Bara de senaste åren har revisionsföretaget PWC utfört över 50 penetrationstester ute i kommuner för att granska deras it-säkerhet.

– Det har gett oss en bra insyn där vi ser att vissa problem återkommer – och ett av dem är hur man hanterar inloggningar, säger Mattias Gröndahl som är ansvarig för penetrationstesterna på PWC Sverige.

Just svaga lösenord är en akilleshäl. I 90 procent av alla tester som man gjort har det varit lätt att gissa medarbetares lösenord genom att köra automatiska skript som letar efter vanliga kombinationer i lösenord.

– Vi lyckas nästan alltid gissa lösenordet till några användare inom loppet av några minuter ­– i vissa fall flera hundra användare. Och att komma åt ett par hundra användares mejlboxar är väldigt illa, där finns ofta känslig information och inloggningsuppgifter till andra system.

Från att ha kommit åt lösenorden kan det ta timmar, och ibland minuter, att komma åt känsliga system visar testerna.

Vanliga och lättgissade lösenord är ofta kombinationer av år och årstider som Sommar2019. Det är också vanligt med sådant som är känt på orten ­– som det lokala fotbollslaget. På en del håll händer det också att flera användare har samma lösenord.

Och det här duger inte konstaterar Mattias Gröndahl.

Mattias Gröndahl
Mattias Gröndahl.

– Som det här med årstider, så har det sett ut i många år och det kommer att fortsätta i all oändlighet om man inte hindrar det. I vissa fall är det användarna själva som hittar på dem och ibland kan det vara helpdesk som inte lyckas komma på något bättre, säger han.

För att stoppa det krävs att man helt enkelt svartlistar alla de kombinationer som är alldeles för lätta att gissa.

– Det är ett otroligt effektivt sätt för att med enkla medel göra det svårare för en angripare. Det ska vara så kostsamt och ta så lång tid som möjligt att ta sig in för en angripare.

Sticker kommuner ut jämfört med privat sektor – är lösenorden sämre där?

­– Kommuner har ju ofta ett större antal användare vilket gör det lättare för en angripare. Det i kombination med att användare i kommuner inte alltid har fått träna på säkerhet gör att de blir utsatta, säger Mattias Gröndahl.

– Men det finns ju också några som är bra på att skydda sig.

Finns det andra vanliga sårbarheter ute i kommunerna förutom lösenorden?

– Ja, det vi ser är att många inte har jobbat tillräckligt med begränsningen av behörigheter. Behörighetsstyrningen är en viktig punkt. Till viss del slarvas det också med att man inte ändrar de lösenord som kommer i standardkonfigurationen i exempelvis skrivare och applikationer. Det kan i vissa fall innebära att hela it-miljön kan tas över.

Samtidigt som det slarvas på många håll så konstaterar Mattias Gröndahl att det också är många som faktiskt skärper sig och styr upp lösenordshanteringen efter att problemen påpekats.

– Många känner till att det finns brister men har problem med att prioritera vad som är viktigast att börja med. Det är otroligt kul att kunna hjälpa till med det, säger han.

Läs också: 
Här är hackarnas 5 favoritlösenord
Lösenordsexpertens bästa råd: Glöm lösenord du sällan använder


TechWorld Summit 4 juni 2019, nätverka med 300 IT-proffs och få samtidigt en heltäckande överblick av den senaste tekniken.