Hur kommer det sig att det finns företag som klarar sig trots alla cyberattacker, och därtill i 20-30 år, och sen finns det de som ramlar ihop varannan vecka? Netnod har haft svaret länge och i och med årets vårmöte var det dags att presentera den nya produkten ”Robusthetskollen” där organisationer kan få hjälp att öka sin cybersäkerhet, främst genom egen insikt.
Internet är inte längre den lugna plats det var för 5-10 år sedan. Idag domineras det av attacker och desinformation från krigförande länder och diktaturer. En samhällsviktig organisation i Sverige attackeras som faller ihop ungefär en gång i veckan, men nu tycks det som att åtminstone vissa har sett ljuset och vill börja öka sin robusthet. Om inte annat kommer det nya regelsamlingar från EU som ställer betydligt hårdare krav på organisationer än tidigare, och utdömer straff för slarv och ointresse.
Så här illustrerar Netnod Internet just nu, en röra av attacker till lands och till sjöss, såväl under som över vattnet, störda satellitsignaler och massiv desinformation.
Vårmötets två dagar fylldes av flera intressanta föreläsningar om säkerhetsproblemen på Internet och vad man bör göra påt dem. Ett antal högt uppsatta tjänstemän och –kvinnor berättade om deras organisationers särskilda problem. I det följande tas bara några föreläsningar upp. Det var många fler, men just dessa är måhända de mest allmängiltiga.
Marknätet torkar in
SvT:s Anne Lagercrantz grillas av Netnods Patrik Fältström
Sveriges Televisions VD Anne Lagercrantz berättade om hur SvT klarade säkerheten nu när allt fler tittar på TV via Internet och vi håller på att överge den traditionella TV-antennen på taket.
SvT har ett stort ansvar att stå upp mot cyberattentat. Ett annat problem är AI-påhittade nyheter och konspirationsteorier som sprutar över Internet. SvT har dessutom insett att de inte längre kan lita på amerikanska underleverantörer för sin distribution. Diversiteten, alltså flera skilda leveransvägar, blir allt viktigare.
Robusthetskollen
Alla pratar om robusthet och motståndskraft men få vill diskutera IT-incidenter och angrepp mot den egna organisationen och vad man gör åt det. Sånt pratar man inte om. Man kan bara vara säker på en sak: Det kommer att bli mycket stora och dyra omvälvningar för kommuner och företag som vill bli robusta på riktigt. Här är några av farorna:
- Driftbortfall i kommuner.
- Sjukvårdens system fallerar och man får återgå till papper och penna.
- Krig i Östersjön.
Det viktigaste var begreppet RDO: Robust Digitalised Organisations.
Bilden visar hur Netnod tänker sig gå fram med sitt nya verktyg, och det har redan provats på Kinda kommun som har svåra driftproblem. Men de anmälde sig frivilligt, vilket hedrar dem. Man börjar med att kartlägga problemen, vad det finns för digitala beroenden och hur organisationen ser på framtiden. Därpå följer en övning där man får försöka inse sin utsatthet. Netnods experter sammanställer de insikter man kommit fram till och föreslår ett antal åtgärder. När kallsvetten runnit av får organisationen en slutrapport och metoder för att komma vidare.
Det blev många otrevliga frågor till publiken.
- Kan du hantera ett cyberangrepp? Ja/nej/kanske…
- Känner din personal igen ett cyberangrepp?
- Kan organisationen klara sig utan Internet i två veckor?
- Tro du en avbrottsförsäkring kan lösa alla problem?
Diskussionerna kring Robusthetskollen fortsatte på eftermiddagen med ett antal rundabordssamtal där organisationer fick berätta vad de tänker om sin cybersäkerhet, eller vad de har för problem och där Netnods representanter kunde berätta för dem om de lämpliga lösningarna.
CRA, CVE, NVD – the world is shaking
Olle Johansson från Edvina skakade om publiken med hårda fakta om de senaste cyberattackerna och vad EU vill göra åt det. EU:s nya lagförslag CRA, the Cyber Resilience Act, kan slå hårt mot världens programvaruleverantörer om de vill kunna leverera i EU och få det åtråvärda CE-märket. Balansen mellan användare och leverantörer är sned. Tillverkarna av digitala produkter måste tvingas ta mera ansvar. Avsikten med CRA är att skydda oss alla från cyberbrott.
Det har varit en mängd driftavbrott i EU på grund av cyberbrott och andra oegentligheter. (Du minns väl när Coop fick stänga för att det inte gick att använda kreditkort?) Kostnaderna är för höga och motståndskraften för låg.
EU vill flytta över allt ansvar till programleverantören och anser att kunderna behöver ett bättre skydd och att bördan för detta ska läggas på tillverkarna. Programprodukter måste konstrueras säkrare och ha säkerhet inbyggd som standard.
Från och med den 11 september 2026 måste tillverkare rapportera sårbarheter via en enda EU-rapporteringsplattform. EU stärker sin egen sårbarhetskoordinering, bland annat med en ny europeisk sårbarhetsdatabas som drivs av ENISA (EUVD, European Vulnerability Database). EUVD tillhandahålls enligt NIS2-direktivet.
Bäva månde programleverantörerna.
CVE och NVD
Common Vulnerabilities and Exposures (Vanliga sårbarheter och exponeringar, CVE) är en internationell, samhällsdriven insats för att identifiera, definiera och katalogisera offentligt avslöjade cybersäkerhets-sårbarheter. CVE gör det möjligt för säkerhetspersonal att se till att de pratar om samma problem med olika leverantörer.
