[DEBATT] Svenska offentliga aktörer och företag utsätts varje dag för olika typer av cyberattacker.
Det kan vara försök till informationsinhämtning från främmande makt, kriminella nätverk som vill installera ransomware, eller rena försök till sabotage.
Med detta i åtanke vore det anmärkningsvärt om cybersäkerhet inte prioriteras av en regering som har säkerhetspolitik som en central del av sitt program. Med tanken på det prekära världsläget blir detta ingen lätt uppgift och alla aktörer som kan bör bidra med expertis och lösningar.
Sverige har länge setts som en nation i framkant inom IT och digitalisering. Men när det kommer till cybersäkerhet har Sverige enligt Global Cybersecurity Index halkat ned till en fjortondeplats i världen. I egenskap av säkerhetsstrateg för Splunk har jag de senaste åren deltagit i CERT-konferenser där cybersäkerhetsexperter utbyter erfarenheter. Jag har kunnat konstatera att – till skillnad från våra nordiska grannar – har så gott som inga svenska tjänstemän medverkat.
Med detta i åtanke är det glädjande att regeringsförklaringen anger cybersäkerhet som viktigt för Sverige, men till skillnad från andra områden som nämns i förklaringen uttrycks inte någonting om hur regeringen ska ta sig an just detta område. Utmaningarna är stora och regeringens framgång kommer att gagna oss alla. I konstruktiv anda har vi identifierat fyra områden som beslutsfattare – men även organisationer och företag – behöver ta tag i.
1 – Inventera cybersäkerhetsrisker mot fysisk infrastruktur
Känslig infrastruktur som kan utsättas för en cyberattack och därmed utgöra en fara för befolkningen måste identifieras. Så kallade Industrial Control Systems (ICS), där industriprocesser styrs av datorer uppkopplade mot internet, är särskilt sårbara i detta avseende och det finns tyvärr gott om exempel på tillbud som borde få Sverige att ta detta på allvar.
Flera cyberattacker riktade mot energianläggningar i Tyskland har rapporterats det senaste halvåret. I maj förra året utsattes Colonial Pipeline för en attack som ledde till att stora delar av sydöstra USA hade problem med försörjningen av bensin och flygbränsle under en veckas tid. Konsekvenserna av den här typen av attacker skulle kunna bli förödande om de skulle riktas mot till exempel en vattenkraftsdamm eller kärnkraftverks kylsystem.
Inte sällan styrs maskiner i industriella processer av datorer med gamla operativsystem, såsom Windows XP, som inte har uppdaterats då maskinen i fråga inte skulle vara kompatibel. En inventering av den här typen av existerande lösningar i känsliga miljöer måste identifieras och säkras.
2 – Utforska förutsättningar till att skapa ett svenskt govcloud, skynda på Ena
Svenska myndigheter med verksamheter av riksintresse är ålagda att inte använda sig av molnlösningar för att lagra känslig information. Informationen lagras då istället på egna servrar med skräddarsydda säkerhetslösningar. Tanken med detta är att risken för att utsättas för allmänna attacker ska minska jämfört med om informationen sparas i molnet. Dock kvarstår risken för att utsättas för riktade attacker.
Det är sant att attackytan ökar i molnet. Vi kan glädjas åt ett ökande samarbete mellan företag och organisationer som tillsammans monitorerar, varnar för säkerhetsrisker och bidrar med lösningar på eventuella attacker. Det här samarbetet riskerar man att inte vara en del av när man befinner sig i en isolerad miljö. Därmed riskerar det offentliga Sverige att hamna på efterkälken jämfört med andra länder.
En lösning på problemet, som fler och fler länder använder sig av, är att lägga informationen i ett så kallat govcloud. Det innebär att landets myndigheter använder sig av en gemensam molnlösning som väsentligt underlättar så väl informations- som erfarenhetsutbyte. Samtidigt är det en avgränsad och mer skyddad miljö än det ”allmänna” molnet.
Ett arbete med att ta fram en sådan lösning för svenska myndigheter pågår sedan ett par år tillbaka med projektnamnet Ena under ledning av DIGG (myndigheten för digital förvaltning). Det vore gynnsamt att påskynda den processen, givet inte minst det säkerhetspolitiska läget i närområdet. I Danmark till exempel har en sådan lösning funnits på plats sedan flera år tillbaka.
3 – Säkra kompetens inom cybersäkerhet
Hela världen slåss om utbildade inom cybersäkerhet. Enligt ISC:s Cybersecurity Workforce Study saknas 3,4 miljoner personer med kompetens inom cybersäkerhet globalt.
Det är avgörande för svenska universitet och lärosäten att satsa på cybersäkerhet och se till att existerande utbildningar håller högsta möjliga klass när det kommer till de senaste forskningsrönen och undervisningskompetensen.
Vidare måste cybersäkerhet ses som ett område där det är viktigt för Sverige att attrahera kompetent arbetskraft från utlandet. Hinder i form av arbetstillstånd och annan byråkrati bör minskas till ett minimum för att Sverige ska stå sig i konkurrensen om detta attraktiva kompetenstillskott.
Likaså är en omfattande satsning på kompetenshöjande insatser inom cybersäkerhet för offentlig sektor avgörande för rikets säkerhet. Det är nödvändigt att våra tjänstemän är högst kompetenta beställare och kan ställa krav på den här typen av tjänster.
4 – Alla behöver ta ett större ansvar för cybersäkerhet
Alla företag och organisationer med någon form av känslig information måste ha ett ordentligt monitoreringsverktyg på plats för att identifiera möjliga säkerhetsrisker. Det handlar om att övervaka hur nätverket beter sig. Till exempel behöver ett sådant verktyg varna om två servrar som inte har pratat med varandra tidigare plötsligt börjar göra det.
Detta är lättare sagt än gjort och det behövs en strategi för hur övervakningen ska prioriteras t.ex genom risk-baserade larm. Risken är annars att alla varningar leder till att IT-säkerhetsansvariga överbelastas med information. Samtidigt får så klart inte potentiella attacker missas. Det gäller att ständigt vara uppdaterad om var de största riskerna finns och att fokusera på affärskritisk data. Det blir av största vikt att besitta en hög kompetensnivå för att kunna sortera i informationsflödet. Detta är ett ansvar företag och organisationer behöver ta, inte bara för att skydda sin egen verksamhet, utan samhället i stort då känslig data som kan påverka rikets säkerhet kan finnas i både stora och små företag och organisationer.
Fler åtgärder utöver de fyra som listats här är nödvändiga om vi ska stärka cybersäkerheten i Sverige. Vi lever i en föränderlig värld där främmande makt och kriminella nätverks färdigheter ligger ett steg före. I en sådan miljö är det livsviktigt att aldrig stagnera och attha politiskt mod som styrs av databaserade underlag. Även samarbete med näringslivet är avgörande. Allas insatser räknas då det ären ödesfråga för Sverige och världen.
