Av
| 
Torsdag 3 april hölls en öppen utfrågning hos riksdagen. Experter och särintressen presenterade sig och sen ställde politikerna frågor.
De hotbilder och problem som målades upp var i stort sett de samma som målats upp de senaste fem -tio åren. De frågor politikerna ställde visade på väldiga skillnader i synsätt på problemen.
Först ut bland talarna var Dan Larsson från FRA som i vanlig ordning målade upp en stor hotbild från både terrorister, ekonomiskt motiverade brottslingar och andra stater. Men med hänvisning till sekretess kunde han inte gå in på detaljer eller presentera bevis.
Sen talade Anne-Marie Eklund-Löwinder från Stiftelsen för Internetinfrastruktur om Internets hälsoläge och att det finns många DNS-servrar som är felkonfigurerade.
Efter det berättade Kurt-Erik Lindqvist från Netnod om trender och åtgärder vad gäller nätangrepp, både angreppet på Estland som han fick uppleva på plats och andra.
Vidare berättade Ingvar Hellquist från KBM om en handlingsplan för informationssäkerhet, Sitic och PTS gav sin syn på samma ämne. Roland Ekström på kampanjen Surfa Lugnt talade sig varm för utbildning av användare i olika åldrar och Östen Frånberg på IVA berättade om projektet Internetframsyn för Internets framtidsfrågor.
Generellt var det hel del prat om den nya myndigheten som ska bildas genom sammanslagning av KBM, SPF och Räddningsverket. En gissning är att det nya namnet blir MSB, Myndigheten för Säkerhet och Beredskap. Den nya myndigheten väntas få en samordnande funktion, begränsad bestämmanderätt över kringliggande myndigheter och arbeta med både administration och respons vid större incidenter. Ett genomgående tema från myndigheterna var att alla goda krafter skulle komma samman och samarbeta inom och utom landet. Sen var det en timmes frågestund.
Politikernas frågor gällde mycket vem som gör vad, varför det inte finns någon samordning.
Den första frågan från politikerna gällde projektet för elektronisk identitiet, e-ID och varför de olika myndigheterna använder så olika lösningar. Alla fingrar pekade på Verva som sa att det inte gick att tvinga alla att göra likadant.
Nästa politiker undrade varför IT-säkerhetsarbetet bedrivs på så olika sätt och på så olika ställen.
Ingvar Hellquist på KBM svarade att rollerna inte är klarlagda i vardagstillståndet. Patrik Fältström som är extern rådgivare åt näringsdepartementet svarade att det är viktigt att skilja på ansvarsfördelning i vardag, kris och krig. Men att han ser det som viktigare att det finns ett tydligt kommunicerat ansvar än vem av dagens kandidater som har det. Främst efterlyste han en genomtänkt och tydligt beslut om vad som är sammhällsviktigt. Som ett gott exempel framhöll han Estland som hade prioriterat två saker: Det nationella betalningssystemet, det vill säga att bankomaterna fungerade och att medborgarna kan kommunicera med varandra. Alltså inte myndigheter till medborgare eller myndighet till myndighet. En sådan prioritering leder sen till indikationer på hur viktigt det är med exempelvis elförsörjning.
- Det är dumt om folk börjar handla med stenar eller trycker egna pengar. Men om Riksdag och Regering är offline två dagar är det inget som hotar rikets säkerhet, sade Patrik Fältström.
Ibrahim Baylan som var ordförande för utfrågningen såg road ut och sa att detta var att svära i kyrkan.
Nästa fråga från politikerna var om Internet kan komma att sluta fungera på grund av växande trafikmängder. Och om det inte är ett problem att allt mer information går via en enda kanal – Internet. På den frågan fick han lugnande besked av Anne-Marie Eklund-Löwinder som sa att Internet snarare kommer att gå långsamt än sprängas om det blir för mycket trafik. Andra av de inbjudna experterna sa att visserligen minskar investeringarna i robusthet men å andra sidan finns flera olika Internet- och teleoperatörer. Så om en slås ut finns alltid chansen att andra fungerar.
Annelie Enochson från Kristdemokraterna ställde frågan vad experterna på Netnod, IVA och Cisco ansåg måste göras. Kurt Erik Lindqvist sa att det viktigaste är att gå från planering och utredning till faktiskt genomförande och långsiktighet. Östen Frånberg sa ungefär att det måste ni tala om för oss. Men att KTH och Sunet redan gjort ett bra arbete som många myndigheter kunde vinna mycket på att kopiera rakt av. Patrik Fältström sa att det först gäller att bestämma sig för vilka tjänster och funktioner som är viktiga. Sen ställa krav på myndigheter att bedriva matchande arbete. Och som tredje punkt att ge en myndighet ett tydligt ansvar och ge den myndigheten egna pengar att lösa problemet med.
