Vad slocknar först i Stockholm i nästa cyberattack?

Allt mer kopplas upp mot internet. Nya tjänster, produkter och affärsmöjligheter blir verklighet, men det finns en nedsida. Samhälle och industri blir mer sårbara.

Nyligen åtalades en 35åring i Stockholm för ett sabotage mot olika offentliga telefonväxlar. Med hjälp av relativt lättillgängliga verktyg lyckades han sabotera växlarna hos Arbetsförmedlingen, polisen och SOS Alarm genom att överbelasta dem med samtal. Hans drivkraft var att han kände sig orättvist behandlad och av allt att döma har han agerat på egen hand.

Fallet illustrerar väl sårbarheten i den samhälleliga infrastrukturen och det inträffade är en bitter illustration av vad som väntar i framtiden när allt fler produkter blir uppkopplade. Just nu pågår nämligen en omfattande förändring av både samhällelig och industriell infrastruktur.

Utvecklingen drivs av möjligheten att både utveckla nya produkter, förbättra existerande produkter i kombination med att utveckla nya tjänster för underhåll. Det som möjliggör utvecklingen är en kombination av billigare sensorteknik och kommunikation i form av wifi-nät och mobilnät.

Säkerhet har aldrig varit högsta prioritet när internet har tagit stora steg i utvecklingen och så är fallet även den här gången. Redan nu varnar experter för brister i säkerhet och pekar på brister som möjliggör allvarliga cyberattacker.

Det handlar inte längre om uppkopplade kylskåp, som talar om att förrådet av mjölk eller öl behöver fyllas på, utan om uppkopplade bilar, tåg, vattenkraftverk, kärnkraftverk, fastighetskomplex eller hela industrier.

Även om attackerna är de beprövade, intrång eller överbelastning, så kommer konsekvenserna bli så mycket större. Frågan om vad som går ned först vid en cyberattack i Stockholm är naturligtvis omöjlig att besvara i det här sammanhanget. Det enda säkra är att det kommer att märkas när till exempel betalningssystem, tågtrafik eller teletrafiken drabbas.

Det finns ingen patentlösning för hur man ska skydda sig, men det är heller ingen ursäkt för att inte applicera de skyddsmekanismer man faktiskt kan och bör använda sig av.

Redundans, brandväggar med intelligent stöd för att motverka attacker, färdiga ”in case of emergency” planer är några av de saker som man minst bör ha implementerat. Liknande den nya dataskyddsförordningen som ämnar att synliggöra och kravställa hur man skyddar personuppgifter behövs även för samhällskritiska system. Det nya NIS direktivet är ett sådant initiativ som ämnar att stärka skyddet mot denna och andra typer av attacker.