DET SVENSKA FÖRSVARET

”Företagen i frontlinjen – vad kräver det av oss?”

”Vi har trätt in i en ny era där företag inte längre kan betrakta sig som passiva åskådare. Alla kan bli måltavlor”, skriver krönikören Karl Lallerstedt.

Svenska företag har blivit frontlinjeaktörer i ett krig de aldrig bett om – och som de flesta ännu inte planerar för. Vi befinner oss inte längre i ett tillstånd som rimligen kan beskrivas som fred. Det är ett perspektiv som både Sveriges statsminister och EU-kommissionens ordförande öppet gett uttryck för. Hybridkrigföringen mot Väst har trappats upp – och den förs bortom de traditionella slagfälten.

Cyberangrepp, sabotage, hot mot individer, drönarintrång, kabelkapningar, spionage och systematiska desinformationskampanjer har under senare tid riktats mot våra samhällen. Men måltavlorna är sällan ”staten” i snäv bemärkelse. Det är banker, logistikföretag, industribolag, energibolag och deras ledningar som träffas först.

”Mycket av ansvaret ligger i stället hos företagen själva.”

Det som når medierna är sannolikt bara toppen av ett isberg. Företag har starka incitament att tala tyst om incidenter – av kommersiella, juridiska och ibland säkerhetsmässiga skäl. Därtill är det ofta medvetet oklart vem som faktiskt ligger bakom ett angrepp. Just denna oklarhet är inte ett misslyckande, utan en del av metoden.

Samtidigt är det uppenbart att en traditionell militär upprustning bara i begränsad utsträckning skyddar mot dessa hot. Mycket av ansvaret ligger i stället hos företagen själva. Frågan är om vi har tagit den insikten på tillräckligt stort allvar.

För det första krävs kunskap och ett mentalt skifte. En stor del av samhällsviktig verksamhet drivs i dag av privata aktörer. Det innebär att företagens infrastruktur, IT-system, personal och anseende i praktiken är en del av samhällets motståndskraft. Företag måste utgå från att de är potentiella måltavlor – oavsett om de vill vara det eller inte.

För det andra är cybersäkerhet inte längre en särskild IT-fråga, utan en ledningsfråga. Den som fortfarande betraktar IT-säkerhet som något perifert tar i dag en strategisk risk. Många känner till problemen – men är det lika många som faktiskt vidtar de nödvändiga åtgärderna?

”Företag måste förstå att de också är mål i informationskriget.”

För det tredje har den fysiska säkerheten hamnat i skymundan. Världens bästa brandväggar hjälper föga om någon enkelt kan ta sig in i lokaler, manipulera utrustning eller hota personal. Hybridangrepp består just av sådana kombinationer, där digitala och fysiska komponenter samverkar.

För det fjärde är personalen både den största tillgången och den största sårbarheten. Medarbetare kan utsättas för påtryckningar, manipulation eller korruption. Det gäller inte bara nyanställningar, utan även lojala och långvariga medarbetare i utsatta positioner.

För det femte avgörs mycket av rutiner och medvetenhet. Ett enda slarvigt klick, ett obetänksamt samtal eller en felaktigt hanterad incident kan underminera annars god säkerhet – digitalt såväl som fysiskt.

För det sjätte måste företag förstå att de också är mål i informationskriget. En begränsad driftstörning kan snabbt blåsas upp till en förtroendekris om den kombineras med riktad desinformation. I ett sådant läge kan skadan på varumärket bli större än den faktiska incidenten.

”Tillfället skapar tjuven.”

Slutligen räcker det inte längre att planera utifrån gårdagens erfarenheter. Hybridkriget kännetecknas av att tidigare spärrar och trösklar suddas ut. EU har redan antagit sitt nittonde sanktionspaket mot Ryssland och planerar sitt tjugonde. När det ekonomiska avskräckningsutrymmet krymper, återstår frågan vilka begränsningar som då finns kvar för en motpart som vill testa våra gränser?

Vi har trätt in i en ny era där företag inte längre kan betrakta sig som passiva åskådare. Alla kan bli måltavlor. Det gör det desto viktigare att göra sig till ett svårare mål. Tillfället skapar tjuven – och den som låser sin egen grind bidrar inte bara till sin egen säkerhet, utan till samhällets motståndskraft i stort.