Svenska företag måste vara beredda på att göra de investeringar som krävs
Under Atea Bootcamp fick vi en exklusiv intervju med keynote-talaren Brittany Kaiser, känd för att ha avslöjat Cambridge Analytica-skandalen och för att numera även vara särskild rådgivare i cybersäkerhet åt ukrainska regeringen. Hon hade många goda råd att ge.
Utifrån dina erfarenheter och ditt arbete åt den ukrainska regeringen, hur anser du att svenska företag och organisationer bör skydda sig mot cyberattacker i det rådande osäkra världsläget?
– Jag anser att det är oerhört viktigt att man före lanseringen av en känslig, publik it-infrastruktur säkerställer att det finns cybersäkerhetsprotokoll och en rejäl säkerhetslösning på plats, så att man kan stå emot en attack.
– Det idealiska är att ha decentraliserad multifaktorsautentisering till allt, om du använder en databas som många personer har tillträde till. Det gäller att se till att det inte finns någon central, svag punkt som är känslig för attacker eller en enskild person som har tillgång till för mycket information och därför också blir sårbar.
– I början av kriget såg vi till att all viktig datainfrastruktur, alla databaser och framför allt alla kryptovalutaplånböcker, som regeringen hade skapat för att kunna samla in medel och inneha ekonomiska resurser, var lokaliserade på säkra platser utanför Ukraina. Så det handlar om att fatta beslut om både fysiska och digitala resurser, både hårdvara och mjukvara, för att omöjliggöra attacker via en eller några få individer. Det skulle jag säga är det viktigaste att göra innan man genomför en strategi.
Ukraina är ju mitt i ett krig, men anser du att även svenska företag bör placera sina digitala resurser och sin it-infrastruktur utanför landet på grund av risken att Sverige kan bli attackerat eller bör de vänta tills ett eventuellt krig är ett faktum?
– Jag är en stark förespråkare för decentraliserad datalagring. Det är fullt möjligt att använda datacenter lokaliserade i Sverige, men en del av infrastrukturen är ju också global och finns i molnet. I Ukraina har vi sett till att det är omöjligt att komma åt de digitala tillgångarna.
– I dag finns det betydligt fler alternativ för decentraliserade lösningar och jag är övertygad om att en del av de företag som är här på Atea Bootcamp jobbar på att skapa sådana tjänster. Men jag vill verkligen betona att om det är möjligt att attackera ett enskilt datacenter och på så sätt komma åt ett helt företags, en hel myndighets eller ett helt lands it-infrastruktur, så är det ett stort problem. Därför är decentralisering viktigt.
– Men detta handlar bara om hur data lagras. Jag tycker också att det är viktigt att tala om hur data används. Ni i Sverige är ju inne i ett valår och det finns krafter som gärna vill påverka valet genom desinformationskampanjer, som kan finansieras både inom och utanför landet. Det bör inte bara företag och individer tänka på. Staten bör också fundera på det utifrån ett lagstiftningsperspektiv.
”Det idealiska är att ha decentraliserad multifaktorsautentisering till allt, om du använder en databas som många personer har tillträde till.”
– Lyckligtvis har det inom EU de senaste sex, sju åren tagits fram en rad lagar för att skydda människor, men de är inte särskilt högteknologiska. I slutändan handlar det om hur dessa lagar implementeras för att människors personliga data inte ska vara så lätta att missbruka som de har varit under tidigare valår. Pengar väller in för att köpa data som kanske inte används i vanliga fall, men som i samband med valet används för att göra människor till måltavlor för desinformation eller påverkanskampanjer. En kandidat som egentligen inte har särskilt stort stöd i Sverige kan väljas ut av ett land som Ryssland. Då kan stora resurser komma in från utlandet för att användas till politisk finansiering.
Vilken typ av attacker bör vi vara förberedda på framöver?
– Just nu efter invasionen av Ukraina har desinformation blivit ett av huvudproblemen runt om i världen. Det har blivit svårt att skilja på vad som är verkliga nyheter, vad som är åsikter samt vad som är falska nyheter och medveten desinformation. För den enskilde individen är det väldigt svårt att avgöra. Till och med undersökande journalister blir lurade och plockar upp ”nyheter” som består av fullständigt falsk information.
– Därför tror jag att vi behöver mer stringenta lagar kring hur sociala medier-företag styrs. Men många regeringar tar inte det på allvar. Jag tror att många företag som Facebook och Twitter har många hårdnackade lobbyister som jobbar mot dessa regler.
– Men en av de mest intressanta saker som har hänt nu, när Elon Musk har försökt köpa Twitter och göra det privat, är att vi för första gången sedan Cambridge Analytica-skandalen ser någon som säger att han faktiskt tänker göra sig av med alla falska konton på Twitter och undersöka alla användares identiteter. Du behöver inte använda ditt riktiga namn offentligt, men Twitter måste veta vem du är, så att du kan hållas ansvarig om du bryter mot lagen. Därmed vill man undvika bottar och trollfabriker som normalt är mycket aktiva inför val.