John Daniels på Must sa i en kommentar att 95 procent av alla de inicidenter som presenterats under förmiddagen egentligen är gränsöverskridande brottslighet av olika typer som finns beskrivna i brottsbalken. Han efterlyste bättre polisiärt samarbete.
Peter Pedersen från vänsterpartiet ställde frågan om hur mycket ansvar som kan läggas på användaren och hur mycket som kan läggas på Internetleverantörerna. Både vad gäller spam och hackade persondatorer. I vanlig ordning kom liknelserna med bilar fram. Först svarade Anne-Marie Eklund-Löwinder att Internetleverantörerna är som taxiförare, de kör bara på vägarna och kan inte lastas för hur bilarna är byggda. Ingvar Hellquist på KBM sa att det på längre sikt kunde vara en idé att hålla användarna ansvariga för vad som händer med deras datorer. Kurtis på Netnod varnade för liknelserna men sa att vägverket inte kan hindra bilstölder. Men att ett stort problem är att vanliga kunder inte ställer krav IT-tillverkarna att göra datorer säkrare. Per Hellqvist menade att IT-säkerhet börjar ute hos användaren eftersom det mesta av de brott som sker på Internet görs utifrån kapade hemdatorer. Han efterlyste starkare ekonomiska incitament i kampen för IT-säkerhet.
Flera politiker och representanter från Teliasonera och Chalmers menade att det nog var läge att börja ställa krav även på tillverkarna av datorer, på samma sätt som tidigare gjorts med bilar. Anne-Marie Eklund-Löwinder höll med och sa att staten borde utnyttja sin makt som inköpare av tusentals datorer till att kräva högre säkerhet i dessa. Magnus Lindkvist på Microsoft sa att användarna i dag tar för givet att de kan göra vad de vill med sin dator.
- Ingen skulle köpa en dator som inte kan användas till vad som helst. Det här är lite osäkra siffror men jag tror att cirka 80 procent av de problem som drabbar användarnas datorer beror på att användaren själv klickat på något som såg intressant ut eller tagit emot en fil via e-post.
Av den mycket varierande nivån på frågorna att döma var det nog en korrekt sammanfattning som Rolf Gunnarsson, ordförande i försvarsutskottet kom med:
- Ju mer vi gräver i det här. Ju mer rädda blir vi för okunskap och sårbarheter.
De hotbilder och problem som målades upp var i stort sett de samma som målats upp de senaste fem -tio åren. De frågor politikerna ställde visade på väldiga skillnader i synsätt på problemen.
Först ut bland talarna var Dan Larsson från FRA som i vanlig ordning målade upp en stor hotbild från både terrorister, ekonomiskt motiverade brottslingar och andra stater. Men med hänvisning till sekretess kunde han inte gå in på detaljer eller presentera bevis.
Sen talade Anne-Marie Eklund-Löwinder från Stiftelsen för Internetinfrastruktur om Internets hälsoläge och att det finns många DNS-servrar som är felkonfigurerade.
Efter det berättade Kurt-Erik Lindqvist från Netnod om trender och åtgärder vad gäller nätangrepp, både angreppet på Estland som han fick uppleva på plats och andra.
Vidare berättade Ingvar Hellquist från KBM om en handlingsplan för informationssäkerhet, Sitic och PTS gav sin syn på samma ämne. Roland Ekström på kampanjen Surfa Lugnt talade sig varm för utbildning av användare i olika åldrar och Östen Frånberg på IVA berättade om projektet Internetframsyn för Internets framtidsfrågor.
Generellt var det hel del prat om den nya myndigheten som ska bildas genom sammanslagning av KBM, SPF och Räddningsverket. En gissning är att det nya namnet blir MSB, Myndigheten för Säkerhet och Beredskap. Den nya myndigheten väntas få en samordnande funktion, begränsad bestämmanderätt över kringliggande myndigheter och arbeta med både administration och respons vid större incidenter. Ett genomgående tema från myndigheterna var att alla goda krafter skulle komma samman och samarbeta inom och utom landet. Sen var det en timmes frågestund.
Politikernas frågor gällde mycket vem som gör vad, varför det inte finns någon samordning.
Den första frågan från politikerna gällde projektet för elektronisk identitiet, e-ID och varför de olika myndigheterna använder så olika lösningar. Alla fingrar pekade på Verva som sa att det inte gick att tvinga alla att göra likadant.
Nästa politiker undrade varför IT-säkerhetsarbetet bedrivs på så olika sätt och på så olika ställen.
