Det anser Erik Hjelmvik som driver företaget Netresec inriktat på övervakning och spårande av intrång i datasystem. Han har tidigare arbetat med it-säkerhet bland annat inom Försvarsmakten.
Han bor i Örsundsbro och har tagit del av rapporten med skarp kritik av Enköpings kommuns it-säkerhet som PwC gjort på uppdrag av kommunrevisorerna.
– Jag är inte förvånad över att en kommun får kritik för bristande it-säkerhet. Det är framför allt banker, stora företag och en del myndigheter som satsar mycket på säkerhetsarbete, säger Erik Hjelmvik.
Det största bristen som Erik Hjelmvik ser det är att kommunen inte upptäckte intrången:
– De rekommendationer PwC ger i slutet av rapporten är bra, men det handlar mest om tekniska lösningar. Det måste också finnas utbildad personal som har till uppgift att övervaka system och aktivitetsloggar och som kan agera, säger Erik Hjelmvik.
Att PwC-intrången inte upptäcktes kan innebära att det finns pågående intrång som ännu inte upptäckts:
– Det vanligaste är att någon vill stjäla pengar. Kriminella kan ägna månader åt kartläggning inne i systemet innan stölden genomförs.
Rapporten skiljer på externa angrepp och angrepp via det interna nätet. Chefen för kommunledningsförvaltningen har sagt att ”intrångsförsök som gjordes utifrån lyckades inte få tillgång till de höga behörigheterna”.
– När det inte framgår vilka rättigheter PwC lyckades få ”utifrån” är det svårt att kommentera detta. Men att angrepp utifrån alls lyckas är allvarligt ur ett säkerhetsperspektiv, säger Erik Hjelmvik.