Din webbläsare stöds inte

Din webbläsare stöds inte. Ladda ner en av följande webbläsare för att kunna få en fullständig Svea-upplevelse.

Hoppa till innehåll

Vi måste prata om cybersäkerhet

Publicerad | Övrigt

2 juli riktade den ryska ransomware-gruppen REvil en omfattande supply chain-attack mot mjukvaruföretaget Kaseyas kunder. Gruppen krypterade företagets datorer och begärde 70 miljoner dollar i lösensumma för att låsa upp dem. Attacken fick konsekvenser för många som förlitade sig på Kaseyas system – däribland livsmedelskedjan Coop, som fick stänga 700 butiker. Vi undersökte om sommarens cyberattack blev den ögonöppnare som samhället behövde.

Enligt Portulans Institutes årliga jämförelse Network Readiness Index är Sverige bäst i världen när det kommer till att ta vara på digitaliseringens möjligheter. Coronapandemins krav på social distansering och hemarbete påskyndade av allt att döma bara den digitala omställningen. Men det räcker med att vända blicken mot en annan topplista – FN-organet Internationella teleunionens Global Cyber Security Index – för att inse att den snabba transformationen har en mörk baksida.

När det kommer till cybersäkerhet rankas Sverige nämligen först på plats 26. Diskrepansen mellan vår spjutspetsposition när det kommer till digitalisering – och vår uppenbart eftersatta cybersäkerhet – sätter fokus på en viktig insikt. Ett samhälle som satsar allt på att gå i bräschen för digital utveckling blir inte bara mer produktivt och modernt. Det blir också mer sårbart.

Fråga bara cybersäkerhetsföretaget Truesec, som var med och assisterade flera av de svenska företag som drabbades under sommarens uppmärksammade IT-attack. Där menar man att coronavirusets framfart i praktiken har ritat om hela världens IT-karta.

– När pandemin startade vände alla organisationer över hela världen ut och in på sina nätverk, eftersom de anställda skulle behöva jobba på distans. Den här omställningen var i praktiken tvungen att ske över en natt. Någonstans i allt det här glömde många bort att tänka på IT-säkerheten, man tänkte bara på vilka nya digitala funktioner som behövdes – snarare än hur man skulle implementera dessa på ett säkert sätt. Pandemin blev en katalysator för en ny nivå av digitalisering – men också för en ny nivå av sårbarhet, säger Mats Hultgren som leder Truesecs Cybersecurity Incident Response Team.

En av de vanligaste lösningarna på problemet med att många plötsligt behövde jobba på distans var att upprätta enkla VPN-tunnlar som lät medarbetare komma åt arbetsplatsens servrar hemifrån. Tidigare var det här en ganska perifer lösning som man använde sig av vid särskilda tillfällen när man inte befann sig på kontoret eller var ute och reste. De allra flesta människors arbeten utgick innan pandemin från arbetsplatsen. Där har man ett fysiskt IT-säkerhetsskydd i form av att man sitter i sitt lokala nätverk, dit man oftast bara kan ta sig med hjälp av passerkort.

Sättet att arbeta förändrades över en natt

– Över en natt blev våra privata hemmanätverk våra nya arbetsplatser. Många företag upprättade bara VPN-lösningar som ett slags nödlösning. Ofta hade man inte investerat tillräckligt mycket i de här lösningarna eftersom det inte fanns ett särskilt stort behov tidigare. Med pandemin blev helt plötsligt det som oftast hade fungerat som en tillfällig nödlösning allas standardlösning.

Konsekvenserna lät inte vänta på sig. I början av pandemin gick många distansarbetestjänster på knäna, helt enkelt eftersom de inte var rustade för det här aldrig tidigare skådade trycket. Det gjorde processen med att upprätta fungerande distansarbetslösningar och VPN-tunnlar ännu mer skyndsam. Och tyvärr krattade det manegen för nätets skuggsamhälle.

Artboard Created with Sketch.
Mats Hultgren
Om man gör någonting fort och hastigt, blir det nästan aldrig säkert.

