Anders Borg, Björn Wiegel och Daniel Wikberg om cybersäkerhet och geopolitik

Moderator: Kristoffer Steneberg, tidigare journalist på bl.a. Dagens Industri. 

Paneldeltagare: 

• Anders Borg - Investerare, rådgivare och Sveriges tidigare finansminister.

• Björn Weigel - VD på C-resiliens, dataskyddsexpert och författare av The Innovation Illusion.

• Daniel Wikberg - VD på Upsales

---

Kristoffer: "Idag ska vi diskutera det digitala landskapet, cyberhoten och ge er strategier för att navigera genom den geopolitiskt svåraste tiden på decennier. Och då pratar jag bl.a. om kriget i Ukraina, Kina och hackernätverk som blir smartare, starkare och allt mer hotfulla.

Ni som sitter här är beslutsfattare på företag och har antagligen datasäkerhet och integritet som en prioriterad del i er vardag. På scenen idag har vi ingen mindre än före detta finansminister Anders Borg, numera även styrelseproffs, och Daniel Wikberg från Upsales. Men först på scen har vi Sveriges främsta datasäkerhetsexpert och den hyllade författaren Björn Weigel - välkommen upp på scen!"

En introduktion av Björn Weigel: Vad är cyberhotet?

Björn: "Vad utgör egentligen ett cyberhot? Hur allvarligt är det? Och varför är det viktigt att betrakta cyberhot ur ett geopolitiskt perspektiv?

Cyberhotet är digitaliseringens baksmälla eller digitaliseringens baksida. 

Vi har med stor entusiasm flyttat över allt som vi anser värdefullt för oss som individer, för våra företag och för våra samhällsinstitutioner till en digital miljö som ger oss fantastiska fördelar.

Detta är bara början. Digitaliseringen är fortfarande tidigt ute, även om vi ibland tror att den har kommit långt. Den kommer att fortsätta att utvecklas. Vi kommer att fortsätta att dra nytta av digitaliseringens fördelar.

Artificiell intelligens (AI) är populärt just nu. Om några år kommer något annat att visa potentialen inom området. Miljön där vi lagrar värdefull information är inte säker ur ett säkerhetsperspektiv. Den har en mycket porös arkitektur, och när vi bygger IT-system som används av hundratusentals människor varje dag runt om i världen är det mycket lätt att begå misstag.

Det är extremt utmanande att göra rätt. Varje gång vi gör förändringar i systemen, vilket vi ständigt gör, uppstår nya problem och hotmöjligheter. Dessa är nästan designade för aktörer som agerar i skadligt syfte. Faktum är att om vi här i rummet skulle sätta oss ner och försöka utveckla ett system som är utformat för att exponera all viktig information för de som har onda avsikter - så skulle vi bygga upp internet som det ser ut idag.

Detta är vad cyberhotet innebär.

Hur allvarligt och stort är cyberhotet? 

Det är nästan omöjligt att kvantifiera cyberhotets omfattning på en aggregad samhällsnivå. Generellt finns en ovilja att avslöja om man har drabbats av en cyberincident, eftersom det kan påverka ens trovärdighet. Därför är data i detta avseende opålitlig.

Cyberhotets fyra nivåer

Jag brukar istället tänka att cyberhotet kan indelas i fyra nivåer. Vi kan föreställa oss en trappa av konsekvenser där varje steg innebär allvarligare påverkan än föregående steg.

Nivå 1: Ett företag utsätts för en hackning och deras information krypteras. Hotaktören begär en lösensumma för att tillhandahålla en dekrypteringsnyckel som möjliggör åtkomst till den låsta informationen. Detta inträffar relativt ofta hos små och medelstora företag samt ibland även hos privatpersoner som blir utsatta för bedrägerier. Nivå 1 är inte systemkritiskt i sin karaktär. Exempelvis, om alla min farmors besparingar försvann skulle det vara en tragedi för familjen, men det skulle inte drabba hela samhället.

