En ny rapport visar att Sveriges största företag utsätts för ständiga cyberangrepp med omfattande kostnader som följd. Företag uppger att de saknar stöd från myndigheter, samtidigt finns lagstiftning som försvårar.
”Phishing med mera sker dagligen – det är ett ständigt brus”, är ett vanligt svar från de intervjuade företagen i organisationen Svenskt Näringslivs undersökning hösten 2020.
Enligt rapporten om undersökningen är hotet om industrispionage och cyberangrepp vardag för alla stora företag.
”Cyberangreppen bedrivs i närmast industriell skala, och kan närmast jämföras med en aldrig avtagande flodvåg som nöter på företagens it-infrastruktur.”
Svenskt Näringsliv intervjuade säkerhetsansvariga på fler än 14 av Sveriges största företag i syfte att få en bild av företagens problem med industrispionage och it-säkerhet.
”Det är uppenbart att utvecklingen av digital teknik har gjort det både lättare, billigare och mer riskfritt att genomföra illegala angrepp, främst syftande till ekonomisk vinning”, skriver rapportförfattarna.
Man bedömer att även små och medelstora företag utsätts för it-angrepp i samma omfattning som stora företag.
Mångmiljonbelopp
Kostnaderna för företagen är stora, både för att upprätthålla ett skydd mot cyberattacker och för de ekonomiska vinster aktörerna kan göra. För ett av företagen i undersökningen kostar fakturabedrägerierna ungefär 5 miljoner kronor per år.
Bakom cyberattackerna mot företagen ligger oftast kriminella aktörer, enligt rapporten. I undantagsfall kan statliga aktörer och hackare eller aktivister orsaka störningar.
De vill komma åt namn, lösenord och kontouppgifter, som kan användas för olika typer av bedrägerier. Oftast är det tekniska brister som gör att uppgifter kan läcka ut.
Ett företag säger att aktörerna i första hand vill utnyttja företagets datakraft för sekundära ändamål, till exempel bitcoin-mining eller överbelastningsattacker mot andra mål. I andra hand vill man komma åt affärs-, eller transaktionsdata. Det förekommer även utpressningsförsök.
Hos ett annat företag är syftet att komma åt anbudsunderlag, prissättningsmodeller och databaser.
Det kan även handla om att man vill få tag i forskningsdata, strategier och produktinformation.
För att skydda sig vidtar företagen åtgärder som kostar i storleksordningen tiotals till hundratals miljoner kronor per år och företag. Det krävs investeringar i tekniska hjälpmedel och personal, och kan även innebära att man behöver köpa in hotbildsanalyser externt.
Sedan covid-19 började har angreppen ökat med mellan 100 och 150 procent.
– Anonym säkerhetsansvarig vid företag som deltog i undersökningen
För att inte ta risker krävs ett ständigt arbete med att bygga upp och vidmakthålla olika säkerhetssystem, uppger ett av företagen. Enligt ett annat har information vid vissa tillfällen läckt ut till det så kallade darknet, där man kan köpa en enskild persons data för fem euro.
Ett företag berättar att deras skyddssystem blockerar cirka 40 000 specifika hot per månad. Systemet registrerar samtidigt 18–19 miljoner angreppsförsök, och frekvensen ökar.
”Sedan covid-19 började har angreppen ökat med mellan 100 och 150 procent.”
Saknar stöd från myndigheter
Generellt bedömer företagen svenska myndigheters förmåga att skydda svenska företag mot cyberangrepp och att stödja med påföljande skyddsåtgärder som låg.
”Det finns förvisso god kompetens inom de myndigheter som ägnar sig åt att skydda rikets säkerhet, men de gör – såvitt känt – inget för att skydda svenska ekonomiska intressen. Det förekommer – så vitt känt – inte heller något formaliserat kunskaps- och erfarenhetsutbyte med svenska företag. Polisen har inte resurser och politiken är ointresserad. Förvisso förekommer det informella kontakter med olika myndigheter, men dessa är inte officiellt sanktionerade och baseras helt och hållet på personkännedom och förtroende”, uppger ett företag.
Flera säger att de inte får något stöd alls, medan andra uppger att de har informella kontakter.
Uppfattningen hos ett av företagen är att staten har hög kompetens inom it-säkerhet.
”Den besitter sannolikt också information som det skulle vara av stort värde för svenska företag att kunna ta del av – också i generella termer. Informella kontakter med myndighetsföreträdare ger emellertid vid handen att de känner sig totalt bakbundna av svenska lagar och regler, som förhindrar delgivning.”