– Om man gör någonting fort och hastigt, blir det nästan aldrig säkert. Vi övervakar runt 175 000 IT-enheter dygnet runt, så vi ser snabbt ganska tydliga trender när hotbilden mot företag förändras över tid. Innan pandemin var phishing det absolut största hotet mot din IT-miljö. Men under pandemiåren har den typen av hot blivit helt omkörda av sårbarheter, det vill säga att du har system som är uppkopplade mot internet som är sårbara och inte hanteras på rätt sätt, säger Mats Hultgren.

Sådana IT-system är särskilt tacksamma för hotaktörerna. De behöver inte ens lura dig eller dina medarbetare att klicka på en tvivelaktig länk i ett mejl. De kan i många fall i stället förlita sig till stora sökmotorer som Shodan, för att automatisera attacker mot företag som exempelvis använder sig av en viss typ av skrivare med ett visst versionsnummer på brandväggen.

– Shodan jobbar lite som Google, men i stället för att inventera webbsidor så inventerar den all IT-infrastruktur som är uppkopplad mot nätet och svarar på tilltal. 2018 uppmärksammades en attack som resulterade i att 50 000 HP-skrivare över hela världen skrev ut ett meddelande samtidigt. Det var en kille som hade ledsnat på att han hittade så många HP-printrar som inte var uppdaterade eller lösenordskyddade. Han använde det för att för att göra reklam för den kände youtubern Pewdiepie.

Hackern bakom den förhållandevis snälla utskriftsattacken kallade sig själv för ”TheHackerGiraffe” och uppgav i en intervju med den amerikanska nyhetssidan The Verge att han ville uppmärksamma allmänheten på hur enkelt det är att nästla sig in i sårbara IT-system.

30 minuters googlande var allt som krävdes

TheHackerGiraffe hade själv ingen tidigare erfarenhet av att hacka skrivare och förklarade att hela attackplanen bara krävde 30 minuter av googlande, några slagningar på Shodan och ett enklare skript för att iscensättas. Så enkelt var det.

– Det här används hela tiden. I dag är sårbarheter, primärt i internetuppkopplad utrustning, den klart vanligaste vägen in i företagsmiljöer. Det är även värt att notera att många av oss fortfarande använder användarnamn och lösenord för att skydda våra enheter i företagsnätverk. Det höll inte för 10 år sedan, och det håller ännu sämre i dag. Varje gång vi på Truesec gör en incidentutredning är en av de första aktiviteterna att titta på kvaliteten på lösenorden som finns i din IT-miljö. En liten tuva fäller ofta stora lass. Det räcker med att ett konto har ett dåligt lösenord, så har hotaktörerna en möjlig väg in, säger Mats Hultgren.

Den här utvecklingen, där en påskyndad digitaliseringsprocess har inneburit att det finns fler sårbara IT-system i världen än någonsin tidigare, är nog så illa. Parar man den med det faktum att IT-attacker har blivit ungefär lika enkla att utföra som det är att steka pannkakor till middag – ja, då inser de flesta allvaret i situationen.

– Om du bara har en kunskapshungrig hjärna och Google kan du i dag hitta tjänster som låter dig skapa automatiserade ransomware-attacker. Hotaktörer hyr ut sin tjänst till dig, så allt du behöver göra är att ta dig in i ett företags nätverksmiljö. Du behöver oftast inte ens betala för sådana tjänster, eftersom aktörerna tar provision. När du sedan kapar en företagsmiljö och kräver företaget på en lösensumma får du ut pengarna i bitcoins. Då tar tjänsteleverantören en viss procent av det.

Cyberattacker har blivit en egen lukrativ bransch

Det här innebär att hotaktörsmarknaden har exploderat under det senaste året. Från att ha haft en betydande mängd avancerade hotaktörer har vi nu fått en gigantisk mängd hotaktörer med lägre sofistikeringsgrad, där man använder sig av verktyg som någon annan har skrivit. Kort sagt: Om många aktörer sysslade med cyberattacker innan pandemin, har det i dag blivit till en helt egen – och mycket lukrativ – bransch.

