Det är kanske uppenbart att Sverige lider under en våg av svåra cyberattacker?
Hur börjar en fiende att underminera ett land? Attackera infrastrukturen (som i Ukraina) så att befolkningens dagliga liv blir allt omöjligare och allt slutar i förtvivlan.
Tyvärr är läget på säkerhetssidan i Sverige allvarligt i och med den osäkra situationen i omvärlden och på grund av tredje makts ständiga arbete med att destabilisera Sverige och västvärlden, med angrepp, infiltration, smutskastning, kunskapsstölder, konspirationsteorier och stöttande av odemokratiska politiker och regimer. Som säkerhetsföretaget Truesec anger, sker det tusentals angrepp mot svenska företag varje år, men majoriteten avstår från att anmäla, så mörkertalet är stort.
Överbefälhavaren menade att Sverige ska förbereda sig för krig och genast började smutskastningen mot honom. När Sverige ville gå med i NATO började som bekant en orgie av smutskastning i media och protestgrupperna fick stora rubriker. Samma protester och smutskastning fortsätter oförtrutet på sociala media.
I januari 2024 angrep den ryska hackergruppen Akira outsourcingleverantören Tietoevery och kommuner och företag stod stilla länge. Det tog veckor att åtgärda. Till och med Riksdagen drabbades. Kan statshemligheter ha läckt ut? Polisen ville undersöka men blev inte insläppta. Det påminner om Tietoenators jättekrasch 2011 när MSB inte blev insläppta med hänvisning till ”företagshemligheter”. Ser du sambandet?
Försvarsutskottets ordförande Peter Hultqvist (S) är upprörd över attacken. ”Det är jätteallvarligt, det här är stort” säger han till TV4 Nyheterna. Hultqvist kräver nu att ministern för civilt försvar, Carl-Oskar Bohlin (M), kommer till utskottet och informerar ledamöterna om hur regeringskansliet agerar.
Tro du att något reellt kommer att hända? Knappast.
Vad händer?
Så vad händer i Sverige? Ett samhällsviktigt företag eller organisation rasar ihop en gång i veckan. Webbsidor blir onåbara, Swish slutar fungera och det går inte att handla i butiker för att kreditkorten och bankernas appar har slutat fungera. Personuppgifter sprutar ut på darknet, löner kan inte betalas ut etc.
Vem bryr sig om det? Ingen, i stort sett. För det bara fortsätter år efter år (statistik finns, se referenserna). Vi har ett antal myndigheter som ska se till befolkningens psykiska och fysiska välbefinnande. Vad gör de? Ingenting. Vad gör svenska media? De borde sätta sina skarpaste journalister på att snoka och forska och klarlägga varför:
- Myndigheterna bara pratar år ut och år in
- Samhällsviktiga organisationer går på cyberattacker hela tiden
När ska företagen inse att det är farligare att outsourca sina affärssystem och riskera att råka ut för andras slarv, än att drifta dem själva? När blir det slut på osäker outsourcing? När ska vi få slippa att personuppgifter driver omkring hos underleverantörer och lagras på osäkra platser i Östeuropa?
Visst är det billigare att låta någon annan ta hand om datadriften, men vad händer om outsourcingföretaget har bristfälliga säkerhetsrutiner eller struntar i att skydda sig mot angrepp?
Vad betyder detta för landets infrastruktur och säkerhet som helhet? Om butikskedjor med flera skötte sin egen datadrift skulle bara ett företag stanna vid ett angrepp, inte 15 andra och 120 kommuner.
Vad måste förändras för att öka cybersäkerheten?
Man måste överge tanken på att någon annan sköter cybersäkerheten och att jag inte behöver bekymra mig.
För samhällsviktiga funktioner ska följande gälla och drivas igenom av en ännu så länge fiktiv myndighet (Cybersäkerhetsmyndigheten, CSM) med hot om vite eller straff:
- Organisationerna ska tvingas utbilda personalen och företagsledningen i cybersäkerhet och att verifiera kunskaperna med jämna mellanrum. Alla ska dessutom penetrationstestas med jämna mellanrum.
- Organisationerna ska tvingas använda PTS NTP-tjänst i sina datorsystem för att skaffa juridiskt hållbar realtid, inte GPS eller microsofttid. De ska informeras om de ständiga ryska försöken att störa GPS i Norden och världen och farorna med ospårbar fusktid.
- Outsourcing ska inte tillåtas. Alla ska ha sin datadrift hemma under kontrollerade former. Dubbla backuper ska tas minst varje dag och förvaras lokalt.
- Organisationernas datadrift ska isoleras från varandra så att ett fel, angrepp, avbrott som drabbar en, inte drabbar andra.
- Skadliga USB-pinnar och wordfiler med dolda, skadliga makron är stora hot mot organisationerna. Dessa ska förbjudas och blockeras centralt.
