Att datasäkerhet tas med i IT4-programmet som ska stärka Sveriges konkurrenskraft kan ses som en markering av frågans betydelse från regeringens sida, säger Dan André, kanslichef på IT-delegationen.
IT4-programmet ska bl.a. hjälpa industrin att utveckla bra metoder för datasäkerhet. Men det behövs också höjd medvetenhet, och där kan revisorerna komma att få en nyckelroll.
–Revisorernas kompetens är oumbärlig, säger Ingvar Åkersten, expert vid Försvarets Forskningsanstalt, FOA.
Ett bankrån i USA ger i genomsnitt 5.000 dollar. Ett genomsnittligt databrott ger 500.000 dollar. Den nya tidens brottsling sitter allt oftare bakom en terminal eller en persondator. Han knäcker säkerhetskoder och stjäl lösenord för att ta sig in i ett datorsystem, och väl därinne kan han börja manipulera med informationen till sin fördel. Hemligheter kan avslöjas eller säljas. Penningströmmar kan avtappas och styras mot utländska bankkonton. Han kan också placera ut ”Trojanska hästar”, datorprogram som ställts in för att vid ett visst tillfälle förstöra ett datorsystem.
Skralt med datasäkerhet
Datasäkerhet är ett honnörsord, men det förhindrar inte att det är skralt med den verkliga datasäkerheten, till och med i de mest avancerade systemen. Västtyska ”hackers” lyckades förra året ta sig in i Pentagons datorsystem och i julas plågades det amerikanska datorföretaget IBM av ett ”datavirus” (ett program som duplicerar sig självt och sprider sig likt ett virus) som slutligen framtvingade en tillfällig stängning av IBMs internationella datanät (som sträcker sig över 145 länder!).
Ingvar Åkersten, på Försvarets Forskningsanstalt FOA, som är engagerad i IT4-programmet beskriver säkerheten i dagens datorsystem med följande liknelse:
– Man har en ganska dålig portkod och när man väl har passerat ytterporten är man inne i ett kontorslandskap och därinne finns det skärmar som till nöds avskärmar arbetsutrymmena mellan olika människor, men man har egentligen inga låsbara utrymmen för känsligt material man arbetar med. Och även om man har egna tjänsterum så kanske man inte kan låsa sina säkerhetsskåp, eller så ser säkerhetsskåpen bra ut tills man tittar bakom dem och finner att de inte har någon bakvägg. All information går med andra ord att ta till sig för den som är lite nyfiken.
Om man tror att man är säker när man skriver in en känslig text på sin ordbehandlare bedrar man sig.
Händig kan gå in
– Det är fritt fram för den som är lite händig att gå in och läsa igenom allt som finns på massminnet och lika lätt är det att gå in och läsa på primärminnet under pågående session, säger Ingvar Åkersten. (Massminnet, d.v.s. ett dataminne med stor lagringskapacitet, är ofta en enhet som delas av ett stort antal persondatorer eller terminaler. Primärminnet är det datorminne som användes under själva inskrivningen av en text. För att spara en text även sedan datorn stängts av använder man s.k. sekundärminnen, t.ex. disketter, hårddiskar, skivpackar och databand. Massminne är ett sådant med hög kapacitet.)
Så länge datorsystemen bestod av några få stora datorer instängda i välbevakade datorcentraler dit blott få vanliga dödliga ägde tillträde var datasäkerhet en relativt okomplicerad fråga, men i dagens värld av 10-tals miljoner datorer utspridda över snart sagt hela världen och allt oftare sammanknutna i elektroniska kommunikationsnät, har datasäkerhet blivit såväl mer avgörande som svårare att uppnå. Det gäller inte minst för Sverige som kommit långt i datoriseringen av förvaltningen både på den privata och offentliga sidan. Datasäkerhet har därför också tagits med i det s.k. IT4-programmet som ingår i det Nationella Informationsteknikprogram som regeringen lade fram 1987 för att stärka vår konkurrenskraft. IT4 är en treårig miljardsatsning på industriell utveckling där regeringen och näringslivet skjuter till hälften var.
DETTA ÄR IT4
I den näringspolitiska propositionen 1987/88:74 lade industriministern fram ett nationellt program för informationsteknologi – IT. Programmet är indelat i tre delar: mikroelektronik, teknisk-industriellt IT-program och insatser i fråga om användningen av IT. Varje sådan del sönderfaller i utbildningsåtgärder, grundforskning, målforskning och industriell utveckling.
Det som kallats IT4 är det teknisk-industriella IT-programmet till den del det avser industriell utveckling.
För att genomföra 1T4 har regeringen tillsatt Delegationen för industriell utveckling inom informationsteknologiområdet (IT-delegationen) med fem ledamöter från staten och fem från industrin. Ett särskilt kansli har inrättats. Syftet med IT4 är att ”vidmakthålla och stärka den informationsteknologiska kompetensen och att härigenom minska vårt beroende av omvärlden på detta område samt att främja en god användning av informationsteknologin”. För budgetåren fram till 1990 står sammanlagt 495 Mkr av statliga medel till förfogande. Det förutsätts att minst samma belopp tillskjuts från privat håll.
Markering av betydelsen
Dan André är kanslichef för IT4 inom regeringens IT-delegation. Han säger att det faktum att datasäkerhet togs med i IT4 kan ses som en markering från regeringens sida av frågans betydelse.
