Så hotas Sverige av cyberattacker

Benjamin Ekroth

Publicerad 2023-01-09

A-kassor, myndigheter, regioner och medieföretag har drabbats av cyberattacker den senaste tiden.

Syftet kan vara att sprida oro och osäkerhet menar flera it-experter.

– En cyberattack kan ha mycket mer påtaglig psykologisk effekt än reell effekt, säger Kim Elman, på Sveriges forskningsinstitut, RISE.

Nyligen drabbades svenska a-kassor, kommuner, Migrationsverket och försvarsmakten av olika it-incidenter.

Flera av dem tyder på cyberattacker. Vad eller vem som ligger bakom är dock oklart. Men enligt Marcus Muray, grundare av cybersäkerhetsföretaget Truesec, finns tre huvudtyper av aktörer som ägnar sig åt it-angrepp.

– Den första är statsaktörer, det vill säga underrättelsetjänster i andra länder. Den andra är kriminella organisationer som kan ha runt 200–300 heltidshackare som bara jobbar med att bryta sig in i företag. Den tredje är kriminella organisationer som går statens ärende, så kallade proxyorganisationer, säger han.

Ali Lorestani/TT — Foto: Cybersäkerhetsexperten Marcus Murray.

Vilka länder handlar det om?

– Vi ser ganska mycket aktiviteter som kan härledas till Ryssland. Det är alltid svårt med attribuering, men vi ser starka indikationer på att mycket eller en del kommer från Ryssland.

Enligt Gabriel Wernstedt, presstalesperson på Säpo, har man en längre tid pekat på hur hotet från främmande makt har breddats och fördjupats, utan att gå in på vad Säpo vet om angrepp som skett i närtid.

– Cyberangrepp är något som ständigt pågår. Det är aktörer som på olika sätt försöker testa system.

Han berättar att angripare letar efter sårbarheter, både för att testa svensk cyberförmåga och för att ta sig in i system och stjäla information.

Gabriel Wernstedt, presstalesperson vid Säkerhetspolisen. — Foto: Säkerhetspolisen

”Har stora resurser”

I sin årsbok för 2021 skriver Säpo att cyberangreppen har gått från rent industrispionage till allt fler angrepp med tydlig politisk agenda.

– Den främmande makt som Säkerhetspolisen följer är en främmande makt med hög kapacitet. Som har tid, pengar och personal som kan ägna sig åt till exempel cyberspionage under lång tid med stora resurser. Det är något som samhället i stort behöver vara aktsamt kring.

Cyberspionage från främmande makt görs ofta dolt och förnekbart, vilket gör det svårt att peka ut enskilda länder, enligt Gabriel Wernstedt.

– Det vi har pekat på är att det är ett allvarligt försämrat säkerhetspolitiskt läge i Europa och det påverkar även Sveriges säkerhet. Men exakt på vilket sätt det påverkar Sverige går vi inte in på.

Aktörer bakom en cyberattack kan ha flera syften. På kort sikt kan de skapa kaos i en verksamhet. På längre sikt kan en känsla av oro och osäkerhet sitta kvar.

– En cyberattack kan ha mycket mer påtaglig psykologisk effekt än reell effekt, säger Kim Elman, chef för Centrum för cybersäkerhet på forskningsinstitutet RISE.

Han menar att det inte helt enkelt går att skilja på informationspåverkan, desinformation och rena angrepp när man pratar om cyberhot i dag.

– Om en hemsida ligger nere under viss tid så kanske inte det har allvarliga konsekvenser för just funktionen. Men däremot, om det får väldigt stor publicitet och det sker i ett känsligt politiskt läge eller säkerhetssituation som är allvarlig, så kan det upplevas som väldigt obehagligt.

Det handlar alltså inte bara om att leta tekniska sårbarheter utan också tanke- och känslomässigt ömma punkter som får fäste både i traditionella och sociala medier, säger Kim Elman.

– Det finns många paralleller med hur du hackar ett tekniskt system och hur du hackar en människa eller ett samhällssystem.

– De kan växelverka med varandra för att få effekt, både reell effekt och påverkanseffekt.

