Opinion

”Efter attacken mot Bank-id – Sverige måste ha en it-haverikommission”

Niels Paarup-Petersen (C). Foto: Riksdagen
Rickard Nordin, Centerpartiet Foto: Riksdagen/Pressbild
Bankid har utsatts för en ddos-attack. Arkivbild. Foto: Fredrik Persson/TT

DEBATT. Bank-id:s de facto monopol gör Sverige extremt känsligt för attacker mot en specifik tjänst, skriver Niels Paarup-Petersen och Rickard Nordin (C).

Bank-id hade under tisdagskvällen stora störningar i sin tjänst. Banker, vårdtjänster, försäkringskassan, köp på hemsidor och via Swish samt många andra viktiga digitala samhällsfunktioner slutade fungera eller blev oerhört långsamma.

Anledningen till störningarna var en överbelastningsattack, en så kallad DDOS attack. En attack som bygger på att en aktör har tagit över datorer på alla möjliga ställen på nätet och skickar samtidiga förfrågningar från alla enheter till samma tjänst på en och samma gång. Det kan vara att någon har tagit över din webbkamera, din espressomaskin, din dator eller någon annan pryl som är uppkopplat på nätet och använder denna till attacken tillsammans med tusentals andra enheter.

Överbelastningsattacker är ett vanligt förekommande och ökande hot på internet. Alla kritiska system byggs – eller bör byggas – för att kunna motstå överbelastningsattacker. Men i slutänden handlar det om hur stor attack systemen är byggda för att kunna motstå. Och det kan konstateras att Bank-id inte kunde hantera den attack som nu skedde.

Bankid har utsatts för en ddos-attack. Arkivbild. Foto: Fredrik Persson/TT

Detta är inte första gången kritiska digitala tjänster i Sverige har störts ut av överbelastningsattacker. För fem år sedan slogs tex flera av de största mediesajterna ut av en liknande attack.

Att det är möjligt att slå ut Bank-id och därmed alla Sveriges digitala betal- och samhällstjänster med en överbelastningsattack är skrämmande och bör vara en väckarklocka för regeringen. Att företaget bakom Bank-id säger att det är något alla på den digitala arenan utsätts för är inte på långa vägar ett acceptabelt svar. Även om de har rätt. För det räcker inte att veta att attacker kommer hända. Vi måste också kunna svara mot dom.

Viktiga samhällstjänster som Bank-id måste ha bättre it-skydd än det vi har sett denna veckan. Därför vill Centerpartiet peka på tydliga förslag för att stärka säkerheten i Sveriges samhällskritiska digitala system.

Centerpartiet har länge krävt en it-haverikommission för just sådana tillfällen där samhällskritiska system brister så att lärdomar av bristerna förs ut till andra system. Hade vi haft det på plats skulle gårdagens attack mot Bank-id resultera i rekommendationer till inte bara Bank-id utan även andra system om vad de ska göra för att inte vara lika lättpåverkat som Bank-id visade sig vara. Alla Sveriges kritiska system skulle kunna bli starkare i stället för att det nu sannolikt enbart lär bli Bank-id:s eget system som stärks som konsekvens av attacken.

Alla offentliga och för samhället kritiska system måste också kunna hantera flera e-legitimationer. I dag har Bank-id i praktiken monopol. Och stora myndigheter har motarbetat införandet av alternativa e-legitimationer. Till exempel kan en vanlig medborgare enbart logga in på Försäkringskassan med Bank-id trots att alternativa tjänster finns. Har man Telia ID via jobbet kan det också användas på datorn men våra samhällskritiska tjänster ska självklart fungera oavsett var du jobbar.

Bank-id:s de facto monopol gör Sverige extremt känsligt för attacker mot en specifik tjänst. Både vid störningar som det vi såg igår men än mer vid intrång eller i värsta fall om en antagonist skulle lyckas installera en trojan i Bank-id. Ofta används tex överbelastningsattacker för att komma in i de system som attackeras medan alla är upptagna av att hantera attacken.

Från Centerpartiets sida har vi krävt operatören Finansiell ID-Teknik, som driver Bank-id, samt MSB och PTS till riksdagen. Vi vill få svar på hur det kan vara möjligt att samhällskritisk digital infrastruktur har så låg it-säkerhet att en klassisk överbelastningsattack kan stoppa tjänsten från att fungera. Och få veta hur de tänker agera för att förbättra situationen. Både kortsiktigt och långsiktigt.

För låt oss vara ärliga. Just nu vilar vår tillgång till våra digitala välfärdstjänster och betalningar i händerna på ett bankmonopol som inte kunde stå emot en av de mest vanligt förekommande hot på nätet.

Det borde inte bara Centerpartiet vara orolig över.

Niels Paarup-Petersen (C), talesperson digitala frågor

Rickard Nordin (C), vikarierande ekonomisk-politisk talesperson