Invasionen i Ukraina satte cyberkriget i fokus – 2022 ett dystert år för it-säkerheten

Att cyberattacker är en del av dagens hybridkrig – där kriget inte bara förs traditionellt utan går hand i hand med en mängd andra metoder – blev väldigt konkret när Ukrainakriget startade den 24 februari.

Den ryska Invasionen föregicks av cyberattacker mot Ukraina. Det handlade både om överbelastningsattacker som slog ut försvars-, utrikes- och inrikesdepartementets webbplatser. Dessutom infekterades hundratals datorer med med virus som raderade data enligt it-säkerhetsföretagen ESET och Symantec – så kallade wipers vars syfte inte är att komma över pengar utan just förstöra.

Och Ukraina var inte sena att försöka slå tillbaka och skapa sin egen ”it-armé”. I ett twitterinlägg i helgen uppmanade Ukrainas vice premiärminister Mychajlo Fedorov, som också är minister för digital omvandling, alla med digitala talanger att ansluta sig och ”kämpa på cyberfronten”.

Dessutom har Ukraina fått med sig hacktivister som Anonymous som slagit till mot Ryssland – i september rapporterades om hur de tillsammans med Ukrainas it-armé slagit till mot tjänsten Yandex taxi och skapat trafikkaos i Moskva genom att skicka alla deras taxibilar till samma område.

Svenskgrundade säkerhetsbolaget Recorded Future hjälper också Ukraina att försvara sig. Bolaget har liknas vid en underrättelsetjänst, som följer internets mörkare krafter och har sitt huvudkontor i USA. ”För många av våra kunder är vi ett cybersäkerhetsbolag, men om vi tittar på Ukraina är det kanske 8-9 agenturer som använder våra tjänster, och det handlar både om cyber och om klassisk underrättelseanalys. Vi brukar säga att vi har tre områden: Cyber, militär och desinformation. I Ukraina har det smält samman”, säger Christopher Ahlberg, grundare och vd.

Sveriges säkerhet

Det spända världsläget har fått omvärlden att hastigt försöka höja sin säkerhetsnivå och det ledde bland annat fram till Sveriges ansökan om Nato-medlemskap.

För it-säkerhetsföretagen är vår Natoansökan en gyllene möjlighet - inte minst för att det sätter ljuset på cyberförsvaret. ”Sedan är cyberförsvaret en av Natos fyra försvarsgrenar, bara det kommer att öka medvetandet av cyberförsvaret och att man behöver investera i det här skyddet”, säger Clavisters vd John Vestberg.

Visst har Sverige utsatts för ett antal cyberattacker under året men i september konstaterade den militära underrättelse- och säkerhetstjänsten Must att vi varit relativt förskonade och inte haft några större attacker kopplade till någon stadsstödd aktör – och det trots att vi blivit mer av en måltavla på senare tid, inte minst efter vår Natoansökan.

Men det beror inte på att vi som nation är så duktiga på att skydda oss enligt Fredrik Börjesson. it-säkerhetsstrateg på Must. ”Det finns länder som ligger långt före oss i mognad och styrning och de har drabbats på olika sätt och vi har inte drabbats”, säger han.

Och expert efter expert som CS talat med under året pekar på att vi är dåligt rustade att möta cyberhoten.

I rapporten ”Cybersäkerhet för ökad konkurrenskraft” ger ett antal tunga experter på IVA:s uppdrag sin bild av läget i Sverige och vad vi kan göra åt det. Framför allt pekas bristen på politisk ledning och koordination ut. “Den politiska styrningen är fullkomligt bristfällig. Vi har en rad kompetenta myndigheter som jobbar på enskilt, men det är bristande samordning och dålig politisk styrning”, säger styrgruppens ordförande Håkan Buskhe.

Pontus Johnson, professor vid KTH – ger i en intervju också en dyster bild av möjligheterna att skydda sig mot de allt allvarligare cyberhoten. ”Vi måste ha nya verktyg för att bygga säkrare system”, säger han.

AI och desinformation 

En av världens ledande experter, Mikko Hyppönen, pekar på att det största hotet inte ens är här än utan ligger ett par år framför oss – nämligen det ögonblick då angriparna tar steget mot att själva börja använda maskininlärning och börja automatisera sina attacker. ”Då är det inte en människa längre som skriver om programvaran eller registrerar de nya domännamnen, utan en maskin. Det här kommer att ske inom ett eller två år”.

