Det här är en opinionstext. Åsikter som uttrycks är skribenternas egna.
Under fjolåret ökade antalet cyberangrepp mot svenska verksamheter med mer än 100 procent, enligt MSB. Samtidigt ökade antalet attacker där data och system krypterades eller låstes utan krav på lösensummor, det vill säga rena sabotage. Därmed kan vi utesluta att kriminella ligor ligger bakom angreppen, eftersom organiserad kriminalitet drivs av ekonomisk vinning. Inte heller kan det röra sig om ideologiskt driven utomparlamentarisk aktivism, då slagorden lyst med sin frånvaro.
Det enda trovärdiga som kvarstår är att det är en främmande makt som står bakom dessa angrepp, med syftet att förstöra data, sabotera funktioner och – med all sannolikhet – destabilisera samhället. Det betyder att Sverige befinner sig i ett pågående cyberkrig.
Den svenska regeringen har också anslagit 385 miljoner kronor till att stärka det civila försvaret och cybersäkerheten. Av dessa ska 60 miljoner ska gå till att stärka Sveriges cybersäkerhet, där 20 miljoner har öronmärkts åt MSB för att stötta till exempel mindre kommuner och företag med att informera, vägleda och tolka sina resultat i Cybersäkerhetskollen (tidigare Infosäkkollen).
Vad de resterande 40 miljonerna är tänkta att gå till har regeringen ännu inte meddelat. Mitt förslag är att de pengarna riktas till samhällsbärande aktörer inom näringslivet. Många av våra kritiska samhällsfunktioner inom exempelvis elnätet, betalsystem och logistik, styrs idag till stor del av privata företag. Så att säkra deras digitala system är avgörande för att vi ska kunna lita på våra centrala samhällsfunktioner. 40 miljoner är för all del inte mycket sett till utmaningarnas omfattning, men alla insatser som puttar utvecklingen i rätt riktning är välkomna.
Men vi i näringslivet kan samtidigt inte passivt vänta på ny reglering och mer pengar. Vi behöver förstå att de hot vi står inför hotar vår affär. Det handlar dels om Sveriges resiliens och motståndskraft, men det handlar också om varje enskilt företags förmåga att hantera och överleva en kris. Idag behandlas frågan om cybersäkerhet fortfarande som en separat fråga för it-avdelningen, när den i själva verket är existentiell för de flesta verksamheter. Om din fabrik brinner ner aktiveras en försäkring så att du har råd att bygga en ny. Men om du fått din data krypterad eller förstörd finns det ingen försäkring som kan ersätta den.
För även om Sverige förmått hantera attackerna utan allvarliga samhällsstörningar i egentlig bemärkelse så har de ändå varit framgångsrika i att skapa oro. Allmänhetens tilltro till samhällets motståndskraft har rasat under en flera år. Det visar bland annat Svenskt Säkerhetsindex från cybersäkerhetsföretaget Basalt, där endast tre procent av svenskarna har en mycket stor tilltro till beslutsfattarnas förmåga att skydda viktig infrastruktur. Bristen på tillit är i sig ett säkerhetshot, då samhällets motståndskraft vilar på allmänhetens förtroende för att beslutsfattarna fattar nödvändiga beslut i rätt tid.
Men det är viktigt att komma ihåg att läget inte är hopplöst. Sverige är inte uruselt på cybersäkerhet, vi är bara inte så bra som vi tror. Och ja, vi behöver bli bättre med tanke på det geopolitiska läge vi befinner oss i. En nyckel där är att vi slutar se cybersäkerhet som en IT-fråga utan som en integrerad av hela säkerhetsarbetet. Cecilia Hermansson föreslår en matrisorganisation för svenska myndigheter i en intervju i SvD Näringsliv den 14 april. Hennes poäng är just att vi måste bli av med silotänket i infrastrukturarbetet för att kunna bygga ett robust samhälle, vilket jag håller med om.
Ändå är jag, även om jag delar Hermanssons frustration, försiktigt hoppfull. Utöver de riktade anslagen i regeringens vårändringsbudget ser jag flera positiva signaler. Dels konkreta, som den nya cybersäkerhetslag som är på väg som ett direkt resultat av EU-direktivet NIS2. Det pågår efter vad jag uppfattar en generell attitydförändring bland våra politiker, där handlingskraft och konkreta reformer äntligen verkar vinna mark mot de mer innehållslösa positionerande utspelen. Jag har därför stor tillit till att våra politiker, om än sent, kommer att agera.
Sveriges resiliens och robusthet vilar på vår förmåga att samarbeta för att möta de hot och risker vi som samhälle ställs inför. Där behöver vi alla bidra. Vi medborgare i att utbilda oss för att stå emot bedrägerier, nätfiske och desinformation. Politiker och myndigheter i att utveckla regelverk, offentlig krisberedskap och infrastruktur. Och näringslivet i att säkra våra verksamhetsskydd, med hjälp av öronmärkta statliga anslag som syftar till att stärka den digitala motståndskraften i privata samhällsviktiga verksamheter.
Säkerheten i företagens affärskritiska system är alltför central för att helt delegeras till it-avdelningar och konsulter. Det är ytterst en fråga för ledningar och styrelser. Om näringslivet ska dra sitt strå till stacken behöver vi behandla den som så.
Det handlar om Sveriges motståndskraft och om den egna affären. Om inte det är argument nog, vet jag inte vad som är det.