Hoten skruvas upp och okunskap är en stor risk
Säkerheten och medvetenheten ligger kvar på samma nivå som på mitten av 90-talet. Vi är omedvetet omedvetna – alltså vi vet inte ens vilka faror som finns och att då skydda sig blir omöjligt. Vi måste bli mer medvetna, för annars kommer vi att råka illa ut. Men hur gör man?
Vi lever idag i ett samhälle där det mesta runt oss är baserat på it. Oavsett vad vi tycker om det så är det en sanning att förhålla sig till. Och det kommer inte att bli mindre. Att vara i skottgluggen för bedrägerier och utpressning är något som gäller både företag och privatpersoner. Det enda vi kan göra för att förbättra våra odds är att skruva upp medvetenheten och ner naiviteten. Det enda vi kan påverka är oss själva och vår egen kunskap.
Kvar på 90-talet – fast vi inte vet det
Årets julklapp enligt Svensk Handel är en vuxenleksak. 1996 var det en internetuppkoppling. Eller ett internetpaket som det kallades. Det var en markering av att internet nu var tillgängligt för vanliga hushåll även om det på den tiden var en liten del av befolkningen som hade tillgång till det. Känns som väldigt länge sedan även om det ur ett större perspektiv inte är det. Men när det gäller vissa delar har tiden stått still.
— Vi är fortfarande i samma läge som på mitten av nittiotalet vad det gäller mognad runt cybersäkerhet, säger Christoffer Widjeback som är cybersäkerhetsstrateg på Dizparc Secured och har dryga tjugo års erfarenhet av ämnet.
Brottslandskapet: från aktivism till ren jakt på pengar
Om vi ser på brott i den digitala världen så finns det olika drivkrafter och mål för olika brott. Hacktivister är de som hackar som en form av civil olydnad. Det kan vara för att främja en politisk agenda eller social förändring.
Sedan har vi klassiskt industrispionage för att vinna fördelar mot konkurrenter. Statligt sponsrade aktörer har ökat och har blivit ett större hot genom påverkan av en allmän opinion i det egna eller andra länder.
Men drivkraften bakom de flesta brotten är mycket simplare än så. Det gäller pengar helt enkelt. Att stjäla, bedra eller utpressa. Och då drabbas både företag och privatpersoner på olika sätt.
När attackerna når vardagen – och hyllorna gapar tomma
Nyligen kan vi till exempel komma ihåg attacker mot Coop, Granngården och Filmstaden. Och, ve och fasa, den mot Systembolaget där hyllorna snabbt började gapa tomma när leveranser inte kunde ske. Men var finns vinningen här?
— Det gäller många gånger utpressning och för många blir det billigare att köpa sig fria än att försöka återställa systemen. Och det går att ställa till kaos. Som om det inte går att få tag på bensin eller att sjukhus måste stänga, berättar Christoffer.
Ett omöjligt val – stå emot eller betala
Men den där gamla valda sanningen att man aldrig ska ge efter för utpressare för att man då göder den brottsliga aktiviteten? Kanske lättare att tycka när man själv inte är den som blir utsatt. För utsatta företag handlar det inte bara om förlorad försäljning under just den utsatta perioden utan även förlust av förtroende, för vågar man handla med sitt kort där framöver? Och även en risk att kunder byter köpbeteende och väljer andra butiker.
— Hur många som faktiskt betalar utpressarna skiljer sig enormt mellan olika undersökningar. Från åtta procent till åttio. Men det som är totalt uppenbart är att pengar kommer in till de kriminella för annars skulle brotten upphöra, säger Christoffer.
Ett exempel på just en sådan utpressning var när ett företag i Finland som arbetade med psykologisk mottagning utsattes. Där kom hackarna över 36 000 patientjournaler man hotade med att publicera men företaget vägrade betala. Då vände utpressarna kravet mot patienterna istället. Betala annars kommer din journal ut. Drivet efter pengar blir skoningslöst.
Säkerhet är inte ett it-projekt – det är ledningens ansvar
Men hur ska man då tänka? Vems ansvar är det att företaget inte kan utsättas?
— Det är ledningsfråga i första hand och inte en fråga för it-chefen. För det första man måste göra är att förstå vad som ska skyddas. Inte att titta på tekniska lösningar först. För det har ingen effekt om man inte vet vad man ska skydda. Det är vanligt att it-säkerheten blir ett projekt. När ska det ske och vad kostar det? Men vad kostar det att inte ta det på allvar? För det här är ett arbete som aldrig tar slut.
— Sen har jag respekt för att det inte finns hur mycket resurser som helst hos mindre företag. Men det gäller att inte vara sämst i klassen så att man hellre försöker hos någon annan. Att vara lönsam är också en varning för att man har större risk att bli utsatt. Och att inte göra något då är risken att bli utsatt 99,9 procent inom tio år. Ta hjälp. Och från rätt ställe. Det är en helhet som behövs.
Privatpersonerna som lätt byte – pfishing som massindustri
Om vi då vänder blicken mot bedrägerierna som drabbar privatpersoner så är pfishing det vanligaste. Alltså att man utger sig för att vara till exempel en bank eller ett företag för att komma åt kontouppgifter. Och det här är inget nytt. Och även här bygger det på att folk går på det för annars hade det inte funnits.
— Säg att man har kommit åt 500 kontaktuppgifter varav tre svarar. Då kommer man åt deras kontakter och kanske får 500 kontakter till. Då har 500 kontakter blivit 1500. Man trålar och gör enormt många utskick. Och här har ai gjort det mycket lättare att skapa trovärdigt innehåll med perfekt svenska. Det blir svårare att se att mejlet är falskt. Så det enda som gäller är att bli mer medveten, säger han.
När allt ser äkta ut – hur ska man veta?
Men hur ska man kunna veta? Nu rullar en kampanj i sociala medier där den gamla SVT-profilen Sverker Olofsson från programmet Plus säger att man inte ska klicka på länkar. Men vissa länkar både ska och måste man klicka på. Så hur ska man veta?
— Det är bara att bli mer riskmedveten som gäller. Vi får inte vara naiva inför hoten, säger Christoffer.
Hoten försvinner inte – men vi kan ta bort tillfället
Och hoten kommer att fortsätta finnas. Och för att ett hot ska kunna verkställas krävs tre delar för de kriminella: intention/motiv, kapacitet/förmåga och tillfälle. Och det är bara det senaste vi själva kan påverka. Se till att tillfället inte finns. Inte öppna dörren för vem som helst. Och för det måste vi vara medvetna om vem som knackar på och vad vi vill skydda.