Frågan är om AI-verktyget ChatGPT som släpptes i december kan bli en möjlighet att stärka cybersäkerheten. Experterna tror att det kan underlätta effektivisera säkerhetsarbetet men Mikko Hyppönen konstarera återigen att AI är ett tveeggat vapen – ”Det blir lättare att granska kod, hitta sårbarheter och åtgärda dem när du har en hjälpande hand som Chat GPT. Tyvärr kan människor med dåliga avsikter göra samma sak”.

En ny parameter i cybersäkerheten har också kommit in på allvar under året – desinformation. Det kan handla om manipulerad spridning på internet, deepfakes, manipulering av metadata eller dataförgiftningsattacker och mycket annat. Därför räknas det nu in bland de största cyberhoten av bland annat EU:s cybersäkerhetsbyrå Enisa. ”Vi har alltid ljugit, men tekniken har blivit mer sofistikerad”, säger Anton Lif, rådgivare i krisberedskap och civilt försvar, specialiserad på påverkansoperationer på Combitech.

Attacker i Sverige

Under året har också ett antal större attacker hanterats runtom i Sverige – här är de mest omtalade.

I början av året lyckades Kalix få igång sina it-system efter att ha drabbats av en ransomwareattack strax före jul. I stället för att få upp allt så snabbt som möjligt valde Kalix att samtidigt uppgradera och säkra systemen och bygga upp en bättre infrastruktur än före attacken. ”Vi hade kunnat få upp det på halva tiden eller mindre men då hade vi varit tillbaka på ruta ett. Nu har vi i stället gjort tre års utvecklingsarbete på en månad”, säger it-chefen Kenneth Björnfot.

Även hotellkedjan Nordic Choice råkade ut för en ransomwareattack december 2021 – just när de konverterade sina datorer från Windows till Chrome OS, bland annat för att slippa ransomware. Under attacken delades it-avdelningen upp så att en grupp arbetade med att analysera angreppet och en annan fick sätta igång direkt med projektet att migrera datorerna. På två dagar konverterades 2 000 datorer och i januari var man uppe i 3 500 datorer. ”Nu hade vi den här strategin på plats och det innebar att vi vann mycket tid”, säger tekniska chefen Kari Anna Fiskvik.

I februari gick flera system hos den svenska leverantören av videoövervakningssystem Axis Communication ner efter en attack. Av utredningen framgår att det var när Axis upptäckte intrånget och försatte verksamheten i offlineläge som attacken avbröts. Även om medarbetares namn och telefonnummer exponerades så Däremot fanns inga indikationer på att någon data vad gäller kunder, partner, leverantörer, produkter eller källkod hade påverkats. Syftet med attacken var dock fortfarande oklart.

I samband med valet skedde ett antal större överbelastningsattacker mot bland annat valmyndigheten och flera tidningar i Bonnier News-koncernen. Bland annat låg Sydsvenskan nere i ungefär 45 minuter. Om attackerna hade något samband var oklart.

Naturvårdsverket låg nere i en dryg vecka i oktober. Stora mängder data ska ha stulits och skickas till en server i USA. Men inte heller här är syftet klart. Den mesta informationen som hantera är offentlig men det finns uppgifter som är sekretessbelagda, det rör sig bland annat om rapporter från företag om farligt avfall och utsläpp och om uppgifter i Jägarregistret. Men en första utredning under hösten visade att det inte handlade om uppgifter från just de registren.

I början av december tvingades Softronics driftkunder stänga ner sina it-system efter en attack. Bland de drabbade fanns bland annat Sveriges a-kassor där utbetalningar försenades. Men trots många drabbade och många frågetecken så valde Softronic att lägga locket på – något som kritiseras av säkerhetsexperter. ”Det är ett osolidariskt sätt att förhålla sig till det. Det är samma infrastruktur som alla använder och alla tjänar långsiktigt på att man berättar vad som händer. Hela samhället påverkas. Är det problem i ett hörn så sprider det sig till andra delar också”, säger Fia Ewald.

Och precis som Kalix i fjol så drabbades att antal kommuner av it-attacker under december – Norrköping, Ekerö och Ölandskommunerna Borgholm och Mörbylånga. Exakt vad som hänt är ännu inte klarlagt men i mitten av december så meddelades att det läckt känsliga personuppgifter från de två Ölandskommunernas gemensamma it-system. Men till att börja med låg fokus i första hand på att klara sin verksamhet. ”Här gäller det att rädda liv. I vård- och omsorg får man arbeta mer manuellt, vilket det finns rutiner för. Det kan till exempel handla om nyckelfria system som inte fungerar”. säger Borgholms kommunchef Jens Odevall.