FinansNyhet

”Politiker tar inte hackerhotet på allvar”

Cybersäkerhetsexperten Jakob Bundgaard är verksam på PwC.
Publicerad

Cyberangreppen ökar. Men politiker och bolagsstyrelser blundar, enligt PwC:s enhet för it-säkerhet – som vill ta täten i kampen mot hackarna. ”Vi ska mer än fördubbla avdelningens arbetsstyrka och omsättning inom ett par år”, säger Jakob Bundgaard på PwC.

David Gustavsson

Jakob Bundgaard har arbetat på PwC sedan sin examen som civilekonom på Lunds universitet för över 20 år sedan.

– Det var lite av en slump att jag kom [dit] efter mina studier. Liksom många studenter visste jag inte riktigt vart jag ville. [De] höll en företagspresentation på universitetet och gav ett mycket positivt intryck, som visade på både kompetens och värme, säger Jakob Bundgaard till Realtid.se.  

Han har tidigare ansvarat för PwC:s avdelning för intern kontroll, riskhantering, hållbarhetsfrågor,  internrevision samt IT-säkerhet. 

Annons

Var kommer it-intresset från?

– Jag har alltid tyckt att det är kul att förstå hur saker fungerar, för då kan jag hjälpa andra med saker de inte riktigt kan hantera själva. Men jag är ingen ”hacker”-typ, utan den som håller ihop verksamheten.

Sedan i december Jakob Bundgaard chef för PwC:s avdelning för cybersäkerhet som funnits i två år, med cirka 70 medarbetare. Totalt arbetar omkring 3.700 personer på PwC Sverige.

Annons

– Vi ser ett ökat tryck med fler cyberangrepp och att det ökar framåt. Därför måste vi stötta våra kunder, samtidigt som vi ser stark tillväxt på området. I en av våra senaste satsningar hjälper vi till exempel företag med hotanalyser och incidenthantering, berättar Jakob Bundgaard. 

På enheten finns kompetenser inom bland annat säkerhetsskydd, robotisering. Men också inom samhällssäkerhet i stort.

– Vi har en väldigt uttalad strategi om att, inom ett par år, vara den ledande aktören inom cybersäkerhet i Sverige. Det finns ingen tydlig sådan aktör än, utan främst nischspelare. Vi vill växa kraftigt och bli 150 medarbetare på avdelningen mot dagens 70 och omsätta 250 miljoner mot 100 i dag, berättar Jakob Bundgaard

Annons

Att rekrytera är dock en utmaning. Rekryteringsbasen i Sverige är väldigt liten och sämre än en del andra länder i Europa, enligt Jakob Bundgaard. Bolaget får dock in allt mer spontanansökningar och PwC kan hämta juniora medarbetare direkt från utbildningar.

– Vi måste få ordning på utbildningssituationen. Det behövs mer utbildning inom cybersäkerhet. Det finns i dag några få på området inom Försvarshögskolan och på en del tekniska skolor. Men det kan utvecklas mycket mer. Och vi och andra i branshcen måste stötta det. 

Letar ni kompetens utomlands?

– Rekryteringsbasen finns i Sverige men vår verksamhet är global och vi kan hjälpa varandra med kompetensutbyte mellan länder. 

En PwC-rapport från början av året visar att hälften av Sveriges största bolag utsattes för en cyberattack under 2017. En majoritet drabbades även av upprepade attacker.

En annan PwC-undersökningen från i maj i år visar att världens bank- och finansbransch är särskilt oroad över ökad cyberkriminalitet. Nio av tio finansbolag tror också att sådana angrepp hotar deras tillväxt.  

Jakob Bundgaard är inte överraskad över resultaten, men är oroad. 

Sverige har halkat efter sina grannländer på cyberområdet. Och de flesta svenska bolagsstyrelser ser fortfarande cyber-säkerhet som främst en it-fråga – och inte något som berör hela verksamheten.