Nivå 2: Denna nivå innefattar attacker mot samhällskritiska system som elförsörjning, vattenförsörjning och sjukhus. Det har en mer systemkritisk karaktär och är fullt rimliga att göra. Det är allvarligt, men det är inte fullt så allvarligt som nivå 3.

Nivå 3: Här använder angripare den digitala infrastrukturen och internet för att påverka oss på områden som är av vikt på lång sikt, exempelvis politiska beslut eller val. Detta kan få långsiktiga implikationer för våra samhällens utveckling.

En annan allvarlig aspekt är när angripare börjar samla in biologiska data från stora populationer. Vi såg mycket av detta under pandemin när angripare försökte hacka forskningsprojekt som utvecklade vaccin. Konsekvenserna av sådana handlingar är idag okända och det kan potentiellt hota de demokratiska grundprinciperna i samhället.

Nivå 4: När cyberintrång blir tillräckligt vanliga påverkar det vår syn på samhällsutvecklingen. Samhället börjar förändras och förtroendet för varandra börjar eroderas. Ökande frekvens av cyberhot leder till att vi ifrågasätter varandra och förtroendet, vilket är en grundläggande hörnsten i vårt samhälle.

Varför behöver vi diskutera cyberhot och geopolitik?

Det har att göra med framtiden. Det finns tre områden som är viktiga när vi tittar på cyberhotet framåt.

1. Vi måste investera betydligt mer i cybersäkerhet. Vi i Sverige och Norden är stolta över vår digitaliseringsexpertis. Men när det kommer till cybersäkerhet hamnar vi långt ner på listan. Förr eller senare kommer detta att få konsekvenser. Vi måste bli bättre på alla nivåer i samhället.

2. Vi måste följa den befintliga lagstiftningen. En del av denna lagstiftning är faktiskt väldigt bra när det handlar om att möta cyberhotet. Samtidigt måste vi bli bättre på att stifta nya och fungerade lagar. Det är en utmaning att hålla jämna steg och skapa lagar som inte bara förbjuder utan också möjliggör utveckling.

3. Trots att cyberhotet har en teknisk grund är det i grund och botten en politisk och ekonomisk fråga. För att effektivt hantera cyberhotet måste vi förstå hur vi agerar inom en politisk och ekonomisk kontext. Cyberhotet är bara en avspegling av händelserna i världen i övrigt.

Efter Sovjetunionens fall från och med 1989 har vi levt med en idé om evig fred. Den var felaktig och osann, vilket vi vet idag. Under denna period har cyberhotet snabbt ökat och vi ser redan enorma konsekvenser. Detta är resultatet av en värld där det har rått relativt stor fred. Nu går vi in i en tid av ökad konflikt. Europa har drabbats av krig. Spänningarna mellan Kina och USA ökar. De kommande 10-15 åren kommer förmodligen inte vara lika fredliga som de senaste 20 åren har varit.

Frågan blir då: hur kan vi i Sverige, våra svenska politiker och våra europeiska politiker agera politiskt, ekonomiskt och internationellt för att upprätthålla handel med andra länder?

Den vanligaste säkerhetsrisken

Det finns många säkerhetsrisker. Vilken som är mest framträdande beror lite på vem du är som individ. Generellt sett lämnar vi elektroniska spår i allt vi gör. Dessutom kan mobiltelefoner avlyssnas, särskilt på personer med extra känslig information. Du kan ha både ekonomiska och politiska dimensioner som utsätts för cyberhotet. Hela din existens som går att återfinna i det digitala kan utsättas av hotaktörer. Frågan är gigantisk."

Anders Borg om det makropolitiska läget

“Världen blir bättre. Den globala medelklassen växer och fattigdomen i världen minskar. Teknologin gör enorma framsteg, särskilt efter COVID-19, både inom AI generellt och inom farmaindustrin. Detta har resulterat i ökad produktion av nya och spännande läkemedel. Så världen blir bättre, vår förväntade livslängd ökar och allt fler tillhör en välmående klass med god utbildning och bra arbeten - så det är rätt så bra i världen.

