Kvalitet & Förnyelse

19
sep

Svag IT-säkerhet blottar hemliga personuppgifter

Medvetenheten om säkerhet måste öka hos inköparna av offentliga IT-system, anser säkerhetsexperten Martin Jartelius:
– Man sparar mer pengar på att köpa rätt än på att köpa billigt.

När Martin Jartelius, som har en bakgrund som penetrationstestare och IT-forensiker, skulle ställa sin dotter i förskolekö gjorde han en upptäckt: han hade utan större problem kunnat ta sig in systemet för att ändra sin kötid, så att dottern hade kommit in direkt. När han forskade vidare insåg han att han kunde göra samma sak i en kommunal bostadskö, han skulle till och med kunna ändra beloppet på den hyra han skulle debiteras.

– Jag vill inte säga att det är enkelt, men det krävs inga unika kunskaper för att fuska sig förbi köerna till en attraktiv lägenhet eller skola. Jag hade alltså till och med kunna sänka min egen hyra, säger Jartelius, som i dag är CSO på företaget Outpost24.

Svenska myndigheter har kommit långt med digitalisering och digitala tjänster till medborgarna. I många europeiska länder krävs blanketter, stämplar och intyg för saker som vi i Sverige kan godkänna med ett knapptryck. Men den snabba digitaliseringen har ett pris, om den inte sköts rätt. Ett problem är att när kraven på digitala tjänster ökar, byggs system av delar som inte är skapade för att fungera tillsammans. Inte sällan rör det sig om interna system som byggs ut för att nå externa användare. Skoldatasystemet i Stockholm är ett exempel, säger Martin Jartelius.

– Det systemet läckte information om elever, en förälder kunde till exempel gå in och läsa om andra elevers betyg, frånvaro och annat.

Ett skäl till att säkerheten kan vara låg i offentlig sektor är att man enligt Martin Jartelius inte riskerar några större ekonomiska förluster.

– Om ett företags IT-system låses och en fabrik står stilla, kanske företaget inte finns veckan därpå. Men om en digital dagiskö lägger ner är skadeverkan närmast noll. Antagligen skulle några missnöjda föräldrar höra av sig, men det skulle inte ha någon inverkan på kärnverksamheten.

Däremot kan det uppstå andra skadeverkningar i ett dåligt skyddat offentligt IT-system.

– En av mina hackare har exempelvis kontaktats av en pappa som är desperat eftersom mamman tagit med sig deras barn utomlands. Han ville få hjälp att bryta sig in i hennes personliga konton för att hitta henne. Hackaren gjorde det förstås inte. Men så skulle man kunna göra även mot den som ska skyddas i Sverige – en förälder som saknar vårdnad skulle kunna utnyttja svenska system för att hitta barn eller föräldrar.

Hur ska svenska kommuner och myndigheter bli bättre?
– De ska upphandla på rätt sätt, det finns bra riktlinjer hos exempelvis MSB. De ska också prioritera standardlösningar som bevisligen fungerar och lära genom att titta på vad som fungerar hos andra. Dagisköer och skoldatasystem är inga unika IT-system.

Riskerar man inte högre kostnader?
– Inte i längden. Ges uppdrag till små leverantörer som väljer att bygga egna anpassade system för att spara pengar, då kommer riskerna. Jag förstår att det är svårt att prioritera ett standardiserat system, som bara gör samma sak men är dyrare. På lång sikt finns dock stora fördelar. Om ett standardiserat system har 50 eller 100 användare och en brist upptäcks hos en användare – då kan problemet rättas till hos alla.

– Samma typ av problem finns när man bygger riktigt stora system, där man vill att de ska passa perfekt, till exempel Försäkringskassans eller Försvarsmaktens. Där börjar man med att bygga på en jätteplattform, men så saknar en handläggare någon funktion och man börjar bygga till, vilket leder till förseningar och stora kostnader. Det kan jämföras med att sätta in ett standardiserat Ikea-kök och acceptera en passbit i ena hörnet, istället för bygga ett platsbyggt kök som är perfekt men kräver stora insatser av hantverkare.

Martin Jartelius ser dock en ljusning.

– Myndigheternas mognad i upphandling har ökat, de sparar i större utsträckning pengar på att köpa rätt istället för billigt. Och Kvalitetsmässan är en del av lösningen, att folk kommer för att lyssna och lära.

Text: Marit Larsdotter

0