IT-haverikommission

Netnods säkerhetsschef Patrik Fältström kallar återigen på inrättandet av en IT-haverikommission, i ett inlägg i Facehbook den 2/8 2017. Behovet kan tyckas uppenbart efter den oändliga rad av IT-haverier, så väl statliga som privata som förekommit på det senaste, samt den våg av cyberbrott som sköljt över världen de senaste åren, och inte verkar vilja avta. Problemet är att en sådan haverikommission kommer att bli verkningslös om inte ytterligare och betydligt otrevligare krav uppfylls.

Behovet förstärktes ytterligare av den enorma outsourcing-skandalen hos Transportstyrelsen som började redan 2015 men förtegs av alla inblandade tills bomben briserade 2017.

Fältström har givetvis helt rätt, men hans resonemang brister på ett antal punkter.

Som del av sin argumentering visar han på en utredning av Statens Haverikommission, om fartyget Kertus grundstötning vid Gunnarstenarna utanför Landsort år 2014. Fartyget hade två fungerande radarer och elektroniskt kartsystem (ECDIS) och dumma vore de ju annars. Med alla dessa hjälpmedel i funktion går det inte att inte veta var man är och var grunden finns. Trots det ignorerades ordern om att gira till 090 grader mot öppet hav och fartyget styrde istället 060 grader och gick på Gunnarstenarna.

Se vidare SHKs utmärkta slutrapport på http://www.havkom.se/assets/reports/RS2016_10-KERTU.pdf

Det finns ett antal skillnader mellan hur ett rederi och en sjökapten, eller för den skull en lokförare agerar och hur en generaldirektör eller annan styrelsemedlem i ett företag som använder IT agerar och är utbildade. Det gör att en IT-haverikommission måste få helt andra befogenheter än SHK.

1. Rederiet bryr sig om ifall fartyget sjunker. Det gör inte de politiskt tillsatta.

Fartyget, eller tåget, framförs med livet som insats. Om en sjökapten eventuellt överlever en förlisning kan han räkna med sträng behandling av rederiet, eftersom fartyg och last kostar företaget pengar. På Onedins tid hade ordern blivit ”Mr. Baines! Have the man flogged!”

För politikerna är det enbart av vikt att överleva sin mandatperiod. En generaldirektör riskerar i princip ingenting, har det visat sig. Eventuellt kan denne få bättre tjänst med högre lön.

2. Lotsen kunde konstatera att kaptenen tycks ha haft korrekt utbildning för att framföra fartyget även om denne inte var särskilt pratsam. SHK konstaterar att befälhavaren hade sjökaptensbehörighet.

I statens tjänst behöver man ingen IT-utbildning alls. Det räcker med att man gör sig populär och blir vald. Det är ovanligt att chefsgarnityret i vanliga privatföretag har IT-utbildning och IT-förståelse. Istället handlar politiken mest om att sänka kostnaderna till varje pris. Om säkerheten blir lidande är det sekundärt, eftersom, som sagt, ingen har utbildning nog att förstå att IT-säkerheten är viktig och vad ett misstag kan få för resultat. Anledningen till att KTH slapp undan Wannacry-trojanen var att alla chefer, i det här fallet rektor med flera, har datorteknisk bakgrund och kunde klubba rätt säkerhetsbeslut.

3. Haverikommissionen kan basera sin bedömning dels på loggningen i fartygets elektroniska kartsystem och dess färdskrivare Voyage Data Recorder (om fartyget är tillräckligt stort för att VDR ska krävas), dels på AIS-spåret hos VTS (Vessel Traffic Service). All denna information kan göras offentlig och är mycket svår att förfalska eller dölja.

AIS-spåret kan ses av alla och envar på Marine Traffics AIS-karta https://www.marinetraffic.com/se/ais/home/centerx:17.902/centery:58.774/zoom:12 (inzoomad på olycksområdet). Exakt samma funktion tillhandahåller Fligthradar24 för flygtrafiken: https://www.flightradar24.com/59.52,17.9/7  även om flygbolagen sällan avslöjar sina data vid ett haveri.

Från och med 1 april, 2016 ska alla statliga myndigheter rapportera IT-incidenter som inträffar i myndighetens informationssystem eller i tjänster som myndigheten tillhandahåller åt en annan organisation, till MSB. Läs mer här: https://www.msb.se/sv/Forebyggande/Informationssakerhet/It-incidentrapportering Det är mycket bra att staten äntligen har lärt sig, men effekten kommer sannolikt att utebli. Banker, kommunikationsföretag och andra företag med samhällsviktig funktion omfattas inte heller av plikten.

MSBs initiativ motarbetas av den oändliga skam som tycks häfta vid att drabbas av IT-haveri. Ingen pratar om det eller också döper man om det till ”affärshemlighet” och vägrar avslöja det. Ändå var det just detta som räddade Estland från totalhaveri vid den förmodade ryska cyberattacken 2007, att IT-cheferna på de olika bankerna och företagen pratade med varandra och diskuterade åtgärderna. MSB försökte få Tieto att prata om problemen vid det stora haveriet 2011 men fick ge upp för att Tieto helt enkelt vägrade lämna ut information. Då går det inte att dra några slutsatser.