Vi står inför en semi-permanent säkerhetskris

Nu har jag sagt det, för resten av det jag vill säga är rätt så problematiskt. Låt oss börja med den globala säkerhetsbilden: Vi står inför en semi-permanent säkerhetskris. Sannolikheten att Kina och Ryssland snabbt kommer att genomgå betydande förändringar måste bedömas som mycket låg med den information vi har tillgänglig idag.

Vi svenskar glömmer ofta bort hur det ryska perspektivet på världen ser ut. Ryssland har nämligen alltid upplevt yttre hot.

Det började med Genghis Khans gyllene hord. Ryssland levde under deras nästan totala kontroll i flera hundra år. När vi tar oss in på 1600-talet så gör Sverige och Polen gör upprepade anfall. Sverige har gjort 23 anfall på Ryssland genom tiderna. När den perioden var över kom Napoleon med en armé på 600.000-700.000 man och ödelade åtminstone alla västra delar av Ryssland. 

Efter det följde en mer lugn period, men för Ryssland innebar den ändå ett nästan permanent krig med Osmanerna. Sedan kom Kaisen och därefter Hitler. Ryssland säger att de förlorade mellan 25-30 miljoner människor i dessa konflikter, där majoriteten inte var soldater.

Detta är den ryska synen på världen. Nu står de inför ett säkerhetsläge som kanske är det värsta landet någonsin har upplevt.

Vad händer med Ryssland?

När vi går ur det här och har fått någon form av stabilitet i Ukraina, då kommer Rysslands västfront att se ut som en sammanslutning av Ukraina, Polen, Tyskland och de nordiska länderna. Alla tidigare ärkefiender till Ryssland är plötsligt eniga och allierade.

De här länderna har 175 miljoner invånare och är ett betydligt större land befolkningsmässigt än Ryssland. Vi har ett BNP som är fyra gånger högre än den ryska. Enbart de tyska försvarsutgifterna, när de nu skalat upp, kommer överstiga de ryska. För att ge en förståelse för skalorna: Pentagons budget motsvarar 60 % av Rysslands BNP.

Det finns ingen kapplöpning där Ryssland kan rusta sig militärt för att säga att de nu är trygga bakom sina gränser. Istället kommer ryssarna att uppfatta sig vara i en ganska permanent säkerhetsutmanande situation.

Kommer Ryssland förändras? 

Många av oss hade hopp om en förändring efter 1989, men det fanns redan då mycket som talade emot det. Jag deltog i ett seminarium med den välkände amerikanska forskaren Dick Pipes, och han påstod att det var troligt att Ryssland skulle demokratiseras. Det skulle gå relativt snabbt till och med - vilket överraskade många av oss.

"Det kommer inte ta mer än 3-4 generationer". Han, som historiker, ville belysa att detta var en ganska snabb omvandling av ett samhälle som precis hade lämnat livegenskap, genomgått en revolution och drabbats av Sovjetunionens totala förstörelse av förtroende och samhällsinstitutioner.

Så Ryssland kommer inte, åtminstone inte inom en tidsram som vi kan överblicka, att återgå till en sådan utveckling.

Om ni minns Katarina den stora, så startade hennes faktiska reformarbete med uttalandet "Ryssland är ett europeiskt land". Det var hela den idén hon hade om att modernisera Ryssland. Där står inte Ryssland idag. Istället uppfattar de att de slaviska folken nu är separerade, och de ser Ukraina som en del av den ryska bufferten mot eventuella framtida västerländska angrepp.

Så Ryssland kommer finnas kvar. I bästa fall kommer de att fortsätta som en fungerande stat och inte falla samman i en ultranationalistisk struktur som skulle vara ännu besvärligare att ha som granne.

Vilken roll spelar Kina? 

