Experten: ”Sverige har halkat efter i sin digitala resiliens”

Förtroendet för flera samhällskritiska sektorer, särskilt bank- och transportsektorn har minskat från förra året. Respondenterna ställer sig även frågande till Sveriges förmåga att hantera organiserad brottslighet och cyberattacker. 

Det är viktigt att komma ihåg att rapporten bygger på allmänhetens uppfattningar snarare än tekniska mätvärden. Men frågan om Sveriges digitala resiliens är ändå högst relevant, särskilt i de turbulenta tider vi befinner oss i.

Techtidningen har därför pratat med Pasi Söderberg som är Head of Security på CGI i Skandinavien och Centraleuropa för att diskutera just svensk digital resiliens.

“Sverige har halkat efter…”

Pasi Söderberg har sedan år 2000 arbetat med hur säkra och funktionella it-miljöer byggs och han gjort det i olika roller såsom exempelvis arkitekt och projektledare. Hans arbete har mestadels skett i antingen bank- eller försvarssfären.

Pasi Söderberg deltog även som talare på Techtidningens event Connect25 i april där han berättade om det föränderliga hotlandskapet och hur företag bäst kan skydda sig mot attacker och angrepp i en allt mer osäker omvärld. 

Vi frågade honom rakt upp och ned hur Sverige står sig ur ett it-beredskapsperspektiv.

– Min bedömning är att Sverige har halkat efter i det nationella cybersäkerhetsarbetet, och det är allvarligt. Just nu befinner vi oss i en övergångsfas där Nationellt cybersäkerhetscenter (NCSC), som numera har FRA som huvudman, successivt tar över ansvaret. Det är ett viktigt skede där man försöker åtgärda brister som tidigare har försvårat samordningen, säger Pasi Söderberg till Techtidningen.

– FRA har en central uppgift i att skapa bättre koordinering mellan sektorer, och det är positivt att vi nu ser vissa steg i den riktningen. För idag finns flera branschspecifika samarbeten – bankerna har sitt, vi inom it har vårt, telekom sitt och så vidare. Men det saknas en instans som binder ihop helheten.

Byråkratiskt dödläge

Enligt Pasi Söderberg har Sverige fastnat i ett slags byråkratiskt dödläge där man varit mer fokuserad på att ”göra allting rätt” snarare än att göra rätt saker.

– Jag har inte suttit i beslutsrummen, men utifrån det jag sett utifrån är att vi har fokuserat mer på att följa regler än att lösa problemen. Jag vet att man i exempelvis Norge har en annan inställning. Där erkänner man att problem finns men sätter igång ändå och jobbar sig framåt. Det viktiga är att bjuda in näringslivet och att skapa samverkan. Men man måste vara medveten om att allt inte kommer vara perfekt från början.

– I Sverige fastnar vi ofta i lagtolkningar och sekretess. Istället för att hitta lösningar ser vi hinder och det bromsar samverkan. Ta något så enkelt som kommunikationsverktyg. I Norge säger man ”Vi kör Teams så länge, det är inte perfekt men det funkar för nu.” I Sverige uppfyller det inte våra säkerhetskrav och då kommunicerar vi inte alls. Resultatet blir att samverkan uteblir.

“MSB har tagit viktiga steg”

I takt med det ökade antalet cyberattacker som riktats mot Sverige de senaste åren har dessa brister pekats ut enligt Pasi Söderberg.

– Vi har haft flera stora incidenter i Sverige, både mot myndigheter och större bolag. Det har visat sig att det saknas koordination. När något inträffar saknas det en central instans som kan ge direktiv: ”Titta efter det här, granska era loggar efter detta.” Alla jobbar var för sig. Informella nätverk spelar en viktig roll idag, men det finns behov av tydligare och mer formaliserade strukturer för samordning.

– MSB har tagit viktiga steg framåt och vi ser att samverkansgrupper och branschforum blir allt bättre och mer etablerade. Det är ett tydligt tecken på att arbetet går åt rätt håll. Samtidigt finns det fortfarande utrymme för att stärka den övergripande samordningen mellan sektorerna – att knyta ihop helheten blir nästa naturliga steg.

