Säkerhetsåret 2018

Polisen varnar att IoT kan bli den första digitala mördaren. Ett ganska rimligt antagande, kanske, med tanke på att det inom två år beräknas finnas mellan 30 och 80 miljarder enheter anslutna till internet.

Men med ett sådant oerhört stort antal enheter i allt från babymonitorer till stora fabriksrobotar kommer förstås säkerhetsutmaningar. Bland annat spår en av Europas ledande säkerhetsexperter att IoT är de närmaste årens största hot, och om inte säkerhetsaspekten ses över innan en privat eller offentlig aktör implementerar ny IoT riskerar de att göra mer skada än nytta. I dagsläget tycks dock ett stort antal företag att tumma på säkerheten.

Men IoT innebär förstås också möjligheter. Nu vet blommorna i Karlstad själva när de behöver vattnas och när rullstolarna på Gävle sjukhus utrustas med sensorer som signalerar var de är, räknar sjukhuset med att spara in enorma mängder tid för personalen.

Dags för GDPR och NIS

Med sakernas internet i uppsving kommer allt fler enheter att vara kapabla att ha information om just dig. Väl då att 2018 var året då den tidigare Peronuppgiftslagen ersattes med dataskyddsförordningen GDPR, som ger individen rätt över sina personuppgifter, och rätt att bli glömd.

Den 25 maj började förordningen att gälla och många av de experter som Voister har varit i kontakt med råder organisationer och företag att se GDPR som ett lyft för sin verksamhet, och som en chans att inventera sina data. I Kalmar kommun har it-avdelningen lättare närmat sig verksamheterna och fört givande diskussioner om vad som ska sparas och varför.

I och med den nya regleringen har Datainspektionen fått nya områden att granska. Enligt Datainspektionens chefsjurist består mycket av arbetet med att uppmärksamma de som ännu inte har ett dataskyddsombud. Av 400 organisationer, myndigheter och privata aktörer, har en av tio fått bakläxa, och telekombranschen är sämst i klassen. Även Polisen är under lupp.

Datainspektionen har också granskat Google hur de hanterar rätten att bli glömd.

Allt i syfte att skydda känsliga personuppgifter.

Utöver det arbetar myndigheten med att se hur företag och organisationer efterföljer att det finns ett samtycke mellan den personuppgiftsansvarige och den registrerade personen, samt med att undersöka skillnaden mellan personuppgiftsansvarig och personuppgiftsbiträde.

NIS-direktivet hade även det premiär under år 2018. Direktivet riktar sig till alla myndigheter, kommuner, landsting och företag som har hand om samhällskritisk infrastruktur. NIS-direktivet ska bidra till en ökad säkerhet, där MSB är en av myndigheterna som välkomnar direktivet. MSB har även tecknat en överenskommelse med SKL för att göra Sverige bättre rustat för potentiella hot.

Guld och gröna moln

I det arbetet ingår givetvis att utvärdera vilken typ av data som kan och inte kan lämnas ut på externa leverantörer. Är man inte noggrann riskerar man att hamna i samma soppa som Transportstyrelsen under sommaren år 2017.

När Transportstyrelsen själva presenterade sina slutsatser visade det sig vara värre än vad många befarat. Bland annat ska runt 80 stycken av IBM:s it-tekniker haft tillgång till Transportstyrelsens it-system i 29 månader trots att de saknade svensk säkerhetsklassning.

Transportstyrelsens dåvarande CISO Tobias Ander har berättat för Voister om tiden innan, under och efter skandalen, som bland resulterade i att två statsråd fick lämnade den dåvarande regeringen.

eSamverkansprogrammet, eSam, som är ett medlemsdrivet program som för samverkan mellan 23 myndigheter och SKL och som jobbar för att underlätta digitaliseringen av det offentliga Sverige, landar i  att valet av en molntjänst som ägs av en utländsk aktör riskerar att röja sekretessbelagda uppgifter.

Sveriges kommuner och landsting, SKL, håller med om eSams uttalande, men säger till Voister att det fortfarande råder viss juridisk osäkerhet hur lagstiftningen kring den här typen av ärenden ska tolkas, och betonar att man ständigt jobbar proaktivt för att stödja sina medlemmars säkerhets- och informationsarbete.

Blockkedjeintresset stiger

I ett sådant säkerhetsarbete kan tekniken som bitcoin och andra kryptovalutor bygger på, blockkedjetekniken, vara aktuell att titta på. Samtidigt som intresset för och investeringar i kryptovalutor ser ut att ha svalnat något under året, kanske bland annat på grund av sin oreglerade marknad och kopplingar till kriminella verksamheter, är blockkedjan fortsatt intressant.

Det internationella konsultbolaget PwC berättar för Voister att många av de allra tyngsta it- och finansbolagen utvecklar tekniken för sina syften, och har själva tagit fram en lista på fyra steg om vad som är viktigt att tänka på för den verksamhet som är nyfiken på en blockkedja.

Lantmäteriet är en av myndigheterna som har kommit allra längst i att utforska potentialen med tekniken, och inväntar nu i förstahand lagändringar för att kunna dra igång på riktigt. Myndigheten uppskattar tillsammans med bland annat SBAB, Telia och Skatteverket att en blockkedjelösning kan spara fem miljarder per år åt svenska bostadsköpare, och deras satsning hyllas av Sveriges digitaliseringschef. Även livsmedelsindustrin tittar nyfiket på tekniken, där blockkedjor skulle kunna bidra till en säkrare leveranskedja, bokstavligen från ax till limpa, och Uppsala vill börja sälja el på blockkedjor.

Vad många inte känner till, och som Voister kunder avslöja under året, är att idéen bakom blockkedjan och en teknik med liknande struktur uppfanns i Sverige redan för 15 år sedan av en välkänd svensk tech-profil.