IT-haverikommission

Netnods säkerhetsschef Patrik Fältström kallar återigen på inrättandet av en IT-haverikommission, i ett inlägg i Facehbook den 2/8 2017. Behovet kan tyckas uppenbart efter den oändliga rad av IT-haverier, så väl statliga som privata som förekommit på det senaste, samt den våg av cyberbrott som sköljt över världen de senaste åren, och inte verkar vilja avta. Problemet är att en sådan haverikommission kommer att bli verkningslös om inte ytterligare och betydligt otrevligare krav uppfylls.

Behovet förstärktes ytterligare av den enorma outsourcing-skandalen hos Transportstyrelsen som började redan 2015 men förtegs av alla inblandade tills bomben briserade 2017.

Fältström har givetvis helt rätt, men hans resonemang brister på ett antal punkter.

Som del av sin argumentering visar han på en utredning av Statens Haverikommission, om fartyget Kertus grundstötning vid Gunnarstenarna utanför Landsort år 2014. Fartyget hade två fungerande radarer och elektroniskt kartsystem (ECDIS) och dumma vore de ju annars. Med alla dessa hjälpmedel i funktion går det inte att inte veta var man är och var grunden finns. Trots det ignorerades ordern om att gira till 090 grader mot öppet hav och fartyget styrde istället 060 grader och gick på Gunnarstenarna.

Se vidare SHKs utmärkta slutrapport på http://www.havkom.se/assets/reports/RS2016_10-KERTU.pdf

Det finns ett antal skillnader mellan hur ett rederi och en sjökapten, eller för den skull en lokförare agerar och hur en generaldirektör eller annan styrelsemedlem i ett företag som använder IT agerar och är utbildade. Det gör att en IT-haverikommission måste få helt andra befogenheter än SHK.

1. Rederiet bryr sig om ifall fartyget sjunker. Det gör inte de politiskt tillsatta.

Fartyget, eller tåget, framförs med livet som insats. Om en sjökapten eventuellt överlever en förlisning kan han räkna med sträng behandling av rederiet, eftersom fartyg och last kostar företaget pengar. På Onedins tid hade ordern blivit ”Mr. Baines! Have the man flogged!”

För politikerna är det enbart av vikt att överleva sin mandatperiod. En generaldirektör riskerar i princip ingenting, har det visat sig. Eventuellt kan denne få bättre tjänst med högre lön.

2. Lotsen kunde konstatera att kaptenen tycks ha haft korrekt utbildning för att framföra fartyget även om denne inte var särskilt pratsam. SHK konstaterar att befälhavaren hade sjökaptensbehörighet.

I statens tjänst behöver man ingen IT-utbildning alls. Det räcker med att man gör sig populär och blir vald. Det är ovanligt att chefsgarnityret i vanliga privatföretag har IT-utbildning och IT-förståelse. Istället handlar politiken mest om att sänka kostnaderna till varje pris. Om säkerheten blir lidande är det sekundärt, eftersom, som sagt, ingen har utbildning nog att förstå att IT-säkerheten är viktig och vad ett misstag kan få för resultat. Anledningen till att KTH slapp undan Wannacry-trojanen var att alla chefer, i det här fallet rektor med flera, har datorteknisk bakgrund och kunde klubba rätt säkerhetsbeslut.

3. Haverikommissionen kan basera sin bedömning dels på loggningen i fartygets elektroniska kartsystem och dess färdskrivare Voyage Data Recorder (om fartyget är tillräckligt stort för att VDR ska krävas), dels på AIS-spåret hos VTS (Vessel Traffic Service). All denna information kan göras offentlig och är mycket svår att förfalska eller dölja.

AIS-spåret kan ses av alla och envar på Marine Traffics AIS-karta https://www.marinetraffic.com/se/ais/home/centerx:17.902/centery:58.774/zoom:12 (inzoomad på olycksområdet). Exakt samma funktion tillhandahåller Fligthradar24 för flygtrafiken: https://www.flightradar24.com/59.52,17.9/7  även om flygbolagen sällan avslöjar sina data vid ett haveri.

