CYBERATTACKERNA

Experter: Cyberkriget mot Sverige trappas upp – så skyddar du dig

Natoprocessen och kraftiga reaktioner från omvärlden har ökat säkerhetsriskerna. Sverige och Europa är inte ”tillräckligt förberedda” på nästa fas i hybridkriget, menar experter. Genrebild/Montage. Bild: Mostphotos

Redan innan turerna kring Natomedlemskapet så trappades cyberattackerna mot Sverige upp. Nästa fas i hybridkriget är här och skyddet måste stärkas, menar experter. ”Det är inte slumpen som avgör vem som angrips”, säger digitaliseringsexperten Patrik Sandgren till TN.

Sverige halkar efter när det gäller cybersäkerhet. I och med att fler system både kopplas upp mot nätet och samman med varandra ökar även sårbarheterna i system som är samhällskritiska. Med kriget i Ukraina som spiller över mer på Europa ökar risken för allvarliga cyberattacker. Sverige har också på kort tid hamnat i omvärldens blickfång i och med det uppseglande medlemskapet i Nato och en rad händelser, däribland en uppmärksammad koranbränning och avbildning av Turkiets ledare. Sverige befinner sig i en allt skörare säkerhetspolitisk situation.

Sverige halkar efter i mätningar

Säkerhetsfrågor har hamnat högre upp på många organisationers agendor under senare tid. Den globala cyberbrottsligheten kostar mycket för företag och samhällen. Här i Sverige har självbilden av att vara en ledande it-nation fått sig en törn då den höga digitaliseringsgraden inte har matchats av ett robust cyberskydd.

Sverige rankas återkommande i den absoluta toppen av mätningar som rör digitalisering medan vi halkar efter i flera säkerhetsindex som till exempel Global Cyber Security Index, där Sverige kommer på 26:e plats globalt och 15:e plats i Europa. Detta är något som också Stockholms Handelskammare lyft i rapporten ”Cyberbrott mot svenska företag” (2022).

En majoritet av Teknikföretagens medlemsföretag har under det senaste året drabbats av digitala angrepp av olika slag och mönstret är sannolikt likartat för hela näringslivet, säger Patrik Sandgren, digitaliseringsexpert på Teknikföretagen.

– De konsekventa underinvesteringar som gjorts i säkerhet under en lång rad av år gör att vi idag har genuint osäkra produkter och vidöppna system på marknaden. Det skapar allvarliga sårbarheter.

Uppkopplade system innebär ökade sårbarheter

Sandgren beskriver att sårbarheterna dessutom förstärks av att många system är sammankopplade med varandra och att allt fler produkter kopplas upp.

– De samlade konsekvenserna av en attack blir väldigt svåra att överblicka. Svagheter i system hos underleverantörer som kan förefalla perifera kan i en koordinerad attack utnyttjas för att komma åt konfidentiell information med koppling till andra företag eller samhällskritiska system.

I ett alltmer dataorienterat samhälle så riktas fokus i stor utsträckning på att skydda personliga data men samtidigt sker många av de största attackerna på andra delar av it-systemen.

Gustav Sandberg, affärsenhetschef Cybersäkerhet AFRY. Bild: Pressbild

Gustav Sandberg, affärsenhetschef Cybersäkerhet på AFRY, menar att för mycket fokus riktats mot att skydda data från att bli stulen (konfidentialitet) och för lite fokus läggs på tillgänglighet av data och system. Detta är speciellt relevant för de industriella kontrollsystemen.

– Om det blir störningar i dessa system som styr tillgängligheten av vatten, el, livsmedel då blir det stora problem i vår vardag.

Gustav Sandberg exemplifierar med it-attacken mot Coop häromåret.

– Problemet här var ju inte att någon extern aktör kom åt människors personliga data, som inköpslistor och kortinformation, utan att det inte gick att handla i butikerna.

