Brittisk säkerhetsexpert: Så kan Sverige öka sin cyberresiliens
Länder världen över ökar sina investeringar i cybersäkerhet, nu behöver Sverige göra samma sak. Det skriver Richard Meeus, Director of Security Technology and Strategy EMEA på Akamai, på Voister Debatt.
DEBATT. Cyberattacker är inte längre bara en it-fråga utan en ekonomisk samhällsfråga. Nu behöver Sverige öka sina cyberinvesteringar, sätta tydligare ansvarsramar och samtidigt dra nytta av vad andra länder redan har gjort. Det skriver Richard Meeus från Akamai på Voister Debatt.
Detta är en debattartikel. Åsikterna som framförs är skribentens egna.
Sedan början av 2024 har flera svenska organisationer fallit offer för cyberattacker utförda av hackergrupper som misstänks ha anknytning till Ryssland. Detta inkluderar ett stort antal statliga myndigheter och privata företag i Sverige, inklusive landets riksdag.
Tietoevry meddelade i januari att ett av dess datacenter i Sverige var föremål för en attack, vilket påverkade många kunder. Även om företaget kunde isolera det drabbade centret, pågår återställning av system och tjänster fortfarande.
I ljuset av ett aldrig tidigare skådat antal cyberattacker över hela landet, är det dags för den svenska regeringen, tillsammans med branschledare och andra relevanta intressenter, att ta itu med den akuta och viktiga utmaningen att förbättra cyberresiliensen i hela Sverige.
Inte unikt för Sverige
Den senaste ökningen av attacker mot högvärdiga mål är inte unik för Sverige. Runt om i världen har hackare siktet inställt på allt från Australiens största hamnar till kasinon i Las Vegas.
Cyberrisk är inte längre bara ett it-problem, det är en kritisk sårbarhet som direkt påverkar ekonomin. Som ett resultat av detta tar regeringar över hela världen upp hotet och lyfter fram tekniker som kan hjälpa säkerhetsförsvarare att skydda organisationer och bygga motståndskraft.
Regeringar i Australien, Nederländerna och Storbritannien har redan tagit de första stegen med uttalanden som indikerar att cyberattacker från utlandet ska betraktas som illegala ingripanden i ett annat lands inrikes angelägenheter.
Som en följd av stora cyberintrång betonar Australien i sin cybersäkerhetsstrategi 2023-2030 att styrelser och ledningsgrupper är ansvariga för att hantera cyberrisker och måste vara beredda att reagera på betydande cyberincidenter.
I Europa var Ungern ett av de första länderna som formulerade sin nationella cybersäkerhetsstrategi 2013. Nu täcker den nio strategiska mål och är ett ramverk som upparbetas kontinuerligt.
Den brittiska regeringen presenterade i slutet av 2021 sina planer på att investera 2,6 miljarder pund i sin nationella cyberstrategi. Detta för att utveckla en standard för motståndskraft mot cyberattacker inom alla affärsområden och medborgarskap.
Ta kontroll över cyberhygien på nationell nivå
Organisationer har själva ett ansvar att vidta åtgärder för att hantera cyberrisker, men på nationell nivå behövs starkare ramar för ansvarsskyldighet och god styrning. Det kan vara frestande för en regering att inte investera i cybersäkerhet i en tid av stagnerande tillväxt. Men för att skydda nationell infrastruktur och säkerställa allmän ordning och säkerhet är investeringar absolut nödvändiga.
Genom att försumma grundläggande cyberhygien och inte förstå vad som krävs för att upprätthålla motståndskraft misslyckas många ledare med att vidta ansvarsfulla åtgärder för att mildra hoten mot affärsverksamheten.
I början av 2024 tillkännagav därför den brittiska regeringen lanseringen av Cyber Governance Code of Practice för att hjälpa företag och organisationer av alla storlekar att hantera de cyberrisker de står inför, och hjälpa dem att utvecklas och ta bättre ansvar för sin cyberrisk. Koden fokuserar på de mest kritiska områdena som ledare måste engagera sig i, och bildar enkel, handlingsfokuserad vägledning, vilket gör det lättare för företag att förstå vilka åtgärder de ska vidta.
Storbritannien har också Cyber Essentials, ett omfattande och pålitligt certifieringssystem, som godkänts av den brittiska regeringen, utformat för att hjälpa organisationer av alla storlekar att skydda sig mot en mängd vanliga cyberattacker. Standarden är centrerad kring en uppsättning ”bäst praxis” som organisationer kan implementera för att stärka sina cybersäkerhetsförsvar.
Regeringens chans att stärka Sveriges cyberresiliens
I Sverige sägs det att den årliga kostnaden till följd av cyberattacker bara för teknikföretag är 16 miljarder kronor. De omfattande cyberattacker som har skett sedan årsskiftet visar på bredden av hot som Sverige står inför.
De omfattande cyberattacker som har skett sedan årsskiftet visar på bredden av hot som Sverige står inför.
Den svenska regeringen har nu en seriös möjlighet att stärka landets cyberresiliens i samarbete med brittiska National Cyber Security Center. Regering och riksdag kan införa en lag eller uppförandekod som består av åtgärder för vad som måste göras inom ett företag för att hålla nere riskerna för cyberintrång.
Tidigare i år föreslogs i en delrapport till försvarsdepartementet att en ny lag införs, cybersäkerhetslagen. Utredningen föreslår vidare att EU:s NIS2-direktiv – som träder i kraft den 18 oktober 2024 – implementeras i svensk lagstiftning. En av huvudfrågorna kring denna nya lag är tidsaspekten av implementeringen, eftersom att följa Cybersäkerhetslagen i full utsträckning anses vara en tidskrävande process.
Det återstår att se vad den slutliga versionen av den svenska cybersäkerhetslagen kommer att innehålla. Men när det kommer till att utarbeta lagen finns det mycket som den svenska regeringen kan lära av vad andra regeringar runt om i världen gör för att ta itu med cyberhotet, skydda organisationer och bygga ekonomisk motståndskraft.
Cyberattacker är inte bara en it-fråga utan en ekonomisk samhällsfråga. När antalet attacker mot Sverige ökar måste också våra investeringar och samarbeten med andra länder öka – endast så kan vi skapa en ökad cyberresiliens.
Richard Meeus, Director of Security Technology and Strategy EMEA, Akamai
Läs mer om ämnet: