På lördagen tvingade en global it-attack Coop att stänga majoriteten av sina 800 butiker när kassasystemet havererade. Attacken riktade sig mot det amerikanska företag som tillhandahåller programvara till Coops kassatjänster.

För några år sedan fick ett stort antal läkare på Karolinska sjukhuset sina datorer kapade när de öppnade ett mejl som kom från domstolsväsendet via Karolinska institutet. Några betalade lösensumman på motsvarande 15 000 kronor i bitcoin, men många forskare vägrade och tappade samtliga sina filer med patientdata och annat.

Med stor sannolikhet har de digitala aktiehandlarna och även bankerna utsatts för it-attacker men valt att inte gå ut med det publikt. Men vad händer den dagen någon kapar till exempel vårt Bank-id?

Bulletin har intervjuat Lars Nicander, expert på cybersäkerhet och chef för Centrum för Asymmetriska Hot – och Terroriststudier (CATS) vid Försvarshögskolan. Han har nyligen skrivit flera debattartiklar i ämnet.

Han sammanfattar problemet med svenska cyberattacker i en fråga: ”Om Nasdaq / Stockholmsbörsen utsätts för it-attack som omfattar till exempel 800 miljarder kronor, vet börsen vem den ska ringa, vem som ska hantera problemet? Polisen, Försvarets radioanstalt (FRA) eller Myndigheten för samhällsskydd och beredskap (MSB)? Eller ska de kontakta sitt försäkringsbolag?”

– Jag vet inte vem som har ansvaret för att stödja dem, säger Nicander uppgivet.

Vad gör vi i Sverige för att motverka denna form av attacker som just utförts på nästan 800 Coop-butiker?

– Vi gör för lite, säger Lars Nicander. Denna typ av attacker på underliggande informationssystem är ny. Den började i våras med ryska hackergrupper som specialiserat sig på underleverantörerna.

– Kontakten mellan stat och företag är överhuvudtaget för liten. Företagen har ju inte vetat om olika möjliga it-attacker så de har svårt att skydda sig. De som har drabbats vill av varumärkesskäl normalt inte offentliggöra attacker. Statliga myndigheter har inte heller något system där de skickar ut information till bolagen på ett strukturerat sätt.

Nicander berättar att det nya cybersäkerhetscentret ska söka kontakt med näringslivet men hittills har inget skett.

Han påminner om att 1995 skickade trafik-och försvarsutskotten i riksdagen en gemensam skrivelse till regeringen och frågade vilken minister som hade det övergripande ansvaret för informationssäkerheten.

– 26 år senare är frågan fortfarande obesvarad, säger Lars Nicander.

Han berättar att under tiden har sju statliga offentliga utredningar (SOU) hunnit se ljuset och presenteras för att sedan ställas in i bokhyllan.

– Samtliga utredningar har misslyckats med att lösa frågan om en nationell strategi och om vem ska ha ansvaret i Regeringskansliet. Den senaste var Nationella informationssäkerhetsutredningen (NISU) 2014. Även den misslyckades. Vi föreslog en styrmodell men den accepterades inte av Regeringskansliet.

Lars Nicander efterlyser en cybersäkerhetskoordinator som ska finnas på statsrådsberedningen.

– Det fungerar inte som det är idag. It-säkerhetsfrågan spänner över alla sektorer. I Sverige fattar ministrarna kollektiva beslut och myndigheterna agerar självständigt.

Läs mer: Vad får vi för pengarna: Polismord och dödsskjutningar

Svenska företag får mer information av FBI

En annan aspekt enligt Lars Nicander är att inga regeringar har velat investera i cybersäkerhet. Antingen har ministrarna inte förstått eller har de skjutit det på framtiden, enligt Nicander.

Han skrev nyligen en debattartikel i Dagens Industri baserad på en enkät av Svenskt Näringsliv för de 30 största OMX-noterade bolagen. Dessa var över lag mycket kritiska till statens stöd och uttryckte att de får mer information om cybersäkerhet från FBI än från de svenska myndigheterna.

Är inte det upprörande?

– Det finns väldigt lite kontakt mellan näringslivet och staten för att undvika denna form av attacker. Det görs ingen informationsdelning. Sammantaget är det väldigt negativt.

– Den nya cybersäkerhetsmyndigheten, som håller på att skapas, har inte fått några klara styrningsförhållanden utan det bygger på en samverkan mellan FRA, Säpo, MSB och Försvarsmakten under de två närmaste åren. Eftersom vi inte har något ministerstyre i Sverige så blir det ett ledningsvacuum.