Från och med 1 april, 2016 ska alla statliga myndigheter rapportera IT-incidenter som inträffar i myndighetens informationssystem eller i tjänster som myndigheten tillhandahåller åt en annan organisation, till MSB. Läs mer här: https://www.msb.se/sv/Forebyggande/Informationssakerhet/It-incidentrapportering Det är mycket bra att staten äntligen har lärt sig, men effekten kommer sannolikt att utebli. Banker, kommunikationsföretag och andra företag med samhällsviktig funktion omfattas inte heller av plikten.

MSBs initiativ motarbetas av den oändliga skam som tycks häfta vid att drabbas av IT-haveri. Ingen pratar om det eller också döper man om det till ”affärshemlighet” och vägrar avslöja det. Ändå var det just detta som räddade Estland från totalhaveri vid den förmodade ryska cyberattacken 2007, att IT-cheferna på de olika bankerna och företagen pratade med varandra och diskuterade åtgärderna. MSB försökte få Tieto att prata om problemen vid det stora haveriet 2011 men fick ge upp för att Tieto helt enkelt vägrade lämna ut information. Då går det inte att dra några slutsatser.

För att nu dra några paralleller

Staten skjuter sig som vanligt i foten med luftvärnskanon när man som resultat av det enorma haveriet i Transportstyrelsen menar att problemet ligger i outsourcing och alla hektiskt börjar diskutera om outsourcing är fel. Problemet är istället okunskapen i IT-frågor och IT-säkerhet, eller vad man skulle kunna kalla beställarinkompetens. Även om Fältströms förslag om IT-haverikommission är bra och nödvändigt, kommer det inte att förbättra läget om inte ytterligare förändringar görs i de ansvarigas utbildningsnivåer och ansvar.

Inget kommer att förbättras, oavsett hur bra IT-haverikommissionens slutsatser är, om chefsgarnityret hos dem som drabbas:

• Inte förstår vad de gjort
• Inte förstår vad de skulle ha gjort istället
• Inte har något direkt ansvar inför någon
• Inte behöver ta till sig av kommissionens slutsatser

Det är den med de största befogenheterna och rättigheterna som ställer till med de stora skadorna.

Personalen är delaktig

• Utan säkerhetsutbildning kommer personalen att agera felaktigt
• Utan uppföljning (”kvartssamtal”) kommer personalen att fortsätta begå samma misstag
• Trenden med BOYD som inte hanteras ger alla angripare en rutschkana in i företaget

Även om personalen är delaktig är det trots allt arbetsgivaren som är ansvarig för att IT-säkerheten upprätthålls på arbetsplatsen. Denne ska vidta de åtgärder som är nödvändiga för att upprätthålla säkerheten. Det kostar pengar och så länge inte det kravet är ställt med näven i bordet kommer inget att hända.

Den yttersta skulden

Den yttersta skulden ska ändock läggas på dagens utbildningssystem där teknikkunskaper anses onödiga och teknik i allmänhet stämplats som farlig eller otrevlig (nyckelord: avgaser, utsläpp, förgiftning, genmodifikation, strålning, elallergi). ”Datakunskaper” av idag handlar om att kunna bläddra på Internet, spela spel och svepa med tummen över mobiltelefonen och förlita sig på att någon annan sköter säkerheten. Det finns en anledning till att malware med underliga erbjudanden om ekonomiska transaktioner eller ”utstående paket från post Nord” fortsätter att ha så stort genomslag: bruket av sunt förnuft har utgått till fördel för sanningsrelativism. Vad som är sant för dig kanske inte är sant för mig?

Riktiga teknikkunskaper är inget värda idag.

Läs mer

Läs om hur man gör och utbildar för att inte hamna i IT-knipa: https://www.sunet.se/blogg/den-okanda-hasten-fran-troja/
Cyberattacken mot Estland 2007 och hur den klarades: https://techworld.idg.se/2.2524/1.440124/estland-under-attack
Läs SUNETs säkerhetshandbok. Alla svaren står där. Ingen bryr sig om dem: https://itsakhandbok.irt.kth.se/
Läs om statlig beställarkompetens: https://www.sunet.se/blogg/upphandling-av-optiskt-nat-nar-allt-bara-flyter-pa/