National Vulnerability Database (Nationell databas över sårbarheter, NVD), som underhålls av U.S. National Institute of Standards and Technology (NIST), är en databas som synkroniseras med CVE-listan. Medan CVE tillhandahåller ID:t, berikar NVD dessa data genom att lägga till analyser, inklusive allvarlighetsgrad (CVSS), berörda produktversioner (CPE) och koppling till Common Weakness Enumeration (CWE).
Polar Connect Initiative
När Internet ska från Europa till Japan och Sydostasien måste det transporteras på fiberkablar som passerar tämligen ”farliga” områden eller sträckningar som gör kabeln väldigt lång. Exempelvis går en kabel från Europa till Japan längs Transsibiriska järnvägen och det är inte att betrakta som särskilt säkert idag. En annan, SEA-ME-WE (20.000 km), går på havsbotten från Sydfrankrike, längs Medelhavet, genom Suezkanalen, genom Indiska oceanen och så vidare tills den når Singapore. Det är väldigt långt och ger stora fördröjningar och är dessutom riskfyllt med tanke på vad som händer på världshaven idag, exempelvis när Huthi-rebellerna sänker fartyg i Röda havet och tankbåtar blir beskjutna i Medelhavet.
Det visar sig att den svenska isbrytaren Oden kan bryta sig igenom isen i Nordpolen. Den har gjort det flera gånger. Projektet ”Polar Connect”, som bland annat stöds av Vetenskapsrådet, NORDUnet, Polarforskningssekretariatet, Géant-nätet och Global Connect, avser att dra en kabel från Nordnorge, tvärs under Nordpolen, genom Berings sund och därefter söderöver till Japan. Det blir bara hälften (10.000 km) av avståndet för SEA-ME-WE och kortast möjliga väg mellan EU och Japan.
Erik-Jan Bos från NORDUnet berättade om projektet och dess fördelar. Redan 2031 ska det gå att surfa snabbare till Japan på den nya kabeln. De planerade 60 våglängderna med 600 Gbps vardera kommer att ge möjlighet för betydligt utökad digital handel mellan EU och Japan.
Det är bara det att det behövs en ännu kraftigare isbrytare än Oden för att hålla kanalen över Nordpolen öppen under utläggningsarbetet, men det fixar vi.
En konversation med Sveriges justitieminister
Tyvärr hoppades den hård-tekniska publiken lite för mycket på justitieministern, när han skulle intervjuas av Netnods säkerhetsexpert Fredrik Lindeberg. Ministern menade att politiker har svårt att förstå sig på tekniken, men har ändå ansvaret för säkerheten i Sverige, brottsbekämpning rent fysiskt såväl som på Internet. Som alla redan konstaterat, konstaterade han att vårt beroende av amerikansk teknik för Internet gör saker mera komplicerade idag. Vi måste arbeta på att bli mera oberoende. Vi har pratat och pratat om vårt oberoende och vår konkurrenskraft i decennier, men inget har hänt.
– Kan politiker verkligen stifta lagar kring teknik, när de inte förstår sig på teknik?
– Mja, kanske inte.
– Hur ska myndigheterna kunna titta i krypterad kommunikation utan att samtidigt kompromettera rikets säkerhet? Om polisen inte har åtkomst, hur ska de arbeta?
– Chat Control-pratet har varit skadligt och de brottsbekämpande myndigheterna måste vara mera precisa i vad de behöver. Polisen har svårt att avlyssna brottslingar. Diskussionen fortsätter dock. Låt oss se vad som händer.
Ukrainahjälpen
Sedan många år stödjer Netnod Ukrainas hårt kämpande befolkning med olika sorters utrustning. Just den här bilden visar en större mängd begagnad nätverksutrustning man samlat ihop, som ska skeppas till Ukraina för att hjälpa det hårt sargade landet att kommunicera.
Samvaron
Spisningen var som vanligt förnämlig. De många hundra deltagarna kunde njuta av alldeles utmärkt fika och lunch och den som så önskade kunde också vara med på ”The Social” alltså middagen efter mötet där mat och drinkar ingick.
Runt fikautrymmet visade ett antal av Netnods viktiga sponsorer upp sig och berättade om nätsäkerhet och visade upp sina produkter, främst inom det fiberoptiska området. Men de var inte bara där för att visa upp snygga apparatlådor eller dela ut T-tröjor och godis, utan för att erbjuda sin hjälp åt de organisationer som har problem med cybersäkerheten och vill göra något verkligt åt det.
Mysterier
Det finns fortfarande mysterier. Hur kommer det sig att stora svenska samhällsviktiga organisationer faller omkull, får sina servrar vittjade av kriminella, systemen stannar osv, i stort sett varje vecka, medan det finns företag som går i decennier utan att rubbas, som just Netnod som gått utan mankemang i 30 år och kontinuerligt överför 2,5 Tbps? Hade Netnod fallit hade hela Sverige drabbats av Internetavbrott, men, icke. Sunet (Swedish University Network) har ett landsomspännande datornät som förbinder alla svenska universitet och högskolor och de har gått i 25 år utan driftavbrott. Vad gör de för konstigt?
Internet är inte skoj längre
Därför ska du gå på Netnods teknikmöten. Där finns folk som kan hjälpa.
