Hoppa till innehåll

Det är viktigare än någonsin att känna till de digitala tjänsternas sårbarheter – man sökte och korrigerade sårbarheter i kommunernas datanät

Utgivningsdatum 11.4.2022 9.00
Pressmeddelande

I kommunernas och social- och hälsovårdsaktörernas digitala tjänster sökte man sårbarheter genom en kartläggning som genomfördes av Myndigheten för digitalisering och befolkningsdata och Cybersäkerhetscentret vid Transport- och kommunikationsverket Traficom. Kommunerna och social- och hälsovårdsaktörerna fick aktuell information om sina tjänsters sårbarheter och kunde utifrån den göra nödvändiga korrigeringar och på så sätt förbättra tjänsternas säkerhet.

Sårbarheterna kartlades i nästan 50 kommuners och social- och hälsovårdsaktörers digitala tjänster

Säkerheten i digitala tjänster måste säkerställas ännu noggrannare när allt fler tjänster överförs till webben. Ett sätt att förbättra säkerheten är att regelbundet kartlägga om det i de program eller komponenter som tjänsterna använder finns kända sårbarheter på vilken någon utomstående aktör kan rikta olovliga åtgärder.

I ett gemensamt pilotprojekt för Myndigheten för digitalisering och befolkningsdata och Cybersäkerhetscentret sökte man sårbarheter i sammanlagt 49 kommuners och social- och hälsovårdsaktörers system och digitala tjänster i det offentliga nätet. Observationerna från skanningen skickades till kommunerna och social- och hälsovårdsaktörerna, som utifrån uppgifterna kunde vidta korrigerande åtgärder.

I den upprepade skanningen efter korrigeringarna hittades klart färre sårbarheter än första gången. Man kunde alltså konstatera att korrigeringarna fungerade och förbättrade tjänsterna.

Genom att skanna datanätet kan man hitta sårbarheter

  • I skanning av datanätet söker man och strävar man efter att identifiera nätverkets aktiva enheter. I skanningen av datanätet kartläggs ofta också sårbarheter.
  • Med sårbarhet avses en svaghet i programvaran, genom vilken en utomstående aktör kan vidta otillåtna och oväntade åtgärder, till exempel dataintrång.

”Utifrån dessa skanningar kan vi säga att fynden var normala. De vanligaste sårbarheterna kunde observeras, men inte i exceptionella mängder”, säger specialsakkunnig Karoliina Kemppainen vid Cybersäkerhetscentret.

”De skanningar som gjordes i pilotprojektet hjälpte flera organisationer att fästa uppmärksamhet vid informationssäkerheten i sina egna miljöer. Det finns visserligen fortfarande arbete att göra och det behövs till exempel versionsuppdateringar, men riktningen är bättre nu”, konstaterar Kemppainen.

Sårbarheterna ska upptäckas och korrigeras innan någon annan hittar dem

Kommunerna gav mycket positiv respons på skanningarna av datanätet. Skanningarna ansågs vara nödvändiga och nyttiga och flera kommuner som deltog i pilotprojektet önskade att de skulle fortsätta i framtiden.

”Det finns ett växande behov av att granska datanätens säkerhet via det offentliga nätet när tjänsterna digitaliseras”, säger ledande sakkunnig Tuomas Pelttari vid Myndigheten för digitalisering och befolkningsdata. Skanningarna har också mer omfattande, indirekta fördelar. ”Utöver enskilda observationer kan man hitta korrigeringsbehov till exempel i leveranskedjor eller uppdateringsprocesser”, berättar Pelttari.

Cybersäkerhetscentret utvecklar en verksamhetsmodell för skanning av datanät utifrån de insamlade erfarenheterna under detta år. Målet är att erbjuda kommunerna en bättre lägesbild av säkerheten i deras egna datanät. Dessutom kan man genom att använda data som samlats in genom skanningar upprätthålla en mer aktuell lägesbild av cybersäkerheten på nationell nivå.

Av responsen framgick att en del kommuner inte nödvändigtvis alls kan göra en dylik kartläggning av sårbarheter med sina egna resurser. Utomstående hjälp togs emot med glädje.

”Ett beklagligt faktum är att i synnerhet sårbarheterna hos digitala tjänster i det offentliga nätet också kan hittas av ovänliga aktörer. När olika hot blir vanligare är det allt viktigare att tjänsteleverantörerna känner till sina egna tjänster och deras svagheter, så att sårbarheterna kan korrigeras innan någon annan hittar dem”, sammanfattar Pelttari.

Ytterligare information

Skanningarna av datanäten gjordes i samarbete mellan Myndigheten för digitalisering och befolkningsdata och Cybersäkerhetscentret. Myndigheten för digitalisering och befolkningsdata ansvarade för kontakten med kommunerna samt för insamlingen av utgångsuppgifter och respons. Cybersäkerhetscentret genomförde den tekniska skanningen och sammanställde rapporter till kommunerna.

Verksamheten bidrar till att genomföra genomförandeplanen för digital säkerhet inom den offentliga förvaltningen.

Länkar

Beställ Cybersäkerhetscentrets varningar och sårbarhetssammandrag samt en sammanställning av nyheter om informationssäkerhet

Bekanta dig med Myndigheten för digitalisering och befolkningsdatas tjänster för digital säkerhet

Kontaktuppgifter

Tuomas Pelttari, ledande sakkunnig, Myndigheten för digitalisering och befolkningsdata, [email protected], tfn 0295 535 266

Karoliina Kemppainen, specialsakkunnig, Cybersäkerhetscentret vid Transport- och kommunikationsverket Traficom, [email protected], tfn 0295 390 659

digital säkerhet