Foto: TT

MSB: Stora brister i myndigheternas it-skydd

Uppdaterad
Publicerad

Svenska myndigheter har stora it-säkerhetsbrister. Sedan i våras har 165 allvarliga incidenter rapporterats in till Myndigheten för samhällsskydd och beredskap – som i sin tur regelbundet larmar om läckta konton. ”Lösenordsdumpar är på drift varje vecka”, säger it-säkerhetsspecialisten Robert Jonsson.

I maj lade Riksrevisionen fram en rapport, där man hade granskat nio myndigheters arbete med it-säkerhet. Slutsatsen var att arbetet hade stora brister.

Riksrevisionen varnade för att det kunde få allvarliga konsekvenser – som spridning av integritetskänslig information – och menade att det skulle ta lång tid innan arbetet var uppe på en acceptabel nivå, rapporterade SR Ekot.

Obligatorisk rapportering

I april blev det obligatoriskt för alla myndigheter att rapportera samtliga incidenter som allvarligt kan störa verksamheten till Myndigheten för samhällsskydd och beredskap (MSB).

Fram till i början på november hade 165 it-incidenter rapporterats från 69 olika myndigheter. De flesta rörde driftsincidenter eller attacker i form av ransomware (utpressningsvirus), DDOS-attacker (överbelastningsattacker) och vd-bedrägerier (att bedragare utger sig för att vara vd för ett företag och skickar mejl till anställda och ber dem att göra utbetalningar).

Enligt Robert Jonsson, it-säkerhetsspecialist på MSB, har det inte hänt så mycket med myndigheternas säkerhetsarbete sedan Riksrevisionens rapport.

– Även om myndigheterna har påbörjat arbetet så är det en omfattande process. Det tar längre tid än så, säger han till SVT Nyheter.

Söker efter lösenordsdumpar

För att bistå myndigheterna söker MSB regelbundet efter så kallade lösenordsdumpar, med stora mängder läckta lösenord, på kända ställen på nätet. Dessutom har MSB ett nära samarbete med myndigheter i utlandet som tipsar om läckor.

När MSB hittar en lösenordsdump med läckt information från personer kopplade till svenska myndigheter, annan offentlig verksamhet eller samhällsviktiga organisationer som politiska partier, ser man till att larma de berörda.

Larmen duggar regelbundet.

– Lösenordsdumpar är på drift varje vecka, även om det är ovanligt med riktigt stora lösenordsdumpar. Alla innehåller heller inte svenska uppgifter. I genomsnitt larmar vi svenska myndigheter någon gång i månaden.

Inget känt svenskt fall

Det farliga med lösenord på vift är att känslig information riskerar att läcka från myndigheter. MSB känner emellertid inte till något svenskt fall där det har hänt.

– Men jag vet att det har förekommit i andra länder. Där har användarkonton utnyttjats för att skicka ut spam. Men det är bara ett exempel på vad som kan hända, det finns inga gränser på vad förövare kan åstadkomma.

Gamla läckor

I går avslöjade SVT Dold att cirka tio miljoner svenska konton med lösenord ligger ute på nätet – tillgängliga för alla att ladda ner. Bland användarna finns konton kopplade till personer på Försvarets radioanstalt (FRA) och Säpo.

Robert Jonsson bedömer att läckorna mestadels är gamla och redan har åtgärdats. Han vill inte spekulera i vad som kan hända om känslig information läcks från FRA och Säpo.

– Jag vet att de också har andra säkerhetsmekanismer att förlita sig på än bara lösenord.

Vilka myndigheter är särskilt sårbara för läckor i Sverige?

– Verksamheter där man inte har mekanismer som tvåfaktorsautenticering. Det innebär att du har ett lösenord i två delar, att en del till exempel skickas via sms eller att man använder ett tjänstekort vid inloggning.

Vilka myndigheter har särskilt känslig information som absolut inte bör komma på avvägar?

– Alla säkerhetsmyndigheter, till exempel Transportstyrelsen, Socialstyrelsen, Strålsäkerhetsmyndigheten och Polismyndigheten. De anses på ett eller annat sätt vara särskilt viktiga om en kris skulle inträffa, de är myndigheter som också bör ha särskilt skydd.

Fakta

Så arbetar vi

SVT:s nyheter ska stå för saklighet och opartiskhet. Det vi publicerar ska vara sant och relevant. Vid akuta nyhetslägen kan det vara svårt att få alla fakta bekräftade, då ska vi berätta vad vi vet – och inte vet. Läs mer om hur vi arbetar.