– All statistik indikerar att den totala nätbrottsligheten kommer att gå om världens sammanlagda illegala droghandel i omsättning under 2021. Det säger något om vilken enorm marknad det har blivit, säger Mats Hultgren.

Mot bakgrunden av den här utvecklingen menar flera IT-säkerhetsexperter att det inte var särskilt förvånande att vi i somras fick se en mer omfattande attack som resulterade i att en så viktig institution som Coop fick hålla stängt under merparten av en vecka.

Det förvånande var snarare att det inte hade skett tidigare.

– I PwC:s studie 24th Annual Global CEO Survey tittade man på vilka hot som vd:ar världen över är mest rädda för. Nummer ett var pandemin, som har ett troligt slut. Nummer två var cyberhotet. Det senare kommer bara att öka, attackerna blir bara fler och mer avancerade. Alla verksamhetsledare världen över är alltså oroliga över det här, men samtidigt vet man inte riktigt hur man ska hantera det. Ser vi på cyberangrepp som ett symptom är den underliggande sjukdomen en bristande IT-förståelse – och därigenom bristande IT-hygien. Det måste vi förändra, säger Mats Hultgren.

Han får medhåll av sina branschkollegor på cybersäkerhetsfirman Advenica, som gör en liknande analys.

Artboard Created with Sketch.
Marie Bengtsson
Många svenska bolag har tyvärr varit ganska naiva.

– Många svenska bolag har tyvärr varit ganska naiva när det gäller informationssäkerhet. Man har satsat stort på digitaliseringen men har oftast inte säkerställt att säkerheten finns med i planeringen av de nya lösningarna. Många har säkert tänkt att det inte ska drabba en själv. Okunskapen om vad som behöver göras för att ha en tillräckligt hög nivå av säkerhet är tyvärr ganska stor. På senare år har bolag som påverkats av nya lagändringar kring IT-säkerhetsområdet börjat orientera sig mer i ämnet och i vissa fall anställt kunnig personal. Men det finns mycket kvar att göra och många fler bolag behöver ta detta på större allvar, säger Marie Bengtsson, vd på Advenica.

Experter menar vidare att även om Coop-attacken blev uppmärksammad i medierna så var den knappast unik. Tyvärr tror några av dem att det kommer att behöva ske fler attacker – i andra branscher – innan samhället på allvar får upp ögonen för vår eftersatta cybersäkerhet.

Den stora massan har inte fått upp ögonen än

– Jag brukar säga att sådana här incidenter öppnar ögonen på just den branschen som drabbas. Just nu tror jag att retail-bolag är livrädda för cyberattacker, men andra delar av näringslivet är nog mest bara lite skärrade. Alla konstaterar säkert att man borde titta över det här. Samtidigt är min erfarenhet att många tänker att det här någonting som händer andra, och inte en själv. Jag tror tyvärr att vi måste se ännu fler incidenter inom ännu fler branscher innan behovet av IT-säkerhet kommer att bli uppenbart för den stora massan, säger Mats Hultgren på Truesec.

Några som redan har blivit varse om allvaret i situationen är Försvarets radioanstalt, FRA. Där jobbar man dygnet runt för att stävja cyberhot mot Sverige, inte minst mot viktig infrastruktur. En viktig del i det arbetet är upprättandet av ett nationellt cybersäkerhetscenter.

På myndigheten delar man experternas bild av en utveckling som håller på att trappas upp.

– Vi är i kärnan av det svenska cyberförsvaret och ägnar oss åt de allra allvarligaste hoten. Då pratar vi om statsaktörer, exempelvis andra länders underrättelsetjänster. En viktig del i vårt arbete är utplaceringen av TDV, tekniskt detekterings- och varningssystem i särskilt skyddsvärda verksamheter. Det är, lite förenklat, ett avancerat antivirusprogram som upptäcker och varnar för sådant som kommersiella produkter inte klarar. Utplaceringen av TDV ökar kraftigt och finns i dag på en del statliga myndigheter och bolag, säger Ola Billger, kommunikationschef på FRA.

Inte heller där är man särskilt förvånade över omfattningen av sommarens IT-attack.

