Hoppa till innehållet

OMXSPI+1,52%

S&P 500+1,28%

FTSE 100+0,26%

DAX+1,55%

NIKKEI+0,30%

"Sverige behöver en it-haverikommission"

Helgens attacker mot media är inte de första och inte de sista. Trots det lär vi oss inte av misstagen. Det behövs en IT-haverikommission för att följa upp, analysera och föreslå åtgärder så att katastrofen inte upprepar sig. Det skriver tre av Sveriges främsta it-säkerhetsexperter på Di Digital. 

Di Digital

Text

Robert Malmgren, Anne-Marie Eklund Löwinder, Patrik Fältström
Robert Malmgren, Anne-Marie Eklund Löwinder, Patrik FältströmFoto: Patrik Fältström av Lars Mårelius

Hur viktig är informationssäkerheten för Sverige? Hur uppnår vi den och till vilket pris? Helgens attacker mot media är inte de första och inte de sista. Men de väcker återigen frågan om hur vi ska försvara oss mot hot i informationssamhället. För att få svar på dessa frågor behöver vi en IT-haverikommission som kan ge objektiva och sakliga beskrivningar av vad som hänt och hur vi undviker att det händer igen.

Helgens attacker mot media är inte de första och inte de sista. 

Det sägs att det bästa sättet att lära sig hur man hanterar säkerhet och robusthet är att begå misstag. Man tar inte säkerhetskopior av sin information förrän efter att man en gång har förlorat den. Det är förmodligen ett bra och enkelt sätt att lära sig, men dyrt. Och särskilt komplicerat blir det om tredje part blir drabbad. IT-incidenter av varierande slag inträffar mest hela tiden. Vissa kan kanske ses som allvarliga ur samhällssynpunkt, men oavsett det är en sak säker. För den som är drabbad är incidenten alltid allvarligast. 

Läs mer: Stor överbelastningsattack mot svenska sajter

Därför har lördagens överbelastningsattack också fått mycket uppmärksamhet. Kanske för mycket. Det är uppenbart att det smärtar när det är media själva som drabbas – det är också media som håller i megafonerna, vilket kanske är en del av förklaringen till den stora publicitet som en relativt ”normal” överbelastningsattack ändå fått.

Överbelastningsattacker är ett återkommande fenomen med olika typer av motiv, olika typer av måltavlor, olika typer av tillvägagångssätt och sannolikt olika typer av angripare. Ändå verkar vi inte lära oss tillräckligt mycket av våra misstag. 

Överbelastningsattacker är ett återkommande fenomen. Ändå har vi inte lärt oss tillräckligt av våra misstag.

För att få bättre och faktabaserad kunskap om hur incidenter som drabbar kritiska funktioner, grupper av verksamheter eller stora delar av allmänheten ska kunna förhindras – eller åtminstone lindras - anser vi att en IT-haverikommission behöver inrättas. En sådan kommission bör ha till uppgift att analysera händelseförloppet vid en incident med vissa specificerade egenskaper och kunna lämna konkreta förslag till åtgärder med målet att minska risken för att samma incident upprepas i framtiden.

Vi kan inte fortsätta som vi gör. Speciellt som vi ser att även om individer lär sig av sina misstag verkar det uppenbarligen vara sämre ställt för organisationer, oavsett om vi pratar om banker, operatörer och nu senast i lördags media. Om det nu ens var media som har gjort fel.

Det största problemet är trots allt att vi inte tar reda på vad som hänt vid alla dessa incidenter, inte på riktigt. Vad gäller tåg, båt och flyg så undersöks det ganska ordentligt vad som hänt, och dessa rapporter publiceras. Vinsten är att alla kan lära sig av varandras misstag. Vissa misstag och fel ska enbart behöva uppstå en gång!

Läs mer: Kommentar: Attackerna borde bli en väckarklocka

Vad gäller it-incidenter har vi inte samma lyckliga situation. PTS har ansvar enligt lagen om elektronisk kommunikation att se till att de som faller under den lagen gör sitt jobb. Men det är tillsyn. Den leder till att vi får reda på om något fel begåtts enligt lagens mening. MSB har den roll som nog ligger närmast, men deras arbete bygger på att de ska bilda sig en korrekt lägesuppfattning. Vilket är bra även det, men inte heller det leder till att vi får reda på vad som hänt.

Det största problemet är att vi inte tar reda på vad som hänt vid alla dessa incidenter.

