Sverige sårbart för IT-angrepp


Det finns känslig myndighetsinformation som går till e-postservrar i utlandet. Flera av dessa saknar kryptering vilket gör internetadresser lätta att kapa. Undersökning pekar på stora brister.

Hur samhällsviktiga organisationer i Sverige hanterar sin närvaro på internet har kartlagts. 800 centrala myndigheter, länsstyrelser, landsting, kommuner, medieföretag och andra samhällsviktiga organisationer granskades. Resultatet visar att fler än sex av tio sådana organisationer har brister i de funktioner som gör dem åtkomliga på internet.

Domäner och namnservrar utgör grunden för hela internets infrastruktur och det är i denna struktur som bristerna kartlagts. Anne-Marie Eklund Löwinder, kvalitets- och säkerhetschef på Stiftelsen för internetinfrastruktur säger:

– Resultatet är alarmerande. Nästan var fjärde organisation i undersökningen har allvarliga fel och hela 64 procent har sådana brister att vårt verktyg utfärdar varningar.

Hon syftar på ett specialutvecklat kontrollverktyg med vars hjälp en stor mängd öppet publicerad data samlats in och analyserats. 800 domäner fördelade på drygt 1 000 domännamnservrar (DNS) testades, många med viktiga verksamheter i samhället såsom centrala myndigheter, medieföretag och de största börsnoterade bolagen.

Undersökningen visar till exempel att 84 procent av de undersökta domänerna saknar digitalt källskydd. Det betyder att vem som helst kan kapa organisationens avsändaradresser. 75 procent av internetanvändarna har webbläsare som inte kan avgöra om de hamnat på rätt webbsida eller på en kopia som är till för att luras. Var tredje organisation har namnservrar som inte kommunicerar med andra namnservrar på rätt sätt och då blir IT-miljön instabil.

Stöd för e-postkryptering saknas hos tre av fem användare som alltså inte kan skydda sin verksamhet mot insyn. Hos sex av tio går all e-post via servrar som står i ett annat land.

– Det borde utfärdas fastare riktlinjer kring var samhällsviktiga informationssystem får placeras. Det är till exempel inte rimligt att känslig myndighetsinformation skickas via e-postservrar i utlandet. Det borde också ställas krav på att åtminstone de offentliga verksamheterna skyddar både webb och e-post, säger Svante Nygren, analytiker på Krisberedskapsmyndigheten.