– Det tog 16 år innan vi fick ett system med obligatorisk incidentrapportering från generaldirektörerna. Den av regeringen tillsatta arbetsgruppen där jag var sekreterare la fram ett förslag 1998 om obligatorisk incidentrapportering men ingen generaldirektör ville visa upp för den andre vilka lik som fanns i garderoben.

– Sammanfattningsvis har vi ett fragmenterat ansvar och ingen tar kommandot i regeringen, där framför allt statsrådberedningen är viktig. Bara där kan budgetens utgiftsområden omfördelas.

Lars Nicander menar att det saknas överenskommelser för en ökad säkerhet i samhället.

Men vad händer när en attack inträffar, vad kan vi göra då?

– Staten har inget ansvar mot företagen. Dessa förväntas skydda sin egen verksamhet. De väntas sköta sin verksamhet själva om de inte är så kallade ”verksamhetsutövare för utpekade samhällsviktiga verksamheter”. Förhoppningsvis kan de få lite råd av MSB, till exempel skapa backups och kontrollera leverantörer.

Cybersäkerhetscentret har en bit kvar

I Sverige håller vi på att skapa ett cybersäkerhetscenter – är det en potent organisation för att möta cyberhot eller är det mest en papperstiger?

– Det är i dag inte en kraftfull organisation än eftersom den inte har full verksamhet. Den blir operativ först om två år. Det är för lång tid. Och vi vet inte hur ledningsförhållandena kommer att se ut. Vi vet inte under vilket departement den ska lyda. Vi vet inte vem som blir chef. Vederbörande kommer att vara anställd av FRA så länge som centret inte är en egen juridisk person.

– På sikt ska 250 personer anställas men vägen dit är oklar. FRA, Säkerhetspolisen, MSB och Försvarsmakten, samt kanske ytterligare några myndigheter, ska bidra med sina anställda där.

Vilka attacker är du rädd kommer att ske inom det civila livet/samhället?

– Jag är rädd att den typ av attacker vi just sett kommer att ske hos de företag som inte är klassade som inte samhällsviktiga, till exempel livsmedelsföretag, små högteknologiska bolag, och så vidare.

– Kopplingen säkerhetsskydd och cybersäkerhet har varit låg i det civila. Men när en verksamhet utpekas som samhällsviktig omfattas den av säkerhetsskyddsförordningen. Den ska ha en säkerhetsplan beträffande cybersäkerhet, vilken bland annat Säpo ska göra en regelbunden tillsyn av. Den tillsynen har under de senaste tio åren varit mycket låg.

Har våra viktigaste myndigheter ålderdomliga system?

– Jag tror inte att det är problemet.

Hur är kunskapen bland våra ministrar och myndighetschefer om cyberhotet?

– Det finns med all säkerhet en utvecklingspotential.

Hur kommer attackerna att se ut i det civila? Vem kommer att attackera vad?

– Det finns tre typer av hot: ryska hackergrupper som är ute efter pengar och som tolereras av den ryska regimen, dessa kan också kombineras med ryska underrättelsetjänster som vill ha politisk och militärstrategisk information och som utöva påverkan. Sedan kineser som är ute efter cyberspionage men inte efter privat vinning. Slutligen Nordkorea som försökt komma åt pengar för att finansiera sin egen regim, till exempel försökte en nordkoreansk grupp nyligen ta över en bank i Bangladesh och de höll på att få ut 50 miljarder kronor men stoppades i sista stund.

Hur många är dessa hackergrupper som är aktiva i Sverige?

– Cirka 40 ryska och kinesiska Advanced Persistent Threat- grupper (APT-grupper) har identifierats i världen och flera är aktiva i Sverige. Dessa kan kartlägga en infrastruktur eller ett privatföretag under flera år för att sedan smyga in en trojan. Sverige drabbades bland annat vid Cloud Hopper- incidenten 2017.

Är inte FRA en världsledande myndighet som kan stoppa sådana här attacker?

– FRA är tekniskt i topp men har inget uppdrag att skydda den privata sektorn.

Hur duktiga är Skatteverket eller Försäkringskassan på att avvärja attacker?

– Det vet jag inte.

Banker mörkar cyberattacker

Vilka svenska myndigheter anser du är bäst skyddade mot it-attacker? Vilka är sämst? Granskar Finansinspektionen våra bankers eller fondkommissionärers planer för att avvärja it-attacker på ett tillfredsställande sätt?

– Jag vet att banker och kärnkraftsindustrin har en mycket hög skyddsnivå.

Hur vanliga är sådana här attacker som vi just nu ser? Är de sällsynta eller mörkar banker och företag att de råkar ut för dessa attacker?

