Utbrett cyberspionage mot svenska företag

Enligt FOI:s rapport anses Kina bedriva systematisk underrättelseinhämtning genom både uppköp av teknologiskt eftertraktade företag och cyberspionage mot företag och myndigheter.

Det finns inga exakta uppgifter på omfattningen av cyberspionage i Sverige eftersom det till sin karaktär är svårt att mäta, men amerikanska myndigheter beräknar att USA årligen förlorar mellan 225 och 600 miljarder amerikanska dollar på grund av stöld av immateriell egendom.

Sverige är mer exportberoende och kunskapsintensivt än USA vilket gör att cyberspionage förmodligen drabbar svenska företag och svensk arbetsmarknad hårdare jämfört med USA.

Ändrade förutsättningar med internet

Janne Haldesten är säkerhetsspecialist på företaget Sectyne, ett företag som han varit med och grundat och som erbjuder konsultation och rådgivning inom cyberområdet, som exempelvis inom IT-säkerhet, arkitektur, strategi och säkerhetsskydd. Han instämmer i rapportens slutsatser och menar att cyberspionaget är utbrett mot svenska företag.

– Om man backar tillbaka bandet och tittar på hur det såg ut tidigare så var man tvungen att använda personbaserad inhämtning för att få tag på information. Sedan började vi i allt snabbare takt att skicka information över radiovåg och elektroniskt, vilket var någonting som underlättade underrättelsetjänsten. Allt vi gör idag ger avtryck i cyberrymden där vi är extremt beroende av internet. Det har gjort att cyberspionaget är mer omfattande än någonsin och växer hela tiden, säger Janne Haldesten.

På vilket sätt påverkas egentligen svenska företag av cyberspionage?

– Det är vanligt med nätfiske i olika former, alltifrån massutskick av e-post till så kallad spear-phishing. Det sistnämnda innebär att avsändaren kartlägger företaget för att ta reda på befattningar och liknande för att kunna skräddarsy e-post som ser väldigt trovärdig ut, där målet ofta är att få offret att klicka på en länk vilket i förlängningen leder till att datorn infekteras med skadlig kod, datavirus. Syftet är att komma åt information eller pengar. Exempel på värdefull information kan vara kundlistor, information om upphandlingar eller ny teknik.

Kina ligger alltså bakom stora delar av cyberspionaget både mot Sverige och i andra länder. Enligt FOI-rapporten uppskattas 70 procent av spionaget i USA vara kopplat till Kina, medan det inte finns någon exakt siffra för Sverige.

I USA finns uppmärksammade fall där framgångsrika företag har gått i konkurs efter att ha blivit utsatta för angrepp från främmande stat.

Konsekvenser och skydd

Effekten av cyberspionaget är svår att kvantifiera. För det första upptäcker inte alla företag ens att det skett ett intrång, och om man gör det är det svårt att bedöma kostnaden och vem som ligger bakom. Det är dessutom frågor som företag inte gärna talar öppet om, inte heller svenska myndigheter.

Eftersom det inte finns några exakta siffror är det också svårt att dra slutsatser om hur hårt svensk arbetsmarknad drabbas, men att den påverkas är ett faktum. Företag som förlorar konkurrensfördelar på grund av spionaget växer långsammare och det leder till uteblivna arbetstillfällen och i förlängningen en sämre tillväxt för Sverige.

– Ett litet, nischat företag kan trots sin småskalighet ha stora skyddsvärden, men just på grund av sin småskalighet inte ha tillräckligt med skydd. Det är över huvud taget svårt att skydda sig fullt ut. Det handlar både om informationssäkerhet och personalsäkerhet liksom om fysiskt skydd. Om ett företag bedriver verksamhet som faller under Säkerhetsskyddslagen kan man dock få visst statligt stöd, till exempel då det handlar om nationella säkerhetsintressen. Det måste dock förtydligas att varje organisation bär ansvar för sin egen informationssäkerhet. Myndigheten för samhällsskydd och beredskap har exempelvis redan idag samverkansgrupper för olika sektorer, men de skulle kunna utvecklas ytterligare i syfte att få till bättre samverkan liksom bättre informationsdelning, säger Janne Haldesten.

Är en ledningsfråga

Han anser att såväl enskilda arbetstagare som företagsledningar bättre måste förstå att hotet angår dem. I sitt arbete ser han ibland en oförståelse eller ointresse från ledningsgrupper, trots att god riskkontroll är grundläggande för ett företag.

– Informationssäkerhet är en självklar ledningsfråga. Det handlar ju om något så basalt som att skydda sin verksamhet, säger Janne Haldesten.

Trots att det finns mycket kvar att göra menar han att företag generellt ligger längre fram i säkerhetsarbetet än vad många svenska myndigheter gör. Företagen har helt enkelt en vana att diskutera i termer av risker på ett annat sätt än vad myndigheterna har, som har mer av ett förvaltningsperspektiv på sin verksamhet.

Centrum för cybersäkerhet

– Sverige som land har till skillnad från många andra länder en naiv uppfattning som vi måste komma till bukt med. Vi behöver definitivt bli mer medvetna om vilka säkerhetshot vi utsätts för och vara tydligare med att många av våra företag är av intresse för Sveriges säkerhet, någonting som återspeglas tydligare i den nya säkerhetsskyddslagen. Ta bara det faktum att stora delar av vår nationella infrastruktur sköts av privata företag. Jag ser dock att medvetenheten på det nationella planet har börjat öka vilket är bra, säger Janne Haldesten.

I försvarsberedningens kommande rapport har riksdagens partier enats om att bilda ett cybersäkerhetscentrum. Tanken är att det ska samla kompetens och personal från de olika myndigheter som idag arbetar med cybersäkerhet, det vill säga MSB, FRA, Must och Säpo. Därmed hoppas man också på att den försvaret mot cyberspionage ska bli starkare.