– Vår [senaste] rapport visar att cyberhot utgör en betydande verksamhetsrisk. Ett angrepp kan äventyra hela verksamheten och medför även varumärkesrisk. Det går att komma åt otroligt mycket information och tillgångar genom att hacka sig till det. 

Säkerhetsbrister kan förstås leda till minskad förtroende, vilket kan vara tillväxthotande på sikt. Banker och andra finansbolag måste visa att de kan hantera hoten, enligt Jakob Buundgard. 

– Framför allt styrelser har haft ett litet sent uppvaknade. De förstår problemet när man pratar med dem, men har inte tänkt på dem fullt ut innan, säger han.

Jakob Bundgaard är också förvånad och bekymrad över den låga och digitala kompetensen i svenska styrelser, vilket PwC-studier påvisat. Fyra av fem it-säkerhetschefer rapporterar inte ens direkt till styrelsen, vilket är en mycket låg siffra ur ett globalt perspektiv.

– Det är oroväckande. It och digitalisering borde i allra högsta grad vara en styrelsefråga. Jag trodde verkligen att vi hade kommit lite längre. För det är inte frågan om man blir utsatt för ett angrepp, utan när. 

Bank- och finansbranschen är särskilt sårbar, enligt Jakob Bundgaard. Den är samhällsviktig och väcker mycket uppmärksamhet, vilket hackare ofta söker. De kan såklart också komma över stora summor pengar genom att hacka finansaktörer. 

Sverige brukar ligga i framkant inom digitalisering. Varför har är styrelsers digitala kompetensen så låg?

– Vi är duktiga på digital innovation och ny teknik men har inte sett över säkerheten ordentligt. Jag har inget bra svar på vad det beror på. Men vi har sett, inom andra områden, att vi är lite mer naiva här i Sverige, säger Jakob Bundgaard och fortsätter:

– Vi har stor tilltro till varandra och samhället och tror gott om alla. Men cyberhot känner inga landsgränser. Vill man hacka något så letar man efter svagheter i ett system, och då spelar det förstås ingen roll var systemet är lokaliserat.

Alla medarbetare på ett bolag måste i dag vara säkerhetsmedvetna, enligt Jakob Bundgaard.

Ökar angreppsrisken också med molnlösningar?

– Attackerna ökar hela tiden liksom molnlösningar. Men sedan om det hänger ihop är svårt att avgöra. 

Det har också vuxit fram självinlärande AI-verktyg som automatiskt hackar system. 

Vem leder AI-racet i det här fallet? Försvarssidan eller hackarna?

– Det går lite upp och ner. Men jag tycker att vi är duktiga på att anpassa oss, men det är en utmaning.

Har det blivit lättare att hacka?

– Inte nödvändigtvis. Men det är lättare än någonsin att söka upp information på nätet om hur man ska gå till väga. Och vi på PwC känner att politiker inte tagit detta hot på tillräckligt stort allvar. Sverige har halkat efter både Danmark och Norge.

– De behöver vakna upp och få upp det högt på agendan. Om man inte agerar tror blir det tufft framåt. Bristande it-säkerhet är en oerhörd konkurrensnackdel.

PwC har nu intervjuat samtliga svenska toppolitiker kring hur de ser på utmaningar inom cyber-säkerhet och vad de anser behöver göras. Resultaten presenteras i en rapport i år.

– De är inte klara än, men vi har fått höra allt från att man måste utbilda äldre i cybersäkerhet till att man ska ha något slags ”cyberhemvärn”. Andra vill se en särskild myndighet för de här frågorna, berättar Jakob Bundgaard.

Personligen önskar han en ökad samverkan mellan privat och offentlig sektor på cybersäkerhets-området som är ett brett samhällsproblem, enligt Jakob Bundgaard.

