Jag hyser stor respekt för DN:s reportrar. De har gjort många väldigt många bra gräv de senaste åren och lyft den allmänna medvetenheten om informationssäkerhet vilket inte nog kan uppskattas. Mycket tack vare ett par riktigt duktiga journalister ombord.
Den som bedriver verksamhet som är av betydelse för Sveriges säkerhet lyder under säkerhetsskyddslagen (2018:585)
I sammanhanget kan konstateras att den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet lyder under säkerhetsskyddslagen (2018:585).Lagstiftningen uppdaterades för ett par år sedan och gjorde en tydlig förflyttning från dåtidens anläggningssäkerhet till nutidens behov av ett strukturerat och systematiskt informationssäkerhetsarbete för att möta dagens utmaningar. Den som bedriver säkerhetskänslig verksamhet ska själv utreda behovet av säkerhetsskydd, dvs genomföra en säkerhetsskyddsanalys och dokumentera den.
I kölvattnet av ett avslöjande likt detta så följer ett stort mediaintresse under den aktuella dagen så även i detta fallet. Intervjuer av berörda som kryddas med uttalande av experter från näringsliv och expertmyndigheter. Mönstret är tydligt. I P1:s Studioett tog en mediatränad VD till orda och uttalades sig om behovet av att ha bra övervakningssystem, utbildning av anställda och inte klicka på bifogade filer i mejlen. Som hämtat från en instruktionsvideo och svårt att säga emot. Det flyttade skickligt fokus från det egna ansvaret och reportaget blev tyvärr rätt platt.
Jag saknade frågorna om säkerhetsskyddsanalysen och hur väl de har tagit till sig Säkerhetspolisens vägledning i säkerhetsskydd när de utformat säkerhetsskyddplanen inte minst mot bakgrund av att VD i intervjun säger att de har en gedigen säkerhetsmiljö. I vägledningens avsnitt om arkitektur ställs tydliga krav på separationer i infrastrukturen. Syftet är att minska exponeringsytan och därigenom reducera risken för ett informationsläckage. Tämligen grundläggande och det är skåpmat för flertalet av de organisationer som nu är offer för informationsläckaget.
Här finns det sannolikt också brister i hur väl de drabbade faktiskt granskar upp leverantörens säkerhetsskydd som är ett viktig inslag i att tillse efterlevnaden som följer av ett säkerhetsskyddsavtal. Jag utgår från att de fanns på plats, även om jag inte är övertygad. Jag funderar också utifrån perspektivet dataskydd. Sannolikt finns det en rad personuppgifter i den läckta informationen. Frågan här är om de registrerade är informerade och om någon incidentrapportering till Datainspektionen, blivande Integritetsskyddsmyndigheten, är gjord.
3 mars skickar Brian Krebs, en erkänt duktig journalist, en tweet som i sammanhanget väcker intresse. Han söker kontakt med Gunnebo för att informera dem att de har öppnat upp åtkomst via Remote Desktop Protocol (RDP) och att inloggningsuppgifter är läckta. Ett lösenord som nämns i sammanhanget är ”password01”. Svaren i denna tweet indikerar att informationen nådde fram till Gunnebo där och då.
Det som uppdagas är långt från den kravbild som uttrycks i vägledningen och även långt från vad som är praxis idag. Frånvaron av stark autentisering innebär att lösningen inte ens är dimensionerad för att bära känsliga personuppgifter. Frånvaron av VPN är en annan reflektion och kravet på separation som jag exemplifierade med lyser helt med sin frånvaro. Sammantaget är gapet oroande stort här.
I intervjun med Gunnebos VD i P1:s Studioett så lyfter han detta till en fråga av yttersta vikt för samhällssäkerheten och önskar krafttag från myndigheterna. Jag vill påstå att det är vi tillsammans som bygger ett tryggare och säkrare samhälle. Det finns ingen enkel lösning på utmaningen för då vore det inte någon utmaning. Gunnebo, som bland annat erbjuder marknaden fysiska skydd för IT-utrustning och företagets skyddade information mot attacker med elektromagnetiska pulser (EMP) är ju inte omedvetna om utmaningarna och det är dessutom deras levebröd. Den insikten borde ha gjort betydligt större avtryck på den egna organisationen kan jag tycka.
Detta är dock inte unikt för Gunnebo. Vi är alla medvetna om att det är svårt att få ett långsiktigt hållbart informationssäkerhetsarbete att genomsyra en hel verksamhet. Däri ligger utmaningen och den faller ytterst på var och envar. Ledningens engagemang är helt avgörande för att lyckas i längden.
Thomas Nilsson
