Första veckan i juli stängde Coop 700 av sina 800 butiker efter att en grupp cyberkriminella hade hackat en programvara  i kassasystemet. Det var en av Coops underleverantörer, Visma, som i sin tur använt sig av ytterligare en underleverantör, Kaseya, för kassasystemen som hackats. Gruppen med kriminella krävde en lösensumma av Kaseya för att släppa kontrollen till kassorna, med påföljd att kunderna till Coops butiker fick vända i entrén. 

Under de senaste åren har allt fler svenska företag och organisationer drabbats av it-attacker och det ser inte ut som att problemet kommer att minska. Den tekniska utvecklingen går i rasande fart, men säkerhetsarbetet ligger hopplöst efter. Det menar forskaren Pontus Johnson som är professor i nätverk och systemteknik på KTH och ansvarig för Centrum för cyberförsvar och informationssäkerhet (CDIS).

− Att bygga säkra it-system har visat sig mycket svårare än man har trott. Även de som verkligen anstränger sig misslyckas, säger han och tar Apple som exempel.

− De har jättekunnig personal och jättemycket pengar. Ändå kräver deras operativsystem, iOS, säkerhetsuppdateringar varje månad. De hittar hela tiden nya problem, och det är inga småsaker det handlar om. Det är kritiska säkerhetsproblem som innebär att någon skulle kunna ta över din mobil eller dator.

Läs också:  Snabb it-utveckling påverkar it-säkerheten

Pontus Johnson beskriver det som att den mänskliga hjärnan inte har förmåga att förutse alla säkerhetsluckor i ett it-system. Programutvecklarna sitter alltså med en omöjlig uppgift, liksom it-teknikerna som har jobbet att sköta systemen. Om någon vill komma in går det att hitta vägar. 

– Vi oroar oss mest över de it-attacker som nationalstater ligger bakom.

Han berättar att motiven bakom angreppen varierar. Det kan handla om försök att utöva påtryckning, som när elnätet i Ukraina hackades i samband med Krimkrisen, vilket slog ut elen i delar av landet, en attack som den ryska militära underrättelsetjänsten, GRU, misstänks ligga bakom.

Det kan också handla om att man vill skapa oro och instabilitet.

− Som när GRU hackade delar av det amerikanska valsystemet år 2016, säger Pontus Johnson. 

Läs också:  Så undviker du cyberbrott

Enligt Säkerhetspolisen är det Ryssland, Kina och Iran som utgör det allvarligaste hotet för Sverige när det gäller it-säkerhet. Kina är framför allt ute efter att stjäla intellektuell egendom, i synnerhet teknisk kunskap. Man vet till exempel att de har lyckats ta sig in i Ericssons system.

− De hackade HP som driftade it-systemen för Ericsson och på det sättet kunde de promenera in och bereda sig tillgång till en hel del information. Kinas it-intrång i västvärlden leder till att företag förlorar patenträtter värda stora summor till kinesiska bolag. Det har kallats ”the greatest transfer of wealth in history”.

Bland svenska företag som har utsatts för allvarliga it-attacker nämner han vid sidan av Ericsson och Coop säkerhetsföretaget Gunnebo, som hackades förra året. Intrånget kan ha lett till att viktig information kom på villovägar, som hemliga uppgifter om den fysiska säkerheten i riksdagen.

Även Riksidrottsförbundet har – kanske lite otippat – utsatts för en it-attack.

− De hackades av GRU efter att Ryssland hade stängts av från OS. De hackade alla möjliga idrottsorganisationer, som en hämnd får man väl anta. 

Läs också:  Åklagarna om hoten – Vi får lära oss att hantera situationen

Vissa svenska företag och organisationer satsar mycket på it-säkerhet. Det gäller till exempel militären, elnätsbolagen och kärnkraftverken. Framöver kommer fler organisationer som hanterar kritisk infrastruktur att öka sin it-säkerhet, tror Pontus Johnson. 

Om en it-attack slår ut sådan infrastruktur kan det få enorma samhällskonsekvenser och i slutändan skulle det kunna kosta människoliv. It-attacker kan också ännu
mer direkt innebära en fråga om liv och död. 

− Det går att hacka en pacemaker eller en bil och ta över styrningen.

Han undervisar studenter på KTH i ”etiskt hackande” och under lektionerna har de lyckats ta kontroll över såväl bilar som insulinpumpar.

− Vi testar systemen genom att försöka hacka dem. Det är ett av de bättre sätten att hitta sårbarheter.

Pontus Johnson ser att många företag och organisationer anställer fler som jobbar med it-säkerhet och det behövs många fler som har kompetensen. Inom militären utbildas sedan 2020 årligen en grupp värnpliktiga till cybersoldater för att säkerställa kompetensen inom organisationen. 

Läs också:  Makten på nätet

Det har gjorts försök att förbättra it-säkerheten genom att öka kompetensen bland kontorsarbetare generellt, men sådana satsningar har begränsad framgång. Pontus Johnson nämner som exempel en studie där deltagarna skulle lära sig att inte öppna skadliga dokument.

− Av dem som inte hade gått kursen öppnade en tredjedel dokumenten. Av dem som hade gått kursen öppnade en femtedel dem. Även om det skedde en förbättring så är den inte tillräcklig. Det räcker fortfarande att ett phishingmejl går ut till tio personer så kommer någon att öppna det.

Framöver tror han att vi kan få se förändrad lagstiftning som lägger större ansvar på tillverkarna av it-system i de fall då inkräktare lyckas ta sig in i systemen. Det skulle öka incitamenten att utveckla säkrare system, resonerar han. Om hårdvaran i en bil inte håller måttet är det självklart att ansvaret vilar på tillverkaren, men om mjukvaran inte klarar ett hackningsförsök finns i dag ingen möjlighet att ställa tillverkaren till svars. 

− Där kanske vi kommer att få se en förändring i framtiden, men det blir då viktigt att sådana lagar inte hämmar företagens lust att innovera. 

Läs också: Etik på jobbet – en fråga om struktur

Därför är bristande it-säkerhet ett växande problem

  • Vi är digitaliserade i större utsträckning än tidigare. Det innebär att viktiga system har blivit möjliga att hacka, till exempel elkraftverk och bilar.
  • Det säkerhetspolitiska läget har förändrats. Flera länder rustar i cyberrymden och det finns även andra organisationer som har kapacitet att vara offensiva.
  • Det har visat sig väldigt svårt att bygga säkra it-system. Även de som verkligen försöker – och har mycket pengar och kunnig personal – misslyckas.

Liten cyberordlista

Phishing/nätfiske: Användning av falska webbsidor och e-post med falsk avsändare för att lura folk att lämna ifrån sig lösenord eller andra hemliga uppgifter. 

Etiskt hackande: Att försöka hacka ett system för att påvisa säkerhetsrisker.

Hacktivism: Användande av hackning för att främja en politisk agenda.

Ransomware: En skadlig programvara som används vid utpressning. 

Cyberhygien: Rutiner för bibehållande av hög it-säkerhet. 

Cybersoldat: Militärer med kompetens inom it-säkerhet.

Cyberkriminell: Person eller grupp som begår it-brott, oftast med ekonomiska syften.