Myndigheterna får ofta utstå kritik för den bristande säkerheten i landets IT-infrastruktur och detta med all rätt. Bristerna är omfattande och det pågår en departementstrid om vem som ska bära ansvaret. Men vi får inte glömma den viktiga roll näringslivet spelar i säkerhetsfrågan och som alltför sällan lyfts i samhällsdebatten.

Inom näringslivet bedrivs i dag omfattande forskningsprojekt, produkttillverkning och tjänsteleveranser som utgör en del av den nationella och samhällskritiska infrastrukturen, direkt eller indirekt. Samtidigt utsätts dessa företag för stora risker att bli angripna, eller har redan blivit det utan att känna till det.

Läs också: Shodans nya tjänst hittar servrarna som styr den skadliga koden

Nu i april gick exempelvis MSB ut och meddelade att ett flertal länder, däribland Sverige, angripits av kinesiska APT10 som gett sig på moln- och driftleverantörer i syfte att komma åt deras kunder. Några av de samhällssektorer som särskilt pekats ut som mål är offentlig verksamhet, IT, kommunikation, sjukvård, energi och forskning där svenska företag är drabbade. Omfattningen av angreppen är fortfarande oklar, men har enligt MSB troligtvis pågått sedan 2014 utan att ha blivit upptäckt.

Näringslivet måste börja ta ett större ansvar i IT-säkerhetsfrågan och förstå att de används som brickor i ett större spel för att identifiera en väg in till offentlig sektor och våra samhällskritiska system. Såväl ledningsgrupper som näringslivstoppar och nyckelfunktioner kartläggs i detalj, från funktion inom företaget till vanor och fritidsintressen.

Det här är en artikel från IDG Opinion

Vill du också tycka till om något? Så här gör du.

Företag X som levererar tjänster till offentlig sektor över civil infrastruktur kan exempelvis ha en VD som dessutom är amatörfotograf och medlem på en fotosajt. Har denne ett tämligen unikt namn eller mejladress blir personen lätt att identifiera. Genom att hacka sajten och plantera skadlig kod kan angriparen i lugn och ro vänta på att VD:n förr eller senare loggar in från sin arbetsdator. Inom loppet av ett par sekunder infekteras datorn och i förlängningen företagets IT-infrastruktur. Utöver VDn:s dator så infekteras ett antal andra personer för att bygga en rökridå kring syftet med attacken och det egentliga målet.

Läs också: Intel i blåsväder: tio år gammalt säkerhetshål upptäckt

Den svaga länken är således identifierad, infekterad och som i fallet med APT10 kan förövaren oupptäckt ta sig vidare in i nästa system för att slutligen nå sitt verkliga mål och skapa förödande konsekvenser för samhällskritisk infrastruktur.

Det må låta dystopiskt, men vi måste alla utgå från risken att vi en dag kommer utnyttjas för ett mer omfattande syfte. Det är därför av största vikt att vi utvärderar vårt uppkopplade beteende såväl professionellt som privat. Jag uppmanar därför alla inom näringslivet att inte hänga säkerheten på hatthyllan när man kommer innanför dörren hemma, då det kan ge förödande konsekvenser för individen, företaget och för vårt samhälle i stort.

Janne Haldesten, cybersäkerhetsspecialist på Cybercom