Cyberhotet måste tas på allvar

Det finns en bristande förståelse för cyberhot i kommunernas beredskapsplaner. Så också i Borgå, där man ändå överväger mera specifika övningar.

Det är den 27 april 2007. Estland ser omfattande kravaller, men också något annat händer. I början vet ingen riktigt vad, men på en kort tid faller en rad viktiga nätsidor. Parlamentets, tidningars, bankers och nyhetstjänsters sidor faller en efter en. På en del sajter dyker politisk propaganda upp.

Att det är allvarligt blir uppenbart senast när det inte längre går att lyfta kontanter. Och snart börjar brödet ta slut i butikshyllorna.

Snart inser man att landet är utsatt för ett angrepp. I den politiska toppen överväger att blanda in Nato och artikel 5.

Attackerna kom i vågor under en tre veckors period och slutade överraskande och tvärt. De var inte tillräckligt långvariga för att orsaka någon allvarlig skada, utöver irritationen över tomma brödhyllor och brist på kontanter, och efteråt fortsatte samhället fortsatte rulla på som normalt. Så småningom grep och bötfällde myndigheterna en rysktalande est för att ha deltagit i attackerna.

Samtidigt "visste" alla att Ryssland stod i bakgrunden.

Visst har man övat på vissa scenarier, men fortfarande borde man öka på kommunernas förståelse för cyberanfall.

Andra exempel

Händelsen är unik i sin omfattning, men inte unik. De två senaste exemplen kommer från Ukraina och Turkiet 2015. I Ukraina fällde någon, Ryssland hävdas det igen, elnätet i stora delar av landet. I Turkiet fällde hackergruppen Anonymous hundratusentals webbsidor, något som stoppade en stor del av de dagliga tjänsterna.

Finland har hittills i stort sett klarat sig utan att drabbas av den här typen av attacker. Något osannolikt scenario är det ändå inte - det uppfattas som en tillräckligt stor risk för att de flesta myndigheter ska vara inblandade i riskhanteringen. Ett fungerande internet räknas också som kritisk infrastruktur som gjort samhället sårbart, där en större attack kan lamslå stora delar av samhället.

Konsekvenserna är svåra att överblicka. Men ett större anfall stoppa allt från elförsörjning till logistik, kontantuttag, matleveranser, sjukhus och bensinstationer. Kort sagt kan hela samhället falla på en kort tid.

Trots riskerna har få av kommunerna enligt inrikesministeriet övat på ett scenario som det i Estland. Det gäller också i Borgå där man utgår ifrån att det i praktiken är samma sak som när elnätet slutar fungera. Det, påpekar man på Inrikesministeriet, är fel sätt att tänka. Lagstiftningsråd Tiina Ferm jobbar med dessa frågor och säger att kommunerna har en hel del att förbättra när det gäller cyberhot.

– Jag har själv jobbat med en del kommuner och deras beredskapsplaner, bland annat i form av seminarier. Visst har man övat på vissa scenarier, men fortfarande borde man öka på kommunernas förståelse för cyberanfall. Det finns en hel del att göra.

Ferm säger att man på statligt håll tagit hotet på allvar. Därför finns det system som säkerställer att staten fungerar som normalt även om det uppstår stora problem, bland annat med egna nätverk som är dubblerade och med övningar inför specifika scenarier. Man har också skapat en cybersäkerhetsstrategi med 74 åtgärdsförslag.

– Åtgärdsförslagen är dessvärre mycket underfinansierade. Det handlar om ett par miljoner euro, där största delen gick till Kommunikationsverkets cybersäkerhetscenter.

Vilka motiv?

Hur realistiskt hotet är måste speglas i en rad faktorer, som det världspolitiska läget och vilka motiv det finns. I Estland handlade det till exempel om kontroversen kring den sovjettida statyn Bronssoldaten som man ville flytta. I Turkiet handlade det däremot om privatpersoner med en politisk agenda. Det kan också handla om så enkla saker som att någon bara vill bevisa att den kan.

