"Ställ krav på förbättringar efter it-haverier"

Cybersäkerhet, varför då? It-haverier har alltid skett. Däremot har de inte påverkat samhället så mycket, och därför har gemene man inte märkt av dem. Det krävs idag inrapportering av svagheter, incidenter och haverier, men jag ser inte det lett till ökat samarbete eller ökad förmåga att hantera händelser. Det är hög tid att regeringen ställer krav på myndigheter som får incidentrapporter. Myndigheterna måste hjälpa samhället på ett konkret sätt, samtidigt som regeringen själv måste samordna sig bättre. Detta med start ända uppe i toppen, genom att statsministern visar ett tydligt ledarskap för it i Sverige.

Genom digitaliseringen förändras samhället. Allt fler funktioner i samhället är beroende av it. Det märktes inte minst efter att Coop tvingats hålla butiker stängda och därmed många upptäckte hur en attack mot it-system kan påverka samhället. Även om Coop hanterade haveriet på ett bra sätt och oavsett om man kan fråga sig om problem för en av alla butikskedjor i Sverige i några dagar kan kallas ett samhällsproblem.

Felaktig kommandorörelse av misstag

Ett it-haveri börjar med att det sker en händelse. Det kan vara en naturkatastrof, problem med något annat system som behövs (som elektricitet), någon operatör som av misstag gör en felaktig kommandorörelse, eller en ond person som medvetet försöker påverka systemet, en så kallad antagonist. Denna typ av saker sker hela tiden. Precis som en bil råkar ut för regn, gropar i vägen och att man vid en parkering stöter emot något med kofångaren.

Men precis som en bil inte går sönder när det regnar eller vid varje litet gupp, havererar inte ett it-system vid minsta lilla påverkan. Detta för att förmågan att hantera en händelse är tillräcklig. Systemet är tillräckligt stabilt och robust. Händelserna inträffar fortfarande men de leder inte till ett haveri.

Ett it-haveri inträffar bara om saker går sönder, om en tjänst inte är tillgänglig, om det inte går att utföra det som ska kunna gå att göra. Det är tre olika typer av funktioner som man pratar om som kan gå sönder: tillgänglighet, korrekthet och konfidentialitet. Att vid en händelse ett system inte längre är tillgängligt, att information har modifierats på ett felaktigt sätt eller att fel person kommit åt information. Ett robust system har inget av dessa problem.

Systemen har inte förmåga att stå emot

Det vi ser vid alla dessa haverier som det skrivs om i pressen är alltså inte att händelserna inträffar (naturkatastrofen eller att en ond person försöker ta sig in i systemet), utan att system inte har förmåga att stå emot den påverkan som händelserna skapar. Om förmågan finns, då blir det inget it-haveri.

Naturligtvis måste vi också agera när det blir ett haveri. Funktion ska återställas, incidenten ska utvärderas, och åtgärder för fullständig återställning ska implementeras. Har man planerat korrekt, vilket man ska göra, så hanteras incidenten som ett välsmort maskineri. Dessutom kan man vid utvärdering av vad som hänt komma fram till förslag på åtgärder som höjer förmågan så att nästa gång systemet blir påverkat på motsvarande sätt blir det ingen incident alls.

De senaste veckornas skriverier har handlat om hjälp när det väl blivit ett haveri. Jag håller med om att den hjälp som kan ges under en incident, av andra i branschen och av myndigheter, kan förbättras. Men det som alltför ofta glöms bort är allt det förberedande arbetet med att bygga robusta system. System som kan fortsätta fungera trots påverkan.

Inte bra på att sprida åtgärder

Inom flygsektorn är de bra på detta. Varje typ av fel ska bara träffa sektorn en gång, men vi inom it är inte alls lika bra på det. Uppenbarligen ska alla som jobbar med it drabbas av alla typer av fel. Vi frågar efter, och får bara veta, vad som hänt men inte vilka åtgärder man kommit fram till som skyddar mot samma eller liknande händelser. Vi är inte bra på att sprida vilka åtgärder vi implementerar. Vi tvingas genom lagstiftning till inrapportering av incidenter men de som tar emot incidentrapporter är inte heller de bra på att hjälpa till med att föreslå förmågehöjande åtgärder. Vid skapande av det nya Cybersäkerhetscentret pratas det om vad inblandade myndigheter kan göra vid en incident, men inte om vad de kan göra för att inte samma händelse ska leda till en incident nästa gång den inträffar.

