Risken för cyberattacker har ökat även här sedan Ryssland invaderade Ukraina. Måns Jonasson, internetexpert på Internetstiftelsen, förklarar varför, och vad du kan göra för att skydda dig och ditt företag.
Publicerad 16 mars 2022
Rysslands invasion av Ukraina är inte ett krig bara på marken, utan också digitalt. Bland annat deklarerade hackernätverket Anonymous cyberkrig mot Ryssland. Även här i Sverige är vi utsatta. Nyligen gick Myndigheten för samhällsskydd och beredskap, MSB, ut och varnade för att risken för cyberattacker och försök till desinformation har ökat sedan invasionen.
– Cyberkrig det är en del av dagens krigföring, så precis som försvaret steppar upp när det blir konflikt i vårt närområde, även om man inte tror att ryssarna kommer till Gotland imorgon, så innebär det en ökad spänning också på internet, förklarar Måns Jonasson, internetexpert på Internetstiftelsen.
Så vad kan en cyberattack vara, rent konkret? Det kan handla om att man skapar mängder av falsk trafik mot viktiga webbplatser och tjänster, för att slå ut dem. Exempelvis var det en massiv cyberattack mot en rad viktiga ukrainska sajter strax innan invasionen.
– Syftet är dels att skapa oro, men också att störa ut information. Det kan jämföras med att bomba ett tevetorn. Andra gånger vill man ta kontroll över infrastrukturen i ett land. Man kanske hackar sig in i distributionssystem, vilket gör att man inte kan distribuera exempelvis el eller vatten. Eller så kan man gå på flygledningssystemet, vilket stoppar flygen.
Och hur kan det här drabba företag?
– Dels skapar det oro när man stör ut stora företag med många anställda. Det kan också blir svårt att betala ut löner eller kommunicera med omvärlden. Eller så är man ute efter information som finns på företaget, säger Måns Jonasson.
Men lilla jag, det är väl ingen som är intresserad av den information jag sitter på?
– Så tänker många, och i praktiken stämmer det ofta, men din information är en del av ett stort pussel med miljontals bitar. Någonstans i ditt moln av information finns ett mejl som innebär att man kan lista ut vad mottagaren jobbar med. All info är av vikt när man kan automatisera hanteringen. Därför är även du en måltavla. Och vi har alla sett spionfilmer, och vet att just du kan ha ätit middag med frun till en spion utan att veta om det. Lite så är det i verkligheten också.
Så vad kan jag göra för att skydda mig och företaget jag jobbar på?
– Det lättaste sättet att höja din säkerhet är att inte återanvända lösenord, utan ha ett unikt lösenord för varje tjänst. Då kan en hackare som tar sig in och stjäl en databas med lösenord ändå bara komma in på en av alla de tjänster du använder. Det andra är att använda tvåfaktorsautentisering. Det ökar säkerheten dramatiskt.
Tvåfaktorsautentisering innebär förenklat ett extra lager av skydd till ditt konto. Det kan exempelvis innebära att du får en kod via sms till ditt mobilnummer, eller att en app skickar ett meddelande till din enhet där du trycker på aviseringen för att godkänna inloggningen.
Ett annat vanligt sätt att få tillgång till ett företags information handlar inte om teknik, utan om att människor manipuleras till att lämna ut information.
– Angriparna använder sig då av social ingenjörskonst. Ibland är det lättare för en hackare att få en person att dela med sig av information än att hacka sig in i ett system med hög säkerhet – för det är nästan mission impossible.
Och hur kan det här gå till?
– Angriparen kanske ringer receptionen, utger sig för att vara en elektriker som ska byta några glödlampor, och blir på så sätt insläppt. Hen kan också skicka ut phishing-mejl, där du ombeds lämna ut personuppgifter eller annan känslig information.
Eller så skriver angriparen i ett mejl att det var fel på din senaste lönerapport, men om du är snäll och skickar in det här och det här kan de snabbt rätta till saken. Måns berättar också om så kallad vd-attacker.
– Mejlet ser då ut att komma från företagets vd, som kanske skriver att ”du, jag behöver snabb hjälp med en grej, kan du skicka mig…” Människor vill gärna hjälpa till, samtidigt som angriparna är experter på att utnyttja våra sociala brister. Därför är det här så effektivt, säger Måns Jonasson.
Nästa artikel
Just nu pratar (= tjatar) en massa experter om den digitala integriteten. Och det är säkert toppen, men inget som riktigt berör mig, för jag har inget att dölja.