För att nu dra några paralleller

Staten skjuter sig som vanligt i foten med luftvärnskanon när man som resultat av det enorma haveriet i Transportstyrelsen menar att problemet ligger i outsourcing och alla hektiskt börjar diskutera om outsourcing är fel. Problemet är istället okunskapen i IT-frågor och IT-säkerhet, eller vad man skulle kunna kalla beställarinkompetens. Även om Fältströms förslag om IT-haverikommission är bra och nödvändigt, kommer det inte att förbättra läget om inte ytterligare förändringar görs i de ansvarigas utbildningsnivåer och ansvar.

Inget kommer att förbättras, oavsett hur bra IT-haverikommissionens slutsatser är, om chefsgarnityret hos dem som drabbas:

  • Inte förstår vad de gjort
  • Inte förstår vad de skulle ha gjort istället
  • Inte har något direkt ansvar inför någon
  • Inte behöver ta till sig av kommissionens slutsatser

Det är den med de största befogenheterna och rättigheterna som ställer till med de stora skadorna.

Personalen är delaktig

  • Utan säkerhetsutbildning kommer personalen att agera felaktigt
  • Utan uppföljning (”kvartssamtal”) kommer personalen att fortsätta begå samma misstag
  • Trenden med BOYD som inte hanteras ger alla angripare en rutschkana in i företaget

Även om personalen är delaktig är det trots allt arbetsgivaren som är ansvarig för att IT-säkerheten upprätthålls på arbetsplatsen. Denne ska vidta de åtgärder som är nödvändiga för att upprätthålla säkerheten. Det kostar pengar och så länge inte det kravet är ställt med näven i bordet kommer inget att hända.

Den yttersta skulden

Den yttersta skulden ska ändock läggas på dagens utbildningssystem där teknikkunskaper anses onödiga och teknik i allmänhet stämplats som farlig eller otrevlig (nyckelord: avgaser, utsläpp, förgiftning, genmodifikation, strålning, elallergi). ”Datakunskaper” av idag handlar om att kunna bläddra på Internet, spela spel och svepa med tummen över mobiltelefonen och förlita sig på att någon annan sköter säkerheten. Det finns en anledning till att malware med underliga erbjudanden om ekonomiska transaktioner eller ”utstående paket från post Nord” fortsätter att ha så stort genomslag: bruket av sunt förnuft har utgått till fördel för sanningsrelativism. Vad som är sant för dig kanske inte är sant för mig?

Riktiga teknikkunskaper är inget värda idag.

Läs mer

Läs om hur man gör och utbildar för att inte hamna i IT-knipa: https://www.sunet.se/blogg/den-okanda-hasten-fran-troja/
Cyberattacken mot Estland 2007 och hur den klarades: https://techworld.idg.se/2.2524/1.440124/estland-under-attack
Läs SUNETs säkerhetshandbok. Alla svaren står där. Ingen bryr sig om dem: https://itsakhandbok.irt.kth.se/
Läs om statlig beställarkompetens: https://www.sunet.se/blogg/upphandling-av-optiskt-nat-nar-allt-bara-flyter-pa/

Annonser

2 reaktioner på ”IT-haverikommission

  1. Du har rätt i att roten till problemet är djupare, men det handlar inte om avsaknad av tekniska kunskaper det handlar i princip bara om punkt 1; att det är skit samma hur illa det än går till följd av den som är ansvarig i offentlig sektor när det gäller ledningen.
    När man känner ansvar är man väldig nyfiken på alla risker.
    Om man ignorerar SÄPOs varningar finns inga spärrar för vansinnigheterna.
    Den senaste generationen ledare i offentlig sektorn har alla grundligt fått lära sig att dom ALDRIG behöver ta ansvar.
    Dan Eliasson massraderade email på försäkringskassan för att förhindra brottsutredning, ingen påföljd annat än befordran till bättre jobb för blind lojalitet.
    It kunskaper hos ledare blir snarare en fara pga att det ger makten nya möjligheter till missbruk.

    Gilla

    • Nu antar du att alla faller på punkt 1 och alltså är skurkar. Det tror jag inte på. De allra flesta cyberangrepp lyckas på grund av absolut okunnighet hos den angripne och de flesta misslyckade upphandlingar beror på okunnighet hos upphandlingspersonalen. Ledare utan IT-kunskaper blir rena dårarna. Det är då kostnadsbesparingarna tar över allt och man avskedar all kunnig personal som hade kunnat rädda företaget. Som jag skriver: Det är de med de största rättigheterna som ställer till de största skadorna. Det behöver inte betyda att man åstadkommer skadorna bara för att sabotera, utan för att man kanske ville prova (exempel) rm *.* utan att fatta eller skickar 123456 mail med en gigabyte bilaga till alla anställda, utan att fatta.

      Gilla

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s