Jorma Mellin, tidigare ordförande för Ficix, en organisation som har tre serverhallar genom vilken en stor del av all intern internettrafik i Finland löper, säger att hotet ska tas på allvar. Mellin, som var ordförande i fjorton år innan han gav över ansvaret för ett par veckor sedan, påpekar ändå att man är väl förberedda.

Mellin säger att det ibland händer att någon gör försök att skapa stora problem med datatrafiken i Finland. Man känner ändå till vilken typ av anfall det är fråga om och hur de går till. Problemet är nya idéer. Estlands scenario kan upprepas här i något skede, och då i samband med någon ny typ av anfall.

– Vi är beredda på att det sker en attack som vi inte sett tidigare. Problemet är att man i år tar i användning den datakabel som går mellan Finland och Tyskland. Den möjliggör sådana mängder datatrafik att vi sannolikt kommer att se attacker på en helt annan nivå också i Finland, säger Mellin.

Vi har bland annat planer där vi för ut information till invånarna via budbärare.

Konsekvenser i verkligheten

Också Ferm påpekar att ett cyberanfall i sin värsta form kan få konsekvenser i den riktiga världen. Trafikljus slutar fungera, matleveranserna stannar, betalkorten slutar fungera, sjukhusen fungerar dåligt. Bensinen börjar ta slut. Myndigheter har svårt att tanka bilarna eftersom allt numera betalas med kort. Det är också situationer man övat på i kommunerna, men inte när det är följden av problem med nätförbindelserna.

I Borgå inbegriper beredskapsplanen nog problem med internet, men då bara i samband med kommunikation. Därför har man också byggt ut systemet så att man har redundans, alltså reservsystem och flera servrar om något skulle uppstå. Men man "följer med bilden" kring säkerhetsläget, som dataadministrationschef Axel Ek uttrycker det.

Outi Lehmijoki, förvaltningsdirektör i Borgå och ansvarig för beredskapsplanen, säger att man har planer för en situation där man inte får ut information. I praktiken sammanträder då ledningsgruppen och försöker komma på den bästa strategin för att kunna informera.

– Vi har bland annat planer där vi för ut information till invånarna via budbärare. Det är inte optimalt, men fungerar i värsta fall.

Överväger övningar

Tiina Ferm säger att Borgå inte är ensamt om att inte ta hotet på tillräckligt stort allvar, trots att kommunerna har en plikt att öva för olika scenarion. Hon anser att de också borde göra separata riskkalkyler, inte så att man räknar med att allt faller om det blir problem med nätet. Det ska finnas separata planer för när banksystemet faller, eller när logistikkedjan brister. Det räcker inte heller med att bara tänka på kommunikationen med invånarna.

– Det är väldigt synd att man inte tar det på allvar. Nätet är numera en så kritisk del av samhället att allt är bundet till det. Därför behöver man öva på just dessa situationer.

I Borgå har man visserligen deltagit i enstaka övningar som är kopplade till cyberhot. Det oaktat utgår man ifrån att en situation där all en stor del av all datatrafik stannar motsvarar att eltillförseln bryts. De olika centralerna har förstås också sina egna planer för hur de ska agera när det uppstår specifika problem.

– Det kan gälla till exempel hälsovården och lokalservice som räknar ut hur man får ut maten. Det har vi övat på, och jag föreställer mig att det är ungefär samma situation om det blir problem med datatrafiken, säger Outi Lehmijoki,

Men där är Ferm av annan åsikt.

– Allt rör sig via digitala styrsystem. Precis allt. Det kan uppstå mycket specifika problem över stora delar av samhället. Det måste man vara beredd på, även om konsekvenserna kan se likartade ut.

Trots att man i Borgå inte berett sig på saken så ser Lehmijoki ändå inte att en mera specifik övning för cyberhot är omöjlig.

– Det är inte en så dum idé. Och vi kommer att överväga den. Vi instämmer i farhågorna som målas upp och håller med om att beredskapsplaneringen kring datatrafik och internet är extremt viktigt.