Samhälle Krönika
Hög tid att uppdatera it-säkerhetspolitiken
Sommarens uppmärksammade it-attacker blottar det högteknologiska samhällets sårbarhet. För att komma till rätta med problemet måste ett antal intressekonflikter mellan allmänheten och de säkerhetsansvariga myndigheterna ses över, skriver Erik Lakomaa.
Under sommaren som gick skedde flera uppmärksammade it-attacker. I början av juli utsattes en underleverantör till Coop av en utpressningstrojanattack som stängde många av kedjans butiker i Sverige – något som ledde till hundratals miljoner i förlorade intäkter.
Senare samma månad avslöjades via en läcka till Amnesty att en trojan som sålts av övervakningsföretaget NSO Group använts av en rad stater för att spionera på oppositionsgrupper och journalister. Även om det mest uppmärksammade avslöjandet var att Saudiarabien avlyssnat hustrun till senare mördade journalisten Jamal Khashoggi hade en rad andra stater, däribland Azerbaijan, Bahrain, Indien, Kazakstan, Mexiko, Marocko, Rwanda och Ungern, också använt trojanen. Frankrikes president Emmanuel Macron hörde också till dem som fått sin telefon avlyssnad, även om det där var oklart av vem.
Det är inte anmärkningsvärt att dylikt sker. Kriminella kommer om de kan begå brott, och stater försöka avlyssna. Det anmärkningsvärda är att det inte gjorts mer för att minska riskerna – för det går.
För myndigheter som FRA och MSB, liksom för Polisen, kan det finnas skäl att hemlighålla sårbarheter.
De flesta it-attacker förutsätter att det finns sårbarheter att utnyttja för intrången. Inom it-säkerhet är guldstandarden att publicera och patcha sårbarheter. Samma guldstandard gäller rapportering av dataläckor. Om de som drabbats snabbt får reda på att en läcka skett får de möjlighet att byta lösenord, spärra kreditkort och liknande – och därigenom kan skadorna minskas.
När det gäller intrång och dataläckor har Sverige dock valt motsatt linje. MSB förordar exempelvis att sådana ska hemlighållas – för att inte de som gjort intrången ska veta att de lyckats och för att inte avslöja metoder. Vi har också gett myndigheter med i relation till allmänheten ibland motsatta intressen ansvaret för it-säkerhet i Sverige: FRA och MSB. För myndigheter som dessa, liksom för Polisen, kan det finnas skäl att hemlighålla sårbarheter och att samarbeta med företag som NSO Group. (Om så skett vill de svenska myndigheterna inte svara på när SVT frågar.)
NSO Group säger själva att deras hackningsverktyg och trojaner endast får användas för att komma åt grova brottslingar och terrorister och att de alltid arbetar “för att dess teknik ska rädda liv och skydda mot hot från terrorism, grov brottslighet och epidemier”. Saudiarabien räknade sannolikt Khashoggi som lovligt byte. Vi andra gör det inte.
Man får i sammanhanget inte glömma att när en svensk myndighet låter bli att rapportera en upptäckt sårbarhet (kanske i syfte att i framtiden kunna använda den för att försöka komma åt en gängkriminells telefon) innebär det att kriminella eller statsaktörer (eller företag som samarbetar med sådana) kan fortsätta använda denna sårbarhet för att begå brott eller spionera på exempelvis journalister eller människorättsaktivister. Sårbarheterna känner inga gränser och det går inte att reservera en intrångsvektor för svenska myndigheter.
Det innebär också att även den som tycker att risken för att själv råka ut för nätbedrägerier eller utpressningstrojaner är värd att ta, om det kan öka sannolikheten att svensk polis kommer åt brottslingars datorer, bör vara medveten om att en sårbarhet som inte rapporteras kan användas av säkerhetstjänsten i Iran för att förfölja oppositionella eller journalister.
Dessa frågor är för viktiga för att överlåta åt myndigheter. Det vore också direkt fel att överlåta åt exempelvis Polisen att själva väga möjligheten att lättare komma åt innehållet i en misstänkts dator eller telefon mot risken att en regimkritiker i Iran eller homosexuell i Uganda spåras upp och mördas av regimen. Det är ett politiskt ansvar.
Avvägningen mellan avlyssningsmöjlighet och intrångsrisk är för viktig för att överlåta åt myndigheter. Det är ett politiskt ansvar.
Vad som bör göras dessutom tämligen uppenbart. Förutom att införa ett system där företag och myndigheter åläggs att rapportera intrång och sårbarheter bör begränsningar läggas på exempelvis Polisens användning av trojaner. Om sådana används bör krav ställas på att rapportera vilken intrångsvektor som används. Genom att ställa krav på offentliggörande begränsar man risken både för överanvändning (offentliggörande innebär ju att en sårbarhet inte kan återanvändas) och minskar skadorna för tredje man. Myndigheten bör även åläggas att stå för tredjemansskador. Inget av detta är kontroversiellt, och det var också något som en rad remissinstanser krävde inför beslutet om hemlig dataavläsning – men som regering och riksdag valde att bortse ifrån. Polisen och andra myndigheter bör även förbjudas att köpa sårbarheter eller på annat sätt ekonomiskt gynna grupper eller företag (som NSO Group) som även gör affärer med kriminella eller diktaturstater.
I samband med attacken mot Coop sade försvarsminister Hultqvist att denna visar på samhällets sårbarhet för it-attacker. Det hade han rätt i. Det går emellertid att minska risken. Men då krävs en total omläggning av it-säkerhetspolitiken i Sverige.