- Det ska finnas ersättningsrutiner om datorsystemen fallerar, eventuellt i form av papper och penna, kvittoblock, uppdaterade prislistor på papper osv. Det gick ju faktiskt att använda före datorernas intåg.
- Cybersäkerhetsmyndigheten avgör vad som är samhällsviktigt. Till samhällsviktiga organisationer räknas: stat och kommun, transport, järnväg, flyg, hamnar, banker, livsmedelsförsörjning, bränsleförsörjning, fjärrvärme, media, försvar, Internet- och mailleverantörer, mobiloperatörer, sjukvård, läkemedelstillverkning, vatten och avlopp, polis. Ungefär det som täcks av EU:s NIS2-rekommendation.
- En IT-haverikommission ska ha rätt att undersöka alla fakta vid ett haveri, publicera all fakta och åtgärder, samla alla erfarenheter i ett register och inte kunna hindras av prat om ”företagshemligheter”. Rikets säkerhet går före hemligheterna.
- Verksamheten bedöms och betygssätts efter sin cybersäkerhet och data om detta publiceras.
Men vilken myndighet är beredd att stampa med foten och se till att detta genomförs nu, och inte om tre år och efter sju utredningar?
- Icke samhällsviktiga organisationer ska också inbjudas till diskussion om hur de kan förbättra sin cybersäkerhet.
Allting handlar om att minska riskerna för sammanbrott i samhället genom att:
- Eliminera riskfylld verksamhet, samt riskfylld datahantering och –lagring.
- Eliminera angrepp (cyber, psykologiska, propaganda) från tredje makt och brottsliga organisationer.
- Medvetandegöra och tvinga organisationer till ökat säkerhetsmedvetande.
- Hindra att brister och faror döljs under täckmantel av företagshemlighet.
Bakomliggande problem
Massmedia måste skaffa sig, och vara beredda att förmedla, betydligt större teknikkunskaper till allmänheten. Som läget är nu, saknar de flesta journalister teknikkunskaper och försöker glömma alla obehag efter ett par dagar. När det är glömt fyller man sidorna med den eländiga fotbollen.
Men varför ska massmedia uppvisa teknikkunskaper när det svenska folket är så teknikfientligt? Det råder kunskapsförakt i dagens samhälle och det får förödande konsekvenser. Det går knappt att förklara för en vanlig svensk hur ett cyberbrott går till eller hur det påverkar dem. De begraver snabbt näsan i Tiktok eller Facebook, glömmer allt och blåser ut sina personliga data på Internet. Sen rasar ”erbjudanden” om förmånliga aktier och ett arv från en okänd släkting i Nigeria in och svenskarna går på det.
Teknikfientligheten i samhället måste motarbetas. Sverige har alltid varit och är fortfarande en framstående tekniknation, men numera är medborgarna inte längre medvetna om det. Nu gäller pseudovetenskap som chemtrails, strålningsrädsla, homeopati, antivax och helande kristaller.
Skolan måste upp ur kunskapsträsket och börja tala om teknik, fysik, kemi etc på ett sätt som gör eleverna teknikmedvetna. Givetvis måste lärarna ha lämplig kunskapsbakgrund.
Ju djupare samhället snärjer in sig i datorteknik, vilket tycks oundvikligt, desto bättre kunskaper måste gemene man ha för att kunna inse teknikbaserade faror och hot.
Metoder
De vanligaste cyberattackerna som Truesec utreder är utpressning via ransomware (som står för nästan 40 procent av fallen). Näst vanligast är access harvesting – det vill säga brottslingar som specialiserat sig på att skaffat tillgång nätverk och sälja till andra.
Andra vanliga attacker är resource hijacking, vilket innebär att aktörer placerar ut skadlig kod som bryter bitcoin.
Att fundera på
Man måste fråga sig: Hur kommer det sig att det trots allt finns myndigheter och företag som bara fungerar klanderfritt i 25 år eller mer? Jag tänker på kraftigt datorberoende organisationer som Sunet och Netnod. Medan andra ramlar ihop en gång i veckan?
Läs mer
Truesecs lägesbilder för olika år: https://www.truesec.com/hub/report
Säkerheten vi inte vill ha: https://www.teknikaliteter.se/2020/03/13/it-sakerheten-som-vi-inte-vill-ha/
Attackvektorn, det är du: https://www.sweclockers.com/artikel/21218-attackvektorn-det-ar-du
En gammal artikel om bristande säkerhetstänk, och det har inte blivit bättre sen 2019: https://www.teknikaliteter.se/2019/02/21/varfor-finns-det-inget-sakerhetstankande-i-sverige/
Den trista statistiken: https://www.teknikaliteter.se/2023/02/27/it-skandaler-som-ingen-bryr-sig-om-2/