11 april 2023

Riskabelt när offentliga organisationer tappar it-anslutning

Beroendet av it är större än någonsin. Samtidigt är säkerheten ofta låg i offentlig verksamhet. FOI-forskaren Henrik Karlzén har undersökt vad som händer när offentliga organisationer förlorar sina it-anslutningar och hur det går att minska konsekvenserna om det sker.

Nedsläckt modellstad.

Bilden är från Crate som är Sveriges nationella cyberanläggning för totalförsvaret. Crate finns på FOI i Linköping. Foto: FOI.

Nätverksstörningar kan få svåra och dyra konsekvenser. Inte minst offentliga organisationer har ofta ett omfattande beroende av externa anslutningar, samtidigt som det finns en stor hotbild och ofta brister i grundläggande it-säkerhet, enligt Henrik Karlzén som är forskare på FOI:s avdelning för cyberförsvar och ledningsteknik.

– När det gäller kommuner har de ofta inte en chef enbart för it-systemen, utan samma person kan också vara ansvarig för generell säkerhet, för att köpa in och utveckla it och så vidare. De har för mycket att göra, vilket beror på att it-säkerhet inte är så högt prioriterat. Samtidigt saknas det kompetens, säger Henrik Karlzén.

Han har på uppdrag av Justitiedepartementet skrivit rapporten It när de externa anslutningarna går ner – konsekvenser och reservalternativ i offentliga verksamheter där han går igenom vilka konsekvenser som kan drabba offentlig verksamhet om externa it-anslutningar går ner, och hur de kan minskas om det väl händer. Med externa anslutningar menas i rapporten främst internetuppkoppling.

Olika sorters hot

I rapporten går Henrik Karlzén igenom olika sorters hot mot datornätverks tillgänglighet. Hoten kan vara antagonistiska och avsiktliga, som vid överbelastningsattacker där en aktör gör mängder av anrop mot en dator eller server vilket får den att krascha. Ett annat exempel på antagonistiska hot är utpressningsprogram där en aktör infekterar en dator med skadlig kod som krypterar datorns filer, något som skedde för Kalix kommun 2021.

Hot mot datornätverk kan också uppkomma till följd av mänskliga felsteg. Det kan vara rena olyckor, som att en internetkabel råkar grävas av, eller att någon begår misstag när inställningar i nätverk eller routrar ändras. En tredje form av hot är naturkatastrofer som extremväder eller jordbävningar.

Konsekvenserna blir olika beroende på vilken verksamhet och vilket system som drabbas, konstaterar Henrik Karlzén. I rapporten tar han som exempel ett stort strömavbrott i Stockholm 2001. Det ledde bland annat till svårigheter att kommunicera för de lokala förvaltningarna när deras webbplatser gick ner. Att ett stort tidningstryckeri blev strömlöst gjorde även analog kommunikation svår.

Idag hade konsekvenserna blivit ännu större.

– Det allmänna it-beroendet har ökat. Människor skulle inte ha någon aning om vad de skulle göra, vart de skulle ringa eller gå, eftersom den informationen står på en webbsida som då också skulle ligga nere, säger Henrik Karlzén.

Molntjänster eller kurirer

När en it-anslutning går ner försöker man vanligtvis först att återställa den. Går inte det får man istället använda reservalternativ i form av en annan anslutning eller kommunikationsform.

Ett reservalternativ kan vara att anställda får jobba på distans mot molntjänster, som går att använda när interna servrar inte är tillgängliga. Separata myndighetsnätverk är ett annat alternativ. MSB driver nätverket SGSI, som är ett separat nätverk där offentliga organisationer bland annat kan dela information och skicka skyddad e-post.

– Molntjänster är lämpliga om det är en byggnad som förlorar sin externa it-anslutning, om elen försvinner till exempel. Då kan medarbetarna jobba hemifrån över molnet. Separata myndighetsnätverk är tänkta att vara mer oberoende av internet, de är ett alternativ i situationer där exempelvis blåljusmyndigheter ska kunna upprätthålla sin verksamhet, säger Henrik Karlzén.

– Men man måste komma ihåg att det här verkligen är reservalternativ, och inte förvänta sig en perfekt lösning.

Fungerar inte it eller radio över huvud taget kan fysisk kommunikation behöva användas, som att skicka kurirer eller sätta upp information på anslagstavlor.

Viktigast: En riskanalys

Oavsett vilket reservalternativ en organisation väljer så är det svårt att nå funktionell likhet med ordinarie nätverk utan att också drabbas av liknande hot, konstaterar Henrik Karlzén.

– Man vill ju gärna ha backupen lättillgänglig när det uppstår problem, så att man snabbt kan återställa systemet. Men samtidigt, om det brinner i lokalerna vill du inte ha backupen där så att den också förstörs vid samma tillfälle.

Lösningen kan vara att ha en backup nära och en lite längre bort. Men det gäller att inte snåla med backup och endast göra det automatiskt via nätverket, enligt Henrik Karlzén. Då riskerar backupen att drabbas av samma virus som det vanliga systemet vid en attack.

Rapporten ska fungera som krisberedskapsstöd till it-ansvariga och verksamhetsrepresentanter i offentliga organisationer. Henrik Karlzén hoppas särskilt att högre chefer kan få en ögonöppnare.

– It-säkerhetsexperter vet redan om detta. Den förståelsen behöver finnas även från chefshåll. Det är bekvämt att upphandla säkerhet av någon annan, men i en offentlig organisation måste du också tänka själv och göra en egen riskanalys. Det är det viktigaste.

FOI har också gett ut en rapport som kan fungera som ett konkret stöd till organisationer som vill analysera vilka risker man står inför vid bristande it-anslutningar, IT-system med externa anslutningar – metod för analys av verksamheters beroenden.

Läs den rapporten här

FOI forskar inom många områden inom totalförsvaret. Vi behöver fler ingenjörer och forskarutbildade — se våra lediga jobb på foi.se