Höjden av naivitet: att annonsera efter experter på cybersäkerhet (uppdaterad; inte bara en rolig historia)

november 30, 2023

Höjden av naivitet: att annonsera efter experter på cybersäkerhet (uppdaterad; inte bara en rolig historia)

Staten har gjort en stor sak av att Sverige behöver bli bättre på cybersäkerhet. Därför annonserar i princip alla myndigheter efter experter på cybersäkerhet. Förmodligen har tankegången gått så här:

- Fanken, nu fungerar inte datorerna igen. Jag fattar inte när detta ska ta slut. Birgitta, vad tror du?

- Jag vet inte, Lars. Jag har bara ett ansikte på min dator, där någon ber om Bitcoin, sedan står något på ryska eller kanske koreanska. Förresten, är du sugen på en kopp kaffe? Klockan är snart nio. Fikadags!

- Vi borde verkligen komma till rätta med detta. Vem ska vi tala med? Jag kommer inte förbi den där telefonkön till en handläggare.... Har du köpt fikabröd?

- Ja, men inte bröd, utan biskvier! Mindre kalorier än vetelängder!

- Ok. Vänta, nu ringer någon? Hej? Ja, det är jag! Bank-id? Ok...Nu? Ja, då gör vi det! Sådär, nu har jag identifierat mig. Är det bra så? Ok, tack så mycket. Ha en bra dag!

- Lars, dra inte fötterna efter dig, vi andra är redan på väg!

- Jaja, jag ska bara skriva klart den här rekryteringsannonsen. Vi får se om vi kan anställa någon som kan hjälpa oss att styra upp detta.

Skämt åsido, när så mycket av ett samhälle är kritiskt beroende av digital infrastruktur som den är i Sverige, är cybersäkerhetsexperter en klass av individer som inte kan rekryteras utifrån. Förhoppningsvis har staten, främst försvarsmakten och SÄPO, lärt sig något av haveriet i Transportstyrelsen som inträffade under 2017.

Källa: Wikipedia

Cybersäkerhet måste upprättas med egna medel, genom i) att viss information inte hanteras i systemen, samt ii) att individer med rätt kompetens är tillförlitliga. Denna sistnämnda egenskap upprätthålls genom att rekrytering sker i tillförlitliga nätverk, och inte genom att annonsera på internet! Dessa tjänster ska inte utlysas, för de röjer behovet för allmänheten och främmande makt. Detta missförstås ofta av lekmän, utan sakkompetens. Det är lätt att hamna i en naiv tro på att det öppna samhället (för att använda en term av Karl Popper) är en samhällsmodell som fungerar för Sverige. Nej, det gör den tyvärr inte, varken att döma av hur mycket reell makt svenskar har över sitt eget land (en utveckling som förutsägbart har erfarit en politisk motreaktion), eller sina IT-system.

Jag hade en intressant diskussion med en IT-ansvarig chef för ett statlig arbetsplats med åtskilliga tusen anställda för något år sedan. Det var alltså det högsta befälet angående IT-relaterad säkerhet. Microsoft kom på tal, då företaget erfor mycket stora allvarliga säkerhetsincidenter under den senaste åren: Solarwinds under 2020 (ComputerSweden.idg.se), och läckt källkod till molntjänsten Azure och e-posttjänsten Exchange 2021 (Techworld.idg.se). (Kommer ni ihåg distansarbetet under Corona? Jo, tydligen passade "skurkarna" på att knäcka hela internet då!) IT-chefen försvarade Microsoft ungefär i dessa termer: "Alltså, Microsoft har 18 tusen programmerare, som arbetar med att uppdatera applikationerna. Vi har inte tillgång till något annat företag som kan göra detta bättre." Så kan det vara, men det innebär inte för den sakens skull att det är säkert, eller önskvärt att använda. Kina kan ha 18 miljoner programmerare, vars enda uppgift är att hacka Microsoft, och sedan 18 miljoner till, i statlig tjänst, och vi skulle förmodligen aldrig ens får reda på det (precis, så stort är Kina, med sina 1,4 miljarder invånare). Jag gillar Microsoft (Excel är fantastiskt), men detta är ovidkommande!

Källa: Bloomberg

Redan 2016 kom det signaler kring att Kina hade infiltrerat logistikkedjor för hårdvara, inklusive för militära ändamål (se ovan). Detta är svårt att förstå för människor som inte arbetar med detta professionellt. Kineserna infiltrerade självaste försvarsmakterna på hårdvarunivå! Ett sådant här kapitalt misslyckande med avseende på säkerhet går inte att åstadkomma utan att man har befordrat slapphänta malajer till mycket höga poster. I Västs fall (giltigt i dubbel bemärkelse) har girighet, lättja och lycksökande haft sin beskärda del, som förklaring till varför denna sårbarhet tilläts: IBM sålde till och med serverdivision till kinesiska Lenovo av egen fri vilja för 2,3 miljarder dollar, år 2014 (Computersweden.idg.se). Servrar, som utgör ryggraden i internet, avyttrades villigt, och därefter följde resten.

Vad innebär detta för Sverige? Jo, att vi kommer oundvikligen till en punkt där vi kopplar bort dessa systemkritiska IT-baserade tjänster (energi, finans, rättsväsende) från omvärlden, precis som kineserna har gjort (försök att betala med utländsk valuta i Kina, nästa gång du reser dit. Jag önskar dig lycka till!) Det finns individer som nyktert kan bedöma situationen, och de åtgärder som behöver vidtas för att värna Sverige, och sedan finns det drömmare, som inte gör det. Om Sverige vill kan vi fortsätta att lyssna på drömmarna, men då riskerar vi (eller närmare bestämt Göteborgs hamn) liknande incidenter som Australien nyligen gick tillmötes, där ett flertal hamnar har stängts ned på grund av cyberrelaterade säkerhetsincidenter, nu i november, 2023 (Abc.net.au).

Leta i den här bloggen

DanielEkeblom.com

Höjden av naivitet: att annonsera efter experter på cybersäkerhet (uppdaterad; inte bara en rolig historia)

Kommentarer

Skicka en kommentar

Populära inlägg

Den viktigaste intervjun de senaste 50 åren?

Kan vi skapa bestående världsfred?

Om jag skulle starta ett företag idag

Vad kan man göra åt de höga matpriserna?

Vad är den egentliga inflationen? Jo, 9%.