Chefs undersökning: Chefer sårbara för it-attacker

Cybersäkerhet En fjärdedel av Sveriges chefer har drabbats av cyberbrottslighet och större digitala haverier – bara under det senaste året. Det visar Chefs undersökning.

Krisledarskap
Publicerad

Vad

Att samhällsviktiga funktioner drabbas av storskaligt it-strul är långt ifrån ovanligt, och i maj var det dags igen. Åtminstone på Skatteverket var det en cyberattack som låg bakom.

Nytta

Faktum är också att över en fjärdedel av Sveriges chefer, 26 procent, har råkat ut för cyberbrottslighet eller större it-incidenter under samma period, enligt en undersökning som Chef låtit göra. Så här säger cheferna.
Illustration: Anna Harvard

Svårt att ringa till Polisen, långa köer i passkontrollen på Landvetters flygplats och en strejkande sajt hos Skatteverket.

Att samhällsviktiga funktioner drabbas av storskaligt it-strul är långt ifrån ovanligt, och i maj var det dags igen. Åtminstone på Skatteverket var det en cyberattack som låg bakom.

Under det senaste året har även produktionen på Åbro bryggeri stoppats av samma skäl, medan utbetalningarna från a-kassan havererat på grund av en ”cybersäkerhetsklassad incident”.

Och på Jordbruksverket kraschade servern sedan en ny lag stipulerat att katter ska vara id-märkta och 25 000 kattägare gått in på sajten samtidigt.

Faktum är också att över en fjärdedel av Sveriges chefer, 26 procent, har råkat ut för cyberbrottslighet eller större it-incidenter under samma period, enligt en undersökning som Chef låtit göra.

”Vårt moderbolag blev hackat i augusti och allt låg nere i nästan en månad för ombyggnad av it-landskapet. Det var en hackergrupp som krävde betalning för att låsa upp systemet”, berättar en av cheferna i undersökningen.

”Ett samhällsproblem, eftersom samhället i dag kräver att man är helt digital. Som enskild företagare är det näst intill omöjligt att sätta sig in i alla dessa problem som it-miljö och företagskapningar innebär”, säger en annan.

En fjärdedel av cheferna har vid något tillfälle drabbats av nätfiske (”phishing”), kriminellas jakt på känslig information exempelvis via mejl som verkar komma från en bank. En femtedel har drabbats av virus och skadlig kod, framgår av undersökningen.

Ett vanligt problem är också it-krascher som orsakas av rena misstag eller systemfel, vilket många chefer vittnar om. 

Av undersökningen framgår vidare att cheferna i hög (31 procent) eller väldigt hög grad (11 procent) anser att deras organisationer är sårbara för större it­incidenter. Utbildningsnivån lämnar en hel del i övrigt att önska. Närmare hälften av cheferna säger sig vara i stort behov av att lära sig mer om it-säkerhet.

Vad säger de ständiga it-haverierna om samhällsutvecklingen – och om Sverige? 

Fia Ewald.

”Inom digitaliserings-’communityn’ råder i dag en peppig kultur där häftiga lösningar och snabba resultat premieras, på bekostnad av det mer långsiktiga arbetet med säkerheten. En kultur som enligt min mening är fördummande.”

Det säger Fia Ewald, it-säkerhetsexpert som bland annat arbetat som enhetschef för systematisk informationssäkerhet på Myndigheten för samhällsskydd och beredskap, MSB.

”Riksdagen har exempelvis antagit en strategi som går ut på att Sverige ska bli bäst i världen på digitalisering. Ett enligt min mening löjligt påstående, men kännetecknande för denna i mitt tycke nedbrytande kultur. Världsledande – varför då? Är det ett självändamål? Hur mäter man vem som är världsledande, och varför missunna andra att vara lika bra? Ordet är tomt på innehåll, men sätter ändå stämningen”, fortsätter hon.

”Jag har ofta häpnat över alla instabila, dåligt testade och illa fungerande system som finns ute.”

Fia Ewald som arbetat med informationssäkerhet i ett par decennier både inom privat och offentlig sektor samt på nationell nivå.

Enligt hennes erfarenhet har svenska ledningsgrupper svårt att acceptera den tidsåtgång och eftertanke som kan krävas inför lanseringen av nya digitala system och genomarbetade säkerhetskrav och utredningar.

Att somliga digitala innovationer kanske inte ens kan eller bör införas, just på grund av intressekonflikter med säkerhet och integritet, tycks ibland vara svårsväljt även det, menar hon.

”Många ledningsgrupper underskattar också behovet av intern it-säkerhetskompetens, och är inte beredda att betala för vad den kostar. Men bygger man inte upp en sådan, är risken stor att det går snett. Att enbart låta konsulter och leverantörer hantera säkerhetsfrågorna leder ofta till problem på längre sikt.”

