IVA fokuserar på: Cyberangrepp – ett växande hot mot svenskt näringsliv

Uppmärksammade cyberangrepp och ryskt missnöje med svensk Nato-ansökan har aktualiserat frågan om cybersäkerhet. Inför valet i höst har flera myndigheter redan märkt av ökad utländsk påverkansaktivitet. Hotbilden växer inte bara mot staten, utan även mot svenska företag. Många är för dåligt rustade, säger cybersäkerhetsexperten och IVA-ledamoten Anne-Marie Eklund Löwinder.

Portättfoto: Björn Falkevik

- Cybersäkerhet borde vara en stor fråga för företag idag. Det finns undersökningar som visar att små och medelstora företag som drabbas av allvarliga cyberincidenter löper stor risk att gå i konkurs inom sex månader. Det gäller de som inte hade en strategi för att hantera en allvarlig incident eller kommunicera kring den. Det är det som behövs – att man har en plan.

Anne-Marie Eklund Löwinder är en av Sveriges främsta IT- och cybersäkerhetsexperter. Hon var säkerhetschef på Internetstiftelsen i nästan 20 år och bedriver numera konsultverksamhet där hon hjälper och utbildar både myndigheter och företag kring cybersäkerhet. Och hon ser att cyberangreppen mot just företag har ökat.

- Idag ska man räkna med att man är hackad och agera därefter. Det räcker inte längre att förbereda sig för att förhindra intrång. Det kommer att hända förr eller senare, säger hon.

I december 2021 hade till exempel Volvo Cars ett dataintrång där forskningsdokument stals. Säkerhetsutmaningen för företagen finns inte bara i de egna systemen, utan även i de man köper från underleverantörer. Anne-Marie Eklund Löwinder menar att det som länge setts som en av Sveriges styrkor – vår höga digitaliseringsmognad – visar sig bidra till vår sårbarhet eftersom vår säkerhetsmognad inte ökar i samma takt. Den snabba utvecklingen mot ett digitaliserat samhälle pekas ut som en av anledningarna till att Sverige blivit en mer lockande måltavla för cyberangrepp.

- Vi digitaliserar utan att tänka särskilt mycket på hur man ska göra det på ett säkert sätt. När vi dessutom sticker ut hakan utrikespolitiskt, skickar vapen till Ukraina och går med i Nato, bidrar det också, säger hon.

Under valet i höst väntas flera myndigheter och väljare bli måltavlor för påverkan och desinformationskampanjer. Samtidigt löper också svenska förtag risken att bli angripna, säger Anne Marie Eklund Löwinder, som har tre konkreta råd till företag som vill höja sin cyberberedskap:

  1. Utbilda medarbetarna så att de förstår vad som står på spel och vad konsekvenserna blir om något inträffar. Som chef måste man vara en förebild. Att höja medvetandet är viktigt.
  2. Var noggrann med vem som har behörighet till vad i organisationen. Ingen ska ha behörighet och tillgång till mer än vad som behövs för att kunna göra sitt jobb. Då minskar man riskerna. Försök även att införa flerfaktorsidentifiering.
  3. Se till att uppdatera system snabbt och effektivt. Har man egna nätverk kan man också segmentera dem. Då finns det ett skydd mellan de olika delarna. Samma råd gäller också för företag som för privatperson - till exempel att ha fungerande säkerhetskopior på allt.

Men trots att många företag och myndigheter har bristande beredskap mot cyberangrepp, så upplever Anne-Marie Eklund Löwinder att fler har blivit varse problemen. I december 2020 fattade regeringen beslut om att upprätta ett nationellt cybersäkerhetscenter och i höst börjar de första studenterna på det nya mastersprogrammet i cybersäkerhet vid KTH. Men det räcker inte menar hon. Saker måste gå snabbare.

- Vi är väldigt sena på bollen. Det här hade vi behövt börja med för länge sedan.

För att snabba på utvecklingen tror hon att det behövs mycket tydligare rekommendationer från statligt håll – i alla fall när det gäller myndigheter. Hon tycker att vi är för tama och försiktiga i Sverige. Som exempel nämner hon att man i Norge inom kort kommer att införa en lag där alla statliga myndigheter ska ha en viss kvalité på krypteringen av mejl. Det är en nivå vi också behöver nå, menar hon. Frivillighet verkar inte fungera.

- Vi behöver också utbilda fler inom området. Det behövs oändligt många fler verksamma inom cybersäkerhet och arbetsmarknaden för den typen av kompetens kommer att vara stark lång tid framöver. Cyberhoten kommer inte att försvinna men förhoppningsvis kommer vi att lära oss mer om dem och hur vi ska förebygga dem. Det behövs bara lite fart och mer jävlar anamma.

Tips! Här kan du lyssna på Anne-Marie Eklund Löwinders Sommar i P1

FAKTA

Anne-Marie Eklund Löwinder är i grunden systemvetare från Stockholms universitet. Hon har jobbat på Statskontoret, varit medlem av sekretariatet för den fjärde IT-kommissionen, och var under åren 2001–2021 säkerhetschef vid Internetstiftelsen. Stiftelsen ansvarar för det svenska toppdomänet .se, samt för .nu, och främjar utvecklingen av internet.

Hon är den första svensken som blivit invald i Internet Hall of Fame, med motiveringen att hon var med och fattade beslut som bidrog till att Sverige som första land år 2005 införde säker DNS för .se. Hon är sedan 2019 ledamot i regeringens digitaliseringsråd och sitter i styrelserna för Försvarsmaktens materielverk, Skatteverket, Trafikverket, .IE och institutet för rättsinformatik vid Stockholms univetsitet.

Anne-Marie är medlem i styrgruppen för IVA-projektet "Cybersäkerhet för ökad konkurrenskraft". Läs mer om projektet här