Nationell IT-säkerhet

De senaste veckorna har två olika IT-säkerhetsfrågor debatterats friskt, dels transportstyrelsens kriminella molnupphandling, dels det felaktiga VMA-larmet i Stockholm, med efterföljande misslyckanden i kriskommunikationen och överbelastade webbsidor. 

Vad är det som fallerar och vad kan vi göra för att säkerställa en godtagbar nationell IT-säkerhet? Några enkla observationer: 

1. Säkra IT-lösningar kostar extra. Man måste vara villig att betala för att få god säkerhet. 
2. Det finns inte någon ersättning för fysisk säkerhet. Det spelar ingen roll vilken IT-lösning du har om du inte har koll på var servrarna står, varifrån strömmen kommer och vem som har fysisk access till serverhallarna. 
3. IT-säkerhet betraktas som ett abstrakt, obskyrt och närmast mystiskt specialområde, även inom IT-sfären. 
4. Små misstag kan ställa till med stor skada

Om man är (eller styr över) en stor organisation, t ex staten Sverige, måste man förenkla IT-säkerhetsfrågor så att alla verksamhetschefer förstår och klarar av att säkerställa en godtagbar säkerhet. Man måste tillhandahålla enkla förhållningsregler och lättanvända verktyg för att minimera risken för misstag och säkerhetsskador. 

Ett grundläggande verktyg som staten borde tillhandahålla alla myndigheter och kommuner, till sjukhus, skolor och andra viktiga samhällsaktörer är ett Televerket 2.0, en statligt garanterad leverantör av säkra IT-lösningar. Relevanta samhällsaktörer kan då förväntas använda säkrade IT-lösningar, möjligen i olika grad beroende på typ av verksamhet. Lämpligen handlar det åtminstone om säker arkivering av data och driftsäker hemsida som tål högtrafik och har rimligt skydd mot IT-attacker. Förmodligen är det en bra idé att införa någon form av schablonkostnad för Televerket 2.0s tjänster för att ta bort möjligheten för blandade myndigheter och verk att gå i fällan att vilja spara bort säkerheten. 

"Det kommer ju att bli jättedyrt ju!" kommer många säga. Ja, precis så är det. Säkra IT-lösningar kostar extra. Och om det är någon som undrar så är det precis så IT-säkerhet löses på stora företag. Endast den centralt tillhandahållna IT-lösningen är accepteras. I mångt och mycket har outsourcingtrenden vänt. Centrala IT-funktioner ägs av företaget självt och servrarna står på mark som företaget äger (även om man hyr alla normala kontorslokaler...). 

Och varför det är korkat att hävda att det är bättre att myndigheter vänder sig till  en kommersiell molntjänstleverantör framgår med all önskvärd tydlighet av medierapporteringen om transportstyrelsens molnupphandlingshaveri. DN. Cornucopia.