Hur bra är dina lösenord? När tog du backup av dina databaser senast? Vad gör du när ditt betalkortssystem, Swish eller affärens betalterminal inte fungerar? Är du säker i sommar?
Vi har i vårt land under många år skrutit med vår höga innovationsförmåga och teknikmognad. Svenskarna är bland de första i världen att ta till sig ny teknik och vi utgör en uppskattad marknad att testa nya funktioner i, innan de kommer ut som del av större uppgraderingspaket. I det s k Global Innovation Index 2020 (utges årligen av Cornell University, INSEAD och WIPO – årets utgåva har inte publicerats ännu) ligger Sverige tvåa, efter Schweiz, avseende innovationsförmåga. Inom EU, sett till nya patentansökningar, ligger vi etta (bakom Schweiz även där, med de ingår ju inte i EU). Och i denna topp har Sverige befunnit sig i många år.
Men Sverige verkar även vara en populär måltavla för den nya tidens ekonomiska brottslighet. Tyvärr är detta kanske precis vad man kan och bör förvänta sig. För är man en ”early adopter” (se figur), dvs en person eller en grupp som gärna vill vara först med nymodigheter, så får man på köpet att det tar tid innan produkten/tjänsten i fråga hunnit mogna, anpassas och befrias från tidiga brister och fel. Samtidigt får man ofta betala betydligt mera för tidiga versioner av nya produkter, trots att de har sämre tillförlitlighet och i värsta fall inte fungerar som förväntat. Om vi som befolkning ser oss som en del av sådant beteende, så ingår vi nog också i den grupp som psykologerna kallar riskbenägna. För att få pluspoäng i teknikstatusjakten så får man leva med både högre pris och högre risk – en i andra sammanhang inte särskilt acceptabel kombination. I gruppen ”Early Majority” finns sedan en stor, ganska kapitalstark grupp, som de i Sverige numera allt vanligare ”influencers” riktar in sig mot.
Så har tekniken alltid varit och många stolta köpare av de senaste tekniklösningarna i t ex bil- och telekombranscherna kunde redan under 1900-talets allt tydligare teknikfokusering drabbas av ”barnsjukdomar” hos sina dyrbara nymodigheter. Oftast innebar det då ”bara” funktionsbortfall och kostsamma reparationer för den enskilde. I takt med den ökande digitaliseringen, som är oundviklig eftersom den erbjuder så mycket möjligheter till nytta för mänskligheten, kan dock konsekvenserna bli mera påtagliga och storskaliga. Begrepp som informationsteknologi, artificiell intelligens och ”ständigt uppkopplad” förändrar vår vardag – oftast till det bättre – men skapar också utrymme för nya angreppsmetoder mot myndigheter, företag och individer. När sådana angrepp stänger system, berövar oss möjligheten till digitala transaktioner och kommunikation med andra blir det plötsligt väldigt besvärligt. En aktuellt krisrekommendation från MSB är för övrigt att vi alla utöver andra förnödenheter även bör ha en lite större mängd kontanter i små valörer hemma.
Det känns lite besvärande att vårt land, trots stor teknikmognad och -kompetens, hittills inte haft en cyberskyddsverksamhet som varit lika framsynt och framgångsrik. Vissa media har hävdat att Sverige har sämre lagstiftning och åtgärdsprogram avseende skydd mot cyberattacker än flera av våra grannländer. Så beskrevs läget efter den senaste attacken mot det internationella mjukvaru- och serviceföretag som driftar bl a Coops kassasystem. Matvarukedjan fick i början på juli stänga sina butiker i flera dagar och många av oss fick en försmak av cyberbrottslighetens effekter. Denna attack, och upprörda krav från olika håll på att staten borde ta ansvar för cybersäkerheten även för näringslivet, kom att utgöra nyheter som under några veckor bröt igenom flödet av Covid 19- och klimatrelaterade rapporter i media. Beskrivningarna av denna och andra s k ”ransomware-attacker”, d v a grupperingar som kapar datorsystem, krypterar allt som finns på diskarna och låser upp dem endast efter betalning av avsevärda lösensummor, blev många. Nu var det Coop m fl som drabbades, men det har under flera år anmälts liknande attacker, eller attackförsök, mot företag, sjukhus, universitet och myndigheter. Och många fler sker utan att de anmäls, enligt bedömningar från SÄPO och olika säkerhetsföretag. Detta är en snabbt ökande verklighet i de flesta av världens länder och enligt svensk och internationell säkerhetspolis spåras ofta källan för attacken till Ryssland.
