Sårbarheter har upptäckts i Terrestrial Trunked Radio (TETRA), som är ett protokoll som bland annat används i Sveriges nationella kommunikationssystem Rakel. MSB skriver att man ”bevakar området noggrant och analyserar sårbarheterna tillsammans med leverantörer och kommer att implementera eventuella rekommenderade åtgärder”.

Studien av Högskolan i Skövde och Försvarshögskolan har nyligen publicerats i den vetenskapliga tidskriften Information and Computer Security, och pekar på brister i säkerheten i radiosystemet TETRA som används av bland andra blåljusmyndigheter, kollektivtrafik och industrier.

Skyddet är svagare än det ser ut

– Våra resultat visar att många tror att de här systemen är säkra eftersom tekniken är avancerad. Men det saknas ofta viktiga skydd, som modern kryptering och säkra inloggningar, säger Marcus Nohlberg, docent i informationsteknologi vid Högskolan i Skövde.

När kryptering används är den ofta undermålig, vilket bland annat beror på att tekniken tidigare varit svår att granska, både för forskare och säkerhetsexperter.

– Till skillnad från vanliga it-system, som ständigt uppdateras mot nya hot, är dessa radiosystem byggda för att hålla i decennier. De förändras mycket långsamt, vilket innebär att sårbarheter kan finnas kvar i många år utan att åtgärdas, säger Marcus Dansarie, doktorand i försvarssystem vid Försvarshögskolan.

Brist på expertkompetens inom radiokommunikation

Ett annat problem är att mycket få personer i Sverige har djup teknisk kunskap om systemen. Det skapar en situation där hela samhället förlitar sig på ett fåtal experter och företag för att viktiga kommunikationsnät ska fungera och vara skyddade, enligt studien.

– Radiosystemen är ofta osynliga för allmänheten, men de är centrala för många samhällsviktiga verksamheter. De är alltså en sorts dold men kritisk del av vår digitala infrastruktur, säger Marcus Nohlberg.

Forskarna understryker att dessa system i praktiken är it-system, men de behandlas inte som sådana. Radiosystemen saknar ofta både de rutiner och säkerhetsprinciper som annars är standard inom cybersäkerhet.

– Det gör att både användare och beslutsfattare kan tro att systemen är säkra, trots att de i själva verket är mycket sårbara. Samtidigt blir hoten mer sofistikerade för varje år, säger Marcus Dansarie.

Vill se nationell diskussion

Forskarna efterlyser nu en bred diskussion om vem som har ansvaret för radiosystemens säkerhet, hur de ska uppdateras och vilka krav som bör ställas.

– Samhällets kommunikation är en av våra mest grundläggande funktioner. Om vi inte skyddar radiosystemen lika noggrant som annan digital infrastruktur, tar vi stora säkerhetsmässiga risker, säger Marcus Nohlberg.