Cybersäkerhet ur ett franskt perspektiv

Hur arbetar Frankrike med cybersäkerhetsfrågor?

Cybersäkerhet har länge ansetts vara en icke-prioriterad fråga när det gäller budgetmedel för digital utveckling. Men nu håller den på att prioriteras på statlig nivå. En snabb ökning av antalet attacker under de senaste 30 månaderna har påskyndat förändringen. Den franska regeringen har avsatt 1 miljard euro i investeringar för att påskynda arbetet med att öka skyddet i verksamheter i privat och offentliga sektor.

I kölvattnet av stora cyberattacker mot den franska nationella hälso- och sjukvården (två attacker lamslog två stora sjukhus) under åren 2020 och 2021 kom också attacker mot kommuner och regioner, samt små och stora företag. Detta var bakgrunden till att den franska regeringen offentliggjorde sin strategi för cybersäkerhet. Strategin hade förberetts i flera månader och omfattade en speciell organisation med uppgift att övervaka säkerhetsnivåerna inom sjukvården.

Den nationella strategin för cybersäkerhet är, förutom insatserna inom sjukvårdssektorn, avsedd att ge ett förbättrat skydd för medborgare, förvaltningar och för viktiga industrisektorer som finans, telekom, energi och läkemedel och det vi i Frankrike kallar OIV (Operatörer inom vital infrastruktur).

Nästan ingen har varit förskonad från dessa alltmer professionellt utförda cyberattacker. Enligt den senaste undersökningen som publicerats av CESIN, den mest tillförlitliga tankesmedjan för cybersäkerhet i Frankrike, rapporterade år 2020 91 procent av de franska organisationerna, inklusive 57 procent  av de privata företagen, att de har varit utsatta för minst en cyberattack. Antalet attacker som hanterats av Frankrikes nationella byrå för informationssystemssäkerhet (ANSSI) har ökat med 400 procent under 2021. 

Vilka är styrkorna i Frankrikes sätt att arbeta med cybersäkerhet?

En av styrkorna är vår industriella och tekniska bas, som är bred och med kompetens i form av starka kluster som Cyber Excellence Cluster (Pôle d'Excellence Cyber - PEC) i Rennes.

2019 var den franska cybersäkerhetsindustrin värd 7,3 miljarder euro, jämfört med 5,2 miljarder 2016, med en årlig avkastning på 11,8 procent. Nästan 600 företag arbetar idag inom cybersäkerhetsområdet. Konsulttjänster dominerar. Men för att bli effektivare måste den franska cybersäkerhetsindustrin skapa fler synergier mellan olika delar av sektorn. Det franska cybercampuset skapades just för att möta detta behov.

Vilka är svagheterna i Frankrikes arbete?

Den första viktiga svagheten är bristen på medvetenhet om cybersäkerhet. Trots de två fruktansvärda år som vi just upplevt, de dagliga cyberattackerna mot sjukhus, företag och städer, är de folkvalda, tjänstemännen i förvaltningarna i våra regioner och företagsledarna i små och medelstora företag fortfarande omedvetna om cybersäkerhetsriskerna. De betraktar cybersäkerhet som ett av flera alternativa verksamhetsområden och anser att den inte kan vara ett mål i sig. Omedventenheten gäller i ännu högre grad den vanliga medborgaren.

Den andra svagheten är svårigheten att utbilda och rekrytera cyberpersonal. Vi har för få cyberexperter för att kunna hantera alla aspekter av cyberhoten. De lokala myndigheterna och de små och medelstora företagen har inte tillgång till nödvändiga resurser. Även om de skulle ha tillgång till dem har de inte de ekonomiska resurserna att anställa dem. 80 % av de unga cybersäkerhetsingenjörerna sugs upp av de stora cybersäkerhetsföretagen och de statliga myndigheterna som försvarsmakten, Anssi och underrättelsetjänsten.

Du talar om ett förändrat hot de senaste 18-24 månaderna. Hur ser det ut?

Hotet mot Frankrike är mångfacetterat, varierat, växande och finns inom hela samhället. Cyberhoten är hela tiden aktuella för försvaret. Ett exempel är attacken i slutet av 2017, mot e-postsystemet hos ministeriet för de väpnade styrkorna. Attacken syftade till att återskapa information om tankning av den franska flottan. Under 2017 registrerades 750 datorattacker mot ministeriet. Året därpå ökade de till 850, sedan 900, för att nå upp till 1 000 år 2020. Uppgifterna kommer från general Didier Tisseyre, chef för cyberförsvaret (ComCyber), den enhet som leder och samordnar de franska väpnade styrkornas cyberförsvar. Hotet hänger också över de franska företagen, oavsett sektor och storlek.

Det finns också cyberhot mot OIV (operatörer av samhällskritisk verksamhet). Vi måste skilja mellan två fenomen: ren kriminell cyberbrottslighet och statliga hot. Det är cyberbrottsligheten som exploderar. Målet för dessa brottslingar är att göra snabb vinst. För OIV, som hanterar cybersäkerhetsproblemet utifrån 2013 års lag om programmering inom militären, väger attackerna från kriminella aktörer tungt, även om de kanske får mindre konsekvenser än statligt sponsrade attacker som syftar till spionage. Antalet attacker av den sistnämnda kategorin är mer begränsat, men de är mer sofistikerade och pågår över en lång tidsperiod. De är svåra att upptäcka och kan få mycket allvarliga konsekvenser för OIV:s verksamhet och därmed för nationens motståndskraft.

