Det fruktansvärda terrorattentatet i Stockholm i början av april sände en chockvåg genom Sverige och många människor upplevde för första gången personligen den rädsla och maktlöshet som terrorismen skapar och hur samhällskritiska system upphör att fungera. Kollektivtrafiken ställs in, telenäten och sjukhusen blir överbelastade.

Dessvärre kan sådana störningar i dag också skapas genom en knapptryckning, helt utan stulna lastbilar. Hur Sverige väljer att implementera EU:s nya direktiv om informationssäkerhet avgör hur väl förberedd nationen är för de digitala terrorhoten.

Den 1 maj kommer en utredning att läggas fram för regeringen med förslag om hur arbetet med rikets informationssäkerhet ska organiseras med hänsyn till EU-direktivet NIS (The Directive on Security of Network and Information Systems) som ska implementeras i alla EU-länder nästa vår. Direktivet omfattar sju samhällskritiska branscher – energi, transport, bank, finansmarknad, hälso- och sjukvård, dricksvattenförsörjning och digital infrastruktur (bredband och telefoni).

Läs också: Tidigare NSA-hacker flyttar säkerheten till klienterna

Det är lätt att inse vilka konsekvenserna kan bli om bara ett enda av dessa områden slås ut. Det är därför extremt viktigt att Sverige implementerar NIS-direktivet på ett så konstruktivt sätt som möjligt.

Terrorattacken mot Åhléns kan beskrivas som en ”zero-day”-attack, en term som används av oss som arbetar mot digital terrorism. En ”zero-day”-attack är ett intrång i en dator som gjorts på ett sätt som aldrig använts tidigare. Det rör sig alltså om en ny sorts virus, trojan eller liknande. Översatt till terrorattacken i Stockholm så kan man säga att både Säkerhetspolisen och andra myndigheter länge varit medvetna om risken för ett terrorattentat i Sverige – men man har inte vetat tillräckligt mycket för att kunna förutse var eller när det ska äga rum eller vem som står bakom och hur det kommer att organiseras.

Det här är en artikel från IDG Opinion

Vill du också tycka till om något? Så här gör du.


Enkelt uttryckt så spelar det då inte så stor roll om man i förebyggande syfte placerar ut betonglejon utanför landets alla varuhus – för nästa gång kanske terroristerna istället bär in en bomb på en fotbollsarena.

Möjligheten att skydda sig mot digital terrorism är bättre, samtidigt som de ekonomiska och samhälleliga skadorna av sådan terrorism är avsevärda. Vi vet att främmande makter och internationella företag gör mängder med intrång i svenska datorsystem för att stjäla företagskritisk information, för att förstöra eller deformera viktig information och för att få möjlighet att ta kontroll över samhällskritiska system som exempelvis just energi, finansiella transaktioner, sjukvård och kommunikation.

NIS-direktivet är just ett direktiv, vilket gör att varje nation själv väljer hur det ska implementeras. Regeringens Kommittédirektiv (Dir. 2016:29, 1 mars 2016) till utredaren indikerar dessvärre att man förväntar sig en vag implementering på en hög abstraktionsnivå. Det är förståeligt ur ett historiskt perspektiv då lagstiftare inte gärna vill detaljstyra, men just i detta fallet vore det önskvärt med betydligt mer konkreta skrivningar.

Läs också: Uppgifter: Datorförbudet på flyg till USA kan utökas till att gälla från Europa

Risken är att regeringen får rådet att implementera NIS med krav av typen:

”Verksamheten ska ha en för skyddsbehovet anpassad skyddsnivå”, snarare än:

”Vattenförsörjning ska inte vara möjlig att slå ut på distans”.

När det gäller digital terrorism så är det denna typ av direktiv som kommer att tvinga aktörer i de sju branscher som pekas ut av NIS att öka sin säkerhet, vilket i sin tur ger medborgarna det skydd de förväntar sig. Vagare direktiv kommer inte att ge samma resultat.

Den typ av terrorism som drabbade Stockholm i april kan man aldrig skydda sig mot genom att placera ut fler betonglejon. Men vi har en riktigt bra möjlighet att i sju samhällskritiska branscher placera ut ”digitala betonglejon”, på ungefär samma sätt som andra länder inom EU, för att skydda oss mot den allt mer aggressiva digitala terrorismen.

Vi hoppas att regeringen har detta i bakhuvudet när den mottar utredarens förslag om hur NIS ska implementeras den 1 maj.

Jonas Dellenvall, CTO, Advenica AB