I början av april var Försvarets radioanstalt, FRA, med och avslöjade en omfattande internationell cyberattack, riktad mot företag som sköter IT-tjänster och deras kunder. Angreppet, kallat Cloud Hopper, ska ha pågått sedan 2016 men tros ha påbörjats redan 2014.
Flera svenska myndigheter och företag drabbades när deras IT-leverantör utsattes för attacken.
LÄS MER: Stor internationell cyberattack avslöjad – Sverige drabbat
Metoden gick ut på att komma åt företag och myndigheter via de nätverksuppkopplingar och behörigheter som tjänsteleverantören har för administrera kundernas nätverk.
Förslag på åtgärder
Efter angreppet lade FRA fram en rapport med förslag på en rad åtgärder som myndigheter kan vidta för att stärka skyddet vid outsourcing. Men FRA hade redan tidigare varnat för outsourcing av IT-tjänster, som man hävdar utgör en utmaning för myndigheter och ställer höga krav på beställarkompetens.
– Det är en risk som vi har uppmärksammat. Man ska inte vara kategorisk och säga att man aldrig ska outsourca, men om man ska göra det måste man tänka i flera steg. Det kanske går att få säkerhet, men det ställer högre krav på beställarkompetensen, säger Anni Bölenius, informationschef på Försvarets radioanstalt.
I rapporten trycker FRA bland annat på vikten av att behålla egen nyckelpersonal som IT-säkerhetsspecialister, för att ha tillräcklig kunskap att beställa rätt typ av säkerhet.
Hackar sig in
FRA genomför regelbundet säkerhetsgranskningar ute på 10–15 av de mest skyddsvärda myndigheterna. Det går ut på att FRA:s personal, med myndighetens godkännande, låtsas vara angripare och hackar sig in i IT-systemet.
”Hackarna” kommer alltid in, även om tiden kan variera allt ifrån en timme och uppåt.
– Det vi kommer åt kan även främmande makt komma åt. Tyvärr ser vi hos många myndigheter att man man inte uppfyller säkerheten och det finns också en hel del som behöver jobba mer. Samtidigt är det svårt att skydda sig, som angripare måste man bara hitta en sårbarhet medan myndigheten måste skydda sig mot allt.
LÄS MER: Så avslöjades cyberattacken i våras
Ett av de vanligaste problemen är att myndigheten inte fokuserar på att värna om sin mest skyddsvärda information. Det förekommer även allt för enkla lösenord och bristfällig hantering av USB-stickor så att man riskerar att få in virus i systemet.
Ibland händer det att myndigheten avbryter säkerhetsgranskningen för att det inte är meningsfullt att fortsätta innan de mest elementära säkerhetsbristerna är åtgärdade.
– Vi ser att hos de myndigheter vi kommer tillbaka till år efter år så blir säkerheten bättre. Medvetenheten blir större, samtidigt ökar hela tiden sårbarheten i och med den nya teknikutvecklingen. Det finns alltid ett glapp att jobba ikapp.
Men när delar av IT-driften är outsourcad riskerar det att försämra säkerhetsgranskningens kvalitet, eftersom man kanske inte kommer åt att granska vissa delar.
Ständiga angrepp
Attacken i våras var långt ifrån den enda som var riktad mot Sverige. Enligt FRA pågår det hela tiden angrepp, grovt räknat handlar det om tiotusentals aktiviteter varje månad. Det kan vara alltifrån kapade datorer, till skadlig kod som gör upprepade intrångsförsök och fullbordade angrepp.
– Vi har sett att det finns utländska stater som faktiskt plockar ut information, att de systematiskt kartlägger saker som har att göra med vår nationella säkerhet.
FRA vill dock inte uttala sig om säkerhetsbristerna inom Transportstyrelsen eller om man hjälpt myndigheten att vidta några åtgärder.