Att it-säkerheten ofta är låg i samhället bekräftas av Henrik Karlzén, forskare vid FOI:s avdelning för cyberförsvar och ledningsteknik. Inte minst inom offentliga organisationer förekommer brister i den grundläggande it-säkerheten:

”När det gäller kommuner har de ofta inte en chef enbart för it-systemen, utan samma person kan också vara ansvarig för generell säkerhet, för att köpa in och utveckla it och så vidare. De har för mycket att göra, vilket beror på att it-säkerhet inte är så högt prioriterat. Samtidigt saknas det kompetens”, säger han.

På uppdrag av Justitiedepartementet går han i en rapport igenom vad som skulle hända om it-anslutningarna slås ut.

Som exempel tar han ett stort strömavbrott i Stockholm 2001. Det orsakade svårigheter att kommunicera för de lokala förvaltningarna när deras webbplatser släcktes. Även den analoga kommunikationen blev lidande när ett stort tidningstryckeri blev utan ström.

I dag hade konsekvenserna blivit ännu större, då it-beroendet ökat. Människor ”skulle inte ha någon aning” om vad de skulle göra, vart de skulle ringa eller gå, eftersom den informationen finns på en webbsida som då också skulle ligga nere, menar Henrik Karlzén.

Är det i regel användarna det är fel på när systemen kraschar, eller systemen i sig?

”Snarast det sistnämnda”, säger Fia Ewald.

”Vi kan inte bara fortsätta acceptera de många gånger bristfälliga lösningar som tas i drift. Jag har ofta häpnat över alla instabila, dåligt testade och illa fungerande system som finns ute. System som saknar tillräcklig bemanning, och där de ansvariga inte varit beredda att betala för säkerheten”, fortsätter hon och framhåller att informationssäkerhet alltid kostar, och alltid innebär ett val:

”Antingen kan pengarna läggas på panikåtgärder vid incidenter och vid bristande funktionalitet. Eller så kan de läggas på ett systematiskt och kvalitetshöjande arbete som ger organisationen ordning och struktur, även i andra avseenden som till exempel i informationshanteringen generellt.”

”Många ledningsgrupper underskattar också behovet av intern it-säkerhetskompetens, och är inte beredda att betala för vad den kostar.”

Teknikskribenten Jörgen Städje, som driver sajten Teknikaliteter, är kritisk till vad han beskriver som ett utbrett och farligt ointresse för cybersäkerhet bland chefer och i samhället i stort.

”Ingen it-avdelning i världen kan ta hand om den mänskliga faktorn, slarvet, ointresset och folk som klickar på allt som blinkar på internet. Ända fram till nyligen trodde de flesta företag att de kunde försäkra sig mot it-incidenter, men det går inte längre.”

Apropå de ständiga it-haverierna inom samhällsviktig infrastruktur säger han:

”Det behövs en it-haverikommission som kan ta reda på vad som hänt och klämma åt de ansvariga för samhällsviktiga funktioner, publicera och kräva rättning. Ingen ska kunna smita undan och hävda företagshemligheter. Men är någon politiker intresserad?”

Röster ur undersökningen 

”Cybersäkerhet är en verksamhetsfråga (inte en it-fråga) och viktigt att ledningen får en genomgång av en duktig säkerhetsexpert i hur cyberbrottslighet ser ut i dag för det blir en ögonöppnare.”

”Alla medarbetare måste känna ett ansvar för informa­tionssäkerhet! Annars spelar det ingen roll hur säker mjuk- och hårdvara man har.”

”Öva, öva och testa era rutiner. Hur bra de än är så är varje attack mer eller mindre unik och det är människorna i organisationen som är nyckeln till framgång, inte systemen.”

”Jag tippar på att många av ’attackerna’ är människor som försöker komma in på sitt eget konto efter senaste uppdateringen av lösenord eller programvara.” 

”Klicka ALDRIG på länkar utan att kolla med avsändaren.”

Om undersökningen: Webbaserad undersökning med 474 deltagare, utförd av Chef i april 2023. Av respondenterna är 55 procent kvinnor, 44 procent män och 1 procent icke-binära. 41 procent är chefer på ledningsnivå, 34 procent mellanchefer och 16 procent gruppchefer. Fem procent av respondenterna är mellan 30 och 40 år, 28 procent 41–50 år, 48 procent 51–60 år och 19 procent över 60 år.

Grafik och illustrationer: Anna Harvard

Fortsätt läsa kostnadsfritt!

Vi behöver bara en minut…

Så roligt att du vill fortsätta läsa! Det får du strax göra, utan att betala något.

Skapa ditt gratiskonto
  • Tillgång till våra låsta artiklar och webinar gratis!

Dina uppgifter delas aldrig med tredje part. Läs vår integritetspolicy här.