Utöver detta har vi Kina. Kissinger nämnde i en intervju att de första 152 mötena som han organiserade för att inleda en öppning gentemot Kina började med att kineserna deklarerade att Taiwan tillhörde Kina och skulle införlivas med nödvändiga medel, inklusive militära. För dem är Taiwan som Gotland när något konstigt hemvärn har fått för sig att de ska lämna Sverige. Folkrättsligt anser kineserna att Taiwan tillhör Kina - och att det ska vara ett enat Kina. 

Vi vet inte om det kommer att bli en attack. Amerikanerna bedömer att Kinas kapacitet för en sådan attack förmodligen ligger någonstans mellan nivå 26-27, liknande den bedömning som gjordes för invasionen av Ukraina. Kina kommer inte att backa när det gäller Taiwanfrågan. De två händelseförloppen kan mycket väl vara parallella.

Så om Kina skulle bestämma sig för att attackera Taiwan, skulle det möjligen vara en lämplig tidpunkt för Ryssland att försöka med något liknande, först och främst mot Ukraina eller något annat land som kan bli aktuellt. Idén att Kina nu ska demokratiseras, ja, det kan hända. Vi kan få en ny ledare efter Xi som går tillbaka till Deng Xiaopings idéer om att utveckla landet och etablera demokratiska institutioner. Deng brukade säga att Kina till år 2040 skulle vara en rättsstat och en demokrati.

Det kan hända, men för närvarande finns det inget som tyder på det.

Jag får dagligen sammanfattningar av kinesiska nyheter, så jag har förmånen att läsa alla Xis tal. Jag kan säga att det är ganska besvärligt. Nästan inget tal passerar utan att han tar upp rätten att återta Taiwan. Han betonar att USA nu bör anpassa sig till detta och självreflektera för att förstå att de bär ansvaret för denna konflikt.

Vi står inför ett säkerhetsläge där länder som Ryssland, Kina, Iran och Nordkorea kommer att vara inblandade i cyberbrott, och ingen behöver övertygas om att både Ryssland och Kina har mycket skickliga matematiker. De har uppenbarligen tekniska förmågor som gör att de kan utnyttja våra digitala system till sin fördel.

Vi har en exponentiell datatillväxt

Den andra faktorn vi måste lyfta är att vi inte längre behöver diskutera data lakes. Kombinationen av processorkraft, datamängder, molnteknologi och utvecklingen av API-system möjliggör plötsligt en omfattande hantering av data.

Vi bevittnar en datatillväxt på 40%. Det innebär att vi på fem år ökar datamängden femfaldigt. På tio år kommer datamängden att öka trettiofaldigt. Så fungerar exponentiell tillväxt. Större delen av vår värld kommer att bli digitaliserad. Det är tydligt att AI-system kommer att tillåta djupare och bredare digitalisering, och sannolikt kommer fantastiska företag att växa ur detta. Samtidigt innebär detta att vårt beroende av digitala system ökar inom områden som hälso- och sjukvård, energisystem, infrastruktur och inte minst banker.

Framtiden ser problematisk ut

Det är helt otänkbart att se något annat. Kombinationen av det mörka geopolitiska läget och den snabba digitaliseringen indikerar att detta problem kommer att förvärras betydligt om 10 eller 20 år.

Det kanske ser bättre ut om 40-50 år när Dick Pipes kanske har rätt och demokratin blomstrar i Ryssland. Kanske har kineserna återgått till att vara vänner med resten av världen. Men det är ingen praktisk slutsats som ett företag, ett land eller i en säkerhetspolitisk strategi kan förlita sig på.

Vår utgångspunkt är att vi står inför en ganska dyster och utmanande tid framöver. Samtidigt utvecklas världen på många sätt och teknologin ger oss många fördelar. Men det är så här mörkt det ser ut.”

Paneldiskussion

Kristoffer: "Det är ju inget rosa skimmer direkt. Så hur kan ledning och VD hantera säkerhetsfrågor av den här kalibern utan att själva behöva bli experter?"

Så bör ledningsgruppen agera kring cybersäkerhetsfrågor

Daniel: "Ja, det är ju inte jättemånga ledningsgrupper som består av datanördar - så är det ju. Den här frågan kommer allt högre upp på agendan hos många företag. 

