Opinion

”Myndigheterna ska ta sin roll och visa var gränsen går”

Carl-Johan Bostorp, IT-säkerhetsspecialist

SLUTREPLIK. MSB gav replik på förra veckans debattinlägg. Ett inlägg där jag kritiserade att de inte tog sitt ansvar utan bara sköt det vidare till leverantörerna. Vad jag ser så svarar dock inte repliken på min kritik, men man kan genom repliken ändå ana var våra djupaste skillnader ligger. Låt mig därför konkretisera dessa lite ytterligare, med början i en sann historia.

En mulen vinterdag i slutet av 2015 sätter sig en man framför sin dator. Hans avsikt: att knäcka säkerheten i bankens nya app. Ingen betalar honom för att göra det. Ingen har gett honom tillåtelse att göra det. Han gör det ändå. En stund senare har han hittat ett sätt att överföra pengar från vilket konto som helst, till vilket konto som helst.

Hur kunde han det? Svart magi? Nej. Faktum är att den grövsta bristen (flera brister fanns), var precis lika enkel som den som Reuters använde för 16 år sedan då de fick tag i Intentias kvartalsrapport dryga timmen innan den skulle släppas. Genom att rättframt ändra på olika nummer i anropet till servern så gick det att få ut vilka konton olika kunder hade. Ändra i anropet för överföringen var lika enkelt det – byt det egna kontonumret till något annat och utan närmre kontroll accepterades överföringen.

Nu var det ingen illasinnad hacker som gjorde detta, utan en välmenande indier bosatt i Göteborg. Han kontaktade banken och berättade om allt han hittat. Banken tackade, åtgärdade och stängde ärendet. Och mannen som hittat bristerna publicerade på sin blogg vad han hittat och hur han gått tillväga för att hitta det.

En detalj i blogginlägget gör den här händelsen särskilt relevant för MSB:s förslag till föreskrifter. Banken var certifierad enligt ISO27001. Banken hade alltså förutom att sätta upp arbetet enligt standarden, även blivit granskad av extern part som intygade att banken följde standarden. Alltså samma standard som MSB lovordar och menar ska resultera i att samhällsviktiga tjänster får den säkerhet som samhället behöver. Hade exemplet ovan stått ensamt hade det kanske varit sant. Men många fler exempel kan ges. Det finns nämligen inget i ISO27000-serien som just tvingar fram en verklig säkerhet. Standarden innehåller en lång radda vagheter på molnfri höjd som den som använder standarden ska ta ställning till hur den vill göra med. Inte olikt resten av MSB:s förslag på föreskrift som går i samma vaga linje.

MSB framhåller att riskanalyser ska göras av organisationen. Det håller jag med om. Men om organisationen ges fria tyglar att göra den riskanalysen hur de vill, på valfria grunder och med valfria deltagare vet jag hur resultatet från en sådan kan se ut. Det vet många av mina IT-säkerhetskollegor också. Och ifall MSB hade varit lite mer lyhörda skulle även MSB vetat det.

MSB ser på sin roll som stödjande. Även tillsynen betecknar de i det här fallet som stöd. Man kan undra om det är en eufemism på samma sätt som att organiserad brottslighet erbjuder ”beskydd”, men faktum är att jag tror att MSB genuint ser sig som ett stöd. Under många år har de nämligen profilerat sig för att ge myndigheter stöd och att främja samverkan. Och nu ser de sig som stöd till de organisationer som levererar samhällsviktiga tjänster.

Men NIS-direktivet finns inte till för att ge leverantörerna stöd. Det finns till för att leverantörernas intressen och samhällets intressen ibland går isär. Vill vi att samhällets intressen ska gå först kan vi därför inte låta leverantörerna så fritt avgöra hur risktagandet ska formas. Vi behöver istället att myndigheten som bestämmer vaknar till sin roll som samhällets representant och med tydlighet visar var gränsen går. Hellre förr än senare då omställningen kommer ta sin tid.

Carl-Johan Bostorp, IT-säkerhetsspecialist