hända är att en patient i Tyskland nyligen dog till följd av att hackare hade låst viktiga datasystem i ett sjukhus.

Patienten som var i ett kritiskt tillstånd kunde därmed inte få hjälp i tid.

Något liknande skulle också kunna ske i en finländsk kommun, även om det är svårt att avgöra hur stor risken för det här faktiskt är.

Staten har dessutom startat ett projekt i syfte att förbättra it-säkerheten i kommunerna och i den offentliga förvaltningen. Det kallas för Haukka och sträcker sig fram till år 2023.

Läs också