Ett misstag jag tycker att man ska undvika är att blint delegera den här uppgiften till en specialist. Man behöver vara mer medveten och lyfta upp frågan på dagordningen. En bra grej som vi och många av våra kunder gör är att ta in en extern audit varje år. Det brukar vara nyttigt och lite obehagligt att "provhacka" bolaget lite då och då. Det är viktigt att inte lägga alla ägg i en och samma korg och tänka att "IT-kalle fixar det där". För frågan är mycket mer komplex än så."

Kristoffer: "Björn, en liten reflektion på den frågan - håller du med? Och vad är din input på hur ledningsgruppen ska hantera detta?" 

Björn: "Jag håller helt med. För 3-4 år sedan var det otroligt ovanligt att ha en diskussion om cybersäkerhet på ledningsgruppsnivå. Idag är det väldigt, väldigt vanligt. Det har skett en revolution inom området. Det finns en mycket större medvetenhet om att det här är ett riktigt problem. Det finns även en genuin frågeställning kring: hur ska vi på bästa sätt angripa det?

Det går ganska fort nu att förstå. Problemet är att det krävs stora investeringar i cybersäkerhet för att vi ska kunna kompensera för där vi redan befinner oss. Som Anders beskrev det - digitaliseringen rusar på oss. Det är en komplex fråga som behöver brytas ner på bolags- och branschnivå för att förstå hur man ska agera.

Titta inte på det tekniska till en början, för det är skitkomplicerat. Utan se det rent säkerhetsmässigt så som du hade gjort med vilken investering som helst. Hur ska vi ekonomiskt se på problematiken i respektive verksamhet och bryta ner det därifrån?"

Så kan företag förstå den geopolitiskt nya världen

Kristoffer: "Anders, du har pratat om att “avriska” sig. Vad betyder det egentligen? "

Anders: "Just nu, i det stora sammanhanget, handlar det för de flesta bolagen om att förstå den här nya världen.

Vi har en kinesisk teknologi och en europeisk teknologi som inte längre kommer fullt ut lira med varandra. Vi kommer tyvärr få väsentligt större skillnader och en splittring i den globala geografin. Ni behöver inte vara oroliga för att vi i västdemokratin är på väg att förlora, för Kina har bara lyckats samla till sig dåliga länder som Iran, Ryssland och möjligen Saudiarabien. Ingen av de länderna har ju producerat mer än en 0,5-1% tillväxt de senaste 20 åren och kommer definitivt inte göra det de närmsta 20 åren.

Vill man vara optimist kan man också komma ihåg att hela den här AI-revolutionen och alla de avancerade chip vi använder är utvecklade av västerländska entreprenörer. Framförallt amerikanska. Ibland med hjälp av stora statliga stödprogram inom DARPA och annat. 

Vi utvecklade Moderna och Pfizers vaccin i väst - helt revolutionerande - som har räddat miljoner människor. Kineserna gjorde nog allt de kunde men fick det ändå inte att funka. Jag är inte så orolig att vi ska bli ifrånsprungna av Kina eller totalitära stater. Vårt dynamiska och entreprenöriella marknadsekonomiska system med starka stater som förmår att satsa på forskning och utbildning kommer nog hålla ledningen. Men det betyder inte att det inte kommer vara stora störningar och risker på vägen. Både Ryssland och Kina kommer ligga tätt i hälarna på oss och ställa till med skada." 

Kristoffer: "I Ryssland, med den brain drain, svaga, kaosartade ekonomiska utvecklingen, krig och sönderfall - kan inte det göra att syndikaten med ransomware vi sett också faller sönder?"

