- ET HAVARI: Statsminister Stefan Löfven var åpen om feil på mandagens pressekonferanse om sikkerhetsbruddet fra Transportstyrelsen. Foto: Aftonbladet
- ET HAVARI: Statsminister Stefan Löfven var åpen om feil på mandagens pressekonferanse om sikkerhetsbruddet fra Transportstyrelsen. Foto: AftonbladetVis mer

Datasikkerhet:

Vi er uendelig naive

Skandalen rundt den svenske Transportstyrelsen er dessverre ikke så unik som den burde være.

Kommentar

Hvem må gå? Statsministeren Stefan Löfven, innenriksminister Anders Ygeman, forsvarsminister Peter Hultqvist og/eller infrastrukturminister Anna Johansson? Presset på den svenske regjeringen er hardt, brutalt – og fortjent. Gjennom omfattende outsourcing av tjenester har Transportstyrelsen latt utenlandske IT-konsulenter uten sikkerhetsklarering få tilgang til sikkerhetspolitisk avgjørende infrastruktur. Ansatte i IBM og selskapets elleve datterselskaper i Romania, Kroatia, Tsjekkia og Serbia har i verste fall undersøkt og lekket blant annet forsvarshemmeligheter, lister over skjulte identiteter og to av politiets hemmelige nettverk.

Dette er selvsagt informasjon av høyeste verdi for fremmede makter. Konsekvensene for rikets sikkerhet er potensielt alvorlige, og ennå uavklart. Sikkerhetshullet burde fått alle alarmklokker til å kime. Likevel så direktøren bort fra gjentatte advarsler fra Säkerhetspolisen, og statsrådene Ygeman og Hultqvist har visst om situasjonen i et helt år uten å fortelle det verken til statsministeren eller til ansvarlig statsråd Johansson. Riksdagen ble ikke informert, så opposisjonspartiene visste ingenting helt fram til Dagens Nyheter avslørte saken for en ukes tid siden.

Transportstyrelsen-direktør Maria Ågren måtte likevel gå av i januar, samtidig som statsministeren ble gjort kjent med situasjonen. Hennes forklaring er at unntak fra lovgivningen har vært vanlig, ja faktisk også normalen, for å få ting gjort raskt. I så fall er dette ikke «bare» et hendelig uhell, men derimot et grovt utslag av en ukultur.

Sikkerhetsbruddet er den mest alvorlige IT-skandalen vi har sett i Skandinavia så langt. Vi har likevel flere liknende eksempler. Den norske sikkerhetsloven skal beskytte forsvarshemmeligheter bedre enn det ser ut som tilsvarende lov gjør i Sverige, men heller ikke våre offentlige instanser makter å beskytte oss godt nok.

Til tross for sikkerhetslovens klare bestemmelse om at Nødnettet skal driftes fra Norge, satte som kjent Direktoratet for nødkommunikasjon ut driften til underleverandører som Motorola og Broadnett. Broadnett outsourcet igjen driften til det indiske IT-selskapet Tech Mahindra. Skandalen var et faktum da det ble kjent at indiske IT-arbeidere som ikke var sikkerhetsklarert hadde mulighet til å stenge ned deler av Nødnettet fra India.

Helse Sør-Østs tjenesteutsettelse av infrastruktur førte på sin side til manglende kontroll av sensitive pasientopplysninger. Gjennom outsourcing til Hewlett Packard Enterprise (HPE) fikk utenlandske IT-konsulenter fra land som Bulgaria og Malaysia muligheten til å logge seg inn på norske pasientjournaler. Statsråd Bent Høie måtte svare for Stortinget, og teknologidirektør Thomas Bagley måtte forlate jobben. Også her hjemme var det mediene som drev fram offentliggjøringen av saken, mens administrerende direktør Cathrine Lofthus gjentatte ganger ga mangelfull informasjon både til pressen og til ansvarlig statsråd.

Tillitsbrudd som disse, der offentlige myndigheter selv er ansvarlige for at sensitiv informasjon havner i gale hender, er svært alvorlige. En av de viktigste suksessfaktorene i de nordiske konsensusdemokratiene er vår sterke tillit til statlige myndigheter. Den krever kontinuerlig fornyelse. Samtidig er det viktig å se disse enkeltsakene som noe mer enn utslag av inkompetent ledelse. De er sterke eksempler på hvor galt det kan gå. Men de er først og fremst utslag av den manglende bevisstheten og uendelige naiviteten rundt datasikkerhet som kjennetegner både myndigheter, private bedrifter og den enkelte av oss.

Den neste krigen i Europa vil neppe starte med noen bakkeinvasjon, men med hybrid krigføring og målrettede dataangrep mot viktige samfunnsfunksjoner. Utenriksdepartementet, PST, Arbeiderpartiets stortingsgruppe og Forsvaret er bare noen eksempler på hvem som har blitt utsatt for fiendtlige dataangrep fra fremmed etterretning. Daglig utsettes norske bedrifter, institusjoner og enkeltpersoner for hundretusenvis av slike forsøk.

For halvannet år siden stengte russiske hackere strømforsyningen vest i Ukraina, midt under en snøstorm inn i julehøytida. Norske aviser som VG og Dagbladet har gjentatte ganger oppdaget norskspråklige kommentarer under våre saker, sporet til såkalte «trollfabrikker» i Russland. Og uavhengig av Trump-kampanjens eventuelle medvirkning, er det ingen tvil om at russiske myndigheter forsøkte å påvirke valget i USA.

Se til Sverige. Bli litt redd. Forhåpentligvis kan denne saken være en vekker. La oss, for en gangs skyld, lære av egne og andres feil. Kritisk sikkerhet kan ikke outsources.

Lik Dagbladet Meninger på Facebook