Bråttom med fokus på cybersäkerhet – Ukrainakriget sätter spår i Sverige

Sedan den 24 februari 2022 har mer än 1,2 miljoner cyberattacker utförts mot energiinfrastruktur i Ukraina. Ryssland inledde intensiva cyberattacker mot den ukrainska energisektorn redan före den fullskaliga invasionen. Cyberattacken Black Energy 3 riktade attacker mot eldistributionsföretag redan år 2015 vilket resulterade i storskaligt nationellt strömavbrott i Ukraina.

Två viktiga rapporter om cybersäkerhet i Sverige

Kriget sätter även spår hos befolkningen i Sverige. Fler än 60 procent ser det som sannolikt att cyberattacker kan slå ut internet eller uppkopplade system för värme, el och vatten. Åtta av tio tror att en främmande makt kan komma över samhällskritisk information vid en cyberattack. Det visar Internetstiftelsens undersökning ”Svenskarna och internet”, som tar tempen på det digitala Sverige varje år.

Förra veckan släppte även Riksrevisionen sin rapport: ”Regeringens styrning av samhällets informations- och cybersäkerhet – både brådskande och viktig (RiR 2023:8)”. Rapporten handlar om regeringens arbete med att stärka Sveriges informations- och cybersäkerhet. Kontentan av rapporten är dock att arbetet varit verkningslöst.

Rekommendationer till regeringen – Energiföretagen instämmer

Det råder brist på strategisk inriktning skriver Riksrevisionen. Rapporten kritiserar bristen på strategisk analys, avvägningar och prioriteringar i den nationella informations- och cybersäkerhetsstrategin. Strategin följer inte internationell bästa praxis och har inte genomförts korrekt. Samordningen är svag och informationsutbytet är lågt. I rapporten identifieras problem med ansvarsfördelning, kompetens och samordning inom Regeringskansliet. Den belyser också utmaningarna med informationsutbyte, både inom den offentliga sektorn och mellan den offentliga och privata sektorn.

Rapporten föreslår att regeringen bör skapa ett strategiskt, holistiskt och långsiktigt förhållningssätt för informations- och cybersäkerhetsarbetet. Andra rekommendationer handlar om att säkerställa en sammanhållen styrning med tydligt ansvarsutkrävande, att identifiera och åtgärda hinder för informationsutbyte samt att se över det nationella cybersäkerhetscentrets (NCSC) roll och mandat.

– Energiföretagen står bakom Riksrevisionens slutsatser och rekommendationer. Regeringen och de statliga myndigheterna har inte genomfört åtgärder på ett tillräckligt effektivt sätt för att stärka informations-och cybersäkerheten. Det är viktigt och bråttom att myndigheter nu kraftsamlar kring cybersäkerhet för att påskynda efterlevnad och kontroller såväl som ökad samordning, säger Energiföretagens vd Åsa Petterson.

Energiföretagen anser vidare

Det går inte att blunda längre för hoten mot Sveriges kritiska infrastruktur och hot mot svensk energiförsörjning. Det är därför oerhört viktigt att vi har en robust och motståndskraftig svensk energisektor för att skydda leveranser av energi både under fredstida kriser och i krig. Ett resilient cyberförsvar är första försvarslinjen att hantera hybridhot mot Sverige. Energisektorn behöver få ökat stöd från regeringen att samordna och skydda digital kritisk energiinfrastruktur.

Viktiga samhällssektorer, som energisektorn, har bedrivit ett systematiskt informations- och cybersäkerhetsarbete enligt NIS-lagstiftningen sedan 2018. Det är dags att myndigheterna nu kommer i fatt i arbetet, både utifrån de legala kraven som redan finns på plats från EU, men som också föreslås framgent och som är kopplade till dagens verklighet.

Cyberattacker är en vardag för företag att hantera. Att hantera dessa försök till angrepp är mycket resurskrävande och kostsamt för företag. Regeringen behöver därför gripa in och tillsätta mer resurser till det privata näringslivet, men också till tillsynsmyndigheter och Nationellt cybersäkerhetscenter med uppdraget att säkerställa motståndskraftiga samhällstjänster och ytterst totalförsvarets förmågor för Sveriges säkerhet.

Energiföretagen rekommenderar:

1. Resurser behövs till myndigheter för att säkerställa efterlevnad och kontroller.
2. Resurser behövs för kompetensförsörjning inom IT- och cybersäkerhet.
3. Resurser behövs för säker kommunikation och informationsdelning mellan offentliga och privata näringslivet.
4. Resurser behövs för en svensk nationell energi-CERT som snabbt kan stärka resiliensen i energisektorn.