ledare Både företag, samhällsviktiga verksamheter och vi som privatpersoner borde bli bättre på att väga in säkerheten i våra appar och på internet.
Sverige är ett av de mest digitaliserade länderna i Europa – hack i häl på Finland, som leder ligan – enligt EU-kommissionens undersökningar. Vi betalar med kort, vår sjukhistorik lagras i digitala journaler, digitala system styr allt från trafikljus till broöppningar.
Digitaliseringen har många fördelar – den sparar tid, är enklare att hantera och ger ofta bättre resultat. Men den gör oss också mer sårbara för tekniska problem, störningar och cyberangrepp. Ofta är det svårt att skilja dem åt. De farligaste angreppen kan vara de vi felaktigt tolkar som tekniska problem eller de vi inte märker alls.
För bara en vecka sedan drabbades Swedbank av tekniska problem. Bankens kunder kom inte åt sina pengar, de kunde varken använda Bank-ID, Swish eller betala med kort. Bankens talespersoner förklarade händelsen med tekniska problem men ville inte specificera närmare vad problemen var.
Det är lätt att anta att de största företagen har full koll på säkerheten, men tyvärr är det inte alltid så.
I somras drabbades Coop av en ransomware-attack mot det amerikanska företag som tillhandahåller butikskedjans betallösning. Ransomware är när hackare stänger ner viktiga digitala system och kräver att få betalt i utbyte mot att sätta i gång systemen igen. Coops kassor slutade fungera och det gick inte att betala med kort. Till slut stängde butikerna ett par dagar för att helt enkelt installera om programvaran manuellt i alla kassaapparater i hela landet.
Att stänga ned digitala system är en typ av attack, kanske till och med den minst allvarliga, särskilt när problemet märks i realtid. Värre är attackerna där system stängs av eller ändras, och där den inkräktande programvaran suddar ut alla spår efter sig själv, eller attacker där information stjäls utan att vi märker det. Allra värst konsekvenser kan det bli av attackerna där samhällsviktig information ändras, utan att vi vet om, var eller hur det skett.
Det finns förstås regler och lagar för hur både myndigheter och leverantörer av samhällsviktiga tjänster ska hantera it-angrepp. Incidenter måste rapporteras till Myndigheten för säkerhet och beredskap, finansiella företag rapporterar även till Finansinspektionen. Alla företag uppmanas följa myndigheternas rekommendationer för en säker it-miljö. Råden rör bland annat säkerhetsuppdateringar, autentiseringsfunktioner, kontohantering, utrustning, säkerhetskopiering, mjuk- och hårdvara och övervakning av säkerhetshändelser.
Trots detta blir det allt tydligare att cybersäkerheten måste tas på större allvar, inte bara av myndigheter utan även samhällsviktiga företag och privatpersoner.
I en fysisk kris – till exempel under ett terrorhot mot en skola eller en politiskt utsatt konferens – skickar vi dit poliser. Men vad gör vi för att stärka försvaret kring digitala system med förhöjd hotbild? Till exempel journaler under en pandemi, infrastruktur som fraktar viktiga eller kontroversiella varor, eller företag vars nedstängning skulle paralysera samhället.
Hoten och riskerna är reella, exemplen många. Under pandemin attackerades vårdens it-system i flera länder. I Tjeckien gjorde en cyberattack att systemen stängdes ner och viktig vård fick skjutas upp. I Texas utsattes vårdcentraler för ett ransomware-angrepp som låste de digitala journalerna.
Det kanske är dags för en grundkurs i cybersäkerhet för alla medborgare. Många arbetsplatser har fysiska säkerhetsgenomgångar, kurser i hjärt- och lungräddning och brandövningar. Men hur många anställda vet att man aldrig ska koppla upp jobbdatorn mot offentliga wifi-nätverk? Vet alla medarbetare om att de inte ska stoppa in usb-minnen i datorn om de inte är helt säkra på vad de innehåller? Att de inte ska klicka på länkar eller öppna mejlbilagor utan att titta noga på avsändaradressen?
Sådana kunskaper kan även vara till nytta i privatlivet. De flesta vet att man inte ska logga in med sitt Bank-ID på uppmaning av andra. Men hur ska man tänka kring till exempel digitala klockor, som mäter och lagrar din puls, dina fysiska vanor och kanske din menscykel? Vad vet du kring säkerheten i systemen där denna data lagras? Hur skyddas din digitala kontakt med vänner, av vilken man skulle kunna dra slutsatser kring hela ditt sociala liv och dina familjerelationer?
Det är lätt att anta att de största företagen har full koll på säkerheten, men tyvärr är det inte alltid så. För bara två år sedan gjorde till exempel säkerhetsbrister i Googles och Samsungs kameraapplikationer att det gick att ta kontroll över mobiltelefonernas kameror på distans.
Coops ledning agerade föredömligt efter attacken i somras. De valde att gå ut och prata i media om detaljerna i attacken, hur företaget hanterat den och vad de lärt sig. Det borde alla företag göra – även Swedbank. På så sätt kan vi öka medvetenheten om hoten och därmed chansen att förbereda oss och lära av varandra.
Förhoppningsvis hittar vi bättre lösningar än kontanter i madrassen.
Följ Dagens Arena på Facebook och Twitter, och prenumerera på vårt nyhetsbrev för att ta del av granskande journalistik, nyheter, opinion och fördjupning.