Det finns enligt Dan André ett stort intresse från myndigheter och företag för gemensamma insatser för att förbättra datasäkerheten.
– Vi vill att man inom alla områden, programvara och hårdvara, beaktar datasäkerhetsaspekterna, säger han. Det handlar inte bara om att utveckla nya tekniker för datasäkerhet, utan också om att i samtliga de områden IT4 arbetar med lyfta fram datasäkerheten.
Ett problem som Ingvar Åkersten hoppas IT4 ska kunna hjälpa till att lösa är hur man undviker att lagverket urholkas som ett resultat av den datatekniska utvecklingen.
Många av de förvaltningsjuridiska regler som utvecklats för att motverka oegentligheter och bedrägerier kan vara svåra att använda i den nya elektroniska miljön.
En sådan säkerhetspraxis som att kontrasignera en utbetalningsorder är problematisk när ordern bara finns på en bildskärm som ett elektroniskt meddelande.
– Om man inom det nationella informationsteknikprogrammet (IT-programmet) kan vidareutveckla tekniken så att det går att upprätthålla lagar och förordningar är det bra, säger Ingvar Åkersten.
– Naturligtvis har jag inget emot att krångliga och svårtolkade lagar ändras, men man ska inte försvaga dem bara därför att tekniken inte klarar att de upprätthålls i en ny miljö, säger han.
Ökad medvetenhet
Det finns en rad olika tekniker under utveckling som ligger nära till hands här och som säkert kommer att ingå i olika IT4-projekt. Smarta kort (d.v.s. plastkort, med inbyggda mikroprocessorer) och s.k. expertsystem som analyserar försök att komma in i ett datorsystem är två exempel. Men minst lika viktig som nya tekniska knep är ökad medvetenhet, vilket också slås fast i den plan för IT4-projektet som lagts fram av IT-delegationen.
Alltför ofta stannar insikten om datasäkerhetens betydelse på ett allmänt plan. Ur individens synvinkel kan det verka perifert, men den som av sin arbetsgivare åläggs en arbetsuppgift med enskilt ansvar, bör kräva att det är praktiskt möjligt att leva upp till detta.
– Om det är möjligt för utomstående att utan spår av intrång infiltrera mitt ansvarsområde och vidta manipulationer kanske jag blir beskylld för oegentligheter, utan att jag på ett juridiskt bindande sätt kan hävda min oskuld. Å andra sidan kan inte arbetsgivaren bevisa min skuld, men där kommer ord att stå emot ord och vems ord som då blir gällande kan vara en fråga om hur en juridisk instans bedömer parternas trovärdighet, säger Ingvar Åkersten.
Garanti för ansvar
En liknande aspekt kan läggas på ett företag i sin helhet. Ingvar Åkersten tar en revisionsbyrå som exempel:
– För att ett företag ska kunna lita på en revisionsbyrå som får ta del av mycket känslig information måste de ha garantier för att revisionsbyrån inte hanterar den på ett oansvarigt sätt. Om vissa delar av den här revisionen görs med IT-understöd, måste den vara pålitlig. Om företagets verksamhet i väsentliga delar understöds av IT vill revisorerna ha en garanti för att det de reviderar återspeglar verkligheten och inte har förändrats.
– Det här gör revisorerna till en mycket väsentlig kraft i samhället, fortsätter han.
– Revisorernas kompetens är oumbärlig. De har en roll där de i egenskap av kontrollorgan måste veta att det de kontrollerar är korrekt och att deras egna kontrollåtgärder är okränkbara, d.v.s. att de inte vidarebefordrar någonting till omvärlden av det de tar del av. De har dessutom en sakkunskap på det här området.
Produkter saknas
Bristande säkerhet behöver dock inte bero på bristande medvetenhet hos anställda och företagsledare. Problemet kan vara att det inte finns praktiska och bra produkter för att uppnå godtagbar säkerhet. Enligt Ingvar Åkersten säger datorleverantörerna att det saknas efterfrågan på sådana produkter och att det är skälet till att de inte tillverkas.
Det motiverar att staten går in och stöder industrin i utvecklingen av datasäkerheten.
– Det är bara genom att gå samman man kan lösa de här problemen, säger Ingvar Åkersten.
Rune Brandinger, VD för Södra Skogsägarna och ordförande i en datasäkerhetsgrupp inom Industriförbundet, tror att hela näringslivet kan komma att få nytta av nya metoder för säkerhet utvecklade med hjälp av IT4.
– Det finns bra metoder för analys av sårbarhet, men det räcker inte med att analysera, man måste göra något åt saken, säger han och påpekar att vi har brist på program och lämplig maskinvara för detta.
– Just nu är det mest medvetenheten som behöver väckas till liv. Det är förbluffande hur lungnt näringslivet tar det här, säger han.
Inte mer byråkrati
Alla är dock inte lika entusiastiska för IT4. Inom bankvärlden har man redan på egen hand ett långt drivet samarbete om datasäkerhet.
– Jag tror på branschvis samarbete, för där har man likartade problem och lösningar, säger Bo Gunnarsson på Svenska Bankföreningen med en uttalad skepsis mot IT4 på detta område.
Han påpekar också att det redan finns organisationer och projekt som jobbar med dessa frågor. Bankerna har kommit överens om att undanta säkerhetsfrågan från konkurrensen.
– Vi måste akta oss för att skapa mer byråkrati, varnar Bo Gunnarsson.
Hans Sandberg