Hanna Linderstål blev 2024 utnämnd till Årets säkerhetsprofil och hon lyfts ofta fram som en ledande expert inom cybersäkerhet. Vägen till denna roll gick via Försvarsmakten och it-branschen, där hon bland annat var med och byggde en av Sveriges första internetbanker.
– Runt millennieskiftet hopade sig cyberhoten. Jag varnade högljutt för påverkansoperationer, men folk nästan skrattade åt mig då, säger Hanna Linderstål.
Det är först på senare tid som frågan kring cyberhot och säkerhet har kommit upp på agendan på allvar. Även hos energibranschen ser hon numera ett mycket större intresse kring cybersäkerhet. Hon lyfter fram hur AI har blivit ett viktigt verktyg för den som vill begå cyberbrott.
– Om jag frågar ett AI-system utan begränsningar hur jag ska angripa ett vattenkraftsystem så får jag bra svar. Jag skulle också kunna fråga var jag hittar den svagaste punkten hos ett specifikt energibolag, säger hon.
– Då kommer AI gå igenom alla artiklar som är publicerade, eventuella sårbarhetsanalyser som företaget självt har publicerat, kommentarer i sociala medier där anställda har skrivit om sårbarheter osv. Sedan summerar AI-verktyget allt det här och ger receptet på hur en cyberattack mot detta bolag kan gå till.
Andra risker som hon tar upp är bland annat ransomewareattacker, där angripare kräver en lösensumma för att inte förstöra ett it-system. Ett känt exempel på detta i energibranschen är Colonial Pipeline-attacken i USA 2021 som ledde till bränslebrist.
När vi pratar cyberbrott tenderar vi att glömma bort människan, men människan är den lättaste vägen in på ett företag.
Viktigt med krisövningar
För att energibolag ska kunna veta var hoten finns, var deras största sårbarheter är och hur de ska hantera en cyberattack är det avgörande att göra krisövningar menar Hanna Linderstål, vars företag utvecklat en plattform för detta.
Krisövningen, som är skräddarsydd för varje kund, börjar med att anställda på exempelvis ett energibolag får ett meddelande på sin mobil eller dator att det skett en cyberattack mot en specifik del i verksamheten. De anställda får i förväg veta att det kommer att ske en övning men inte när den kommer att äga rum.
– Som mottagare får du ett ganska maffigt inspel på några minuter vad som har hänt och sedan får du ett visst antal minuter på dig att organisera ditt team och ta reda på vad du behöver göra nu.
– Efter den här övningen samlas vi och gör en avstämning. Något som är viktigt vid en kris är att involvera hela organisationen och inte bara krisledningen. Alla har inte samma insikt.
Jobbmejlen är en stor risk
På frågan om vad hon ser som de största cyberriskerna för just energibolag svarar hon snabbt att det är de enskilda medarbetarna.
– När vi pratar cyberbrott tenderar vi att glömma bort människan, men människan är den lättaste vägen in på ett företag.
En av de stora säkerhetsriskerna är att använda sin jobbmejl även privat.
– Du sitter stressad på jobbet och plötsligt poppar det upp ett mejl om barnens fotbollslag med en lista på vilka föräldrar som kan köra till nästa match, och så klickar du på den filen utan att tänka på att det kan vara en hacker som ligger bakom den.
Men att klicka på ett så kallat phishingmejl kan få allvarliga konsekvenser.
– Jag vet inte hur många gånger jag har sett attacker ske där man har goda rutiner och bra system, men där medarbetare inte varit uppmärksamma för att de varit stressade eller överbelastade. Vi har inte råd med det idag, säger Hanna Linderstål.
4 råd från Hanna Linderstål för att skapa en hög cybersäkerhet på energibolag:
1. Se till att personalen har tid, kunskap och rätt beteende. Bra teknik räcker inte om människor är stressade, trötta eller ouppmärksamma. De behöver därför ha tid att utföra sina arbetsuppgifter för då minskar risken att de i en stressad situation klickar på ett infekterat mejl. Se också till att personalen inte använder jobbmejl till privata ärenden.2. Kartlägg och testa era kritiska processer. Identifiera vilka funktioner som är verkligt avgörande för driften. Skapa och öva på en analog redundans och se hur ni kan bedriva er verksamhet då. 3. Synka över kommungränserna. Energibolag behöver kunna drifta varandra över kommungränserna om ett bolag slås ut. Det räcker inte med samarbete, utan man behöver även synka teknik, roller och beslut. 4. Öva och öva tillsammans. Genomför realistiska övningar med egna scenarier, till exempel angrepp på ert värmeverk. Låt även leverantörer och grannkommuner delta i övningen för att testa samspel och ansvar.
Ann-Sofie Borglund
