En ny studie avslöjar säkerhetsbrister i de radiosystem som används av blåljusmyndigheter och andra samhällsviktiga organisationer. Forskarna varnar för att systemen ofta saknar grundläggande skydd mot digitala hot.
En studie vid Högskolan i Skövde och Försvarshögskolan visar att det finns säkerhetsbrister i radiosystemet TETRA, där tillämpningar används av bland annat polis, ambulans, räddningstjänst, kollektivtrafik och industrier.
– Våra resultat visar att många tror att de här systemen är säkra eftersom tekniken är avancerad. Men det saknas ofta viktiga skydd, som modern kryptering och säkra inloggningar, säger Marcus Nohlberg, docent i informationsteknologi vid Högskolan i Skövde.
System för kritisk kommunikation
Radiokommunikation innebär att ljud, data eller annan information skickas trådlöst med hjälp av radiovågor. Tekniken används i allt från vardagliga radiosändningar till militär kommunikation.
Radiokommunikationsstandarden TETRA är avsedd för organisationer som har stora behov av snabb radiokommunikation för samordning av sin verksamhet.
Den mest kända tillämpningen i Sverige är Rakel, ett statligt nationellt kommunikationssystem för samverkan mellan till exempel polis, räddningstjänst och andra aktörer.
Brister i kryptering
När kryptering används är den ofta undermålig, vilket bland annat beror på att tekniken tidigare varit svår att granska, både för forskare och säkerhetsexperter.
– Till skillnad från vanliga it-system, som ständigt uppdateras mot nya hot, är dessa radiosystem byggda för att hålla i decennier. De förändras mycket långsamt, vilket innebär att sårbarheter kan finnas kvar i många år utan att åtgärdas, säger Marcus Dansarie, doktorand i försvarssystem vid Försvarshögskolan.
Beroende av få experter
Ett annat problem är att mycket få personer i Sverige har djup teknisk kunskap om systemen. Det skapar en situation där hela samhället förlitar sig på ett fåtal experter och företag för att viktiga kommunikationsnät ska fungera och vara skyddade.
– Radiosystemen är ofta osynliga för allmänheten, men de är centrala för många samhällsviktiga verksamheter. De är alltså en sorts dold men kritisk del av vår digitala infrastruktur, säger Marcus Nohlberg.
Behandlas inte som it-system
Forskarna understryker att radiosystemen i praktiken är it-system, men inte behandlas som sådana. De saknar ofta både rutiner och säkerhetsprinciper som är standard inom cybersäkerhet
– Det gör att både användare och beslutsfattare kan tro att systemen är säkra, trots att de i själva verket är mycket sårbara. Samtidigt blir hoten mer sofistikerade för varje år, säger Marcus Dansarie.
Diskussion om säkerhet behövs
Forskarna efterlyser en bred diskussion om vem som bär ansvaret för radiosystemens säkerhet, hur de ska uppdateras och vilka krav som bör ställas
– Samhällets kommunikation är en av våra mest grundläggande funktioner. Om vi inte skyddar radiosystemen lika noggrant som annan digital infrastruktur, tar vi stora säkerhetsmässiga risker, säger Marcus Nohlberg.
Studien baseras på intervjuer med representanter från elva svenska organisationer som använder eller äger radiosystem. Tillsammans representerar de omkring en tredjedel av landets användare.
Vetenskaplig artikel:
User adoption of TETRA mobile radio communication networks: an information security perspective, Information and Computer Security.
