2024 är ett kritiskt år för nödvändiga investeringar inom cybersäkerhet. Ett svårare geopolitiskt läge, ny teknologi, hårdare reglering och ett ökat beroende av digitala system riskerar att bli en perfekt storm för verksamheter som inte står förberedda. Daniel Aldstam, koncernsäkerhetschef på GlobalConnect, berättar för Fastighetssverige vad man som fastighetsbolag kan behöva tänka på.
– När vi pratar säkerhet idag så finns det väldigt mycket att tänka på, framför allt inom cybersäkerhet, säger Daniel Aldstam.
– Frågan är hur vi hanterar detta.
NIS-2-direktivet är en uppdatering av det ursprungliga NIS-direktivet, vilket trädde i kraft den 19 juli 2016. NIS-direktivet – Network and Information Systems Directive – är en reglering som syftar till att höja den allmänna nivån av cybersäkerhet och säkerställa en hög säkerhetsnivå för samhällskritisk infrastruktur och viktiga tjänster inom EU. Uppdateringen, NIS 2, trädde i kraft i januari 2023 på EU-nivå och börjar gälla som lag i Sverige från oktober 2024.
Fastighetsbranschen är egentligen inte extra sårbar eller särskilt utsatt för hacker-attacker, men många av branschens kunder kommer däremot att påverkas av NIS 2 och därigenom fastighetsägarna.
– Det här innebär att bolagen måste ha en säkerhetsstrategi, man måste kunna hantera risker och ha en plan för hur man ska agera om man utsätts för en hacker-attack och man måsta säkra upp i sina system. Det finns tyvärr inga enkla föreskrifter av typen ”gör så här så är du säker”, utan vad det handlar om är att man måste ha koll.
Det finns olika typer av cyberhot som företag – och privatpersoner – kan utsättas för. Cyberattacker har ökat med 220 procent under 2023. En av de vanligare sortrna kallas ransomware, en typ av attacker som ökat med 50 procent det senaste året.
– Det går i princip ut på att man får ett ”virus”, hackarna krypterar din hårddisk eller din data och sedan säger de ”jag vill ha x antal kronor eller bitcoin för att låsa upp den åt dig”. De är oerhört proffsiga: kundtjänst på alla språk, telefonnummer att ringa och konton att stoppa in pengarna på.
En annan typ av hackerattack kallas DDoS-attacker. ”Distributed Denial of Service”, som uttrycket står för, innebär att man har en websida som man skickar jättemycket trafik till, för att överbelasta så ingen kan komma åt den.
Vilka är det då som gör det här? Det har, enligt Daniel Aldstam, ändrats över åren.
– Idag är det betydligt fler ”state sponsored actors”, som de kallas, det vill säga hackare som sponsras av någon främmande makt.
Varför gör de det? Vanligast är finansiella orsaker; man vill helt enkelt tjäna pengar. Spionage är en annan vanligt förekommande orsak, ideologiska skäl likaså, liksom att helt enkelt vara ute efter att ”jävlas”.
– Det kan också handla om att vilja ”ta ner” en konkurrent.
Sättet man tar sig in på varierar men kan ändå generellt sägas följa vissa mönster. Ett företag har internet, ett antal system (som är åtkomliga från internet), lite brandväggar och en internetleverantör. Vanligast är att hackare scannar internet efter företag med sårbara system (t.ex. webservrar) och tar sig in den vägen.
– Näst vanligast är så kallade phishing-mail. Någon, eller några, i företaget får ett sådant, någon klickar på det och hackarna installerar ransomware och tar över pc:n samt det pc:n är kopplad till och så är de inne. En hackare kan också ta sig in i ett företag via den så kallade ”bakvägen”, det vill säga via internetleverantören, säger Daniel Aldstam.
Det finns också ytterligare en facett av hacker-attackerna, en som nästan hade varit lite lustig om det inte vore för skadorna den åsamkade: Hacker-attacker, berättar Daniel Aldstam, går idag att köpa på internet.
– Man beställer en attack på, till exempel, Expressens hemsida. Första timmen är gratis, sedan kostar det allt från 50 kronor och uppåt. Det kallas för DaaS; DDoS As a Service. Finns också som RaaS, Ransomware as a Service.
– Jag står inte här och ljuger nu; det ÄR så här. Det här är verkligheten idag.
Med AI på frammarsch kan – och sker – scannandet av internet, hålsökandet och testandet av svagheter per automatik och mycket snabbare. Vad betyder detta för fastighetsbranschen? En rundringning som Global Connect gjort visar att 43 procent av fastighetsägarna i Sverige har IT-säkerhet på plats idag. Mer än hälften har det alltså inte.
– Om något av de viktiga systemen, det kan vara affärssystemet eller fastighetsautomatiseringssystemet, blir hackat, vad gör fastighetsägaren då? Vilket är viktigast? Är finanssystemet viktigare än solcellsbatteristyrningen? Det kommer alltid finnas sådana här sårbarheter – frågan är hur man hanterar dem?
Först och främst, menar Daniel Aldstam, måste de här frågorna upp på bordet hos ledningsgruppen. Allt går inte att lösa, men diskussionen måste finnas. De system man har måste härdas och göras säkra, till exempel genom ett frekvent byte av lösenord och så kallad patchning, uppdatering av systemen.
– Det är också viktigt att ha koll på företagets access. Vem kommer åt vad i systemen? Ska alla få tillgång till allt, eller ska man begränsa det? Enligt mig ska man begränsa så mycket det bara går.
