29 January 2018

TRANSPORTSTYRELSEN EFTER IT-SKANDALEN - DETTA LÄRDE VI OSS

Sju månader har gått sedan skandalen kring Transport-styrelsens it-upphandling. EGN Magazine mötte Tobias Ander, ansvarig för informationssäkerheten på myndigheten, för att tala om de tuffa månaderna som gått och lärdomar man fått med sig.

Det var i april 2015 som IBM fick uppdraget att ta över Transportstyrelsens it-drift. När kalkylerna pekade på att arbetet skulle dra ut på tiden och därmed innebära stora extrakostnader, undertecknade dåvarande generaldirektör Maria Ågren att avsteg kunde göras från lagar som ska skydda känsliga uppgifter. Ett beslut som i slutändan ledde till både hennes och två ministrars avgång.

Läs informationssäkerhetsexperten Tobias Anders checklista på vad du inte får missa på jobbet.

I veckan lämnade Transportstyrelsen sin egen rapport av hanteringen av skyddsvärda uppgifter. Senast 31 januari presenteras den externa utredningen för Näringsdepartementet. Enligt nye generaldirektören Jonas Bjelfvenstam framkom inga direkta nyheter, men säkert är att informationssäkerhet alltid kommer att vara ett aktuellt ämne, även framöver.

Tobias Ander arbetar som ansvarig för informationssäkerheten på myndigheten. Han tillträdde sin tjänst 2012 för att etablera dess uppbyggnad, ett arbete som tagit nästan fem år att få på plats.

Berätta hur din roll ser ut som huvudansvarig för informationssäkerheten?
- Till skillnad från it-säkerheten, som rör de tekniska skyddsåtgärderna, innefattar ju informationssäkerheten i korta drag även de mer mjuka värdena, såsom rutiner, utbildning och kultur.  Jag leder och samordnar arbetet med att skydda myndighetens information, och ställer krav på verksamhetens olika delar hur de ska skydda sin information. Varje chef är ansvarig för att skydda sin information utifrån de metoder och processer som jag som informationssäkerhetsansvarig tar fram. Förutom att leda och samordna genomför jag även interna revisioner och granskningar av verksamheten så att beslutade regelverk följs, dessa rapporteras till myndighetens ledning.

Handen på hjärtat, hur har stämningen varit på er arbetsplats, och hur har ni mått under dessa enormt pressade månader?
- Ja, när något stort händer blir det ofta en tuff situation att arbeta i, och med det kommer det fram en del egenskaper hos individer man inte har sett förut. Mediadrevet som startades i somras var både spännande och tröttsamt. Vi hade inte tidigare upplevt något sådant och då media hela tiden pumpade ut ny information med varierande sanningshalt levde vi med ständigt höga stressnivåer. Speciellt roller som har med säkerhet att göra blev jagade av journalister. Det hände även att några medarbetare fick lämna sina hem under kortare perioder för att undgå drevet.

Hur sammanfattar du misstagen som gjordes och hur hade de kunnat undvikas?
- De stora huvudproblemen var att det nödvändiga grundarbetet inte gjordes färdigt, som att kartlägga vilken information som kommer att beröras, hur värdefull den är för verksamheten och hur den ska skyddas.
För det andra lyssnade man heller inte in den expertkompetens som finns inom myndigheten och följde inte de råd och tydliga synpunkter som lyftes.
Slutligen kan man säga att besluten som fattades inte alltid hade det helhetsperspektiv som behövdes. De problem som följde därefter var en konsekvens av dessa tre huvuddelar.

Vad är era stora lärdomar från denna period?
- I vårt fall var det just det grundliga arbetet som blev lidande, där huvudfrågorna inte blev tillräckligt viktiga: ”vilken typ av information kommer vi att hantera?” Denna fråga tillsammans med ”hur känslig är denna information?” är avgörande i alla beslut, vare sig det gäller outsourcing, organisationsförändringar eller vid en ny lokal. Oavsett storlek på myndighet eller företag, behöver informationssäkerhet bli en lika självklar och tidig fråga som ekonomin. Det handlar inte om att behöva bygga nya Fort Knox, men att ta ställning redan från början. Och det räcker inte med att rätt riktlinjer finns med i en projektmodell – det som är beslutat behöver följa med hela vägen ändå ut i verksamheten. Det sista jag vill nämna är vikten av att ha dokumenterade beslut och undvika ”korridorsbeslut” i avgörande frågor.

Du behöver ju ha ständig koll på utvecklingen inom området – vilka trender ser du att vi behöver vara alerta på?
- Den tydligaste trenden är att vi kopplar upp oss allt mer, med larm och olika elprodukter. Vad man som privatperson ofta inte tänker på är att säkerheten är mycket låg i dessa produkter. Ta glödlampan som exempel, som även nu allt oftare blir uppkopplad. Ett chip som man placerar i en glödlampa för att bli uppkopplad kostar som mest tio kronor. Därmed blir även säkerheten mycket låg. Som användare blir man därmed mycket sårbar för obehöriga personer som tar sig in via andra nätverk. En annan enkel inkörsport kan vara styrsystem för lokaler, som ventilation, som också kan blir sårbara vägar för inkräktare att ta sig in.

Är det att vara klarsynt eller lite paranoid att sätta kameraskydd på datorn och fundera på mobilmikrofonens risker?
- Personer i ledningsgrupper bör vara mer observanta på attacker på it-miljön i hemmamiljö, där en attack är mer aktuell. Det kommer alltid att finnas personer som drivs av ekonomiska skäl, men också av nyfikenhet, för att hitta nya sätt att infiltrera och bryta sig in som obehörig. Och som sagt, det blir tyvärr bara enklare med de ”uppkoppla mera-trender” vi har, att använda vägar som en dator eller mobil för den som vill skada och vet hur. Det gör att vi som arbetar med informationssäkerhet springer i ständig uppförsbacke. En utmaning som förstås gör mitt arbete fängslande och ständigt aktuellt.

 

Fotnot: Tobias Ander är med i EGN Sveriges nätverksgrupp för informationssäkerhetsansvariga för stora företag och organisationer och nås på www.linkedin.com/in/tobiasander . För mer info om EGN:s nätverksgrupper inom området, kontakta Ida Grandin på +46 70 260 46 16.

Följ oss på sociala medier