I slutet av juni i år slog en stor cyberattack, utförd av ryska hackare, ner flera onlinetjänster i Norge inklusive myndigheter och den norska versionen av BankID.
Sådana här attacker är en väckarklocka att Sverige skulle kunna bli måltavla på liknande sätt, särskilt med tanke på att man stöder Ukraina och går med i Nato. Hur sårbart är Sverige mot den här typen av attacker och vad kan man göra för att skydda sina medborgare?
Digital krigsföring
Cyberattacker kan uppstå av många anledningar och i många olika former:
- Du kan vakna en morgon och upptäcka att alla dina pengar är borta från ditt konto;
- I ett nödläge kanske du inte kan få tillgång till, hälso-, sjukvårds- och nödtjänster för att de har gjorts otillgängliga;
- Dina känsliga uppgifter kan tas som gisslan av hackare som kommer att kräva betalning för att lämna tillbaka dem till dig – de gör även sådant mot företag, och, såklart, myndigheter.
Allt det här kan skapa förvirring och rädsla i samhället. Otillgängliga, digitala tjänster i ett land som är lika digitaliserat som Sverige skulle skapa kaos i hela landet.
Alldeles nyligen, hackades Naturvårdsverket, så att känslig data överfördes till servrar i USA.
Vad kan ha varit anledningen till den här attacken? Ingen vet säkert. De stulna uppgifterna var alltifrån inte känsliga till väldigt känsliga. Bakgrunden till attacken kan dock vara värre än vad man tror, kanske var det bara en test inför en ännu större attack.
Vem är i riskzonen?
Om du ville orsaka så stor skada som möjligt på ett lands digitala infrastruktur och terrorisera medborgarna med cyberattacker, vad skulle du rikta in dig på? Svaren är rätt uppenbara:
- först och främst, offentliga tjänster som bara erbjuder en av de två statligt godkända e-legitimationerna – Freja eller BankID;
- finansiella tjänster som banker och bolag i aktiebranschen;
- hälso- och sjukvårdstjänster.
Genom att få dessa att ligga nere, så kan man få ett land stanna av nästan helt.
När BankID ligger nere så ligger Sverige nere
Sveriges övertro på BankID är allmänt känt. Så pass att dess monopolliknande situation på marknaden betraktas som en säkerhetsrisk av Finansinspektionen.
Det verkar dock som att först när problemet redan har uppstått så börjar folk fråga sig – är det verkligen en bra idé att förlita sig på bara en lösning för allt? Oavsett om det är när BankID ligger nere och folk inte kan utföra betalningar eller logga in någonstans, eller om det är i ljuset av ökade säkerhetsrisker och cyberattacker från Ryssland.
Även om vi bortser från allt här ovanför till förmån för tvivel och säger: ”ja, allt beror på mänskliga misstag, saker kan hända, det är en del av livet” – så är det inte gott nog – ett gångbart alternativ måste finnas, och användarnamn och lösenord är inte lösningen.
Lösenord duger inte
Svaga, svåra att komma ihåg och hålla reda på, obekväma att använda, kräver lösenordshanterare och ytterligare lager av säkerhet för att vara gångbara – lösenord är den svagaste länken i säkerhetskedjan och en långt sämre lösning än en e-legitimation, i alla lägen.
Vad är då lösningen?
Freja är en statligt godkänd e-legitimation som ger tillgång till de viktigaste, offentliga e-tjänsterna som 1177.se, Skatteverket osv. I kristider är det smart att ha Freja som en back-up om något skulle hända och BankID tillfälligt ligger nere.