Kan Australien visa vägen för ett digitalt säkrare Sverige

Kan Sveriges kommuner och annan offentlig verksamhet få säkrare digitala verksamheter genom att följa efter Australiens rekommendationer? Intrång och ökad säkerhet har varit i fokus under ett flertal år för den Australienska regeringen. Idag rekommenderar de fyra enkla aktiviteter för att täppa till hålen och hindra ca 85% av alla intrång. Det är fyra basala säkerhetsaktiveter som även den minsta IT-avdelning kan klara av och markant öka sin IT-säkerhet.

I Australien har The Australian Signals Directorate, vilka ungefär motsvarar FRA i Sverige, sammanställt 35 mitigeringar eller rekommenderade aktiviteter för att hindra cyberintrång hos den australienska offentliga sektorn.  De fyra högst prioriterade aktiviteterna beräknas hindra 85% av alla intrångsförsök. Det givet att de blir ett naturligt arbetssätt i säkerhetsarbetet och genomförs kontinuerligt.

De fyra högst prioriterade aktiviteterna är:

  1. Application whitelists – för att förhindra skadliga och icke godkända program från att användas
  2. Patcha applikationer som Java, PDF viewers, Flash, web browsers och Microsoft Office
  3. Patcha sårbarheter i operativs systems
  4. Begränsa användarrättigheter till operativsystem och applikationer utifrån behov

”Australien lyfter på ett pedagogiskt sätt fram att det är de enkla men effektiva aktivieterna som gör att man till en mycket stor del kan stoppa intrång, säger Fredrik Svantes, Senior Information Security Manager, och fortsätter: ”Här har vi i Sverige något att lära av Australien och det var därför Leif Engdahl lyfte exemplet när han representerade Basefarm hos regeringens rundabordssamtal”.


Utvärdering och rapportering

De 35 förslagna aktiviteterna utvärderas utifrån ett flertal parametrar och de rankas utifrån sammanlagd säkerhetseffektivitet. De fyra aktiviteter som rekommenderas och ger ett 85% skydd rankades högst både 2012 och 2014.


Alla verksamheter i den australienska offentlig sektor har ett ansvar att genomföra dessa 4 mitigeringar eller aktiviteter. Rapportering skall ske till ansvarig minister, Riksåklagaren och Riksrevisionen. Eventuella undantag skall dokumenteras och godkännas innan de får tillämpas.


Fungerar även för en liten IT-avdelning

”Det här är ett ganska basalt säkerhetsarbete, det handlar mer om att ta sig tid att genomföra aktiviteterna och ha en struktur t ex för användarrättigheter”, säger Fredrik Svantes och menar samtidigt att detta arbete inte är mer komplext än att t ex en liten IT-avdelning i en kommun kan klara av att kontinuerligt genomföra de fyra rekommenderade aktiviteterna.

Medborgarna i en kommun, lika så företagets kunder eller organisationens medlemmar räknar med att det finns ett tillräckligt digitalt skydd så att de kan lämna ifrån sig sina personliga data utan att vara oroliga.