"Komplext att hitta en bra nivå"
Johan Turell, senior analytiker vid Myndigheten för Samhällsskydd och Beredskap, MSB, säger till Epoch Times att det finns en mängd svenska myndigheter som stöttar organisationer med att förebygga och hantera cyberangrepp.
Han lyfter 15 olika myndigheter. Skälen till att så många myndigheter arbetar med informations- och cybersäkerhetsfrågor är dels att hanteringen av frågorna har utvecklats organiskt och dels att de i regel behöver hanteras med nära koppling till hanteringen av andra frågor.
Som exempel tar han Försvarets Materielverk, FMV.
– Exempelvis har det varit naturligt att FMV fick uppdraget att bedriva sårbarhetsanalys då de i egenskap av uppköpare av materiel till Försvarsmakten ändå måste försäkra sig om att det som man köper in är robust och säkert. När behov av sårbarhetsanalys sedan har ökat så har det varit naturligt att bygga vidare på den kompetens och den organisation som FMV redan har byggt upp.
MSB arbetar med att stärka samhällets informations- och cybersäkerhet på alla nivåer. Uppdraget är brett och omfattar både stöd i det förebyggande arbetet inom tekniska, administrativa och strategiska frågor, och i det hanterande arbetet. Här verkar man främst genom Sveriges nationella it-incidenthanteringsfunktion, Cert-SE, som ger ett operativt stöd vid hantering av incidenter.
Staten kan ge stöd, men organisationer måste själva bygga den infrastruktur de behöver för att skydda sig mot cyberangrepp.
– Johan Turell, senior analytiker, MSB
Turell säger att enskilda organisationer generellt måste ansvara för sin egen säkerhet och sina egna skydd.
– Staten kan ge stöd, men organisationer måste själva bygga den infrastruktur de behöver för att skydda sig mot cyberangrepp.
Han säger att det är komplext att hitta en bra nivå för hur samhällets stödfunktioner på området ska se ut.
– Generellt sett kan man säga att organisationer som drabbas av cyberangrepp och incidenter ibland har incitament att inte föra information om det inträffade vidare. Det leder i sin tur till att det blir svårt att bistå den drabbade organisationen, om inte det inträffade går att observera på något annat sätt.
Det kan också vara så att en förutsättning för att ge stöd är att få viss insyn som man av olika anledningar inte vill ge, förklarar han.
Enligt Svenskt Näringslivs rapport finns lagstiftning som försvårar delgivning av information. Flera företag pekar på fungerande lösningar i andra länder.
”Man bör försöka hitta en modell som överbryggar de hinder som idag finns för delgivning av säkerhetsstärkande information, både inom och mellan myndigheter samt mellan myndigheter och företag”, säger ett företag.
Turell säger att både offentliga verksamheter och företag kan kontakta Cert-SE för att få stöd i hantering av till exempel cyberangrepp.
– Genom att göra detta snabbt kan Cert-SE i vissa fall utfärda varningar och publicera rekommenderade skyddsåtgärder. På så sätt kan man alltså som enskilt företag bidra till att skydda andra.
Nationellt cybersäkerhetscentrum
MSB är en av de fyra primära myndigheterna i ett nytt center för cybersäkerhet som är under uppbyggnad. De övriga är Säkerhetspolisen, Försvarsmakten och Försvarets radioanstalt. Syftet är att få en djupare samverkan mellan de ingående myndigheterna.
Ett företag i Svenskt Näringslivs undersökning säger att de är positiva till centret, men att det behövs en skyldighet för en sådan myndighetsfunktion att samråda med och informera svenska företag.
Enligt Johan Turell räknar man med att cirka 100 personer kommer att arbeta vid cybersäkerhetscentret 2023. Regeringen har föreslagit ett anslag på 50 miljoner kronor 2021, och 60 miljoner var de kommande två åren.
För att svenska företag ska kunna få bättre stöd i frågor om cybersäkerhet vill Svenskt Näringsliv att staten ger det nationella centret för cybersäkerhet större resurser och klart mandat att arbeta operativt, även för skydd av svenska företag.
Man vill också att staten möjliggör ”att sekretesskyddat inhämta information från näringslivet om pågående och nya hot, samt att delge näringslivet adekvat och korrekt information även om detta innebär en ändring av de svenska sekretessbestämmelserna.” Dessutom vill man att polisens resurser förstärks för att kunna ingripa mot cyberbrottslighet och att antalet utbildningsplatser för it-säkerhet ökar.
Visste du att vi även finns som papperstidning med veckoutgåva? Svenska Epoch Times – en traditionell nyhetstidning med klassisk, objektiv journalistik. Teckna din provprenumeration på papperstidningen idag – endast 99kr – klicka här för mer information.