Ukrainakriget har fört upp cybersäkerhet mycket högre på agendan, och mycket händer när det gäller cybersäkerhet också i det finansiella systemet. Bland annat som ett led i att återuppbygga totalförsvaret.
I Sverige har ofta effektivitet prioriteras framför säkerhet när det gäller att utveckla nya IT-system.
– Men när man inte tar höjd för säkerhetsfrågorna från början blir det ofta både kostsamt och omständligt att säkra upp i efterhand, säger Hans Sjöberg, Kommuninvests Informationssäkerhetschef.
Ett jobb som innebär att han leder Kommuninvest arbete för att kontinuerligt utveckla och förstärka skyddet för information och IT-system mot olika typer av cyberhot och risker.
De senaste två-tre åren har det dock skett ett skifte. Säkerhetsfrågor har fått en helt annan status och vikt, från att av många närmast ha setts som ett nödvändigt ont, hanterat av specialister, börjar säkerhetsfrågorna lyftas upp och är nu alltmer en del av lednings- och styrelsearbetet i många organisationer och företag.
Bakgrunden är att cyberhoten/attackerna blivit mycket mer sofistikerade och ökat avsevärt i antal. Men kanske ännu viktigare är att vidden och omfattningen, och därmed också kostnaderna förknippade med cyberbrottslighet och sabotage, blivit mer kända och också uppmärksammade på ett helt annat sätt de senaste åren än tidigare.
– Kännedomen om sårbarheten på cybersidan har ökat och större incidenter har uppmärksammats i media vilket gör att insikten i hela samhället om vad det kan kosta att bli utsatt för cyberbrott, såväl ekonomiskt som trovärdighetsmässigt har ökat, säger Hans Sjöberg.
Dagens cyberangrepp är också så avancerade att de riskerar att orsaka långvariga stillestånd. Hans Sjöberg lyfter fram några exempel. Hackergruppen Revils attack på Coops kassasystem, som tvingade flera hundra butiker att stänga i flera dagar förra sommaren. Attacken mot Kalix kommun strax före jul, som gjorde att väsentliga system låg nere i tio dagar och att infrastrukturen var utslagen i fyra veckor.
Cyberattack mot Naturvårdsverket den 6 oktober i år, som gjorde att det inte gick att återstarta verksamheten förrän den 17 oktober.
Internationella exempel saknas förstås inte heller. Stängda flygplatser i USA efter störningar i GPS-systemet, tågstopp i hela norra Tyskland och förstörda sjökablar i Frankrike, är bara några av den senaste tidens större händelser.
– Sådana uppmärksammade och kostsamma cyberbrott har tillsammans med pågående krig i vårt närområde, där också cybersabotage med andra länders infrastruktur ingår som en del, lyft cybersäkerhetsfrågorna mycket högre på agendan i hela samhället. Det gäller också för Kommuninvest, som bland annat intensifierat omvärldsbevakningen och lyft cyberhotet mer tydligt nu än före Ukrainakriget, säger Hans Sjöberg.
Detta gäller förstås också för det finansiella systemet i stort, som ju är en mycket viktig del i samhällets infrastruktur. Detta sagt, så tillhör finansiell sektor de områden där säkerhetsfrågor alltid funnits högt upp på agendan. Säkerheten inom till exempel betalsystemen har av uppenbara skäl alltid haft mycket hög prioritet. Men även finansiella företag behöver skärskåda och förbättra sin beredskap vad gäller cybersäkerhet både vad gäller egna system och hur systemen och den egna verksamheten kan upprätthållas ur ett samhällsperspektiv.
Ett led i varje organisations cyberssäkerhetsarbete är att identifiera vilka händelser som skulle utgöra stora risker för den egna verksamheten.
De två primära cyberrisker som Kommuninvest har identifierat och ser som viktigast att skydda sig emot är för det första angrepp som riskerar att verksamhetskritisk information förstörs, läcker, stjäls eller påverkas av någon obehörig. För det andra gäller det att skydda sig från angrepp som resulterar i bedrägeri eller felaktiga utbetalningar.