– Sverige utsätts för attacker varje dag så detta är egentligen inget nytt. Sverige är ett av världens mest digitaliserade länder och det innebär också stora sårbarheter. Vi har sett många exempel på detta i omvärlden. Jag tror att det är viktigt att vi tillsammans diskuterar hur cybersäkerheten kan bli bättre i hela samhället – även i det privata näringslivet. Varje stor attack påminner oss om hur sårbara vi är. För mig är det självklart att cybersäkerhetsfrågor måste finnas på agendan i styrelser och ledningar, det får inte vara en fråga bara för IT-chefen, säger Ola Billger.

På Truesec menar man att en av de allra viktigaste lärdomarna vi kan ta till oss är att dagens cyberhot inte handlar om verksamhetsspecifika attacker.

Artboard Created with Sketch.
Ola Billger
Cybersäkerhetsfrågor måste finnas på agendan i styrelser och ledningar.

Det hände Coop – och det kan hända dig

– Den enda gemensamma nämnaren för de som blir utsatta för cyberangrepp är att du har IT-system. Så fort du har det är du en måltavla och måste därför hantera en risk. Alla aktörer som sysslar med IT sitter egentligen i samma båt. Den uppenbarelsen tycker jag inte riktigt att vi har haft som samhälle än. Många tittar fortfarande på sin branschspecifika risk – vi har inte riktigt greppat att det här är någonting som har med digitaliseringen att göra på ett mer övergripande plan. Svenska bolag måste börja se det här som sin största verksamhetsrisk, säger Mats Hultgren.

Så, hur ska vi göra för att få cybersäkerhet att hamna högre upp på Sveriges dagordning? En del av problemet är att det finns ett slags samhälleligt skuldbeläggande på företag som blir hackade. Det är helt enkelt förknippat med skam att bli utsatt för en IT-attack, kanske eftersom det avslöjar hur obetänksam eller slarvig man har varit. Det vi skäms över pratar vi inte om. Det gör att det i dagsläget finns ett stort mörkertal av stora företag som har råkat ut för betydande IT-attacker, men som inte har vågat prata öppet om det. Problematiken har till viss del även att göra med lagstiftningen.

Lagstiftningen fick motsatt effekt

– Från EU:s sida tog man i kraftigt när man införde GDPR, framför allt för att avskräcka Google från att göra övertramp. Men man tog i så hårt att alla företag blev livrädda för att åka på en sanktionsavgift som skulle kunna skicka dem i backen. Det har gjort att lagstiftningen tyvärr har fått motsatt effekt – i stället för att åskådliggöra hur många cyberattacker som faktiskt sker har det resulterat i att många företag helt enkelt mörkar det som inträffat, säger Mats Hultgren.

Coop tog med andra ord ett stort samhällsansvar när man gick ut och berättade om vad man hade varit med om på ett öppet och transparent sätt tidigare i somras. Fler företag måste våga prata om det här så att fler förstår att cyberattacker är någonting som drabbar samhället i stort, inte bara en enskild aktör eller bransch. Cybersäkerhet angår oss alla.

– Ju mer vi pratar om det här på ett konstruktivt sätt i offentligheten, desto snabbare kommer vi att nå en högre digital mognadsgrad.

Hur ska företagen göra då?

Så, hur ska svenska företagsledningar och styrelser gå till väga rent praktiskt för att bli bättre rustade att möta morgondagens cyberhot? Enligt experterna har man mycket att vinna på att skapa sig en mer grundläggande förståelse för vad IT faktiskt är.

– I grund och botten bygger alla IT-angrepp på att någon hittar en sårbarhet i dina system. Den sårbarheten löser man genom att bygga sitt hus av tegel och murbruk, i stället för av vass. Här kommer behovet av en ökad förståelse för vad IT är för någonting in. I den här svängen använder man sig ofta av uttrycket "teknisk skuld". Den tekniska skulden uppstår till exempel när du inte har lagt så mycket pengar och fokus på IT-området som du kanske borde ha gjort, så att du gradvis upptäcker att du plötsligt sitter där med för många föråldrade system. Gamla system är till för gårdagens hotbild och kan inte hantera dagens hotbild, säger Mats Hultgren.