Anders: "Det här ekonomiska kaoset har bara inträffat på en plats och det är i västerländska tidningar. Rysk ekonomi föll med 1%. I år ligger prognoserna på mellan 1-2% tillväxt, dvs. högre än Tyskland, Sverige, Storbritannien och de allra flesta västländer. Ryssland har stängt importen så bytesbalansen har exploderat. Ryska staten har nästan inga skulder. Ryska oligarker måste nu ta hem alla pengar eftersom skatteavtalen är uppsagda och dessutom konfiskeras all egendom som man inte tar hem

Ryssland är byggt som ett fort, ett väldigt stabilt och odynamiskt fort. Men dessa -15% och -10% som västerländska ekonomer talade om inträffade inte, det blev -1%."

Hur bör man agera när det går så snabbt?

Kristoffer: "Intressant. Vi har pratat om hur ledningsgruppen ska tänka. Men de flesta av oss är ju faktiskt anställda. Daniel - hur ska man agera när det går så snabbt? När man måste hålla uppe takten och investera - trots att det kanske visar sig att medarbetarna airdroppar en Excelfil till varandra som aldrig borde se dagens ljus? Hur ökar man medarbetarnas kompetens?" 

Daniel: "Ja, det gäller att inte vara naiv. Företag består av människor som är stressade och som vill få sitt jobb gjort helt enkelt. Vi hade ett case för 10 år sedan med ett ganska stort bolag som skulle börja använda Apsis. De hade gjort en enormt gedigen due diligence tekniskt. De gick igenom varenda kommatecken med all vår säkerhet. Men sen när personen som var projektledare hos dem skulle importera in all sin data i Apsis så kom den på ett mejl som en okrypterad Excelfil. Det är så här det ser ut där ute. Folk är stressade och vill bara göra sitt jobb.

Det jag tycker är viktigt är att ha en kontinuerlig process för utbildning och för audit. Vi själva använder något som heter Nimblr. Det är ett svenskt bolag som löpande gör simulerade phishing-attacker och dylikt på våra anställda. Det är ett jättebra sätt att hålla sig ajour hela tiden. För det räcker inte med ett policydokument och ett brandtal. Det måste vara en del av det löpande arbetet. "

Panelens råd för att sprida kunskap i organisationen

Kristoffer: "Det finns inget slut på det arbetet. Björn - har du några tankar om det Daniel säger? Hur sprider man kunskapen ut i organisationen?" 

Björn: "Det finns lite olika filosofier. En filosofi handlar just om att bygga medvetandet i organisationen, och det kan säkert vara väldigt bra många gånger. Problemet är bara att det räcker med att en av medarbetarna var borta den dagen utbildningen skedde för att man fortfarande ska ha en säkerhetsproblematik. Du behöver inte komma in på så många ställen för att vara på insidan. Så det tror jag är viktigt.

Jag tror också att man behöver bestämma sig rent konkret:

1) Vad är det i den här organisationen som vi verkligen inte vill bli av med?

och

2) Vad kan vi tänka oss att bli av med?

Man får gradera någonstans vad som är kärnan i verksamheten och skydda det som att det inte fanns någon morgondag. Där bör man tänka säkra nätverk på ett helt annat sätt än vad många gör. Man kanske inte behöver bry sig så mycket om ett mejl som pratar om en fredags-AW. Det kan man hantera. Det som är centralt för din verksamhet, forsking och utveckling - det måste du skydda ordentligt. 

Många tror att det räcker med att man döljer sig i mängden. Påståenden som “Vi är ett litet bolag”, “Vem är jag - jag är bara en anställd på ett bolag” fungerar inte i den digitala världen. Du kan sitta vägg i vägg med en hotaktör som har gett sig tusan på att allt som ni gör under en session ska de hitta. Tänk alltid att de sitter på stolen brevid och tittar på vad du gör, då skulle du vara försiktigare."

“Men det låter jättejobbigt, kan jag inte bara fortsätta driva bolaget istället?”

Kristoffer: "Men det här låter ju jättejobbigt. Kan inte jag som driver ett tillväxtbolag som aldrig utsatts för en attack bara fortsätta? Jag vill ju fokusera på min tillväxt. Det känns ju bara som en broms det där." 