Vad som är positivt är att en bredare förståelse nu kan skönjas hos myndigheter och förvaltningar som tidigare insiktslöst handlat molntjänster, servicekontrakt m m av aktörer med säte i andra länder än vårt eget, där personal utan säkerhetsklassning har positioner där de kunnat ta del av den information som lagras. Sådana upphandlingar har skett, eller stoppats i ett sent skede, för t ex patientjournalsystem. Det finns också en mängd register med individdata rörande t ex asylansökningar, skyddat boende och olika typer av finansiella beroenden som också måste skyddas från obehöriga. Exempel på naivitet och bristande insikter i dessa frågor har ju förekommit i Sverige på senare år, med rättsliga efterspel.
Sådana händelser utgör en viss typ av cyberrelaterade risker. Utpekade tjänstemän hänvisar ofta till att man handlat med lägsta anbud som utgångspunkt, enligt lagen om offentlig upphandling, LOU. Den gäller för upphandlingar med skattemedel, men även i företag gäller det att få kostnadseffektivitet och då kan cyberskyddsaspekten missas i beslutsprocessen. Behovet av utbildning, men även en översyn av regelverket kring LOU, är angeläget. En annan typ av risk vars effekter behöver begränsas kraftigt gäller obehöriga som kan komma in bakvägen i våra system och i värsta fall ta över och kryptera data, eller lägga in små tickande bomber som vid ett senare tillfälle utlöser störningar, nedstängningar eller allmänt kaotiskt uppträdande i styrsystem för el, vatten, sjukvård eller andra samhällskritiska funktioner. Då spelar lösenord, brandväggar och allmän försiktighet stor roll. Det gäller även i systemen i hemmiljö, något som verkar vara fortsatt eftersatt i vardagen!
Kungl Krigsvetenskapsakademien beskrev i sin stora studie 2015-2018, avrapporterad i boken Ett trovärdigt totalförsvar, många av de svagheter och risker som vårt moderna samhälle inbegriper och dessvärre inte riktigt omhändertagit. Inte minst pekade den på behovet av återupprättande av tidigare existerande, men i en annan hotbild avvecklade, totalförsvarsfunktioner. Positivt är att det idag har uppstått en alltmer insiktsfull debatt i media om behovet att skydda våra system, påskyndat av de cyberattacker som nyligen har blivit märkbara även för allmänheten.
I december 2020 fattade regeringen beslut om att inrätta ett nationellt center för cybersäkerhet. Huvudaktörerna är SÄPO, FM, MSB och FRA, med stöd av Polisen, FMV och PTS. Ett mycket välkommet beslut, som nog delvis kan ses som ett svar på ett flera myndigheters egna rapporter och begäran om ett sådant centrum. Det kommer ta ett par år innan det nya centret är operativt, men inom Försvarsmakten finns redan ett alltmer kompetent cyberförsvar, SÄPO och MSB m fl myndigheter har djup kunskap och organisationer som SOFF genomför viktiga arrangemang för sina medlemsföretag. Försvarsföretagen ligger sannolikt i framkant vad gäller egenskydd och kunskap. Det stora flertalet vanliga företag (stora såväl som små), lärosäten och förvaltningar har dock fortfarande långt att gå innan kunskapen har förankrats om att ”cyberskyddsåtgärder måste få kosta idag för att undvika ännu dyrare katastrofer i framtiden”.