Enligt honom har många svenska företag historiskt varit mer intresserade av den avkastning som snabba digitaliseringsprojekt gett – än av att säkerställa att projekten inte leder till onödiga kostnader längre fram.

Riskanalysen har inte alltid funnits där.

– Samtidigt tycker inte jag att det är helt fel. Om vi inte har någon verksamhet eller affär till att börja med har vi heller ingen anledning att jobba med säkerhet. Däremot skulle man kunna önska att fler skulle skaffa sig ett mindset där cybersäkerhet bara är en av variablerna i affären. Vi måste börja titta på IT-risk på samma sätt som vi tittar på ekonomisk risk, eftersom det i praktiken är samma sak. IT och IT-säkerhet måste bli en del av arbetet hos alla verksamhetsledningar, på samma sätt som HR, juridik eller ekonomi redan är det.

Utöver att se till att cybersäkerhetsfrågan lyfts på en övergripande samhällsnivå finns det en hel del som du kan göra redan i dag på ditt företag för att bli lite säkrare.

Det handlar om processer - inte teknik

– Många tror att det bara handlar om att köpa en teknisk lösning för att bli ett säkert företag. Men något som är oerhört viktigt är att se över alla sina processer, vilka som har tillgång till vilken information och att se till att personalen får kontinuerlig träning i säkerhetstänk. Tekniska lösningar hjälper dig bara delvis om säkerhetskulturen inte finns på plats, säger Marie Bengtsson, vd på Advenica.

På FRA har man tillsammans med en rad andra myndigheter tagit fram ett antal tips som syftar till att utbilda företag i olika IT-säkerhetsfrågor.

– Det finns massor av saker man kan göra, inte minst att se till att IT-säkerhetsfrågor är levande i styrelser och ledningar. FRA har också tillsammans med flera andra myndigheter tagit fram tio råd för bättre cybersäkerhet som alla organisationer har nytta av. Det handlar exempelvis om vikten av säkerhetsuppdateringar, att härda systemen, uppdatera mjuk- och hårdvara och att segmentera sina nätverk. Alla tips finns på fra.se, säger Ola Billger.

Från Truesecs håll tipsar man om att börja med att inventera dina IT-system för att skapa dig en bättre förståelse för hur nuläget faktiskt ser ut.

– De allra flesta företag jobbar inte med IT-risk på samma sätt som man jobbar med andra typer av riskanalys. Det där måste vi komma till rätta med. Det kan vi bara göra genom att skapa oss en bättre förståelse för hur vår IT-förmåga ser ut. Är vi skyddade eller står vår verksamhet öppen? Bara efter en sådan kartläggning kan man börja fatta informerade beslut. Det räcker inte längre att jobba med gissningar och magkänsla, säger Mats Hultgren.

Han har svar på tal till den som mot förmodan fortfarande inte känner sig övertygad om situationens allvar.

Världen är under attack

– I dag har vi företag som hackar andra företag, vi har brottslingar som hackar verksamheter och vi har nationsstater som hackar varandra och varandras företag. Den digitala arenan kanske inte syns med blotta ögat när du tittar ut genom fönstret. Men när jag som jobbar med det här tittar ut genom fönstret ser jag en värld som står i brand. Det är lite som i The Matrix. Vi som jobbar med IT-säkerhet ser igenom "bruset". Världen där utanför står under konstanta angrepp.

Om vi inte kommer till rätta med den eftersatta cybersäkerheten i Sverige riskerar vi i framtiden att få se attacker som får sommarens uppmärksammade ransomware-angrepp att likna en barnlek.

– Vi har som samhälle inte förstått riktigt hur exponerade vi har blivit genom den enorma förflyttningen som digitaliseringen har inneburit. Sverige ligger långt fram när det gäller digitalisering, men när det kommer till säkerhet ligger vi långt efter många andra länder. Vi måste få bukt med det här på något sätt, för annars kommer vi att bli ett väldigt produktivt land – som står vidöppet för ännu tuffare angrepp än det som Coop råkade ut för, säger Mats Hultgren.

Publicerad