IT-säkerheten som vi inte vill ha

Jörgen Städje
4 år sedan

IT-skandalerna duggar tätt runt omkring oss. Myndigheter, sjukhus, och samhällsviktiga företag störtar för att deras redundans inte fungerar, kablar grävs av eller servrar överbelastas. Företagsledningarna har inte förstått att all säkerhet på arbetsplatsen är deras ansvar, även IT-säkerheten. Dessutom är det dyrt att göra rätt. Utbilda personal tär på kostnaderna.

Cyberskurkar, troll och bitcoinbedragare är elaka. Det finns miljoner av dem.
Svenska folkets, politikernas och medias uppgift tycks vara att se sig om yrvaket och säga: ”Hur kunde det bli så?”

Bilderna i den här artikeln är egentligen Powerpoint-bilder avsedda för en föreläsning om IT-säkerhet och vad vi kan göra åt den, som var tänkt att hållas på nätverksföretaget Netnods vårmöte i Stockholm i mars 2020. Tyvärr kom coronaviruset emellan och mötet ställdes in. Hellre än att bilderna skulle bli liggande, fick de hamna i Teknikaliteter. Texterna är på engelska eftersom Netnods möten är internationella, med många utländska gäster och sponsorer.

Tycker du att det är drastiskt att påstå att det finns atombomber i datorer, servrar och massmedia? Tyvärr så gör det det. Det hörs inget och det kommer ingen rök, men det pågår ett krig i din internetsladd. Du ska få se hur.

Det största problemet är att väldigt många känner till att kriget pågår, men att ingen, iallafall inte så det syns, väljer att kämpa emot. Vi har myndigheter som ska försvara Sverige i kriser, men de gör inget märkbart åt situationen. Om de hade gjort det, hade vi märkt det.

Jag har skrivit fler än 1000 trevliga teknikartiklar om allt från gruvdrift till rymdskepp, men på senare tid har mitt intresse börjat glida över till det otrevliga, ointresset, brotten och maktlösheten.

Föredraget beskriver artikeln IT-skandalerna sm ingen bryr sig om. Den hålls ständigt uppdaterad med IT-skandaler från Sverige och hela världen och en ny skandal som inkräktar på den vanliga människans rätt eller säkerhet, hotar sjukvård och myndigheter, eller orsakar sammanbrott hos någon samhällsviktig organisation, inträffar ungefär en gång i veckan: https://www.teknikaliteter.se/2020/03/09/it-skandaler-som-ingen-bryr-sig-om/

Var kommer all information ifrån? Sanningen är att media och internet är fulla av rapporter. Säkerhetsföretag rapporterar, bloggare bloggar, radion rapporterar i nödfall när någon samhällsviktig funktion (banker, Swish, BankID) störtar och olika webbplatser som registrerar stillestånd visar upp det. Att hitta skandaler är inga problem.

Artikeln det handlar om, har ett antal signal-ikoner i texten, som anger vad just den skandalen handlar om, allt från maktövertagande, till stöld och läckage av information och utpressning.

Gör man en sammanställning av all information i artikeln visar det sig att en stor del av brotten kan begås utan några särskilda risker, eftersom de som attackeras är helt omedvetna om faran. De tror utan vidare att de ska få miljoner. Den andra risken är att de sociala medierna skvallrar om allt, som de inte borde skvallra om. Och vi bara fyller på med mera komprometterande bilder av våra underdelar och pladdrar om allt som inte borde hamna på Internet. I varje fall blir det till bra inkomster för de som handlar med personlig information.

Sorterar man om sektorerna till typer av attacker, visar det sig att en mycket stor del kan kan hänföras till människor som inte förstått situationen. De går på alla löften i phishingbrev, använder sig av falska webbplatser och fyller i personlig information i allsköns blanketter och webbsidor utan att fundera. Kunde man eliminera den halvan, helt enkelt genom utbildning, blev en mycket stor del av cyberbrotten omöjliga.

Kunde man dessutom eliminera den andra halvan, de rent tekniska misstagen skulle det inte bli mycket kvar. All teknik går att fixa. Redundant utrustning måste vara redundant. Självklart, kanske? Inte? Programuppdateringar måste provas på ett ofarligt sätt innan de tas i drift. Brandväggar och andra skydd måste fungera. Word-makron är fortfarande en stor smittkälla. Blockera dem.

Cyberbrotten har två huvudsakliga mål: att sno dig på dina eller företagets pengar, eller att göra dig så orolig att du inte längre tror på någon, som myndigheter, media och försvar och blir ett lätt byte för tredje makt.

Det finns bra sätt att mota de ekonomiska brotten på ett företag. Alla måste informeras om sina skyldigheter och de som inte kan hantera det måste fråntas sina rättigheter. Det är inte bra för säkerheten att de anställda får använda sina egna mobila enheter på företagets interna nätverk, för det är mycket svårt att styra. Det är lika illa när företagsinterna enheter tas ut på stan, tappas bort och blir stulna och informationen sprids vind för våg. Den händer i tusental varje år. Tiotusentals gånger per år i London.

Ingen tycker om att höra detta.

Man måste också ha klart för sig att det är arbetsledningen som har det grundläggande ansvaret för säkerheten på arbetsplatsen. Alla typer av säkerhet.

