Vår beredskap mot cyberhot är inte tillräcklig
I inledningen av science fiction-serien Battlestar Galactica från 2004 attackeras mänskligheten av självmedvetna robotar, som genom att hacka försvarets nätverk enkelt slår ut allt motstånd. Den enda militära enhet som klarar sig är Galactica, ett stridsskepp vars befälhavare Adama är gammaldags nog att vägra koppla ihop skeppets nätverk med andra system.
Det må vara science fiction, men när man betraktar hur den amerikanska staden Baltimore drabbats av en så kallad ransomware-attack, där flera offentliga system slagits ut av cyberterrorister som kräver stora lösensummor, finns det ändå lärdomar att dra.
Den mest basala läxan är att det uppkopplade samhället är känsligt för organiserade cyberattacker. Såväl elnätet som livsmedelsförsörjningen och sophämtningen är starkt beroende av digitala system. Sverige är med sin låga kontantanvändning – lägst i världen – särskilt känsligt för attacker mot betalsystemet. Riksgäldens chef Hans Lindblad varnade nyligen (DI 16/5) för att vår beredskap är för låg. Han pekar bland annat på att FRA redan 2017 uppskattade att Sverige utsätts för 10 000 aktiviteter i månaden som är relaterade till cyberhot och kan knytas till främmande makt.
Att Lindblad har rätt illustreras om inte annat av att stora säkerhetshaverier skett utan att systemen ens utsatts för medvetna attacker. I Transportstyrelseskandalen åsidosattes säkerhetsrutinerna med berått mod. I 1177-läckan, där miljoner sekretessbelagda patientsamtal till Vårdguiden fanns fritt tillgängliga på nätet, var naiviteten total. “Det visar sig att även den simplaste hårddisk är nåbar om den ansluts till nätet. Det är ju bara att ta åt sig av detta och säga ‘wow, fasiken också’”, sa IT-entreprenörens vd till Breakit (19/2).
Men allt handlar inte heller om offentliga system. Aluminiumföretaget Hydro, baserat i Norge men med verksamhet i såväl Stockholm och Göteborg som Vetlanda och Finspång, utsattes tidigare i år för en ransomware-attack som fryste vitala system. I företagets kvartalsrapport uppskattar man att attacken kostat företaget 400-450 miljoner norska kronor. Medvetenheten och säkerhetstänkandet måste öka i alla delar av samhället. Myndigheter behöver bli bättre på att bistå privata aktörer i arbetet.
Efter Baltimore-attacken riktas nu blickarna mot den amerikanska säkerhetstjänsten NSA. Enligt tidigare medarbetare är EternalBlue, verktyget som används för att hacka Baltimores system, utvecklat av NSA. Säkerhetstjänsten ska ha meddelat Microsoft om en säkerhetslucka i företagets mjukvara först när den utnyttjades av externa hackergrupper.
Det visar att även de som ska bidra till att försvara oss kan vara en del av problemet. Statlig hackerverksamhet genom så kallade “bakdörrar” eller malware kan aldrig vara acceptabelt, hur många underrättelser säkerhetstjänsterna än tror sig kunna inhämta.
Vid sidan av det behöver vi lära både av Baltimore och Battlestar Galactica. Vitala IT-system måste ha säkra och redundanta alternativ. Beredskapen måste finnas för att samhället ska kunna fungera även när det inte är uppkopplat.