Dessa typer av attacker är ett långt mycket större samhällshot än de cyberattacker som uppmärksammas mest, det vill säga dataintrången, säger han.

”Europa inte tillräckligt förberett”

Grek-amerikanen Chris Kremidas-Courtney är senior fellow vid Brysselbaserade tankesmedjan Friends of Europe och har en bakgrund som senior säkerhetsrådgivare till bland annat Nato och EU. Han ser hur Europa negligerat sårbarheterna i dessa vitala system över en längre period.

Det pågående cyberkriget mellan Ryssland och Ukraina och väst i stort har också nu flyttat målfokus från databasintrång till attacker på industriella kontrollsystem, menar han.

Chris Kremidas-Courtney säger att EU och Europa skyndsamt måste ta tag i detta då varken regeringar, institutioner eller privata företag är rustade att möta detta hot.

Chris Kremidas-Courtney, senior fellow vid Brysselbaserade tankesmedjan Friends of Europe, ser hur Europa negligerat sårbarheterna i dessa vitala system över en längre period. Bild: Pressbild

– Detta är en upptrappning av cyberkriget och Europa är inte tillräckligt förberett på detta.

Bakgrunden till att fokus på att skydda de kritiska styrsystemen saknats är, menar Chris Kremidas- Courtney, att det senare handlar mer om att skydda processer snarare än bara data och för det krävs andra metoder.

Brant utveckling de senaste fem åren

Patrik Sandgren menar också han att det allvarliga läget inte längre är något framtidsscenario.

– Det är lätt att tro att hotbilden kring cyberattacker enbart är teoretiskt exercerande och något som skulle kunna inträffa i en avlägsen framtid. Inget kunde vara med felaktigt. Cyberattackerna pågår här och nu. Faktum är att vi levt under konstant ökad grad av cyberattacker sedan flera år tillbaka, sammanfattar Patrik Sandgren och fortsätter:

– Det nya är inte attackerna i sig utan att de ökat markant i sofistikationsgrad, samordning och precision. Det är inte slumpen som avgör vem som angrips. Tvärtom så utförs cyberattackerna idag med en hög grad av professionalism och får därför också större påverkan nu än vad som var fallet för fem år sedan.

Patrik Sandgren, digitaliseringsexpert Teknikföretagen. Bild: Viktor Fremling

Konsekvenserna för näringslivet blir därmed också allvarligare: störningar, avbrott och förlorade immateriella värden skapar årligen kostnader för miljardbelopp. Från Teknikföretagens horisont uppskattar man de samlade direkta kostnaderna till omkring 15-20 miljarder kronor för svenska företag. Det är framförallt de forskningsintensiva industriföretagen och deras underleverantörer som drabbas.

Om man tittar på ett värsta tänkbara scenario som en total nedstängning av internet i Sverige så skulle samhällskostnaderna ligga på cirka 2 miljarder kronor per dag, enligt beräkningsverktyget Cost of Shutdown Tool framtaget av Internet Society, ISOC.

Vad kan företagen göra idag för att vara säkra på att man gör det man ska i termer av förberedelse? Patrik Sandgren har en rad råd till de som vill stärka sitt skydd.

– Alla nya system ska från början vara designade för att vara så säkra som möjligt och gå att uppdatera. Säkerhet är ett rörligt mål och nya sårbarheter upptäcks kontinuerligt. Tyvärr så finns det många generationer av system och produkter på marknaden som inte är uppdateringsbara, men som människor och företag fortsatt kommer att använda under överskådlig tid.

Säkerhetskulturen lika viktig som tekniken

Att anställda inte strösslar med lösenord till obehöriga och respekterar en tydlig IT-policy – som att undvika tvivelaktig mjukvara, exempelvis Tiktok – stärker den digitala säkerheten, menar Patrik Sandgren.

– Säkerhetskulturen i sig är minst lika viktig som tekniska funktioner för att förhindra cyberattacker.

