Vid Nordiska Revisorskongressen i augusti i Göteborg ägnas en hel dag åt ämnet ADB-säkerhet. Detta är högst motiverat anser auktoriserade revisorn Lars Dykert, ordförande i FARs databehandlingskommitté.
Sårbarhets- och säkerhetsfrågorna i samband med ADB är mer aktuella än någonsin, bland annat beroende på den snabba utvecklingen på datakommunikationsområdet.
Revisorerna bör beakta företagens beroende av ADB vid granskningens inriktning och bör också kunna agera som rådgivare och påtryckare för förbättrad ADB-säkerhet.
Det är ingen tillfällighet att den ”svenska” dagen vid den Nordiska Revisorskongressen ägnas åt ADB-säkerhetsfrågor. I Sverige har säkerhetsfrågor i samband med ADB uppmärksammats relativt tidigt jämfört med andra länder. Orsakerna står bland annat att finna i den snabba datoriseringstakten i Sverige både inom den offentliga sektorn och i näringslivet. Redan 1979 konstaterade den statliga sårbarhetskommittén efter ett omfattande kartläggnings- och analysarbete att sårbarheten i det svenska samhället på grund av datoriseringen blivit oacceptabelt hög. År 1981 tillsatte regeringen den s k Sårbarhetsberedningen (SÅRB) med uppgift att verka för information och rådgivning om sårbarhet och säkerhet vid datorisering.
SÅRBs projekt
SÅRB har drivit ett antal projekt som bl a har behandlat problem med utslagen datorkapacitet, personrelaterade faktorer som beroende av ett fåtal nyckelpersoner, utlandsberoende, datakommunikation och ADB i kris- och krigslägen. Resultaten av projekten har redovisats i separata rapporter som bland annat behandlat ämnen som praktisk katastrofplanering, uppringda datorer, personal och säkerhet samt säkerhetskrav på datorer och operativsystem.
SÅRBs mest uppmärksammade projekt torde vara utvecklingen av den s k SBA-metoden, en metod för sårbarhetsanalys. Denna metod kan användas av myndigheter och företag för att analysera den egna sårbarheten på grund av datorisering. Metoden utvecklades i samarbete med Riksdataförbundet och har fått en omfattande praktisk användning inte minst inom näringslivet sedan den introducerades i september 1983. SBA-metoden har också mötts av internationellt intresse och översatts till norska, finska och engelska.
Slutrapport om sårbarhet
SÅRB slutförde sitt arbete i december 1985. I sin nyligen utgivna slutrapport konstaterar SÅRB att medvetandet om sårbarhetsproblemen och nödvändigheten att göra något åt dem är i dag bättre än för några år sedan. SÅRB är däremot i sin slutrapport tveksam till om den ökade medvetenheten hittills fått tillräckligt genomslag i form av konkreta åtgärder. På grund av den fortsatta datoriseringen finns mycket att göra för att utveckla och införa nya metoder för ADB-säkerhet. SÅRB konstaterar att system som i hög grad utnyttjar datakommunikation kräver särskild observans. Kryptering av överförd information utnyttjas idag i anmärkningsvärt liten omfattning. Behörigheten att få tillgång till data är ofta omfattande. En viktig iakttagelse som SÅRB också gjort är att säkerhetsaspekterna fortlöpande måste ingå i systemutvecklingsprocessen. Redan tidigt under systemplaneringen skall säkerhetskraven bedömas och kalkyleras. Komplexitets- och datakvalitetsfrågorna bör enligt SÅRBs mening bli föremål för ytterligare utredning och forskning. Det är troligt att SÅRBs arbete kommer att fortsätta i en särskilt tillsatt samrådsgrupp med representanter för stat, kommuner, landsting, industri och bankväsende. Avsikten är att samrådsgruppen skall ge information och förslag till åtgärder i sårbarhetsfrågor till den statsrådsgrupp för datafrågor som tagit över datadelegationens arbete. Det finns stor anledning för kåren auktoriserade och godkända revisorer att följa och påverka utvecklingen av god sed vad gäller ADB-säkerhet.
ADB-säkerhetsfrågorna centrala vid kongressen
Syftet med ADB-säkerhetsdagen vid kongressen är att belysa de möjligheter som finns att åstadkomma tillförlitliga datoriserade system både vid små och stora företag. Därför kommer företagsledare och datasäkerhetsexperter från industri, bank och försäkring i olika avsnitt att beskriva hur praktiskt ADB-säkerhetsarbete bedrivs. Den tidigare sekreteraren i
SÅRB, Göran Ledell, beskriver samhällets sårbarhet och presenterar erfarenheter av användning av SBA-metoden. Avsikten med dessa avsnitt om ADB-säkerhet är att ge gott underlag för en följande diskussion om revisorns roll i ADB-säkerhetsarbetet.
Revisorerna i ADB-säkerhetsarbetet
Den fortgående datoriseringen av verksamhet och system i företag och myndigheter påverkar självklart också revisorns arbete. En dag vid kongressen ägnas åt hur revisorn själv kan använda datorn i granskningsarbetet. Vad gäller ADB-säkerheten i de företag revisorn granskar finns det många beröringspunkter med fungerande intern kontroll. I revisorns uppgifter ingår, att granska redovisningskontrollerna d v s de kontroller i tillämpningssystem som syftar till att säkerställa en riktig och fullständig redovisning. I detta sammanhang är det viktigt för revisorn att skaffa sig en uppfattning om utformning av programmerade och manuella kontroller beaktats vid utveckling eller anskaffning av det aktuella systemet d v s om ADB-säkerhetsaspekter tillgodosetts. Vid granskningen av de administrativa kontrollerna i företaget granskar revisorn organisation och ansvars/arbetsfördelning vid användning av ADB. Revisorn kan vid denna granskning exempelvis upptäcka risker som företaget har för avbrott i datorverksamheten eller obehörig åtkomst till information, risker som ofta sammanhänger med bristfällig ADB-säkerhet. Givetvis ställer granskning av detta slag krav på allmänt ADB-kunnande hos revisorn. Det finns anledning att vid kongressen diskutera kompetens- och utbildningskrav på revisorn för att svara upp mot granskningsuppgifterna i den datoriserade företagsmiljön. Bland annat genom att revisorerna själva använder datoriserade system i administration och granskning.
Lars Dykert, auktor revisor, ordförande i FARs Databehandlingskommitté