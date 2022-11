I oktober publicerade Kungliga Ingenjörsvetenskapsakademien, IVA, en rapport med titeln ”Cybersäkerhet för ökad konkurrenskraft”. Rapporten lyfter flertalet utmaningar, så som att beslutskraften på central politisk nivå inte är tillräcklig för att möta cyberhoten, och att cybersäkerhet kommer in för sent i produktutveckling. Vi vill särskilt betona sårbarheten hos startups och scaleups och behovet av riktat stöd för att öka motståndskraften mot angrepp.

Sverige leder innovationsracet och vi stoltserar gärna med vår digitala förmåga. Mycket tack vare insatser som 90-talets Hem-PC som skapade en generation med datorvana och innovationskraft. Vad som däremot hamnat i bakvattnet är säkerhet, och insikter kring sårbarhet för cyberangrepp. Digitaliseringsmognad och säkerhetsmognad ligger långt ifrån varandra. Startups och scaleups riskerar att drabbas hårt av cyberangrepp vilket i förlängningen kan drabba vårt samhälle och infrastruktur.

Ansluter man ett system till internet så blir det synligt och ett potentiellt mål för angrepp, om man inte gör något för att förhindra det. Värdet av exponerad data beror på om den går att tjäna pengar på. Idag är cyberbrott en av de mest lukrativa kriminella verksamheterna i världen. Med pengar som drivkraft kommer angripare hitta nya sätt att ta kontroll över andras system och pressa offer på pengar. Ett angrepp riskerar inte bara att förstöra data och nätverk utan också kundrelationer och varumärken. Inte ens de bäst skyddade myndigheterna eller de största miljardföretagen, som använder sofistikerad teknik för att skydda sig, är säkra.

Den digitala ekonomin är en ”beroendeekonomi” där kravet är att hålla samma säkerhetsnivå genom olika typer av så kallade ekosystem och leverantörskedjor. Lagstiftning, regelverk och de stora techjättarna sätter spelreglerna. Säkerhet handlar både om affärsmöjligheter och riskhantering. Det gäller för de små att hänga med. Tre av fyra företag har råkat ut för cyberincidenter enligt World Economic Forum Global Risk Report 2019.

Minst 30 000 webbplatser hackas runtom i världen varje dag. Upptäcktsgraden, alltså sannolikheten att lagföra de som ligger bakom dessa aktiviteter och få dem åtalade för sina brott, är så låg som 0,05 procent. Uppgifterna kommer från ett av de mest avancerade länderna inom cybersäkerhet, USA. Mängden skadlig programvara har nått nya höjder, med över 150 miljoner varianter. Den europeiska nät- och informationssäkerhetsbyrån Enisa talar om The Golden Era of Ransomware.

Med dessa volymer av angrepp är det förstås inte en fråga om, utan när, ett företag kommer att drabbas. Utvecklingen drivs på av att det har blivit väldigt enkelt för cyberkriminella utan några egentliga förkunskaper att genomföra angrepp. De kan antingen skaffa sig tillgång till ett nätverk med hjälp av så kallade Initial Access Brokers eller använda färdiga paket, Ransomware-as-a-Service.

De som ligger bakom cyberbrott är ofta aktörer i utlandet. Polisen saknar tillräckligt med resurser att utreda brotten. Företag vet att anmälan inte alltid leder till dom, och betalar därmed hellre lösensumman till angriparen, i ett desperat försök att rädda bolaget. Således finansieras cyberbrottsligheten än mer, och cykeln av brott fortsätter.

Storbolag och banker satsar avsevärda medel och resurser på säkerhetsarbete. Trots detta är säkerhetsfrågorna en ständig oro för styrelser och ledningar. Kunskapen är generellt låg hos startups, och entreprenörer axlar redan många olika roller i sitt bolag. Att kräva att de även ska behärska cybersäkerhet är mycket begärt. Samtidigt är sårbarheten enorm innan cyberhygien och ”security by design” är en del av det dagliga arbetet.

För startups handlar mycket om ”first mover advantage” - att hinna först med att lansera en ny produkt eller tjänst. Dessutom för så lite pengar som möjligt för att testa efterfrågan och användarvilligheten på marknaden. Säkerhet tar tid och kostar pengar, därmed avstår många tidiga bolag implementation av både säkerhetsrutiner, cyberhygien och korrekt IT-arkitektur. Det här måste vi ändra på. Grundare, investerare och medarbetare måste förstå vilka konsekvenser cyberbrott innebär. Det bästa sättet att förhindra cyberangrepp är att höja säkerhetsmedvetandet hos alla kopplade till verksamheten.

Det som gör en verksamhet till det perfekta målet är:

1. Brist på säkerhetskunskap. Hur man förhindrar cyberangrepp genom att implementera exempelvis tekniker för säkrare behörighetskontroll, mejl och webb.

2. Överexponering på sociala medier. Sociala medier är praktiskt taget guld för cyberbrottslingar, det hjälper dem att personifiera sina angrepp och öka sina chanser att lyckas.

3. Vår nyfikenhet (curiousity killed the cat). Alla vill vi väl göra ett klipp? Det kan ske via nätfiske-meddelanden som erbjuder pengar, eller en annons som visas när du besöker en webbplats. Angriparen anpassar sina budskap efter mottagare, det är inte längre lätt att urskilja vilket mail som är av ondo.

Skadlig kod kan ta sig in via vad som verkar vara ett välvilligt mejl med något relaterat till bolagets produkt eller tjänst. Startupen som mottagit mejlet och klickat på en länk på någonting som verkar seriöst vet inte att den kan ha släppt in en angripare. En angripare som har tålamod väntar på att bolaget kopplar ihop sig med infrastruktur, storbolag eller har tillräckligt kassaflöde för att betala ransomware för att få tillbaka sin data.

Sverige är beroende av nya idéer och nya företag. Det finns många bra initiativ för svenska entreprenörer och startupbolag med finansieringsstöd, acceleratorer och inkubatorer. Cybersäkerhet är emellertid en komplex fråga som kräver specifik kunskap som inte går under klassisk affärsutveckling. Vart ska de unga bolagen vända sig för att få hjälp i frågor, och få insikt i vad som krävs för att agera cybersäkert när kassan fortfarande är skral? Hur ska grundare utan IT-kompetens som outsourcar sin programmering och IT-drift kunna kravställa på något dom inte har kunskap om?

Med en ny regering på plats så vill vi se en högre prioritering av cybersäkerheten i Sveriges nya bolag. Vi vill se en politik som fortsätter stärka bolagens konkurrenskraft, vilket numera måste innefatta cybersäkerhet. Sveriges ekosystem för techindustrin behöver medel för att öka unga bolags kompetens inom cybersäkerhet. Politikerna behöver agera nu, ju längre vi väntar, desto fler sårbara bolag som riskerar drabbas av allvarliga it-incidenter.

Anne-Marie Eklund Löwinder, Informations- och IT-säkerhetsexpert, grundare och VD Amelsec



Ronja Koepke, ängelinvesterare och Startup-profil