Ingvar Hellquist på KBM svarade att rollerna inte är klarlagda i vardagstillståndet. Patrik Fältström som är extern rådgivare åt näringsdepartementet svarade att det är viktigt att skilja på ansvarsfördelning i vardag, kris och krig. Men att han ser det som viktigare att det finns ett tydligt kommunicerat ansvar än vem av dagens kandidater som har det. Främst efterlyste han en genomtänkt och tydligt beslut om vad som är sammhällsviktigt. Som ett gott exempel framhöll han Estland som hade prioriterat två saker: Det nationella betalningssystemet, det vill säga att bankomaterna fungerade och att medborgarna kan kommunicera med varandra. Alltså inte myndigheter till medborgare eller myndighet till myndighet. En sådan prioritering leder sen till indikationer på hur viktigt det är med exempelvis elförsörjning.
- Det är dumt om folk börjar handla med stenar eller trycker egna pengar. Men om Riksdag och Regering är offline två dagar är det inget som hotar rikets säkerhet, sade Patrik Fältström.
Ibrahim Baylan som var ordförande för utfrågningen såg road ut och sa att detta var att svära i kyrkan.
Nästa fråga från politikerna var om Internet kan komma att sluta fungera på grund av växande trafikmängder. Och om det inte är ett problem att allt mer information går via en enda kanal – Internet. På den frågan fick han lugnande besked av Anne-Marie Eklund-Löwinder som sa att Internet snarare kommer att gå långsamt än sprängas om det blir för mycket trafik. Andra av de inbjudna experterna sa att visserligen minskar investeringarna i robusthet men å andra sidan finns flera olika Internet- och teleoperatörer. Så om en slås ut finns alltid chansen att andra fungerar.
Annelie Enochson från Kristdemokraterna ställde frågan vad experterna på Netnod, IVA och Cisco ansåg måste göras. Kurt Erik Lindqvist sa att det viktigaste är att gå från planering och utredning till faktiskt genomförande och långsiktighet. Östen Frånberg sa ungefär att det måste ni tala om för oss. Men att KTH och Sunet redan gjort ett bra arbete som många myndigheter kunde vinna mycket på att kopiera rakt av. Patrik Fältström sa att det först gäller att bestämma sig för vilka tjänster och funktioner som är viktiga. Sen ställa krav på myndigheter att bedriva matchande arbete. Och som tredje punkt att ge en myndighet ett tydligt ansvar och ge den myndigheten egna pengar att lösa problemet med.
John Daniels på Must sa i en kommentar att 95 procent av alla de inicidenter som presenterats under förmiddagen egentligen är gränsöverskridande brottslighet av olika typer som finns beskrivna i brottsbalken. Han efterlyste bättre polisiärt samarbete.
Peter Pedersen från vänsterpartiet ställde frågan om hur mycket ansvar som kan läggas på användaren och hur mycket som kan läggas på Internetleverantörerna. Både vad gäller spam och hackade persondatorer. I vanlig ordning kom liknelserna med bilar fram. Först svarade Anne-Marie Eklund-Löwinder att Internetleverantörerna är som taxiförare, de kör bara på vägarna och kan inte lastas för hur bilarna är byggda. Ingvar Hellquist på KBM sa att det på längre sikt kunde vara en idé att hålla användarna ansvariga för vad som händer med deras datorer. Kurtis på Netnod varnade för liknelserna men sa att vägverket inte kan hindra bilstölder. Men att ett stort problem är att vanliga kunder inte ställer krav IT-tillverkarna att göra datorer säkrare. Per Hellqvist menade att IT-säkerhet börjar ute hos användaren eftersom det mesta av de brott som sker på Internet görs utifrån kapade hemdatorer. Han efterlyste starkare ekonomiska incitament i kampen för IT-säkerhet.
Flera politiker och representanter från Teliasonera och Chalmers menade att det nog var läge att börja ställa krav även på tillverkarna av datorer, på samma sätt som tidigare gjorts med bilar. Anne-Marie Eklund-Löwinder höll med och sa att staten borde utnyttja sin makt som inköpare av tusentals datorer till att kräva högre säkerhet i dessa. Magnus Lindkvist på Microsoft sa att användarna i dag tar för givet att de kan göra vad de vill med sin dator.
- Ingen skulle köpa en dator som inte kan användas till vad som helst. Det här är lite osäkra siffror men jag tror att cirka 80 procent av de problem som drabbar användarnas datorer beror på att användaren själv klickat på något som såg intressant ut eller tagit emot en fil via e-post.
Av den mycket varierande nivån på frågorna att döma var det nog en korrekt sammanfattning som Rolf Gunnarsson, ordförande i försvarsutskottet kom med:
- Ju mer vi gräver i det här. Ju mer rädda blir vi för okunskap och sårbarheter.
Molnigt på idg.se?
Mycket snack.. - (morgonkvist - <3 edit :-)) 2008-04-03 22:04