Känner du igen tanken?
Det gör även Anne-Marie Eklund Löwinder, en av Sveriges främsta experter inom informationssäkerhet.
– Absolut, men ska jag vara ärlig tycker jag att det är en väldigt naiv kommentar. Det finns många potentiella risker och konsekvenser med att dela personlig information, säger hon.
Hon hänvisar till en intervju som Dagens Nyheter gjorde med Edward Snowden 2015, där han sa att:
”Att säga att du inte bryr dig om rätten till integritet för att du inte har något att dölja är som att säga att du inte bryr dig om yttrandefriheten för att du inte har något att säga. Det är som att säga att du inte bryr dig om den fria pressen för att du inte är journalist. Eller religionsfriheten för att du inte är kristen.”
Så ja, på ett samhälleligt plan är det viktigt för alla och envar att vi bryr oss, men det är det även för dig personligen.
Vi ska vara medvetna om att internet aldrig glömmer.
– Alla har något att dölja, annars skulle informationen inte vara av så stort intresse. Det är också så att du vet inte idag vad du kan komma att vilja dölja i framtiden. För vi ska vara medvetna om internet aldrig glömmer, att det vi lägger ut på nätet finns där för all framtid. Och det du tycker känns harmlöst idag, kanske en framtida arbetsgivare reagerar negativt på när du söker jobb om tio år.
Hon påminner också om att en mer totalitär regim kan vara ett val bort även här i Sverige.
– Har du skyltat med dina politiska åsikter, din sexuella läggning eller religionstillhörighet kan det ligga dig till last och missbrukas.
En anledning till att många ändå hemfaller till ”jag har inget att dölja” kan vara att det är svårt att greppa vad det egentligen är man ska skydda. Att du inte ska lämna ut bankuppgifter känns självklart, men sedan... Ska du skydda din surfhistorik, och i så fall varför? Inte platsdela på mobilen så att 42 appar vet exakt var du befinner dig? Inte ladda upp bilder på dig själv och dina barn?
– Huruvida vi oroar oss eller inte handlar om två saker: risk och tillit. Det är bra att fundera på vilka risker du utsätter dig för när du delar en viss information. Och vilken tillit du har till att informationen som samlas in om dig hanteras på ett korrekt sätt. Där vet vi visserligen att stora företag som Meta (Facebook) gång på gång har blivit ertappade med att inte använda informationen som utlovat.
Så varför fortsätter vi lita på dem?
– Vi människor låter ofta bekvämlighet och nytta gå före säkerhet och integritet, säger Anne-Marie Eklund Löwinder.
En annan orsak till att man gärna viftar bort integritetsfrågan kan vara att det är så många saker man ska godkänna hela tiden, som man bara klickar i utan att läsa, man har liksom redan gett upp det där med att ha koll på integriteten.
– Men min erfarenhet är att så snart du själv eller någon i din närhet drabbas av ett intrång så börjar du bry dig, säger Anne-Marie Eklund Löwinder.
Även i arbetslivet finns det all anledning att tänka till. En Novus-undersökning som Unionen gjort visar att 9 av 10 har hög tilltro till sina arbetsgivare. Och det är fint. Men samtidigt vet vi att många företag öppet eller i smyg övervakar sina anställda: vad som händer på skärmen, vad som står i chattar, vad man surfar på…
– Många av oss har varit alldeles för aningslösa. Både anställda och vi som fackförbund behöver bli mer medvetna om vilken data arbetsgivare faktiskt kan samla in. För en dag kan den datan vändas mot dig, säger Unionens förbundsordförande Peter Hellberg och lägger till att:
– Tyvärr visar vår undersökning också att tjänstemän är mer oförsiktiga i fråga om digital integritet än arbetare.
Integritet i arbetslivet är avgörande för att upprätthålla förtroendet mellan arbetsgivare och anställd. Balansen mellan behov av information och integritet är en viktig och komplex fråga som kräver tydliga riktlinjer och respekt för lagar och regler. Bara tanken på att information en dag kan vändas mot dig borde få vem som helst att låta bli att använda jobbets resurser till privata ärenden, säger Anne-Marie Eklund Löwinder.
– Jag skulle inte använda jobbets mejl, mobil eller dator privat. Klart du kan surfa in på Dagens Nyheter på lunchen utan att någon skada är skedd, men säg att du är engagerad i någon förening som inte ligger i linje med arbetsgivarens åsikter. Den informationen kanske du inte vill att din chef ska ha, säger hon.