Bankfokus 2022

Cybersäkerhet: Sverige har vaknat

Hackare kan använda robotdammsugare för spionage, ta över bilens styrning och broms, eller stänga ner ett helt lands elnät. Cyberkriminella blir alltmer potenta och nationalstater har skaffat sig offensiva cyberarméer, svåra att värja sig mot. Är digitaliseringen värt priset?

- Ja, än så länge. Alla dessa digitala möjligheter som vi har, de har revolutionerat vårt samhälle. Det handlar inte bara om effektivitetsförbättringar utan det påverkar liv och lem. Tänk dig sjukvården. IT används inom all möjlig medicinsk utrustning. Folk skulle dö utan den, säger Pontus Johnson, professor i nätverk och systemteknik på KTH.

Pontus Johnson, professor i nätverk och systemteknik på KTH och ansvarig för forskningscentret Centrum för cyberförsvar och informationssäkerhet som KTH bildat tillsammans med Försvarsmakten.

Själv fokuserar han mer på digitaliseringens baksida än fördelar i sitt arbete med cyberförsvar och informationssäkerhet. Vilka är de främsta hoten?

- Angriparna har blivit mer potenta, framför allt det senaste decenniet. De har mycket större resurser, de är många fler. Kriminella har tjänat väldigt mycket pengar och kan därför finansiera stora kriminella verksamheter. Men ännu värre är de nationalstater som använder sina offensiva cyberförmågor mot andra länder, säger han.

I Ukraina stängde cyberangripare ner hela elkraftsystemet 2015 och enligt Pontus Johnson vet man att ryska aktörer för några år sedan varit inne i ett amerikanskt elkraftverks IT-system, men då valde att inte stänga ner det. Troligen för att det skulle ha utlöst en diplomatisk kris. Inget talar för att det skulle vara omöjligt att hacka det svenska elkraftssystemet på samma sätt, säger han, eller för den delen det finansiella systemet.

- Men banksektorn har hittills klarat sig förhållandevis väl. Den har utsatts för många försök från kriminella redan, och stått emot, säger Pontus Johnson.

Det hindrar inte att kriminella har lyckats sko sig rejält på cyberattacker mot banker runt om i världen.

- Det största bankrånet någonsin var ett cyberangrepp mot Bangladesh centralbank. Det exponerade den dåliga säkerheten i utlandsbetalningssystemet Swift. Det är dock inte så många stater som angriper banker för att tjäna pengar. Jag vet bara en, Nordkorea.

Medvetna om riskerna
Trots angreppen har ingen bank gått i konkurs och inget lands finansiella stabilitet har påverkats. I Sverige är Riksbanken och Finansinspektionen mycket medvetna om cyberriskerna, samtidigt som bankerna lägger stora resurser på cybersäkerhet, påpekar Pontus Johnson.

Ett grundläggande problem vad gäller cybersäkerhet är den sårbarhet som finns inbyggd i alla digitala lösningar.

- Mänskligheten vet ännu inte hur man gör för att bygga säkra IT-system, så därför bygger vi konsekvent väldigt osäkra system som är förhållandevis lätta att angripa.

Idag pågår forskning, bland annat på KTH, för att förstå hur ett system kan bli säkert. Man har hittills kommit så långt att man kunnat bevisa matematiskt att säkra system faktiskt existerar. Men de är väldigt små, mindre än den programvara som styr ett modernt kylskåp exempelvis.

- Drömmen vore att kunna bevisa säkerheten i stora system, som de en bank eller ett elbolag är beroende av. Vi vet inte än om det är möjligt, men det är en forskningsutmaning väl värd att ta sig an.

Som IT-land har Sverige haft stor framgång med att utveckla funktionella och effektiva digitala lösningar på alla områden i samhället. Men när det kommer till cybersäkerhet hamnar Sverige inte alls lika högt på rankinglistorna. Vad beror det på?

- Vi var tidiga med digitaliseringen, men har vaknat sent med säkerhetsarbetet. Sverige har sett digitalisering som en väldigt viktig konkurrensfaktor för att hävda oss mot billig arbetskraft. Cybersäkerhet är ju bara en våt filt över innovation och nybyggaranda.

Men det finns en jämförelse att ta efter:

- Estland bestämde sig på 90-talet för att göra ett stort digitalt språng. De blev 2007 utsatta för ett väldigt omfattande cyberangrepp från Ryssland. Det gjorde att de insåg att för att kunna digitalisera måste de lägga stor möda på cybersäkerhet, och nu är de väldigt långt framme i det. Sverige har inte drabbats så hårt av angrepp, så vi har kunnat bortse från problemen. Först de senaste fem åren har vi börjat inse att det är ett väldigt viktigt samhällsproblem. Nu försöker vi komma ikapp, men det kommer ta ett tag.

Anställdas lösenord
Det som på kort sikt kan bidra till att minska cyberriskerna i samhället är vad Pontus Johnson kallar cyberhygien. Exempel på det är att organisationer och företag uppdaterar sina system löpande och att deras anställda inte använder för enkla lösenord.

En lösning som tar längre tid att få fram är kompetens. Det finns ett skriande behov av cybersäkerhetsexperter, både i Sverige och Europa. Sammanlagt saknas 200 000 experter i Europa, enligt Cybersecurity Workforce Study.

- Just nu sitter problemet i utbildningssektorn. Vi på KTH har ett jättehögt söktryck som vi inte kan tillgodose, och på andra sidan finns ett jättestort sug efter experter.

Nyligen togs initiativet till Cybercampus Sverige, en nationell satsning på forskning, innovation och utbildning på cybersäkerhetsområdet som myndigheter och universitet står bakom. Det väntas komma igång 2023.
Satsningen hänger ihop med bildandet av Forskningscentret för cyberförsvar och informationssäkerhet, ett samarbete mellan KTH och Försvarsmakten. Huvuduppgiften för forskningscentret är att utveckla kunskap och nya verktyg som kan användas av samhället för att stärka cybersäkerheten, men även i Försvarets utbildning av cybersoldater.

Kompetensförsörjning är också fokus för den arbetsgrupp som Pontus Johnson leder inom ett projekt startat av Ingenjörsvetenskapsakademin, IVA. Den 18 oktober publicerar IVA-projektet en rapport med rekommendationer om vad Sverige bör göra för att stärka sin cybersäkerhet, om allt från kompetensförsörjning till teknik och ansvarsfördelning mellan myndigheter.

Pontus Johnson är en av talarna på Bankmötet som Bankföreningen anordnar den 10 november. 

Läs om hur Bankföreningen och bankerna arbetar med cybersäkerhet

Fakta:
Centrum för cyberförsvar och informationssäkerhet
Bildat av Försvarsmakten och KTH, för att genom forskning, utveckling och utbildning utveckla Sveriges cybersäkerhet.
Mer om forskningscentret

Cybersäkerhet för ökad konkurrenskraft
Projekt startat av Ingenjörsvetenskapsakademin, IVA, som Bankföreningen sponsrar och deltar i. Hans Lindberg, vd på Bankföreningen, samt Bankföreningens säkerhetsexperter Peter Göransson och Magnus Jacobson deltar i olika arbetsgrupper.
Mer om projektet 

Publicerad den 12 oktober 2022