Så där ja. Än en gång har en it-attack skett, och vi som arbetar med säkerhetsfrågor får återigen användning för uttrycket ”vad var det vi sa?”. Även om den senaste attacken riktats mot våra svenska mediehus och omtalats som en ”attack mot pressfriheten”, så är det bara en bråkdel av de risker som IT-Sverige idag utsätter sig själva för. Inte minst inom offentlig sektor där det idag slarvas rejält med säkerheten under upphandlingsskedet. Slarv som inte längre kan accepteras.

Idag sker det ett flertal upphandlingar som i det offentliga ses som lyckade, men som i själva verket är tickande bomber, redo att brisera och med katastrofala följder för såväl myndigheter som individer. Följder som är avsevärt värre än att medievärlden släcks ned under ett par timmar. Missförstå mig rätt, den här typen av attacker bör inte ske inom vare sig privat eller offentlig sektor. Men det oroar mig att svenska myndigheter än idag inte tar säkerheten på allvar redan i upphandlingsskedet.

Läs också: Nätexperten: Tvinga tidningarna att berätta om ddos-attackerna

Myndigheterna har här en hel del att lära av Van Halen och deras femtiotre sidor långa kravspecifikation med teknik- och säkerhetsdetaljer som skickades över till arenorna inför giggen. För att kvalitetssäkra att arenorna verkligen följde kravspecifikationen adderades en liten detalj om att bandet ville ha en skål med M&M:s i logen, men att de bruna kulorna skulle vara bortsorterade. Om skålen trots allt innehöll bruna M&M:s förstod bandet att kravspecifikation inte hade följts till punkt och pricka och de tvingades gå igenom riggningen i detalj för att säkra installationen.

Mediesektorn får ursäkta, men samma IT-sårbarheter finns också inom de verkligt viktiga samhällsfunktionerna. Ukrainas kravspecifikation var uppenbarligen inte så detaljerad som Van Halens, vilket de fick uppleva under en kalldusch i december förra året, när ett IT-angrepp släckte ned hela landets elförsörjning. Ett angrepp som kanske kunnat undvikas om man i upphandlingsskedet haft en kravspecifikation med välutvecklade krav på säkerhet. Men Ukraina skiljer sig inte mycket från Sverige. En samhällskritisk aktör erbjöds nyligen, av en välkänd leverantör av signalsystem, en lösning som byggde på okrypterad trådlös kommunikation. Lösningen hade möjliggjort för vem som helst att kunna stänga ned all trafik, via en enkel mobil-app.

Det här är en artikel från IDG Opinion

Vill du också tycka till om något? Så här gör du.

Tack och lov upptäcktes problemet under upphandlingsprocessen, men man frågar sig på vilka andra ställen lösningen installerats? Om offerten accepterats hade det kunnat sluta i ett ”lyckat” projekt med ett osäkert resultat. Då handlar det inte om mediesajter som släcks under ett par timmar, utan en situation som i ett Ukraina-scenario hade kunnat ställt till problem av en helt annan skala.

Läs också: Ddos-attacker mot svenska medier – lång rad tidningar drabbade

Även om MSB från och med april kommer avtvinga svenska myndigheter att reaktivt rapportera om IT-incidenter som påverkar säkerheten, så är det än viktigare att arbeta proaktivt för att incidenterna inte ska inträffa från första början. I det här sammanhanget går det inte att tala om ”lyckade” projekt om de leder till oacceptabel risk. Vem skulle köpa en bil utan säkerhetsbälten?

Så innan IT-haveriet är ett faktum, prioritera säkerhetsfrågorna i samtliga IT-relaterade upphandlingar, inspireras av Van Halen och sluta upp med att köpa osäkra IT-system.

Bengt Berg
säkerhetsexpert på Cybercom