– Beräkningen är att minst hälften av alla konton på exempelvis Facebook är falska och drivna av AI. Det finns många välutvecklade nätverk, som sprider och förstorar upp falska nyheter och desinformation. Inläggen skrivs, delas och kommenteras automatiskt, men aldrig av verkliga människor. Däremot når ju innehållet ut och påverkar vanliga personer.
– Sättet som nyhetsorganisationer styrs och övervakas kan hjälpa till en hel del. Om man medvetet publicerar falska nyheter eller desinformation blir mediecheferna juridiskt ansvariga. Men ägarna av sociala medier-företag blir det inte. Så där finns det ett stort gap som måste överbryggas.
Tror du att Ryssland även skulle välja att rikta in sig på enskilda företag och organisationer? Hur kan vi i så fall förutsäga och motverka det?
– Natoansökan gör Sverige mer sårbart och utsatt för fler cyberattacker än någonsin tidigare. Om du utgår ifrån hur ryssarna normalt brukar göra inleder de oftast med ett informationskrig. Påverkanskampanjer och desinformation kommer att vara deras förstahandsval, för de är svåra att spåra och stoppa.
”Beräkningen är att minst hälften av alla konton på exempelvis Facebook är falska och drivna av AI. Det finns många välutvecklade nätverk, som sprider och förstorar upp falska nyheter och desinformation.”
– När det gäller regelrätta cyberattacker är de mer uppenbara och oftast är större företag och myndigheter förberedda på dem. Däremot är många mindre och medelstora organisationer inte det.
– Genom mitt arbete runt om i världen har jag insett att många företags tekniska chefer är upphöjda it-tekniker men mycket sällan tekniska och strategiska experter på hög nivå, framför allt inte när det kommer till cybersäkerhet. Så jag skulle verkligen rekommendera att om du vill förbereda dig på vad som kan hända och inte har cybersäkerhetsexperter i din organisation bör du jobba med ett företag som kan konsultera dig i dessa frågor.
– Du måste se till att din backend-infrastruktur är så solid som möjligt och att du har dina cybersäkerhetsprotokoll på plats, så att du säkerställer att du inte har några enskilda svaga punkter. Jag tror att både Sverige och Finland bör vara förberedda på attacker. Vi får se vad som händer under de kommande månaderna.
Finns det andra sätt att vara proaktiv?
– Det bästa sättet att vara proaktiv är att ha cybersäkerhetsövervakning, där du verkligen kan se om attacker riktas mot dig, och inte bara ha mjukvara som skyddar dig. Du bör övervaka hur många attacker som faktiskt sker, även om de bekämpas och avstyrs. Det är ännu bättre om du kan se var de kommer ifrån.
– Men som jag sa tidigare är många organisationer, både privata och offentliga, inte förberedda på ens de mest basala cyberattacker. Därför är det viktigt för alla att göra egna interna undersökningar och se vad som är under kontroll och vad som inte är under kontroll samt sedan lägga resurser på att uppgradera systemen och utbilda personalen.
– Ofta är medarbetarna den svagaste länken i hela cybersäkerheten, eftersom det räcker med att en enda person inte vet vad nätfiske är och råkar klicka på en skadlig länk. Det är där sårbarheten finns. Då spelar det ingen roll hur mycket pengar du har lagt på dina säkerhetssystem. Därför är det viktigt att öka den digitala kunskapen hos alla anställda.
Hur skulle du vilja öka medvetenheten om dessa risker i ett land som Sverige, där de flesta medborgare har vant sig vid fred?
– Det finns ett antal sätt. Det första jag kommer att tänka på är allmänna utbildningskampanjer, som staten finansierar och som kan sponsras av företag. Företagen kan också delta aktivt i kampanjerna.
– Jag har noterat att Cisco är här på Atea Bootcamp och de har exempelvis gjort utmärkta offentliga kampanjer för att öka medvetenheten om vikten av digital läskunnighet. Det är viktigt att folk förstår vad en datainfrastruktur är, vilka rättigheter de har, vad cybersäkerhetsprotokoll är och hur man upptäcker ett intrångsförsök eller nätfiske.
– Det här måste också tas upp i skolorna, så att barn lär sig detta från en tidig ålder. En av de saker som jag engagerar mig starkt i personligen är just digital läskunnighet. Många barn får sina första egna digitala enheter redan i åldrarna åtta till tolv år. Det kan verka tidigt, men då använder de flesta inte längre sina föräldrars datorer och har ofta en egen mobil.
– Det betyder plötsligt att barn blir sårbara och de har kanske inte ens hört talas om många av de begrepp som vi har talat om nu, vilket kan vara avgörande för hushållets säkerhet. Föräldrarna gör kanske allt de kan, men om barnet är på TikTok varje dag och visar upp hemmets utformning, var de befinner sig och vad föräldrarna jobbar med, ja, då kan hela familjens säkerhet äventyras. Därför behövs utbildning även i skolorna.
– Allt det här är förstås en lång process och inget som man kan införa över en natt, men man måste förstå att ett beslut att gå med i Nato får följder även på lång sikt. Det är ett stort åtagande och Sverige som land och svenska företag måste vara beredda på att göra de investeringar som krävs.