Sista veckorna har med all önskvärd tydlighet illustrerat det digitala samhällets bräcklighet. Inte så att allt rasat samman – men haverierna har ändå avlöst varandra.
Nordea låg nere nästan ett dygn, Klarna över en helg, SJ:s biljettbokningssystem har legat nere i två omgångar och Swish har haft driftstörningar.
Enligt rapporterna rör det sig inte om några attacker utifrån utan rent tekniska problem hos företagen själva eller deras underleverantörer.
Peter Stenumgaard, enhetschef för informationssäkerhet och it-arkitektur på FOI, Totalförsvarets forskningsinstitut, konstaterar att det inte är första gången haverierna kommer på rad.
– Periodvis är det så. Vi hade ju någon vecka för några år sedan när SJ:s biljettbokning och Luftfartsverkets system gick ner samtidigt som en 300 meter hög mast rasade i västsverige, och många oroade sig för att det var en test från främmande makt. Men det visade sig att den mänskliga faktorn låg bakom allt, säger han.
Kontentan är hursomhelst klar. Det digitala samhället är väldigt sårbart.
– Ingen samhällsviktig verksamhet i dag fungerar när den digitala infrastrukturen stannar. Vi ligger efter när det gäller it-säkerhetstänket men det börjar vi nu inse den hårda vägen. Vi måste jobba mycket mer med de frågorna.
Ett sätt är att öka medvetenheten och där arbetar FOI med att utbilda it-specialisters förmåga att hantera it-incidenter.
– De får träna på skarpa attacker i en övningsanläggning som är isolerad från övriga internet. Så tittar vi på hur de agerar och vi tränar upp deras förmåga, säger Peter Stenumgaard.
Läs också: ”Oacceptabelt driftstopp på Klarna – väcker frågor om trovärdigheten”
Richard Oehme, expert på cybersäkerhet och skydd av kritisk infrastruktur på PwC, säger att vi lever med en digital säkerhetsskuld.
– Jag tror tyvärr det blir sämre ett tag till – det blir det nya normala. Vi har gjort fantastiska saker inom ramen för digitaliseringen men säkerheten har inte varit en del av processen så vi har en stor säkerhetsskuld att betala, säger han.
Vad ska skyddas? Vilka guldägg har man? Det alla måste göra är att utgå ifrån en ordentlig analys kring, och förstå, alla olika aspekter av de hot och risker som kan drabba en organisation – felbeslut, brand eller it-attacker utifrån.
– Nu börjar alla förstå att de är informationshanteringsorganisationer i dag. Och då gäller det att framförallt ha koll på tre centrala beståndsdelar – energi för att köra all teknik, telekommunikation för att allt är uppkopplat och dina it-system. Utan en helhetssyn på de tre är risken stor för att din organisation drabbas framöver.
Anne-Marie Eklund Löwinder, säkerhetschef på Internetstiftelsen i Sverige, IIS, pekar på att även om det förmodligen beror på en samling olyckliga omständigheter att haverierna duggat så tätt senaste veckorna så handlar det också om den it-infrastruktur vi bygger.
– Vi bygger allt mer in oss i en monokultur där allt fler använder samma mjukvaror, samma krypteringsalgoritmer, samma operativplattformar och det skapar svaga punkter – single point of failures. Det handlar om hur vi byggt infrastruktur i 30 års tid.
För att förebygga det gäller det att man bygger in redundans och bra motståndskraft i systemen.
– Det gäller att man vet vad man gör och har saker som dubblerade sajter. Men det är ju också en kostnadsfråga. Det kan vara så att det gjorts en riskbedömning och man tagit med risken att det går ner i kalkylen – men inte tycker det är någon katastrof.
Frågan blir då om man verkligen kan överlåta på respektive verksamhet att själva göra säkerhetsbedömningen. En hel del regleringar och krav är också på väg – som det så kallade NIS-direktivet som gäller just informationssäkerheten för leverantörer av samhällsviktiga tjänster. Dessutom har regeringen lagt fram ett förslag till ny säkerhetsskyddslag som träder i kraft nästa år och EU arbetar med en Cybersecurity Act.
– Det är fullt rimligt att det inte bara är marknaden själv som styr det här, säger Anne-Marie Eklund Löwinder.
Och hon tycker också att hemlighetsmakeriet när det gäller haverier i finanssektorn gott kunde lättas upp.
– Finansinspektionen kunde gott vara lite mer öppna med vad som händer. Precis som man kan titta på flygbolag och se hur ofta de drabbas av incidenter och sedan planera sin flygrutt efter det så borde man kunna se hur ofta de olika bankernas tjänster ligger nere. Det ligger i linje med att ge användarna mer kontroll.
Läs också: Vad kostar en ransomwareattack egentligen? Lösesumman står bara för en bråkdel
Men är det såhär det är att leva i ett digitaliserat samhälle – är det bara att vänja sig vid ständiga avbrott?
Ja till viss del tror Anne-Marie Eklund Löwinder.
– Vi får nog räkna med att sådant här händer. Vi tar för givet att allt ska fungera. Men det är väl ett tecken i tiden att vi just fått MSB:s broschyr om vad vi ska göra vid en kris – att vi måste vara förberedda på individnivå.
Richard Oehme är mer positiv.
– Jag är utvecklingsoptimist så jag tror man kan bygga bort det på sikt. Man ska komma ihåg att den stora digitaliseringen började först efter millennieskiftet så den är fortfarande i sin linda. Man kan exempelvis jämföra med hur flygsäkerheten utvecklats under lång tid.
