År 2025 närmar sig sitt slut. Ett år då världsläget har förändrats radikalt. Det är också ett år där de uppenbara informations- och cybersäkerhetsbristerna synliggjorts – i en mycket orolig tid. Tillit har aldrig varit viktigare, inte minst digital tillit. Det är helt avgörande vem du kan lita på och vem du inte kan lita på.
Cybersäkerhetslagen, som är en följd av NIS2-direktivet, har tydligt adresserat leveranskedjan som en av de viktigaste tillitskedjorna. Kanske får inte bara dataintrånget hos Miljödata i augusti 2025, som innebar att en stor del av Sveriges befolkning fick sina personuppgifter publicerade på Darknet, ett historiskt avtryck. Det blev också smärtsamt tydligt hur leverantörsuppföljningen brister, då leverantörens tillkortakommanden uppdagades först i samband med incidenten – inte genom någon av de närmare 200 organisationer som använder deras tjänster.
Det är inte bara Integritetsskyddsmyndigheten (IMY) som har inlett tillsyn mot Miljödata. Även Länsstyrelsen i Skåne har intresserat sig för incidenten och hänvisar bland annat till att ”…verksamhet som kan anses ha betydelse för Sveriges säkerhet är om en leverantör svarar för driftstjänster åt ett flertal myndigheter och leverantörens samlade uppdrag kan ha betydelse för Sveriges säkerhet. Även om de enskilda uppdragen inte anses som säkerhetskänsliga kan leverantörens samlade engagemang innebära risker för de myndigheter som den utför tjänster åt vid ett antagonistiskt angrepp, vilket i slutändan skulle leda till effekter för samhället i stort” (prop. 2017/18:89 s. 45 f).
Miljödata har överklagat föreläggandet, som nu ligger hos Förvaltningsrätten i Stockholm för avgörande.
Ur ett tekniskt perspektiv är det ofta den asymmetriska kryptografin som utgör grunden för digitala tillitskedjor. Den största utmaningen är att tillförlitligt knyta den publika nyckeln i ett nyckelpar till den faktiska innehavaren – vilket också är ett av syftena med certifikat och PKI (Public Key Infrastructure). Här är utfärdandeprocessen av certifikat vanligtvis den svagaste länken. Utöver att certifikat kan representera fysiska personer eller webbplatser kan de också utgöra grunden för kodsignering. Under hösten 2025 blev det tydligt hur den Iranstödda hotaktören utnyttjade detta genom att signera skadlig kod med ett betrott nyckelpar för att undvika upptäckt i klart illvilliga syften. Det är uppenbart att hanteringen och skyddet av betrodda privata nycklar fortsatt slarvas med – och vilka konsekvenser detta kan få.
Redan på Säkerhetsdagen 2015 visade vi effekterna av detta slarv, då med utgångspunkt från slarvet med D-Links kodsigneringsnyckel.
En motåtgärd är att minska certifikatens livslängd. För publikt betrodda TLS-certifikat räknas giltighetstiden successivt ned, och vi passerar snart 200 dagar. På sikt kommer vi att landa på drygt en månads livslängd för publikt betrodda certifikat.
Här är det också viktigt att påminna om att det inte enbart är nyckelkvaliteten och skyddet av nycklarna som är avgörande. Dagens asymmetriska kryptoalgoritmer, såsom RSA och ECC, närmar sig sitt bäst före-datum. Arbetet med att migrera till kvantdatorsäkra algoritmer behöver påbörjas under 2026, mot bakgrund av att en sådan migrering kommer att ta flera år att genomföra för att undvika att nya sårbarheter tillförs. Detta arbete inleds lämpligtvis med en kartläggning som bland annat mynnar ut i en CBOM (Cryptographic Bill of Materials), en kryptografisk lägesbild samt en plan för kryptoagilitet.
Exemplen på bristande tillitskedjor och deras konsekvenser, som nämnts här, är just sådant som det systematiska och riskbaserade arbetssätt som Cybersäkerhetslagen eftersträvar ska fånga upp – eller rättare sagt redan har fångat.
Cybersäkerhetslagen är bara ytterligare en drivkraft för att höja nivån på det viktiga informations- och cybersäkerhetsarbetet. Det är dock något otacksamt att det svenska lagstiftningsarbetet drog ut på tiden och att slutresultatet blev onödigt rörigt. Det riskerar att flytta fokus från lagstiftningens egentliga syfte. Den som har läst den nya cybersäkerhetsförordningen som kompletterar lagen förstår vad jag menar.
Låt inte detta ta fokus. Var och en måste bidra till att informations- och cybersäkerhetsarbetet inom samhällsviktig verksamhet möter dagens och morgondagens utmaningar, vilket kan te sig som ett sisyfosarbete. Hav tröst! Ett tålmodigt, grundmurat, systematiskt och riskbaserat arbetssätt är vägen fram, vilket blir än tydligare nu när vi summerar år 2025.
Författare: Thomas Nilsson