Vi måste skydda oss mot cyberattacker!

En kraftig ökning av omfattande cyberattacker mot utländska lärosäten har skett under 2020, och även i privata sektorn har utpressningsattackerna ökat flera 100 procent. Kriminella aktörers framfart leder till stopp i forskning, undervisning och administration under veckor eller månader. Att lärosäten under coronapandemin gått över till distansarbete, distansundervisning och även examinationer på distans ökar sårbarheten.

Hösten 2020 beslöt vi oss för att ta reda på vilka konsekvenser en större kriminell utpressningsattack skulle kunna få på forskning, undervisning och administration vid fakulteten, och vad det skulle kosta.

Vi tog fram ett tänkt scenario där uppemot 1000 forskare och andra medarbetare i ett slag blir utan tillgång till arbetsdatorer, IT-nätverk, e-post, stora mängder kritisk information och data under 4-8 veckor. Ett stort antal personer intervjuades för att identifiera vilka befintliga värden som skulle ta skada samt vilka framtida värden man kan gå miste om.

Några händelseförlopp vi identifierade

Forskning:

Extremt mycket data som inte går att mäta i pengar kan gå förlorat, t.ex. bilder och spektrum. Risken är att vissa data, t.ex. inom populationer eller kohorter, går förlorade för evigt så att forskningen aldrig kan slutföras. Forskningsprojekt kan bli (mycket) försenade, vilket påverkar finansiering och publicering. Disputationer skjuts upp. Forskningsresultat blir värdelösa om man saknar ursprungsdata och därmed inte kan fullfölja en longitudinell studie. När data inte finns tillgänglig finns risk för framtida fuskanklagelser och patentstrider. Biobanksdata, värden på labprover, socioekonomiska uppgifter, etc. kan vara intressanta att stjäla och eventuellt sälja, vilket kan leda till omfattande rättsprocesser.

Undervisning:

Kostnader för avbrott i undervisningen kan innebära att flera månaders förberedande arbete går förlorat. Om forskargrupper behöver avvecklas efter att forskningen skadats kan professorer med unik undervisningskompetens lämna universitetet och bli svåra att ersätta. Möjligheten att fortsätta ge vissa kurser eller utbildningar försvåras. Studenterna drabbas av stopp i system för schemaläggning och lärplattformar. Stopp i processer där man behöver veta om studenter är kvalificerade att studera vidare, examineras eller få ut medel från CSN kan få konsekvenser för många.

Infrastrukturer:

Driftsättning av ny infrastruktur, t.ex. byggnader, kan försenas och innebära hyreskostnader för nya lokaler som inte tas i bruk. Dokumentation som behövs för placering i lokaler kan vara otillgänglig i flera veckor.

Kanslier och administration:

Om det inte går att göra utbetalningar till externa lärare riskerar fakulteten att bli av med examinationsrätten. Om löner inte kan utbetalas ger det privatekonomiska konsekvenser. Om HR-material som innehåller personuppgifter stjäls skadas förtroendet. Det kan också ge viten och leda till känslomässig skada.

Externa partners och omvärlden:

Viljan att ge donationer till fakulteten kan påverkas negativt. Om nationella resurser vid fakulteten inte är tillgängliga kan andra universitet påverkas. Läkemedelsbolag kan överväga att avsluta sitt samarbete.

Erfarenheter i omvärlden visar att värden går förlorade och kostnader uppstår

Erfarenheter i omvärlden visar att värden går förlorade och kostnader uppstår under flera år efter att verksamheten (förhoppningsvis) lyckats återställa data och information. För Medicinska fakulteten på Lunds universitet kunde vi estimera synliga kortsiktiga direkta kostnader, till exempel stora insatser från IT-personal, kommunikatörer, förlorad arbetstid utan datorkraft, externa säkerhetskonsulter, etc.

Dessa beräknades till 18 miljoner kronor medan en första analys av ”osynliga” och svårbedömda belopp uppgick till 120 miljoner. Därefter uppskattades ytterligare ”osynliga” värden gå förlorade på grund av så kallade dominoeffekter till följd av förlorad verksamhet, förlorat renommé och förlorad forskning. Dessa svåruppskattade effekter beskrivs i många analyser av privata företag och av konsultföretag. Vi slutade estimera dessa när vi nått upp till ytterligare dryga 380 miljoner kronor.

Vad gör man då?

Om det inte finns ett fungerande systematiskt fakultetsövergripande säkerhetsarbete kanske det behövs hjälp att bygga nya tankebanor hos ledningen. Utan rätt synsätt och kompetens är det svårt att skapa motståndskraft mot antagonistiska hot och cyberbrott. För detta behövs förståelse av cyberkriminella motiv och förmåga att förutse attackscenarier i den egna verksamheten.

Det kan ibland behövas organisatoriska förändringar för att få till stånd ett effektivt, kontinuerligt riskbaserat informationssäkerhetsarbete, med tydliga roller, ansvar och befogenheter. Ledningen ska ha fokus på verksamhetsrisker och tillgångars värde, inte fastna i diskussioner om teknisk IT-risk. Därefter är man redo att prioritera långsiktiga investeringar för att uppnå ett robust skydd. Jämte förebyggande åtgärder behöver frågan ”Vad gör vi om det händer?” besvaras. Därför ska kris- och kontinuitetsplaner finnas för att reducera skadan och hantera en incident om eller när den händer.

Sist men inte mist, vägen in för en cyberbrottsling är enkel. Dörren öppnas nästan alltid av en medarbetare som råkar klicka på en skadlig länk, t ex i ett epost-meddelande, och sedan tar inkräktaren stegvis kontroll över IT-miljön.

Ingen är säker, alla kan drabbas av en cyberattack. Men orsakerna till att en organisation drabbas måste alltid utredas och offentliggöras. Myndigheter, medarbetare, finansiärer, forskargrupper, partners, deltagare i studier, studenter och inte minst media förväntar sig svar. Samtidigt: om dessa utredningar kommer fram till att det fanns allvarliga eller uppenbara brister i informationssäkerheten, skadar det förtroendet ytterligare. Det blir ännu svårare att reparera skada och återhämta sig.

“It takes 20 years to build a reputation and few minutes of cyber-incident to ruin it.”

Framförallt krävs dock ett förebyggande arbete. Proaktiv cybersäkerhet borde vara en självklar punkt på ledningens agenda i varje framgångsrik, modern och attraktiv organisation. Att skydda en stor fakultet eller ett helt lärosäte mot cyberattacker samtidigt som man bibehåller sin öppenhet är svårt, men inte omöjligt. För att upprätthålla ett gott förtroende och ett starkt varumärke är det nödvändigt. Vi citerar Stephane Nappo som är Chief Information Security Officer vid Societe Generale i Frankrike:

“It takes 20 years to build a reputation and few minutes of cyber-incident to ruin it.”

Ingegerd Wirehed, Chief Information Security Officer (CISO) på Lunds universitet
Heiko Herwald, vice dekan, professor och ordförande i Medicinska fakultetens informationssäkerhetsråd, Lunds universitet