Arkivbild. — Foto: Getty Images/iStockphoto

Angrepp kopplade till händelser

Det är också vanligt med angrepp kopplade till särskilda händelser.
Den 24 november i år utsattes EU-parlamentet för en it-attack efter att ha antagit en resolution som pekar ut Ryssland som terroriststat på grund av det brutala och olagliga krig de bedriver mot Ukraina. Då tog en pro-Kremlin-grupp på sig attacken.

Gabriel Wernstedt på Säpo nämner exemplet när GRU, den ryska militära underrättelsetjänsten, utförde en rad dataintrång mot Riksidrottsförbundet för fem år sedan. Då hamnade exempelvis medicinska journaler från svenska elitidrottare på nätet.

– Det här inträffade i samband med att Ryssland förbjöds att delta i OS på grund av systematisk dopning.

Syftet var att stärka bilden av det egna landet och misskreditera andra länder och deras idrottare, enligt Gabriel Wernstedt.

Attacker kan ske på olika sätt. Enligt Åsa Schwarz, it-säkerhetsexpert på företaget Knowit, är intrång, ransomwareattacker och överbelastningsattacker de tre vanligaste typerna.

”Brist på information ett problem i sig”

Just nu finns dock väldigt lite information om de senaste attackerna menar hon.

– Man vet inte exakt vad som har hänt därför att de inte informerar oss så mycket just nu. Det är ju också ett problem i sig. Det är bättre om man informerar så mycket som möjligt så att folk förstår vad som händer, säger Åsa Schwarz och fortsätter:

– Nu blir det väldigt mycket spekulationer om vem som har gjort det.
– I sådana tider som det är nu så tror ju alla att det är Ryssland. Men det kan ju vara vad som helst. Det kan vara Ryssland men det är också vanligt med stora organisationer som jobbar med det här systematiskt för att tjäna pengar, säger Åsa Schwarz och syftar på kriminella organisationer.

Hon fortsätter:

– I 99 procent av fallen är man ute efter att tjäna pengar. Sen finns ju de här statsaktörerna.

FAKTA

Vanligaste typerna av cyberattacker

1. Dataintrång. Intrång handlar om att ta sig in i system och nätverk för att komma åt innehåll och information. Syftet är att få tag på privata eller hemliga uppgifter.

2. Ransomware. Ett system eller nätverk tas som gisslan av en angripare. Angriparen kräver sedan en lösensumma för att "låsa upp" systemet igen. Det som hände Coop kassasystem förra året är ett typexempel, då hackare tog sin in via en leverantörs mjukvara och krävde pengar.

3. Överbelastningsattacker eller DDoS-attacker. Angriparen skapar en enorm mängd anrop till ett datasystem som överbelastas, kollapsar eller låser sig. Enligt MSB är överbelastningsattacker relativt enkla att utföra och kan göras av allt från datorkunniga personer som vill testa sin tekniska förmåga, till kriminella grupper eller andra aktörer med ekonomiska eller politiska.

Källa: Åsa Schwarz, MSB

FAKTA

Så sker en attack – steg för steg

1. En cyberoperation har ett syfte som ska uppnås vilket inriktar hotaktören som ska verkställa angreppet.

2. För att förstå hur syftet kan uppnås kartlägger hotaktören de mål som ska utsättas för cyberangrepp. Det kan handla om att förstå vilka personer eller vilken teknisk miljö som ska angripas.

3. När hotaktören vet hur syftet kan uppnås söker hotaktören efter sårbarheter att utnyttja.

4. De sårbarheter som hittas utnyttjar hotaktören i utformningen av cyberangreppet.

5. Efter att ett lyckat cyberangrepp har genomförts kan hotaktören ha större eller mindre kontroll över målets it-miljö.

6. När hotaktören har möjlighet att agera inne i it-miljön kan olika aktiviteter genomföras för att uppnå önskvärd effekt, det vill säga syftet med operationen.

Källa: Cybersäkerhet i Sverige 2020

Nyheter

Säkerhetspolitik

Så hotas Sverige av cyberattacker

Vilka länder handlar det om?

”Har stora resurser”

Angrepp kopplade till händelser

”Brist på information ett problem i sig”

Följ ämnen i artikeln

Säkerhetspolitik

It-säkerhet

Spioneri

Cyberattack

PLUS It-experterna om cyberattackerna: Kan vilja skapa misstro mot staten