Förbered er på nya typer av incidenter

2023-01-27
Det är en märklig tid vi lever i. Helgens prövningar av yttrandefriheten har lett till att medlemmar av den organisation vi söker medlemskap i, för att öka skyddet för vår demokrati och våra fri- och rättigheter, vägrar oss medlemskap – just för att vi värnar om demokrati samt fri- och rättigheter. När enskilda medborgare så att säga "bjuds in" av medlemsorganisationen för att delta och bidra till förhandlingen om den gemensamma säkerheten. Är det inte absurt? Samtidigt behöver vi rusta oss för att kunna klara oss själva. Det gäller såväl internationellt, nationellt och sett till våra egna verksamheter. På cyberarenan behöver vi ta höjd för nya och betydligt mer sofistikerade cyberhot.

 

Under de senaste åren har ransomware- och överbelastningsattacker toppat listan över cyberhot. Hotaktörerna som utfört attackerna har varit organiserade brottslingar på jakt efter nya intäktskällor och statsaktörer som riktat in sig på samhällskritisk infrastruktur. I kölvattnet av det som pågår kämpar de organisationer som drabbats med att återställa sina förmågor och parallellt lära av sina tillkortakommanden, även om prislappen är kännbar. I den bästa av världar skulle dessa medel redan budgeterats för proaktiva åtgärder för att öka den egna robustheten och inte minst bättra på förmågan att hantera incidenter.

Gemensamt för det som pågår är att det i första hand slår mot tillgängligheten. I många organisationer blir frånvaron av tillgängligheten förödande eftersom alla äggen samlats i samma korg. Även det uppvaknandet leder förhoppningsvis till att guldäggen skiljs från mängden samt att antalet äggkorgar och dess placering hamnar i fokus.

Lösningen för incidenter som påverkar tillgängligheten och riktigheten är i enkla ordalag att hitta en återställningspunkt. Det är ett mödosamt arbete som har ett pris som alltid är värt att ta, men det finns i alla fall en väg fram. Vad är vägen fram om incidenten påverkar konfidentialiteten? Information som röjs är och förblir röjd. En försäkring kan ge ett plåster på såren, men kan vi vara säkra på att försäkringen också betalas ut? Och hur kan vi bedöma värdet/skadan av att uppgifterna röjts?

I takt med att vi rustar vårt samhälle att stå emot attacker mot tillgängligheten och riktigheten kommer attacker mot konfidentialiteten att öka. Information som röjs kan också användas för att slå hårdare mot tillgänglighet och riktighet än vad som görs idag samt rikta dem mer specifikt för att uppnå önskade effekter. Det mesta av dagens ransomware är i praktiken ”randomware”. Det kan många gånger te sig slumpmässigt vilka aktörer som drabbas, men det kan också finnas de som är strategiska måltavlor, sådana aktörer som är centrala i de digitala leveranskedjorna eller som tillhandahåller tjänster till väldigt många kunder.

För att öka motståndskraften är det viktigt att lära av egna och andras incidenter. Kalix kommun nämns ofta som ett föredöme och kommunerna på Öland har valt samma öppna och inkluderande hållning. Det finns också exempel på andra organisationer som verkligen inte haft samma hållning, utan varit mycket begränsad i sin informationsdelning. Det finns givetvis ett lärande att dela med sig av även hos dem samtidigt som det kan ge andra utmaningar, inte minst för den som bedriver en kommersiell verksamhet. Här blir kravställningen på de kommersiella aktörerna än viktigare. Inte minst vad gäller incidenthanteringen och det ständiga förbättringsarbetet som behöver följas upp av de upphandlande organisationerna. Det är inte längre enbart ett nuläge med en rad ska-krav som ska mötas vid upphandlingstillfället som är av intresse. Kommande årsrapporter från myndigheterna rörande incidenter är såklart mycket viktiga i sammanhanget och låt oss hoppas att myndigheterna anstränger sig för att dela så mycket information som möjligt på ett sätt som gör att incidenter kan jämföras över tid.

Det har under decennier diskuterats behovet av en statlig haverikommission som kan genomföra undersökningar av allvarliga incidenter i syfte att stärka det förebyggande arbetet. Dagens haverikommission är begränsad till luft- och sjöfartsolyckor samt olyckor och tillbud enligt lagen (1990:712) om utredning av olyckor. MSB har studerat en del incidenter i ett lärande syfte, exempelvis efter driftstörningen hos Tieto i november 2011 som mynnade ut i skrivningen ”Reflektioner kring samhällets skydd och beredskap vid allvarliga it-incidenter”, men det görs inte med regelbundenhet. Långt ifrån.

Givet dagens nuläge är steget stort till att vi har en fullt fungerande haverikommission som kan utreda informations- och cybersäkerhetsincidenter. Betänk dock att varje steg som kan tas i den här riktningen är till gagn för att stärka hela samhällets cybersäkerhetsförmåga. Kalix kommun och Ölandskommunerna har tagit små steg i rätt riktning genom att dela sina erfarenheter. Låt det inte stanna där!