Det nya centret som alltså är beläget i centrala Stockholm, ”skyddat av urberget i Brunkebergsåsen” som Truesec beskriver det, ska fungera som en ledningscentral. Där ska man genomföra komplexa intrångsutredningar för att utreda och återställa verksamheter efter allvarliga dataintrång mot svenska företag och organisationer.
Totalt ska runt 300 cybersäkerhetsspecialister vara verksamma i centret. Det ska ge en realtidsinsyn över hotbilden mot Sverige och förhindra fler än 5000 cyberattacker per år. Det ska också ha full kapacitet att mitigera, upptäcka och åtgärda angrepp dygnet runt, alla dagar om året, uppger Truesec.
Centret upprättas formellt i dag, men flera operativa processer har varit igång sedan tidigare.
En mix av experter
Marcus Murray, grundare av Truesec, berättar att målsättningen är att centret ska engagera specialister från många olika organisationer och de för dialoger med flera aktörer. Från start är Microsoft och Crowdstrike med som partners.
– Målsättningen är att ha en mix av samhällsviktiga företag, forskningsinstitut och högskolor, cybersäkerhetsleverantörer, offentliga verksamheter och myndigheter i centret, säger han.
Marcus Murray beskriver centret som det privata bidraget till att möta Sveriges behov av cyberförmåga i det geopolitiska läge som råder:
– Kriget mot Ukraina och geopolitisk turbulens har drastiskt förändrat hotbilden för samhället samtidigt som antalet cyberattacker ökar, säger han och tillägger att de i nuläget förhindrar 17 attacker dagligen.
I cybersäkerhetscentret ska det också finnas en underrättelseavdelning som ska kartlägga och övervaka aktörer som utgör ett hot mot samhället samt en övervakningscentral som ska skydda hundratusentals system och datorer i samhällskritiska verksamheter och andra organisationer.
Högt hotläge
Hur ser då hotbilden mot Sverige? Marcus Murray säger att centret under senaste dygnet förhindrat 54,8 procent fler intrångsförsök än dygnsgenomsnittet för 2023.
– Om vi pratar om det övergripande hotläget så kan vi konstatera att det för närvarande är högt. Enligt vår bedömning befinner vi oss på nivå 3 av 5. Detta hotläge kan förklaras av den geopolitiska situationen, men drivs primärt av det aktuella incidentläget som vi observerar inom vår verksamhet.
De vanligaste cyberattackerna som Truesec utreder är utpressning via ransomware (som står för nästan 40 procent av fallen). Näst vanligast är access harvesting – det vill säga brottslingar som specialiserat sig på att skaffat tillgång nätverk och sälja till andra.
Andra vanliga attacker är resource hijacking, vilket innebär att aktörer placerar ut skadlig kod som bryter bitcoin.
Marcus Murray nämner också business email compromise, alltså att kriminella stjäl företags e-post i syfte att förvanska betalningsuppgifter samt datastölder.
Varifrån kommer då attackerna?
– Det är svårt att med hundra procents säkerhet fastställa ursprunget av en cyberattack. I de flesta fall då vi kan identifiera en enskild hotaktör, är de ofta kopplade till organiserad brottslighet i Ryssland. Men det förekommer cyberattacker från andra länder såsom Kina, Iran och Nigeria.
