It-attackerna mot myndigheter har ökat kraftigt det senaste halvåret. I våras utsattes till exempel Estland för it-krigföring och efter kontroversen kring Lars Vilks rondellhund har det skett angrepp mot svenska webbplatser. Men det är långt kvar innan svenska myndigheter kan leva upp till kraven på informationssäkerhet.

Det hävdar Dan Larsson, nationell incidenthanteringssamordnare på Försvarets radioanstalt, FRA, och Roland Heickerö, forskningsledare inom försvarsanalys och adjungerad professor på Totalförsvarets forskningsinstitut, FOI.

De båda kräver att varje svensk myndighet visar att den tar frågan på allvar och utser en informationssäkerhetssamordnare, högt upp i hierarkin och direkt underställd generaldirektören.

– Nio av tio myndigheter har inte gjort den erforderliga analysen, säger Dan Larsson.

– Regelverken för en statlig myndighet säger att man är skyldig att göra en analys av informationssäkerheten en gång per år. Men det är luddigt vad den ska innehålla.

Det räcker med en känslig punkt för att ett intrång eller annan typ av attack ska få förödande konsekvenser eftersom integritetskänslig och samhällskritisk information sprids från myndighet till myndighet.

Redan i dag har många myndigheter en person utsedd som ska ansvara för informationssäkerhet, men inte sällan är det någon på it-avdelningen med fokus på den rent tekniska säkerheten.

För att ta ett riktigt grepp om informationssäkerheten måste rollen vara direkt underställd generaldirektören, anser Roland Heickerö.

– Det vi pratar om är en chefstjänst och vi skiljer mellan informationssäkerhetsansvar och it-säkerhetsansvar. Det här är en bredare uppgift som också kan relateras till hur man hanterar information och vilket budskap man ger utåt, säger han.

It-krigföring och politiskt motiverade attacker mot ett lands it-infrastruktur har vuxit fram som ett nytt hot och skiljer sig helt från militära hot med traditionella vapen.

– Det här är ett billigt sätt att föra krig på och det är assymetriskt. Den på papperet svagare parten kan åsamka den starkare stor skada. Dessutom är det möjligt att göra det anonymt. Det är lite av ett fattigmansvapen, säger Roland Heickerö.

It-säkerheten i svenska myndigheter fick tidigare i år utstå hård kritik när Riksrevisionen presenterade resultatet av en två år lång undersökning. Knappt någonting hade förbättrats under tiden utredningen pågick. Myndigheterna har inte följt upp sitt arbete och har inte använt sig av den tillgängliga experthjälpen, hette det när rapporten presenterades.

Fakta

I våras utsattes både myndigheter och privata företag i Estland för stora överbelastningsattacker efter en kontroversiell flytt av ett ryskt monument. Attackerna ses av många som det första exemplet på ett it-krig riktat mot ett helt land.

Sedan Lars Vilks teckning av en rondellhund i form av profeten Muhammed publicerades i svensks tidningar har attacker riktats mot svenska webbplatser och webbhotell, både i form av överbelastnings­attacker och intrångsförsök. Omfattningen har dock varit betydligt mindre än attackerna mot Estland.

Bland andra IDG och ett 20-tal skolhemsidor i Jönköping drabbades.

Flera av attackerna har spårats till Turkiet och många av budskapen som lagts upp på de hackade webbplatserna har varit skrivna på turkiska.