– Man kan tänka sig olika forum där man diskuterar de här frågorna och lyfter fram goda exempel. PwC bjuder redan in till rundabordssamtal för att exempelvis diskutera kritisk infrastruktur, som ju finansverksamhet är en viktig del av den.

Han tycker att EU:s nya dataskyddslag GDPR, som infördes den 25 maj i år, lett till bra diskussioner om ökad datakontroll. Men det är också en stor utmaning att leva upp till regleringen. 

– I höst väntar också det så kallade NIS-direktivet som ställer högre krav på säkerhet 

Vanliga typer av cyberangrepp

  • anliga cyberangrepp
  • Malware har blivit en vanlig form av skadlig kod senaste åren. Koden är designad för att skada en dator utan ägarens kännedom. Den skadliga koden installeras när användaren exempelvis klickar på en länk eller öppnar en bifogad fil i ett mejl. Malware kan sedan samla information från datorn. Det kan handla om exempelvis industrispionage eller kartläggning av personer för att få fram känsliga uppgifter i utpressningssyfte. Datorvirus är också skadlig kod som dock är designad för att spridas vidare.
  • Så kallade belastnings- eller ddos-attacker syftar till att sänka onlinetjänster och sajter genom att överbelasta dem med trafik från många olika källor. Flera svenska storbanker har drabbats av sådana angrepp senaste åren. I september 2017 fick skadeprogrammet Mirai en enorm spridning när det fortplantade sig i tio miljoner IOT-uppkopplade webbkameror. Detta ledde till den största ddos-attacken i USA:s historia. Flera banksajter kraschade och tjänster som Netflix, Pandora och Itunes gick ned.
  • Att använda uppkopplad utrustning (IOT) – allt från termostater till övervakningskameror – för att sprida skadlig kod har ökat kraftigt. IOT-produkter är tacksamma mål för hackare, då de är datadelande och automatiskt sprider vidare information. Det finns till och med fall med hackade kor. Det är nämligen inte helt ovanligt att boskap i Australien och på Nya Zeeland är utrustade med internetuppkopplade och datadelande chipp som låter bönder övervaka exempelvis kornas hälsa och mjölkproduktion.
  • Enligt det israeliska it-företaget Check Point Software har det även skett en våg av så kallade ”kryptomining”-attacker mot företag och organisationer. Hackermetoden syftar till att ta över och stjäla datorkraft för att ”bryta” eller ”mina” kryptovalutor som blivit lukrativa; främst mot bakgrund av en  kraftigt stigande bitcoin-kurs i slutet av 2017. Hackarna tar över serverhallar och molntjänster, då ”mining” kräver enorma mängder datakraft. Samtidigt sinkas offrets digitala funktioner. Webbplatser kan exempelvis bli långsammare och ibland kraschar de.

Globala cyberattacker

  • Globala cyberattacker
  • Förra sommaren spred sig det så kallade Notpetya-viruset, av ransomware-typ, till många länder. Det infekterade Windows-baserade system och drabbade främst ukrainska banker och företag, men fick därefter global spridning.
  • En annan uppmärksammad global ransomware-attack är Wannacray som spred sig över världen i maj 2017. Även den koden infekterade Windows-system som blockerades. För upplåsning var användaren tvungen att betala 300 dollar. Det mesta tyder på att den skadliga koden först fick spridning i Asien. Men redan några dagar senare hade Wannacry infekterat över 230.000 datorer i över 150 länder. Totalt drabbades 200.000 datorer.
  • Värst drabbade var Rysslnad, Ukraina, Indien och Taiwan. Men viruset sänkte även stora delar av Englands och Skottlands sjukvårdssystem, samt spred sig till japanska Nissans system. Biltillverkaren fick stoppa en del av sin produktion under en period. Även Reanults sajter infekterades och sänktes.
  • Spanska telefonoperatören Telefónica, FedEx och tyska järnvägsbolaget Deutsche Bahn blev också infekterade – samt otaliga andra företag och länder.
Annons