Reportage

Staters angrepp drabbar civila

Det är dags att införa en digital Genèvekonvention.

– Det är inte okej att stater angriper varandras IT-infrastrukturer och IT-system som drabbar stora mängder civila i samhället, säger Anne-Marie Eklund Löwinder, säkerhetschef på Internetstiftelsen i Sverige.

Under det inledande panelsamtalet berättade Säpochefen Anders Thornberg att det största hotet mot Sverige kommer från Ryssland, Kina och Iran.

Men att bara skylla på de tre staterna är att göra det för enkelt för sig enligt Anne-Marie Eklund Löwinder.

– Det var inte de som hemlighöll Zero day-sårbarheter i programvara för att det kunde vara bra att ha om man ville angripa någon annan. De var heller inte de som lyckades läcka hela sin verktygslåda med skadlig kod. Det skulle kunna vara de – också – som försöker få in bakdörrar och skadlig kod i kommersiell programvara. Så är det.

Hon förfäras över att det idag är multinationella företag som Microsoft, Google och andra som står för försvaret av det civila samhället när det gäller informationssäkerhet och IT.

– Det är där säkerhetsarbetet händer. Det är de som får försöka försvara oss medborgare från andra staters attacker mot våra informationssystem. Där delar jag Microsofts uppfattning att det är dags för våra politiker på internationell nivå att prata om en digital Genèvekonvention.

De som outsourcar sin IT-verksamhet är överhuvudtaget ganska naiva. Man ska dra slutsatsen att leverantören som anlitas använder underleverantörer som i sin tur använder underleverantörer som i sin tur förmodligen hyr datahall och personal av någon. Det är en lång kedja som det kan vara svårt att få kontroll över.

– Om man flyttar sin verksamhet till molnet behöver man fatta beslut om några viktiga saker. Framför allt vad är det för information som berörs? Vad har vi för information i våra system? Har man inte koll på det måste man börja med att göra en inventering. Vad behöver skyddas? Vi måste analysera risken och förstå hotbilden. Och så måste vi kommunicera med vår leverantör så vi vet att de motsvarar våra krav. Ibland kanske vi kommer fram till att vissa saker inte kan outsourcas.

Man kan få två av tre.

– Du får så snabbt som möjligt, så billigt som möjligt eller så bra som möjligt. Välj två. Alla tre blir alldeles för dyrt och alldeles för komplext. Det kommer inte att hända.

För konfidentialitet är kryptering enda lösningen idag.

– Se för sjutton gubbar till att leverantören har koll på det senaste inom kryptering. Om du vill byta leverantör då måste ni se till att går att flytta data enkelt utan att det kostar skjortan, att ni får det i ett format som går att flytta. Och se till att leverantören raderar informationen från sina system – även säkerhetskopiorna.

Kan man lita på sin leverantör?

– Metadata, information om informationen som talar om hur man ska kunna tolka den så det inte bara är en sträng av ettor och nollor. En del leverantörer säger att den är vår, den får ni inte. Då kan man få det jobbigt.

Även om fallgroparna är många är molntjänster här för att stanna.

– Men man kanske inte ska börja med det som omfattas av Dataskyddsförordningen. Börja med det som är mindre känsligt, säger Anne-Marie Eklund Löwinder.