Någon kanske undrar vem den där Sigge är? I valet 2006 förlorade Liberalerna (då Folkpartiet) var 7:e väljare när de inte kunde låta bli att logga in i Socialdemokraternas FirstClass med användaridentiteten SIGGE och lösenordet SIGGE. De kunde med informationen som Sigges inloggning gav åtkomst till planera sina egna kampanjer mer taktiskt. Till en början målades bilden upp att det var den mest komplicerade formen av intrång som skett. Luften gick ur etablissemanget när det visade sig att det var en person på SSU som i god tro överlämnat inloggningsuppgifterna till en vän tillika Folkpartist.
Medvetenheten är betydligt bättre idag än 2006. Kampanjen Tänk säkert från MSB, Polisen och SSF borde ha varit på sin plats långt tidigare och sannolikt gjort betydligt större nytta då än nu. Då hade den illvillige nyss lärt sig att stava till www, men vem säger idag att den QR-kod som avsändaren ber dig scanna inte leder till en url som är allt annat än önskvärd att klicka på. Hur vet du ens vem avsändaren av QR-koden på kampanjaffischen du nyss passerade är? Detta sagt i en kampanj mot att klicka på länkar…
Apropå valtider så kommer jag aldrig att glömma när jag tidigt 2000-tal sökte ledningens engagemang i samband med ett införande av ett ledningssystem för informationssäkerhet i en politiskt styrd organisation och fick till svar att “Informationssäkerhet vinner man inte några val på”. Tack och lov är det inte lika svårt att söka ledningens engagemang i dessa frågor 20 år senare. Det dröjer dock en tid till innan alla ledningar förstår att det är ledningens ledningssystem och att det inte är ett it-system.
Givet att det nu tillförs allt mer medel för att stärka informations- och cybersäkerheten är det viktigt att medlen riktas rätt. Jag vet inte hur många frågor vi fått under våren hur de medel som nu tillförs bäst används. Från ledningen, och i politiskt styrda organisationer från politiken, finns en önskan om en snabb lösning. Inte sällan går tankarna till att det är bättre tekniska lösningar som behövs. Min uppfattning är att det sällan är tekniken som behöver förfinas och förbättras utan snarare hur den används.
Det har exempelvis varit tekniskt möjligt att zonindela it-infrastrukturen lika länge som vi haft internet som en naturlig del av vår it-infrastruktur, men de enorma konsekvenserna av skadlig kod som ransomware ger vittnar om att det finns förbättringspotential i många organisationer.
I en mogen organisation med ett väl fungerande ledningssystem som är riskbaserat och andas systematik finns det redan en zonindelad infrastruktur på plats. Det strukturerade säkerhetsarbetet har sedan länge konstaterat att en helt platt it-infrastruktur där alla frukter och ägg samlats inte är tillräckligt robust.
Detta är bara ett exempel i mängden på områden som har förbättringspotential och att det är mjuka frågor, arbetssätt och mognad där de största bristerna finns.
Jag är fortsatt övertygad om att man vinner val och andra framgångar med ett väl fungerande informations- och cybersäkerhetsarbete som grund. Frånvaron av densamma talar ett allt tydligare språk. Hur hade valutgången i USA 2016, och kanske världsordningen idag, sett ut om presidentkandidaten för det demokratiska partiet hade varit betydligt mer följsam i sin informationssäkerhet?
Thomas Nilsson
