Hur viktig är informationssäkerheten för Sverige? Hur uppnår vi den och till vilket pris? Helgens attacker mot media är inte de första och inte de sista. Men de väcker återigen frågan om hur vi ska försvara oss mot hot i informationssamhället. För att få svar på dessa frågor behöver vi en IT-haverikommission som kan ge objektiva och sakliga beskrivningar av vad som hänt och hur vi undviker att det händer igen.
Helgens attacker mot media är inte de första och inte de sista.
Det sägs att det bästa sättet att lära sig hur man hanterar säkerhet och robusthet är att begå misstag. Man tar inte säkerhetskopior av sin information förrän efter att man en gång har förlorat den. Det är förmodligen ett bra och enkelt sätt att lära sig, men dyrt. Och särskilt komplicerat blir det om tredje part blir drabbad. IT-incidenter av varierande slag inträffar mest hela tiden. Vissa kan kanske ses som allvarliga ur samhällssynpunkt, men oavsett det är en sak säker. För den som är drabbad är incidenten alltid allvarligast.
Läs mer: Stor överbelastningsattack mot svenska sajter
Därför har lördagens överbelastningsattack också fått mycket uppmärksamhet. Kanske för mycket. Det är uppenbart att det smärtar när det är media själva som drabbas – det är också media som håller i megafonerna, vilket kanske är en del av förklaringen till den stora publicitet som en relativt ”normal” överbelastningsattack ändå fått.
Överbelastningsattacker är ett återkommande fenomen med olika typer av motiv, olika typer av måltavlor, olika typer av tillvägagångssätt och sannolikt olika typer av angripare. Ändå verkar vi inte lära oss tillräckligt mycket av våra misstag.
Överbelastningsattacker är ett återkommande fenomen. Ändå har vi inte lärt oss tillräckligt av våra misstag.
För att få bättre och faktabaserad kunskap om hur incidenter som drabbar kritiska funktioner, grupper av verksamheter eller stora delar av allmänheten ska kunna förhindras – eller åtminstone lindras - anser vi att en IT-haverikommission behöver inrättas. En sådan kommission bör ha till uppgift att analysera händelseförloppet vid en incident med vissa specificerade egenskaper och kunna lämna konkreta förslag till åtgärder med målet att minska risken för att samma incident upprepas i framtiden.
Vi kan inte fortsätta som vi gör. Speciellt som vi ser att även om individer lär sig av sina misstag verkar det uppenbarligen vara sämre ställt för organisationer, oavsett om vi pratar om banker, operatörer och nu senast i lördags media. Om det nu ens var media som har gjort fel.
Det största problemet är trots allt att vi inte tar reda på vad som hänt vid alla dessa incidenter, inte på riktigt. Vad gäller tåg, båt och flyg så undersöks det ganska ordentligt vad som hänt, och dessa rapporter publiceras. Vinsten är att alla kan lära sig av varandras misstag. Vissa misstag och fel ska enbart behöva uppstå en gång!
Läs mer: Kommentar: Attackerna borde bli en väckarklocka
Vad gäller it-incidenter har vi inte samma lyckliga situation. PTS har ansvar enligt lagen om elektronisk kommunikation att se till att de som faller under den lagen gör sitt jobb. Men det är tillsyn. Den leder till att vi får reda på om något fel begåtts enligt lagens mening. MSB har den roll som nog ligger närmast, men deras arbete bygger på att de ska bilda sig en korrekt lägesuppfattning. Vilket är bra även det, men inte heller det leder till att vi får reda på vad som hänt.
Det största problemet är att vi inte tar reda på vad som hänt vid alla dessa incidenter.
Därför har vi i ganska många år frågat efter en funktion som grundligt undersöker och går till botten med vad som hänt vid en it-incident. Vi har kallat det "IT-haverikommission". En haveriutredning bör omfatta alla ingående komponenter och aktörer kring en händelse och besvara tre grundfrågor:
Vad hände?
Varför hände det?
Hur undviker vi att det händer igen?
Vi pratar om en klassisk rotorsaksanalys. Kommissionen bör inte ha till uppgift att ta ställning i ansvars- eller skadeståndsfrågor. Arbetet ska helt enkelt gå ut på att långsiktigt förbättra säkerheten i våra informationssystem.
Det skulle vara ett komplement till de undersökningar som MSB och PTS (m.fl.) redan gör. Och om kvaliteten på de rapporter som skrivs är hög så tror vi dessutom det skulle finnas ett positivt incitament att delge information om incidenterna.
För naturligtvis ska inte kunder, leverantörer och andra som drabbats tvingas ge ifrån sig information som inte på ett tydligt sätt behövs för att räta ut frågetecken och få ett gott resultat från utredningen.
Målet är att få neutrala, objektiva och sakliga beskrivningar av vad som hänt och hur vi undviker att det händer igen. För det får vi inte idag.
Ge oss en IT-haverikommission, nu.
Anne-Marie Eklund Löwinder, informationssäkerhetschef, IIS
Patrik Fältström, head of research and development, Netnod
Robert Malmgren, it-säkerhetsexpert, Romab AB
Det här är en debattartikel. Vill du också skriva för Di Digital? Mejla oss!