Fakta visar att det kan bli mycket dyrt att ignorera IT-säkerheten och slarva. Världsomspännande datornät faller ihop och databaser med miljoner kunders personuppgifter flyter runt på Internet. SCADA-system infekteras och företag står på nosen, elabonnenter blir utan ström osv. Böterna kommer efteråt som ett brev på posten.

Man kan ju försöka dölja fakta eftersom ett avslöjande brukar ge väldigt dålig reklam och kan få en del kunder att välja andra leverantörer. Tyvärr brukar det slinka ut ändå.

Tyvärr kommer svenskarna inte att tycka om att bli befriade från trollandet. Genast vaknar en ny kader troll och börjar sprida ilskna kommentarer om yttrandefriheten.

Sen kommer homeopaterna och vaccinationsvägrarna och sprider sina sopor om kolloidalt silver, slagrutor, magnetmadrasser och astrologi. Den fantastiska ”kunskapskällan” Youtube är full av “kunskap” om plattjordare och strålrädda elallergiker.

Läser man sociala media, där de allra flesta svenskar numera får sina “nyheter” kan det verka som att Sverige håller på att falla samman, invaderas eller att inbördeskriget står för dörren. Men så är det inte. Det kommer falska nyheter om i stort sett allt som händer i världen och de som inte vill, kan, orkar eller förstår att kontrollera fakta, blir vilseledda. Att jobba som internettroll är ett nytt, lukrativt yrke.

Mer om alverna, nedan.

Här är spridningsmekanismen. Trollstrålning kan liknas vid radioaktivitet. Bestrålar man ett ämne med högenergetisk troll-strålning, kommer det att falla sönder och bli till sekundärprodukter. De sprider sig vidare i befolkningen och orsakar strålskador. Naturligtvis ska man försöka skärma av strålningen vid källan och inte försöka eliminera det trollaktiva utfallet.

I Östeuropa brukar man allmänt kalla Ryssland för Mordor. Man menar att det finns både troll och orcher där och att trollen måste bekämpas av alver. De litauiska alverna startades precis efter att Ryssland ockuperat Krim. Man fruktade att Litauen skulle vara näst på tur och det var också vad den ryska trollpropagandan påstod.

Men det finns de som kan

Det finns färdiga, utarbetade effektiva botemedel som bara ligger där och väntar på att utnyttjas. De är gratis och fria för alla att utnyttja.

The Book of Armaments finns faktiskt. Det är Sunets Handbok i IT-säkerhet och den är inte nådig. Den är öppen för alla att läsa, kopiera och använda sig av. Det går utmärkt för en icke-myndighetspublik att bara byta ut orden ”lärosäte” eller ”myndighet” mot ”företag” och ”rektor” mot ”företagsledning” så fungerar denna handbok för hela det svenska näringslivet. Om nu bara någon vore intresserad. Du hittar den på https://itsakhandbok.irt.kth.se/

Harry Potter ropar i desperation. Du kan läsa och förstå texten och det kan jag också, men professor Dumbledore ville inte förstå.

Det är inte nödvändigt att du doppar datorn i handsprit för att sanera den. Det räcker med att du doppar hjärnan i saneringsvätska. En vanlig internetansluten dator nås av 40-50 skräpmail varje dag. Men ingen vill egentligen ge dig miljoner. Din ansökan, som du inte ansökt om, har inte alls godkänts. Sudda-sudda-sudda.

Efter bitcoinskandalen, som brast i mars 2020 ville digitaliseringsminister Anders Ygeman kunna stämma Facebook för falsk annonsering. Men han har inte så mycket att ska ha sagt. 2015 tog IBM över driften av Transportstyrelsens datorsystem, vari det bland annat finns topphemlig information om exempelvis försvarets hemliga agenter. Övertagandet gick för långsamt. I maj 2015 bestämde Transportstyrelsens dåvarande chef att strunta i lagens krav på säkerhetskontroll av den utländska personalen, för att snabba på jobbet. Statsminister Stefan Löfven samt ex-ministrarna Anders Ygeman och Anna Johansson prickas av KU för Transportstyrelse-skandalen. Ygeman undanhöll information om regelbrotten i flera månader.

Några som ständigt lyckas

Netnods säkerhetsskyddschef Patrik Fältström framhåller att det handlar om att företagsledningen ska förstå det där med IT och teknik. Diversitet (redundans) ska fungera. Och så ser han jättetuff ut.

Leif Johansson, teknikchef på Sunet menar att det handlar om att skaffa kompetent folk och att ta hand om dem så de känner sig uppskattade. Det låter ju enkelt, men… Sunet har gjort det och lyckats.

Kanske de [som var avsedda att] delta vid Netnods vårmöte inte är de värsta syndarna. Istället valde de att komma för att de är intresserade av IT-säkerhet och nätverksteknik i allmänhet. I vilket fall som helst var min förhoppning att de skulle ta med sig föreläsningen hem till sin organisation och försöka påverka chefer och ansvariga och berätta för dem vad säkerhet på arbetsplatsen faktiskt handlar om.

Hör av dig om du planerar att hålla en sammankomst där detta föredrag passar in, kryddat med lite mera aktuella fakta.

Om Netnods Höstmöte blir av kanske jag håller det här föredraget ändå. Vem vet?