Ett viktigt svenskt forum när det gäller cyber- och även annan säkerhet, där Kommuninvest medverkar, är FSPOS. Förkortningen står för Finansiella Sektorns Privat-Offentliga Samverkan, och är ett frivilligt samverkansforum med deltagare från det privata näringslivet och de offentliga institutionerna i finanssektorn. Bland medlemmarna finns banker, försäkringsbolag, fondkommissionärer, finansiella infrastrukturbolag, Finansinspektionen, Försäkringskassan, Myndigheten för samhällsskydd och beredskap (MSB), Riksgälden och Sveriges riksbank.
Utåt för FSPOS en ganska anonym tillvaro men för medlemmarna har de en stor betydelse när det gäller att hålla sig uppdaterade vad gäller säkerhetsfrågor, konsekvenser av förändringar i regelverk och att förbättra den egna förmågan. FSPOS verksamhetsidé är att genom analys, kunskapsspridning och övning stärka den finansiella sektorns förmåga att möta hot och hantera kriser, och därigenom värna samhället i stort.
Kommuninvest deltar i FSPOS analysgrupp och har bland tittat på nya och förändrade regulatoriska krav gentemot den finansiella sektorn och vad de innebär i form av anpassningsbehov. Andra exempel på vad analysgruppen gör är analyser avseende finansiella tjänster; finansiella flöden och underliggande beroenden, omvärldsbevakning samt hot, risker och sårbarheter. Arbetet syftar till att identifiera åtgärdsbehov och få en gemensam bild av den finansiella sektorns möjlighet att tillhandahålla sina tjänster vid störningar, större kriser och höjd beredskap.
Exempel på vad detta arbete utmynnar i är publikationer som ”Identifiering och värdering av cyberrisker”. Den beskriver hur verksamhetsutövare inom finansiell sektor arbetar med identifiering och värdering av cyberrisker och ger exempel på verktyg som kan användas, samt praktiska erfarenheter och utmaningar som finns i arbetet med cyberrisker.
– Medlemskapet är förmånligt också då det breddar vårt kontaktnät och vi ges möjlighet att bolla frågor med andra inom samma sektor. Och det är kanske särskilt viktigt nu när hela sektorn, liksom samhället i stort, gått mot ökad uppmärksamhet relativt det ökade cybersäkerhetshotet, säger Hans Sjöberg.
Men hur säkert är då det finansiella systemet? Att ingen kedja är starkare än den svagaste länken är ett minst sagt slitet uttryck. Men hur vet man vilken som är den svagaste länken; i förväg? Som så mycket annat handlar det om att testa och träna, något som också är en viktig del i FSPOS verksamhet.
Redan 2020 övade medlemmar i FSPOS ett scenario där landet var utsatt för krigsliknande angrepp av en främmande makt och bland annat delar av kritisk infrastruktur var utslagen. Hur klarade sig det finansiella systemet och dess delar i ett sådant läge? Vad krävdes för åtgärder för att Kommuninvests system skulle fungera? Hur robusta var de? Vilka manuella rutiner fanns tillgängliga när vissa centrala tjänster/funktioner var utslagna. Hur fungerar de egna systemen med andra system i krisläget? Och så vidare.
– Vid övningen, som var den första i en serie på tre gällde det att förbättra förmågan att analysera vår lägesbild samt att kartlägga och återrapportera vilka behov vi hade.
I år hölls ytterligare en övning där nya parametrar tillfördes. Förutom att upprätta en enskild lägesbild skulle den även delas med övriga sektorn. Vid nästa övning, som ska genomföras 2023, ska scenariot repeteras med simuleringsinslag och samverkansmoment ske direkt under övningen.
Ytterst är FSPOS övningar en del i MSB:s arbete med att återuppbygga det svenska totalförsvaret, som monterades ned efter kalla kriget och Sovjetunionens fall. Finansinspektionen ansvarar för det finansiella systemet, men MSB har det övergripande ansvaret för hela totalförsvaret.
– Sannolikt behöver Sverige förstärka både planer för och kompetens kring för hur vi ska agera och prioritera i händelse av höjd beredskap, menar Hans Sjöberg.
För Kommuninvests del har övningsverksamhet bidragit till medvetenhet om den ökade hotbilden när det gäller cyberangrepp på den egna verksamheten och hela sektorn.
– Vi håller också medvetenheten uppe genom att delta i övningarna. Jag kan också konstatera att intresset för att delta är klart högre bland Kommuninvests medarbetare idag än det var innan Rysslands anfallskrig mot Ukraina, säger Hans Sjöberg.