Därför har vi i ganska många år frågat efter en funktion som grundligt undersöker och går till botten med vad som hänt vid en it-incident. Vi har kallat det "IT-haverikommission". En haveriutredning bör omfatta alla ingående komponenter och aktörer kring en händelse och besvara tre grundfrågor:

Vad hände?

Varför hände det?

Hur undviker vi att det händer igen?

Vi pratar om en klassisk rotorsaksanalys. Kommissionen bör inte ha till uppgift att ta ställning i ansvars- eller skadeståndsfrågor. Arbetet ska helt enkelt gå ut på att långsiktigt förbättra säkerheten i våra informationssystem.

Det skulle vara ett komplement till de undersökningar som MSB och PTS (m.fl.) redan gör. Och om kvaliteten på de rapporter som skrivs är hög så tror vi dessutom det skulle finnas ett positivt incitament att delge information om incidenterna.

För naturligtvis ska inte kunder, leverantörer och andra som drabbats tvingas ge ifrån sig information som inte på ett tydligt sätt behövs för att räta ut frågetecken och få ett gott resultat från utredningen.

Målet är att få neutrala, objektiva och sakliga beskrivningar av vad som hänt och hur vi undviker att det händer igen. För det får vi inte idag.

Ge oss en IT-haverikommission, nu.

Anne-Marie Eklund Löwinder, informationssäkerhetschef, IIS

Patrik Fältström, head of research and development, Netnod

Robert Malmgren, it-säkerhetsexpert, Romab AB

Det här är en debattartikel. Vill du också skriva för Di Digital? Mejla oss!

Innehåll från ToborrowAnnons

Så mycket bidrar EU med i stöd till svenska företag

Magnus Ersson, Kreditchef på Toborrow.
Magnus Ersson, Kreditchef på Toborrow.

EIF-lån erbjuder företag möjlighet att få tillgång till finansiering med förmånliga villkor och minskad risk, och Magnus Ersson, Kreditchef på Toborrow, delar med sig av sin expertis för att hjälpa dig att förstå och dra nytta av dessa möjligheter.

Läs mer och ansök om EIF-lån på toborrow.com.  

EIF-lån tillhandahålls av europeiska investeringsfonden, en del av europeiska investeringsbanken, med syfte att stödja tillväxt, innovation och sysselsättning för små och medelstora företag inom EU.

– Med en EIF-garanti slipper du riskera att själv bli betalningsansvarig för hela lånebeloppet om ditt företag inte skulle kunna betala tillbaka lånet. Du själv behöver bara agera borgensman för 20 procent av lånesumman, då EIF garanterar resterande 80 procent, förklarar Magnus.

Han betonar också vikten av att förbereda sig för den kreditprövning som görs i samband med att man ansöker om ett lån.

– Det är bra om företaget kan visa upp en stabil ekonomisk historik och en tydlig affärsplan för att öka sina chanser att bli godkända för finansiering.

EIF-lån spelar en avgörande roll för att främja tillväxt och utveckling för små och medelstora företag i EU. På Toborrow kan företag enkelt ansöka om EIF-lån och få hjälp att navigera genom processen med hjälp av kreditspecialister som Magnus Ersson. Med minskad personlig risk och förmånliga räntevillkor är EIF-lån ett attraktivt alternativ för företag som strävar efter tillväxt och framgång.

Under 2023 anslog europeiska investeringsfonden 445,6 miljoner euro i kapitalinvesteringar, garantier och inkluderande finansiering i den svenska ekonomin.

Vill du veta mer eller ansöka om EIF-lån? Läs mer här.  

Räntan på ditt företagslån fastställs individuellt och baseras på flera faktorer, såsom din kreditvärdighet, ekonomiska situation och lånebelopp. Eftersom räntan avgörs av banken eller långivaren är det svårt att förutse vilken ränta ditt företag kommer att få. Kom ihåg att aldrig låna mer än vad som är nödvändigt och att ta ansvar för ditt företags ekonomi.

 

Artikeln är producerad av Brand Studio i samarbete med Toborrow och ej en artikel av Dagens industri

Mer från Dagens industri

Det verkar som att du använder en annonsblockerare

Om du är prenumerant behöver du logga in för att fortsätta. Vill du bli prenumerant kan du läsa Di Digitalt för 197 kr inkl. moms de första 3 månaderna.

spara
1180kr
Prenumerera