"Näringslivet måste ta ett ökat ansvar för ett säkrare Sverige"


Det är inte bara myndigheter som måste föra kampen med att skydda Sveriges it-infrastruktur mot hot och angrepp. Det är dags för näringslivet att ta större ansvar skriver Janne Haldesten, cybersäkerhetsspecialist på Cybercom.

Myndigheterna får ofta utstå kritik för den bristande säkerheten i landets IT-infrastruktur och detta med all rätt. Bristerna är omfattande och det pågår en departementstrid om vem som ska bära ansvaret. Men vi får inte glömma den viktiga roll näringslivet spelar i säkerhetsfrågan och som alltför sällan lyfts i samhällsdebatten.

Inom näringslivet bedrivs i dag omfattande forskningsprojekt, produkttillverkning och tjänsteleveranser som utgör en del av den nationella och samhällskritiska infrastrukturen, direkt eller indirekt. Samtidigt utsätts dessa företag för stora risker att bli angripna, eller har redan blivit det utan att känna till det.

Nu i april gick exempelvis MSB ut och meddelade att ett flertal länder, däribland Sverige, angripits av kinesiska APT10 som gett sig på moln- och driftleverantörer i syfte att komma åt deras kunder. Några av de samhällssektorer som särskilt pekats ut som mål är offentlig verksamhet, IT, kommunikation, sjukvård, energi och forskning där svenska företag är drabbade. Omfattningen av angreppen är fortfarande oklar, men har enligt MSB troligtvis pågått sedan 2014 utan att ha blivit upptäckt.

Näringslivet måste börja ta ett större ansvar i IT-säkerhetsfrågan och förstå att de används som brickor i ett större spel för att identifiera en väg in till offentlig sektor och våra samhällskritiska system. Såväl ledningsgrupper som näringslivstoppar och nyckelfunktioner kartläggs i detalj, från funktion inom företaget till vanor och fritidsintressen.

Företag X som levererar tjänster till offentlig sektor över civil infrastruktur kan exempelvis ha en VD som dessutom är amatörfotograf och medlem på en fotosajt. Har denne ett tämligen unikt namn eller mejladress blir personen lätt att identifiera. Genom att hacka sajten och plantera skadlig kod kan angriparen i lugn och ro vänta på att VD:n förr eller senare loggar in från sin arbetsdator. Inom loppet av ett par sekunder infekteras datorn och i förlängningen företagets IT-infrastruktur. Utöver VDn:s dator så infekteras ett antal andra personer för att bygga en rökridå kring syftet med attacken och det egentliga målet.

Den svaga länken är således identifierad, infekterad och som i fallet med APT10 kan förövaren oupptäckt ta sig vidare in i nästa system för att slutligen nå sitt verkliga mål och skapa förödande konsekvenser för samhällskritisk infrastruktur.

Det må låta dystopiskt, men vi måste alla utgå från risken att vi en dag kommer utnyttjas för ett mer omfattande syfte. Det är därför av största vikt att vi utvärderar vårt uppkopplade beteende såväl professionellt som privat. Jag uppmanar därför alla inom näringslivet att inte hänga säkerheten på hatthyllan när man kommer innanför dörren hemma, då det kan ge förödande konsekvenser för individen, företaget och för vårt samhälle i stort.

Janne Haldesten, cybersäkerhetsspecialist på Cybercom

Källa: http://computersweden.idg.se/2.2683/1.681412/naringslivet-ansvar-sakrare-sverige