Björn: "En sak som jag ofta stöter på, speciellt i Stockholms fantastiska entreprenöriella miljö, är en total okunskap kring det här bland yngre entreprenörer. I alla fall att man inte ser värdet av det man gör. Man utvecklar ny teknik, man tar fram ny IP, man löser svåra problem med små team i agila system. Det är jättebra att man utnyttjar digitaliseringen på det sättet. Men om du tar fram någonting som har stort värde och investerar mycket pengar i det - då kommer det inte vara så kul när samma produkt dyker upp tre månader senare med ett kinesiskt bolag i grunden. Det finns många exempel genom historien på hur bolag tappat sin kärnkompetens och kunskap och fått det vänt emot sig till halva priset." 

Kristoffer: "Anders - du som har stor erfarenhet av internationella och större konstruktioner än bolag, dvs. länder och stater - känner du igen det här?"

Anders: "Jag har ju länge levt i en värld där jag utgår från att det är 6-7 länder som lyssnar på telefonen. Det finns bara ett sätt att undvika, och det är genom att lämna telefonen i en låda som surrar och gå in i ett rum som man vet är säkrat av säkerhetstjänsten. Men den här idén att någon information i min telefon skulle vara hemlig. Några av er tror säkert att de som avlyssnar är ryssar, men det är många fler som gör det. De flesta av våra allierade avlyssnar oss och använder informationen. Det vet vi. Hemlig information som har funnits i små kretsar har sedan använts i olika sammanhang. När det gäller stater så ska man utgå ifrån att de vet exakt vad du vet, vem du pratar med och var du rör dig. Så länge man rör sig bland människor så är man avlyssnings- och identifierbar. Det är den verklighet vi har. Lappar är väl det sätt som funkar.

Det är bättre att uttrycka sig på ett sådant sätt som att man accepterar att man är avlyssnad. Det är bra att säga samma sak i stängda rum som öppna rum. Då blir problemen väldigt mycket mindre. De behöver inte undra vad vi faktiskt menar eller planerar."

Har medvetenheten kring cybersäkerhet ökat?  

Kristoffer: "Intressant, det kräver kanske en omställning i tankebanorna för många. Men inget ont som inte för något gott med sig. Nu när vi har sett agenter i Norge och Sverige, drönare som inte tillhör Sverige och attacken på Coop. Kan det vara så att uppmärksamheten har gjort att vi förstått det här på riktigt?" 

Björn: "Ja, vi har blivit mycket mer medvetna. Det fanns ett exempel för inte så länge sedan när man via offentligt tillgängliga träningsappar, som man använde i amerikanska armén, kunde se på kartor exakt var de hemliga baserna var lokaliserade. Man tog med sin telefon på löpturen för att se hur långt man sprang. Det här är publik data. Och det här är tränade militärer som vet att de ska tänka cybersäkerhet. Frågan är otroligt komplex.

Ett medskick jag vill göra till alla som blir drabbade är att man brukar känna en enorm skam. “Jag skulle inte klickat på den här länken, jag är så dum att jag gjorde det”. Problemet är att vi hela tiden bombarderas med väldigt mycket information. Det går inte. Vi kan inte ställa krav på den enskilda individen att själv lösa sitt säkerhetsproblem. Vi måste hjälpa människor att leva som man gör, vara människa i den miljön. Det kan inte bara ligga på människan." 

Anders: "Jag vill gärna upprepa vad du sa inledningsvis. Det bästa bolag kan göra är att systematiskt ha en struktur för att testa sig själv. Att göra cybersäkerhetsrevisioner. Det är läskigt, och ofta visar det sig att man har väldigt stora brister. Men det faktum att man gör dem, jobbar igenom resultaten och sedan gör samma saker på året därpå och upptäcker nya brister. Det skapar medvetenhet i organisationen om att det här är en fråga som aldrig försvinner."

Björn: "Vi människor är nyfikna. Vi vill veta saker. Om du vill komma in på insidan av ett företag räcker det att lägga ett kontaminerat USB-minne på parkeringen utanför. Det kommer finnas någon som tar upp det och stoppar in det i arbetsdatorn. De kan inte låta bli. Vi är människor." 

