Revisionen i Motala har beställt en granskning av kommunens arbete med IT-säkerhet. Rapporten är till stora delar maskad för att dölja känslig information, men den stora bilden framgår ändå klart. Även om det är lätt som utomstående att peka finger åt andra och klaga på brister när detaljerna inte är kända finns det rent krasst en hel del att förbättra.
Sammanfattningen av rapporten kan hållas tämligen kort och koncis.
• Felaktiga säkerhetskonfigurationer.
• Osäker programmering/systemutveckling.
• Bristfällig hantering av sårbarheter och installation av säkerhetsuppdateringar
Därutöver saknas en övergripande styrning i form av exempelvis kravbild på IT-säkerheten i kommunen, vilket är mest allvarligt. Den som finns inom IT-världen är medveten om svårigheten i att hålla alla system och alla enheter uppdaterade. Likväl är det ett arbete som måste utföras och dessutom utföras ordentligt, utifrån en struktur som håller rimlig säkerhetsnivå. Finns inte strukturen kommer övriga delar att fallera. Strukturen finns alltså inte i Motala kommun i dag, men efter revisionens utmärkta initiativ kommer detta att åtgärdas.
En helt annan typ av attacker handlar om att blockera möjligheten för en aktör, i det här fallet Motala kommun, att kunna sprida korrekt information till sin omgivning. Just möjligheten till att kommunicera på ett pålitligt och tryggt sätt är oerhört viktig för offentliga verksamheter när olyckor eller kriser inträffar. Därför blir möjligheten intressant att attackera.
Attacker med syfte att blockera kommunikation är ofta av typen Denial of Service (DoS) eller Distributed Denial of Service (DDoS). De går ut på att skicka så mycket skräp och anrop till en viss server att den inte orkar med längre och slutar att svara på de vanliga anrop som kommer till den. Överbelastningsattacker, helt enkelt.
Hur pass tålig är egentligen kommunens hemsida och andra publika system för en extern överbelastningsattack? Hemsidesleverantören WP Engine som används är relativt stor, vilket ger möjligheter när det gäller att kunna skydda sig. Frågan är dock om de används.
Dessa attacker är svåra att skydda sig mot, särskilt den distribuerade varianten som använder många olika datorer runt om i världen samtidigt. Likväl måste medvetenheten om risken finnas och tester av tålighet mot dem göras. Det har dock inte gjorts i den aktuella genomgången som revisionen beställde och det vore lämpligt att följa upp med just en sådan granskning framöver.