Vi har helt enkelt alldeles för dålig kvalitet på våra it-system. Händelser som leder till haverier ska inte göra det. Att en händelse som drabbat en organisation senare även påverkar en annan måste undvikas. Förmåga att stå emot påverkan måste höjas drastiskt.

Bara en fråga om att göra saker

Förändringar som behövs finns dessutom redan som förslag i olika utredningar och rapporter, och därför är det bara en fråga om att göra saker, även om naturligtvis en del av dem kräver ändringar i uppdrag till myndigheter. Flera av dessa ändringar iär nte heller budgetpåverkande. Dessutom kan organisationer redan idag kan göra mycket på egen hand. Man är inte förhindrad att göra dem, men de görs ändå inte.

Ett exempel på behov av förändring är den som Post- och telestyrelsen påpekade till regeringen i januari 2021. Att de är förhindrade på grund av regler relaterat till statsstöd att hjälpa hela samhället. I detta fallet alla som har behov av säker och stabil tid och frekvens, och inte bara området elektronisk kommunikation. Den förändringen bara måste ske.

Men det beslutet av regeringen kommer kanske inte tas förrän den viktigaste förändringen vi behöver sker, att statsministern visar sitt ledarskap och kräver samordning inom regeringskansliet. Att en samordnande roll skapas som kan se till det inom regeringen finns en samsyn gällande åtgärder, hot och riskbenägenhet.

Bättre inrapportering ger bättre rekommendationer

Regeringen bör också se till att de myndigheter som redan idag tar emot incidentrapporter (MSB/CERT-SE, IMY och andra) skapar förslag på konkreta förmågehöjande åtgärder. Ibland sker det, men ibland inte. Detta borde myndigheterna kunna göra på egen hand, men varför sker det inte? Jag påstår att rapportering av svagheter skulle öka om detta skedde. Bättre inrapportering ger bättre råd och rekommendationer.

Det måste också vara enklare att rapportera saker. Det är komplicerat att även som insatt veta när och hur och vart man ska rapportera saker. Det måste vara enklare, men förhoppningsvis kommer nya Cybersäkerhetscentret göra det lättare, bara de ser det som en av sina huvuduppgifter.

Vad gäller förbättringar av system så vi inte får haverier kan det inte vara Cybersäkerhetscentret ansvar. Dessa förbättringar måste alla göra. På ett koordinerat sätt. Därför måste det utpekas ett tydligt ansvar för ökning av förmåga. Till exempel genom införande av de beredskapssektorer som föreslagits i Struktur för ökad motståndskraft (SOU 2021:25).

Mindre snack och mer verkstad

Det är viktigt att speciellt Post- och telestyrelsen, som ansvarig för beredskapssektorn elektronisk kommunikation och post, får ansvar för att skapa en robust kommunikationsarkitektur för Sverige - med god förmåga att stå emot olika händelser. En arkitektur som bör användas av alla. Samtidigt borde motsvarande göras med ett antal andra nyckelfunktioner som Energimyndigheten, IMY och DIGG har ansvar för. Här måste alltså regeringen agera. Vi behöver inte utreda mer. Det är viktigare att göra något.

Men viktigast, att det inte bara diskuteras vad som ska göras vid ett it-haveri utan att det tas fram även vilka förmågehöjande åtgärder som kan förhindra framtida haverier. Samt naturligtvis att dessa åtgärder implementeras. Åtgärder som inte bryr sig om om händelsen är en naturkatastrof, felaktig kommandorörelse av en anställd, eller medveten attack från en person eller till och med statsaktör.

Patrik Fältström, Teknik- och säkerhetsskyddschef på Netnod