Anders: "Jag tillbringar en hel del tid i Israel och genom mina tidigare tekniska och politiska uppdrag har jag rätt många vänner som arbetar inom olika säkerhetstjänster. Och det är klart att vi skulle kunna skapa ett nästintill tryggt samhälle i Sverige. Men det skulle förmodligen innebära att vi måste acceptera en kombination av digital säkerhet kopplad till mobiltelefoner och dessutom CCTV-kameror liknande de britterna har satt upp. Genom att etablera ett sådant system skulle staten alltid veta var du är, vid vilket klockslag, och detta skulle dramatiskt minska brottsligheten. Det blir mycket enklare att sätta in åtgärder mot de som eventuellt planerar brottsliga handlingar. Eftersom man ungefär vet vilka personer det handlar om och algoritmer kan förutse när det är troligt att brott ska begås, osv.

Vi gjorde ett försök i Danmark, men det slutade med att justitieministern fick avgå. Det var ett stort brittiskt företag som var inblandat, så det var inte skurkar som genomförde det. Men det innebär att vi står inför ett nytt vägval: integritet eller säkerhet. Har vi frihet när vi är säkra, eller har vi frihet när vår integritet är skyddad?

Personligen tillhör jag mer det andra laget. Jag är inte så orolig för integriteten utan skulle föredra att vi hade väsentligt bättre övervaknings- och säkerhetssystem. Men jag tror att det kommer att dröja minst tio år innan Sverige skulle vara redo att acceptera att implementera liknande system för brottsbekämpning som de israeliska. Det är en konflikt i Sverige."

Är det en risk att ha data i de amerikanska molnen? 

Kristoffer: "Här vill jag bryta in med en fråga. Anders nämnde att det var ett brittiskt företag involverat, så datan kanske hamnar i Storbritannien. En kort fråga bara: är det en risk att ha sin data i de amerikanska molnen?" 

Björn: "Du bör vara medveten om att det innebär en risk. Men det gäller inte enbart på grund av att det är amerikanska moln. Det handlar om att data ligger där och är tillgänglig för andra hackare också. Det handlar om att välja en risknivå, eftersom det inte finns någon nollrisk. "

Daniel: "Ja, vi har ju ett svenskt moln, så det är naturligtvis mycket bättre än ett amerikanskt moln. Skämt åsido, en viktig fråga som många kunder missar är att de blint litar på att all mjukvara de köper är säker. Men jag skulle säga att de flesta företag som utvecklar mjukvara har ett ganska svagt säkerhetstänk. De har en hög innovationstakt, de jobbar kreativt för att hålla tempot, men säkerheten är ofta nedprioriterad. "

Kristoffer: "Finns det några nyckelfrågor eller checklistor man kan använda för att komma runt det där?" 

Daniel: "Man kan ta hjälp av externa konsulter som genomför revisioner av leverantörer, särskilt om det handlar om känslig data."  

Anders: "Jag är ordförande i ett företag som bedriver sin programmeringsverksamhet till stor del i Ukraina, och våra medarbetare har fortsatt att kunna arbeta där. De har flyttat till Lviv och liknande platser på grund av de omfattande cyberattackerna. Microsoft och AWS har gjort enorma insatser för att verksamheten i Ukraina ska fortsätta. Dessutom är Starlink ett system som faktiskt fungerar. Jag tror att det snart kommer att vara över med att gräva ned kablar i marken. Jag tror att inom tio år kommer de flesta av oss att ha Starlink.

Jag tror det viktigaste för bolagen är att tänka systematiskt kring det. Det finns konsulter som gör bra saker. Det är ett kontinuerligt arbete, och genom att genomföra dessa återkommande åtgärder blir organisationen mer medveten om säkerhetsfrågor. Det blir som en beredskapsövning som genomförs varje år. Det finns inget annat sätt än att systematiskt motarbeta det. "