Enligt flera tillförlitliga källor utfördes cyberattacker för tre till fyra år sedan i stor utsträckning av enskilda personer eller små kriminella grupper som försökte orsaka störningar för att få pengar. Men under de senaste 18 månaderna har angriparens profil förändrats drastiskt. Det är nu lika sannolikt att cyberattacker utförs av organiserade kriminella grupper, terrorister eller illasinnade statliga aktörer eller deras ombud. 

I många fall innebär denna förändring att angriparnas mål och beteenden har förändrats, vilket gör angriparna mycket svårare att upptäcka och stoppa. Angriparnas kompetens ökar och de använder mycket mer sofistikerad teknik. Automatiserade höghastighetsrobotar och IoT-relaterad skadlig kod används i allt större utsträckning. Detta leder till situationer där storstäder eller till och med regioners cyberförsvar kan ödeläggas av en omfattande attack. 

Och det värsta väntar för lokala myndigheter och små och medelstora företag när angriparna använder sig av AI-baserade attacker som utnyttjar intelligenta algoritmer och djupinlärningssystem. Detta innebär en teknisk utmaning som de lokala myndigheterna inte kan möta, inte minst därför att många inte är medvetna om deras karaktär. Och de som är medvetna har inte teknik och personal att möta dem.

Vilka konsekvenser har den förändrade hotbilden haft för cybersäkerhetsarbetet?

Frankrike anpassar sig. Det gör även dess säkerhetstjänster och andra organisationer:

• Som svar på den ändrade hotbilden lanserade Gendarmerie Nationale sitt Cyber Command.
• ANSSI har skapat plattformen Cybermalveillance där företag inom cybersäkerhet och IT-säkerhet som är ackrediterade av ANSSI är listade och kan hjälpa offer för cyberattacker i båden genom förebyggande arbete och i krissituationer.
• Under det senaste året har ANSSI stött regionala regeringar att inrätta CSIRT:er som ska arbeta på regional nivå och stödja lokala cyberföretag och intressenter i kampen mot cyberkriminalitet.
• I samarbete med ANSSI har ett nätverk av CISOs (Chief Information Security Officer) från stora och medelstora städer med mer än 300 medlemmar satts upp. Detta nätverk utbyter information i realtid om hot och IP-adresser som identifierats som farliga.
• Slutligen kommer ANSSI och gendarmeriet att samarbeta med både stora och nystartade företag inom Cyber Campus för att skapa ett offentlig-privat partnerskap inom cybersäkerhet. Syftet är att bemöta cyberhoten genom att utveckla ny teknik och nya strategier.

Vilka är Frankrikes största utmaningar i cybersäkerhetsarbetet?

Den första är teknisk. Frankrike har en mycket solid industriell bas inom cybersäkerhet men måste stärka sin kompetens inom artificiell intelligens, vilket kommer att kompensera för bristen på mänskliga resurser. 

Den andra är organisatorisk. Vi bör lära oss av hur britterna arbetar med ramverk för sina verksamheter. I Frankrike ägnar vi timmar åt att skapa exakta metoder. Att använda ramverk betraktas ibland till och med som inkompetens. I Storbritannien är det absolut omöjligt att inte använda dem. Under finanssektorns inflytande har hela cyberbranschen blivit "ramifierad". Man behöver ett ramverk för allt: skapa en SOC-maturitetsbedömning, en strategi för cyberrekrytering och så vidare.

Det tredje handlar om vår kultur av suveränitet. Jag vill vara försiktigt när vi berör det kulturella. Men låt oss bara vara sakliga. Jag hör knappt talas om nationella intressen i Storbritannien när det gäller "vanliga" cyberämnen och kunder. Men i Frankrike är suveräniteten ett hett ämne överallt - ännu mer i samband med att Campus Cyber i Paris byggdes nyligen. Den minsta CISO i ett litet företag vill ha en åsikt om konsekvenserna av den ryska konflikten, relevansen av brittiska, kinesiska eller tyska verktyg eller användningen av amerikanska produkter. Ibland verkar det som om CSO står för "Chief Sovereignty Officer" i Frankrike. Detta är uppenbarligen ett viktigt ämne. Men vi måste se till att förbli pragmatiska och att inte tappa fokus på de viktigaste frågorna. Det gäller särskilt för lokala myndigheter eller små och medelstora företag.

Det fjärde är kompetensförsörjningen. Låt oss återigen jämföra med Storbritannien. I Frankrike är vi fortfarande mycket fokuserade på de stora tekniska skolorna och universiteten. CISO-grupperna bemannar sig ofta med unika kompetensprofiler och det är lite av ett rekryteringskrig. I Storbritannien hänvisar man mycket mer till certifieringar (CISSP, Lead auditor) än till själva utbildningsinstitutionen, vilket ger en mängd olika kunskapsprofiler i säkerhetsgrupperna. Dessutom gör användningen av ramverk och systematiska metoder för vissa aktiviteter (riskanalys, tester) det möjligt att använda mindre erfarna personer i verksamheterna.

Eric Lambert var när intervjun genomfördes sommaren 2022 partner och Head of Government Affairs på Victanis Advisory Services kontor i Paris.