Hur sårbar är banksektorn?

Som nämnt ovan så pekades banksektorn ut som särskilt sårbara. Pasi Söderberg som själv varit verksam i bankvärlden har dock en annan bild. 

– Det finns en hög kompetens inom bankväsendet, och stora investeringar har gjorts för att stärka säkerheten. Det är också viktigt att förstå att svaren i Alltid redo-rapporten i första hand speglar allmänhetens uppfattningar. Ett tillfälligt avbrott i exempelvis Swish kan upplevas som en systemkollaps, även om säkerheten i grunden är god.

– Internetbanker har visserligen utsatts för attacker som DDoS, och även om man aldrig kan vara helt skyddad är min bedömning att bankerna har god kontroll över läget. Samtidigt har digitaliseringen, med alla dess fördelar, skapat ett starkt beroende av några få system. Vi har i praktiken ett enda BankID och ett enda Swish – och om dessa slutar fungera, då påverkas hela samhället.

Tycker du att vi borde utveckla alternativ till exmpelvis BankID och Swish?

– Ja, det tycker jag absolut. Inom säkerhetsbranschen pratar vi alltid om redundans och resiliens – du måste ha alternativ. Det klassiska uttrycket gäller verkligen här: lägger du alla ägg i samma korg, då är du sårbar när den korgen välter. Vi behöver flera digitala identitetslösningar.

– Vi har parallella vägar, elnät och internetlinjer, men för superkritiska funktioner som digital identitet borde vi ha fler valmöjligheter. EU har initiativ på gång så förhoppningsvis kan vi få ett alternativ som fungerar i flera europeiska länder. 

“En stor utmaning”

Bland de stora statliga hotaktörerna återfinns många av de gamla namnen i FRA, MUST och Säpos rapporter, som exempelvis Ryssland och Kina. 

Den förstnämnda är den mest aggressiva aktören och målet med många cyberattacker är att destabilisera Europa och Sverige för att på så sätt skapa kaos och missnöje. 

När det kommer till hoten mot företag och mindre kommuner så är det däremot mestadels kriminella grupper som är det största hotet. Målet med attackerna är allt som oftast monetära och utförs via metoder som ransomware, phishing och datastöld. 

– Att bygga upp motståndskraften är en stor utmaning för mindre aktörer. I många fall kan det vara så att ansvaret faller på bara en eller några få personer. Oftast är ledningen heller inte medveten om vilka risker som finns. Har man inte den insikten kan man heller inte fatta några beslut. 

– Därför brukar jag säga att övning är nyckeln. Samla några insatta personer och ställ frågorna: Vad händer om vi får intrång? Har vi backup? Vet vi hur vi återställer? Vad händer om det sker på till exempel midsommarafton där vi kanske inte normalt sett har så stor beredskap?

– Då kan man upptäcka var luckorna finns och fatta beslut för hur man går vidare. Kanske landar man i att det går att leva med två veckors driftstopp eller så inser man att man riskerar att tappa kunder om det står stilla. Oavsett vad så vet du vad förutsättningarna är och det är en väldigt bra start.

Ser du att fler bolag börjar ta cybersäkerhet på större allvar?

– Det skulle jag säga, ja. De stora publika incidenterna som har hänt den senaste tiden gör skillnad och det här är ett ämne som har kommit högre upp på mångas agenda. Men samtidigt kommer det nya utmaningar hela tiden då hotaktörer utvecklas, AI:s framfart och så vidare. Så vi måste bli bättre på att upptäcka och agera snabbt. 

Om du fick ge ett cybersäkerhetshetsråd till svenska it-chefer inför resten av 2025, vad skulle det vara då?

– Bygg resiliens – och öva regelbundet. Det är inte frågan om något händer, utan när. Fundera över vilka risker ni har, vad ni klarar av och vad ni måste åtgärda. Ingen är 100 procent skyddad, men du måste veta vart du står.

Vill du läsa rapporten i sin helhet kan du göra det här.