Dan Larsson är informationssäkerhetsanalytiker på Försvarets Radioanstalt, FRA. Han har analyserat säkerheten hos svenska myndigheter och civila samhällsfunktioner i över 30 år.
– Alla vi som arbetar med säkerhet är bekymrade över situationen som råder idag, säger Dan Larsson.
I hans uppgifter ingår både att göra säkerhetsanalyser och föreläsa med syftet att öka säkerhetsmedvetandet hos myndighetens målgrupper. FRA har som uppgift från regeringen att stödja målgrupperna med tekniska analyser, i syfte att kartlägga vilka bristerna i den tekniska statusen är och presentera för verksamheten vilka konsekvenserna blir samt beskriva vad myndigheten bör göra. Allt under sträng sekretess.
– En sådan analys visar ofta att glappen mellan vad vi föreslår ska göras och det aktuella läget många gånger är oerhört stort. Orsaken till det stora säkerhetsglappet är ofta att verksamheten under lång tid underlåtit att göra säkerhetsuppdateringar i sina system och regelverk.
Utan att peka ut någon speciell institution pekar han på stora brister i till exempel sjukvården. Hans utgångspunkt är ofta vad som i värsta fall skulle kunna inträffa om en person med en viktig samhällsfunktion, till exempel ett statsråd, skulle hamna på sjukhus. Han oroas över säkerhetsläget inom medicinsk utrustning, samtidigt som han framhåller att sjukvården hela tiden blir bättre och gör en fantastiskt insats för att vårda.
– Min uppgift är att peka på vad konsekvenserna blir när något inträffar som trots nästintill försumbar sannolikhet ändå inträffar.
Han pekar på exempel som att pacemakers, dialyspumpar och viss cancerbehandling styrs via internet med stora säkerhetsbrister.
– Men värst av allt ur säkerhetsperspektiv inom sjukvården är den så kallade telemedicin med experter uppkopplade via internet.
Sammantaget visar hans analyser att sjukvården är mycket undermålig ur ett digitalt säkerhetsperspektiv. Samtidigt upprepar han att vården både räddar många liv och botar många sjukdomar.
– Jag är orolig över att teknik och säkerhet aldrig går hand i hand. Säkerhet kommer in för sent. Det gäller speciellt inom system och programutveckling.
I ett normalläge är det sällan något problem, men han efterlyser mer detaljerade planer för hur man ska hantera situationen när det inträffar något som inte ska eller kan inträffa.
Parallellt med sitt arbete som analytiker på FRA är han aktiv i olika standardiseringsorgan, både på europeisk och internationell nivå. Allt för att få med de svenska aspekterna på standardisering. Den senaste standarden han varit engagerad i är den nyligen antagna ISO 27037-standarden.
– Den specificerar processen för hur man ska säkra bevis när en incident har inträffat, så att de håller vid en rättslig prövning,
Han medger att begreppet informationssäkerhet tenderar att bli något mycket abstrakt.
– Det beror på att du aldrig kan mäta vad som har vunnits på arbetet du lagt ned på säkerhet.
Mot den här bakgrunden med stora säkerhetsbrister efterlyser han en mer samordnad diskussion om säkerhet mellan myndigheter.
– Idag är säkerhetsfrågor väldigt uppsplittrade mellan myndigheterna. Vi bör sluta drömma om en gemensam myndighet som hanterar säkerhetsfrågan, men vi måste ta tillvara våra resurser på ett smartare sätt.
Försvarets radioanstalt, FRA, svensk underrättelsetjänst som samlar in information från elektronisk kommunikation (signalspaning). Fram till 2009 fick FRA enbart avlyssna radiomeddelanden. Från 2009 har FRA även rätt att avlyssna meddelanden som sänds i kabel, alltså e-post, webbsidor, telefonsamtal och fax. Lagen röstades igenom i juni 2008.
Dessutom har FRA som uppgift från regeringen att stödja målgrupperna med tekniska analyser med syfte att kartlägga vilka bristerna i den tekniska statusen med syfte att kartlägga vilka bristerna är, presentera för verksamheten vilka konsekvenserna blir och beskriva vad myndigheten bör göra. Allt under sträng sekretess.