– Den attack mot ett ”supply chain” som vi sett just i Coop, där hackergruppen går in bakvägen mot en underleverantör, är relativt nytt.

– Men det stämmer att banker mörkar. Det finns en risk för att ett ärligt svar skulle förstöra bankernas varumärke.

– Under 1990-talet drabbades Citibank av en 23-årig hacker från Ryssland. Han lyckades komma över 70 000 dollar men som var nära att få ut 400 miljoner dollar. Citibank anmälde it-attacken till FBI vilket fick bankens konkurrenter att utnyttja situationen. Citibanks fyra största kunder tog ut omedelbart ut en miljard dollar var. Efter denna händelse har ingen hört om en bank anmält en it-attack till brottsbeivrande myndigheter.

Tror du att vi är på väg att återinföra kontanter?

– Det är en jättesvår fråga. Jag tror att det är vansinnigt att helt göra sig av med kontanter. Vi behöver en backup, ett alternativ. Men hela informationssamhället jobbar mot allt mer digitalisering och att avskaffa kontanter.

Hur ligger Sverige till internationellt vad gäller cybersäkerhet?

– För 10–15 år sedan var vi långt framme vad gäller cybersäkerhet, och nu har vi sjunkit tillbaka till 42:a plats i ranking. Medan vi är bland världens främsta på att digitalisera vårt samhälle.

Hur ligger svenska företag till internationellt?

– Det handlar om att ”så länge det inte hänt så har det inte hänt”. Svenska bolagsstyrelser kanske ser mer till kostnaderna utan att rätt kunna värdera fördelarna. Företagsledningar är ofta omedvetna och ibland för snåla. Men de borde tänka på att en kommun bekostar en brandkår även om det inte brinner varje dag.

– Det fanns ett förslag från revisionsfirman Deloitte om att ett bolags cybersäkerhet skulle med som en punkt i årsredovisningen. Men det blev inget.

Ryska hackergrupper mest aktiva

Nu var det ett betalningssystem som drabbades hos Coop, finns det andra områden som du tror kan vara hotade?

– Den kritiska informationsstrukturen för till exempel el- och telesystemen. 5G-frågan handlar till stor del om osäkerhet om vilket inflytande Kinas underrättelsetjänster har över Huaweis mobilinfrastruktur och om möjligheterna att komma över affärshemligheter.

– Inför valet 2018 fanns en farhåga att de politiska partiernas informationssystem inte var skyddade. Deras information skulle kunna vara mumma för främmande makter. De har inte tillräckligt skyddade informationssystem. Ryssarna gjorde en sådan hackerattack mot demokraternas databas i 2016 års amerikanska val.

Vilka är mest aktiva Kina, Ryssland, någon öststat eller självständiga banditer?

– Mest aktiva är de ryska hackergrupperna på grund av att den organiserade brottsligheten och den ryska staten samarbetar.

Kommer vi att vilja lagra mer information på papper eller kommer vi att tvingas till dyra digitala backups ?

– Både och. Men vi kommer hellre att satsa på fler backupsystem än att gå tillbaka till papper.

Vad kan hända med mobilt Bank-id?

– Det vet jag inte. Jag kan inte de tekniska detaljerna.

Tror du att Sverige har halkat efter vad gäller cybersäkerhet på grund av att det inte finns ett samlat ansvar?

– Det har varit problematiskt att allt på senare tid har handlat om ”just in time” istället för ”just in case”. Jag anser att New Public Management är felet. Det introducerades 1980 i västvärlden och hos svenska myndigheter.

– Staten skulle endast tillåtas ha begränsade funktioner. Problemet var att detta drabbade även statens kärnfunktioner. Det handlade endast om att tjäna pengar. Alla struntade i motståndskraft eller robusthet i systemen. Dessa fick ge vika. Ingen tog ansvar för kostnaderna. Systemet med ”just-in-time” har gått för långt.

– Framtiden måste handla om riskavvägningar. Det går inte att undvika varje risk men varje företag måste identifiera och skydda sina guldägg.

Slutligen, Lars Nicander, vad tycker du är det viktigaste som vi borde göra för att undvika it-attacker här i Sverige?

– Det viktigaste steget är en cybersäkerhetskoordinator med ett kraftfullt mandat som ska sitta i statsrådsberedningen. Vi måste kunna rycka ut snabbt om det händer något. Vi har idag minst fyra departement och nio-tio myndigheter som är inblandade men ingen maestro i denna orkester.

Läs mer: Northvolt och Volvos nya bolag: Svenska kommuner tävlar om tusentals nya jobb