Regeringen och NCSC presenterade nyligen cyberhotbilden mot kritisk infrastruktur. Några större nyheter var det knappast – kanske en reaktion på TV4:s något upphausade rapportering i slutet av februari, som i sin tur byggde på attacken mot energisektorn i Polen i december. Budskapet ska inte negligeras! Samhällskritisk OT-utrustning – ibland med förmågor i nivå med Windows 95 – måste skyddas som de guldägg de är. De ska definitivt inte vara uppkopplade mot allmänt tillgängliga elektroniska kommunikationsnät utan skyddsåtgärder. Någon kanske tänker, behöver jag agera på detta?
Nyhetsflödet är händelsestyrt. Ibland med substans. Ibland utan. Och ibland – total tystnad. Ta BlueHammer som exempel. En zero-day-sårbarhet i Microsoft Defender som kan ge en angripare full systembehörighet. Den passerade nästan obemärkt. Kanske är det där vi är nu – där zero-days inte längre är nyheter, utan vardag. Det som borde ha väckt reaktion var inte bara sårbarheten i sig, utan hur den offentliggjordes: som en protest mot Microsofts bristande hantering och uteblivna åtgärder. Det säger något om ett ekosystem där ansvar ibland måste framtvingas. Samtidigt gäller den gamla sanningen: den som gjort sin hemläxa står betydligt stadigare.
Ungefär samtidigt drabbades Dorotea och Vilhelmina kommun av en utpressningsattack. Smärtsamt, absolut, men knappt en notis i dagens brus. Ransomware har blivit normaliserat. Nästan förväntat. Kanske finns det något paradoxalt i det? Mindre medial uppmärksamhet kan ge de drabbade utrymme att faktiskt göra det som betyder något: reparera, analysera och stärka. I stället för att hantera media.
Kontrasterna är slående.
När EU-kommissionen lanserade sin nya app för åldersverifiering i april blev genomslaget desto större. Ganska snart stod det emellertid klart att appen inte höll måttet. Sårbarheterna var många. Frågan inställde sig direkt: var den ens testad? Det här är inget nytt mönster. Appar och e-tjänster lanseras, testas – på papperet – och faller sedan snabbt under faktisk teknisk granskning. Varje gång följer samma cykel: upptäckt, kritik, publicitet.
Vi reagerar. Vi springer vidare, men det är inte där säkerheten byggs.
Den byggs i det systematiska, riskbaserade arbetet. I det som sällan blir rubriker. I det som inte är beroende av vilken boll som just nu studsar högst i medielandskapet. Lagstiftaren verkar förstå det. Merparten av EU:s regelverk – AI-förordningen, NIS2, GDPR – vilar på just ett riskbaserat synsätt. Det är inte detaljstyrning som är poängen, utan förmågan att förstå, värdera och hantera risk. Ändå hamnar vi ofta någon annanstans.
Säkerhetsskyddslagen är ett tydligt exempel, där fokus i högre grad ligger på konsekvenser och formkrav. Det finns en klar tendens att formkraven tar över uppmärksamheten:
- Säkerhetsprövning – Anställd innan sanktioner infördes måste fortfarande prövas fullt ut
- Tillsynsmyndigheten får inte avslå en avanmälan
- Försvarssekretess för namn på anställda vid två anstalter – ackumulerade uppgifter
- Säkerhetsskyddsarbetet måste bedrivas med kvalité annars kan det leda till höga sanktionsavgifter
- 15 miljoner i sanktionsavgift för brister i säkerhetsprövning
Visst – det finns reella brister bakom dessa fall, men när fokus fastnar vid formalia riskerar vi att missa kärnan och då händer något farligt. Det systematiska arbetet ersätts av reaktivitet. Av punktinsatser. Av organisationer som springer från händelse till händelse, från rubrik till rubrik.
Sveriges säkerhet, den samhällsviktiga verksamheten och våra fri & rättigheter kräver proaktivitet, inte reaktivitet!
Författare Thomas Nilsson