Så hotas Sverige av cyberattacker
Publicerad 2023-01-09
A-kassor, myndigheter, regioner och medieföretag har drabbats av cyberattacker den senaste tiden.
Syftet kan vara att sprida oro och osäkerhet menar flera it-experter.
– En cyberattack kan ha mycket mer påtaglig psykologisk effekt än reell effekt, säger Kim Elman, på Sveriges forskningsinstitut, RISE.
Nyligen drabbades svenska a-kassor, kommuner, Migrationsverket och försvarsmakten av olika it-incidenter.
Flera av dem tyder på cyberattacker. Vad eller vem som ligger bakom är dock oklart. Men enligt Marcus Muray, grundare av cybersäkerhetsföretaget Truesec, finns tre huvudtyper av aktörer som ägnar sig åt it-angrepp.
– Den första är statsaktörer, det vill säga underrättelsetjänster i andra länder. Den andra är kriminella organisationer som kan ha runt 200–300 heltidshackare som bara jobbar med att bryta sig in i företag. Den tredje är kriminella organisationer som går statens ärende, så kallade proxyorganisationer, säger han.
Vilka länder handlar det om?
– Vi ser ganska mycket aktiviteter som kan härledas till Ryssland. Det är alltid svårt med attribuering, men vi ser starka indikationer på att mycket eller en del kommer från Ryssland.
Enligt Gabriel Wernstedt, presstalesperson på Säpo, har man en längre tid pekat på hur hotet från främmande makt har breddats och fördjupats, utan att gå in på vad Säpo vet om angrepp som skett i närtid.
– Cyberangrepp är något som ständigt pågår. Det är aktörer som på olika sätt försöker testa system.
Han berättar att angripare letar efter sårbarheter, både för att testa svensk cyberförmåga och för att ta sig in i system och stjäla information.
”Har stora resurser”
I sin årsbok för 2021 skriver Säpo att cyberangreppen har gått från rent industrispionage till allt fler angrepp med tydlig politisk agenda.
– Den främmande makt som Säkerhetspolisen följer är en främmande makt med hög kapacitet. Som har tid, pengar och personal som kan ägna sig åt till exempel cyberspionage under lång tid med stora resurser. Det är något som samhället i stort behöver vara aktsamt kring.
Cyberspionage från främmande makt görs ofta dolt och förnekbart, vilket gör det svårt att peka ut enskilda länder, enligt Gabriel Wernstedt.
– Det vi har pekat på är att det är ett allvarligt försämrat säkerhetspolitiskt läge i Europa och det påverkar även Sveriges säkerhet. Men exakt på vilket sätt det påverkar Sverige går vi inte in på.
Aktörer bakom en cyberattack kan ha flera syften. På kort sikt kan de skapa kaos i en verksamhet. På längre sikt kan en känsla av oro och osäkerhet sitta kvar.
– En cyberattack kan ha mycket mer påtaglig psykologisk effekt än reell effekt, säger Kim Elman, chef för Centrum för cybersäkerhet på forskningsinstitutet RISE.
Han menar att det inte helt enkelt går att skilja på informationspåverkan, desinformation och rena angrepp när man pratar om cyberhot i dag.
– Om en hemsida ligger nere under viss tid så kanske inte det har allvarliga konsekvenser för just funktionen. Men däremot, om det får väldigt stor publicitet och det sker i ett känsligt politiskt läge eller säkerhetssituation som är allvarlig, så kan det upplevas som väldigt obehagligt.
Det handlar alltså inte bara om att leta tekniska sårbarheter utan också tanke- och känslomässigt ömma punkter som får fäste både i traditionella och sociala medier, säger Kim Elman.
– Det finns många paralleller med hur du hackar ett tekniskt system och hur du hackar en människa eller ett samhällssystem.
– De kan växelverka med varandra för att få effekt, både reell effekt och påverkanseffekt.
Angrepp kopplade till händelser
Det är också vanligt med angrepp kopplade till särskilda händelser.
Den 24 november i år utsattes EU-parlamentet för en it-attack efter att ha antagit en resolution som pekar ut Ryssland som terroriststat på grund av det brutala och olagliga krig de bedriver mot Ukraina. Då tog en pro-Kremlin-grupp på sig attacken.
Gabriel Wernstedt på Säpo nämner exemplet när GRU, den ryska militära underrättelsetjänsten, utförde en rad dataintrång mot Riksidrottsförbundet för fem år sedan. Då hamnade exempelvis medicinska journaler från svenska elitidrottare på nätet.
– Det här inträffade i samband med att Ryssland förbjöds att delta i OS på grund av systematisk dopning.
Syftet var att stärka bilden av det egna landet och misskreditera andra länder och deras idrottare, enligt Gabriel Wernstedt.
Attacker kan ske på olika sätt. Enligt Åsa Schwarz, it-säkerhetsexpert på företaget Knowit, är intrång, ransomwareattacker och överbelastningsattacker de tre vanligaste typerna.
”Brist på information ett problem i sig”
Just nu finns dock väldigt lite information om de senaste attackerna menar hon.
– Man vet inte exakt vad som har hänt därför att de inte informerar oss så mycket just nu. Det är ju också ett problem i sig. Det är bättre om man informerar så mycket som möjligt så att folk förstår vad som händer, säger Åsa Schwarz och fortsätter:
– Nu blir det väldigt mycket spekulationer om vem som har gjort det.
– I sådana tider som det är nu så tror ju alla att det är Ryssland. Men det kan ju vara vad som helst. Det kan vara Ryssland men det är också vanligt med stora organisationer som jobbar med det här systematiskt för att tjäna pengar, säger Åsa Schwarz och syftar på kriminella organisationer.
Hon fortsätter:
– I 99 procent av fallen är man ute efter att tjäna pengar. Sen finns ju de här statsaktörerna.