– Drygt hälften av Teknikföretagens medlemmar uppger att det, så vitt de känner till, sällan sker att anställda bryter mot uppsatta regler och policies för digital användning. För omkring 10 procent är det dock en återkommande utmaning. Här är avsaknad av en säkerhetskultur ett reellt problem, säger Patrik Sandgren.

Han menar också att då en tredjedel av de tillfrågade företagen svarar att de inte vet så rör det sig troligen om ett stort mörkertal och därmed en långt större utbredd nonchalans mot cybersäkerhet hos de anställda än vad svaren vid en första anblick ger sken av.

Patrik Sandgren ser det som grundläggande att alla verksamheter skaffar sig en digital grundnivå motsvarande ”tvätta händerna” under pandemin. Detta skapar en första skyddsbarriär mot externa angrepp och höjer tröskeln att drabbas.

– Däremot är det omöjligt att tänka sig att enskilda företag själva ska kunna skydda sig mot attacker från statsunderstödda aktörer, säger han.

För även om den finns olika grupper som utför cyberbrott, däribland kriminella nätverk och hackers med aktivistiska inslag, så är experterna överens om att en betydande andel av cyberattackerna utförs av statsunderstödda grupper utanför Sveriges gränser.

Nytt EU-direktiv sätter press på fler företag

Patrik Sandgren och kollegorna i näringslivet anser att man i större utsträckning från statens sida bör se industrins konkurrenskraft som skyddsvärd och prioritera det nationella cybersäkerhetsarbetet.

– Många företag har sina servrar fulla med ritningar över känsliga system, utvecklingsprojekt och patentansökningar. Dessa representerar enorma värden för den stat som vill stärka sin säkerhet eller ta genvägar i teknikutvecklingen.

– I praktiken kan det innebära att de svenska företag som utvecklat ny teknik konkurreras ut av sina egna lösningar, realiserade av statsunderstödda företag i andra länder. Detta hotar på sikt hela den svenska ekonomin.

En befintlig lagstiftning från EU, NIS-direktivet, ställer redan tydliga krav på såväl offentliga som privata aktörers informationssäkerhet och inrapportering av händelser. Men det har funnits brister i omfattningen av lagstiftningen och därför har EU nu tagit fram en uppdaterad version, NIS 2, ett direktiv som pekar ut ett bredare spektra sektorer som omfattas och behöver uppmärksamma sitt säkerhetsskydd och därmed ta hänsyn till om man har sårbarheter som kan få samhälleliga konsekvenser.

Bland de nya som inkluderas nu finns företag som tillverkar medicintekniska produkter, datorer och elektronik, motorfordon och andra transportmedel samt kemikalie- och livsmedel. Kraven skärps dessutom till att omfatta även risker kopplat till leverantörer och underleverantörer samt vid förvärv.

Det kommer framöver dessutom att kosta företagen mycket om man inte gör rätt i sina bedömningar och åtgärder. I och med NIS 2 så införs höga bötesbelopp och de som inte lever upp till kraven kan bötfällas på samma sätt som för persondataskydd (GDPR).

Ansvaret att inrapportera om man arbetar med säkerhetskritisk verksamhet ligger fortfarande på den enskilda aktören att göra. Samtidigt så menar experterna att det inte finns exakta beskrivningar för vad som är säkerhetskritisk verksamhet. Det riskerar många gånger att bli en tolkningsfråga till slut.

– Direktivet som ska implementeras i svensk lagstiftning och vara i bruk senast oktober 2024 har goda intentioner men det återstår att se om de får önskvärd effekt. En risk är också att det skapas parallella överlappande regelverk på olika områden, vilket faktiskt kan göra säkerhetsarbetet svårare, menar Patrik Sandgren och tillägger:

– Även om det är välkommet med ett bredare grepp om dessa frågor är det fortsatt svårt för enskilda företag och organisationer att höja säkerheten om man inte hittar bättre och mer effektiva sätt att göra det på tillsammans.