Säkerheten måste med från början
Informationssäkerhet är inget som går att bygga på i efterhand, det måste vara med från början, en IT-arkitektur behöver också kompletteras med en säkerhetsarkitektur. Det framhåller Internetstiftelsens säkerhetschef Anne-Marie Eklund Löwinder.
OFFENTLIGA AFFÄRER har intervjuat henne och hon har medverkat på flera av OFFENTLIGA AFFÄRERS konferenser och finns med på talarlistan på e-Förvaltningsdagarna 9-10 oktober 2019. Hon skulle även ha medverkat dag ett på Trygg & Säker men satt i likhet med OA:s redaktör fast på ett tåg på grund av ett signalfel vid Älmhult.
Nyligen framträdde hon i en debattartikel med anledning av de avslöjade bristerna i apropå rapporteringen om nya säkerhetsbrister i Skolplattformen i Stockholms stad. Denna gång handlade det om en påstådd sårbarhet som i grund och botten går att härleda till ett designfel, menar säkerhetschefen.
Anrop kunde ändras
”Felet gjorde det möjligt för en inloggad användare att ändra på anropen till systemet och ställa frågor till systemets databas där personuppgifter lagras om elever och lärare, som personnummer och omdömen, och få svar man inte borde fått. Det felet är av sådan karaktär att det är lätt att föreställa sig att det finns andra, potentiellt allvarligare, problem som inte har upptäckts – än”, skrev Anne-Marie Eklund Löwinder i Dagens Samhälle.
Med anledning av detta har OFFENTLIGA AFFÄRER intervjuat säkerhetschefen på Internetstiftelsen. Detta är ett utdrag ur intervjun som i sin helhet publiceras i nr 3 / 2019 med utgivning i början av oktober.
Du påpekar att vi ända sedan 1980-talet pratat om att säkerhet måste vara med från början, redan i krav- och utvecklingsprocesserna. Ändå är säkerhet oftast inte något naturligt och prioriterat inslag på vägen från beställning till leverans. Vad beror det på?
– Svårt att peka ut någon specifik orsak, det är många gånger brist på tid, brist på kompetens och brist på resurser. Informationssäkerhet är inget som går att bygga på i efterhand, det måste vara med från början, en IT-arkitektur behöver också kompletteras med en säkerhetsarkitektur. Dessutom måste säkerheten fortsätta att utvecklas i takt med att hotbilden förändras. Därför krävs också systematiskt säkerhetsarbete och regelbundna riskanalyser för att hålla sig uppdaterad om vad som händer.
Inte om utan när
– Oavsett hur väl man skyddat sig så är frågan inte om, utan när man råkar ut för ett intrång, det är också sannolikt att information kommer att läcka någon gång. Den 100-procentiga säkerheten finns inte, men om man med åtgärder minimerar konsekvenserna av en allvarlig händelse och tiden som det tar att komma tillbaka till ett normalläge. Då har man gjort sitt bästa.
– Ett system med god säkerhet är ett system som är välskött, och där säkerhetstänkandet finns med från början, baserad på medvetandet att hoten är många och föränderliga.
Inte råd med fler skandaler
Rubriken i debattartikeln var ”Vi har inte råd med fler IT-skandaler”. I artikeln framhöll Anne-Marie Eklund Löwinder att digitaliseringen har gjort att mycket i samhället fungerar smidigare än förut. Nackdelen är den ökade sårbarheten.
– Om förtroendet för kommuners och myndigheters sätt att hantera våra uppgifter minskar kan det leda till att utvecklingen av digitala tjänster bromsas. Det vore mycket olyckligt för Sverige. Vi har inte råd med fler skandaler. Vare sig ekonomiskt eller förtroendemässigt, avslutar Anne-Marie Eklund Löwinder.