Ryssland har tvingats att rikta spionage mot webben

Redan flera månader före anfallet i februari 2022 rapporterade nyheterna om hur Ryssland koncentrerade sina trupper nära gränsen till Ukraina. Liknande förberedelser märktes också på nätet. Redan före kriget minskade Rysslands cyberinsatser mot Finland när landet koncentrerade sina krafter på Ukraina. Det var lugnare än normalt i Finlands nät också i början av anfallskriget
under våren.

Men redan i somras kunde den lugnare perioden konstateras vara över också hos oss. Den ryska cyberverksamheten i Finland blev livligare och återgick till sin normala nivå. Under andra halvåret 2022 var de ryska försöken till cyberspionage på Finland aktivare än tidigare.

Finländska aktörer är föremål för kontinuerliga cyberspionageförsök

En av konsekvenserna av Rysslands anfallskrig har varit att cyberspionagets betydelse accentuerats. Rysslands traditionella personbaserade underrättelseinhämtning har försvårats, eftersom många i Europa har brutit kontakten med ryska aktörer. Samtidigt har ryska underrättelseofficerare utvisats från västländer.

Ryssland är tvunget att inhämta information på andra sätt också i Finland. Finländska myndigheter och företag utsätts regelbundet för försök till cyberspionage från ryskt håll. Ryssland är främst intresserat av Finlands utrikes- och säkerhetspolitiska beslutsfattande. Också risken för företagsspionage ökar, eftersom sanktionerna försvårat tillgången till spetsteknik i Ryssland och
landet försöker starta egen produktion för att ersätta västimporten.

Även om Ryssland nu framhävs i den offentliga debatten också när cyberspionage diskuteras, är det inte bara Ryssland som försöker spionera på västvärlden. Kina har exceptionellt stora resurser för cyberspionage och inga betydande förändringar har skett i landets aktivitet. Kina är nu intresserat exempelvis av det säkerhetspolitiska läget i Europa.

Rysslands underrättelsetjänster har omfattande resurser för cyberspionage

Syftet med statlig underrättelseverksamhet är att inhämta noggrant utvalda hemliga uppgifter, vilket innebär att statliga aktörer måste välja ut sina objekt på ett annat sätt än kriminella aktörer. Underrättelsetjänster har betydligt mer tid och resurser än vanliga brottslingar och även mer erfarna aktörer och mångsidigare verktyg.

Ryssland siktar på att rikta sin cyberverksamhet mycket noga och på förhand ta reda på sårbarheterna hos objektet. Underrättelsetjänsterna utför ofta på förhand bakgrundsarbete om de organisationer och personer som valts ut som målgrupper. Cyberspionage riktas inte alltid direkt mot det egentliga målet, utan exempelvis mot personer som står målpersonen nära och mot
målorganisationernas underleverantörer.

De ryska metoderna för cyberspionage varierar. De ryska aktörerna utnyttjar bland annat meddelanden för informationsfiske, programvarusårbarheter och attacker mot leveranskedjor. Också dåliga datasäkerhetspraxis, såsom svaga lösenord, kan göra offret sårbart för it-intrång.

Syftet med statlig underrättelseinhämtning är i princip att undvika upptäckt för att information ska kunna samlas in så länge som möjligt. Därför försöker underrättelseaktörerna utplåna alla spår, så de går försiktigt till väga och deras verksamhet inbegriper många moment. Kontakten väcker inte it-kontrollcentralernas uppmärksamhet och kan komma från en adress hemmavid eller i ett
tredjeland.

Det primära målet för cyberspionage är så gott som alltid att komma åt informationskällan. Ibland kan kontakten med målsystemen vara synnerligen märkbar och då finns det väldigt många spår i systemens logguppgifter. Då kan syftet utöver intrång vara att visa upp sin egen cyberkapacitet och att skrämma upp mållandet.

It-säkerheten får inte hänga på en enskild användare

Organisationerna kan väsentligt minska riskerna genom god it-säkerhetspraxis. Det är väsentligt att systemförvaltarna kontinuerligt värnar om it-säkerheten, eftersom de har det huvudsakliga ansvaret för säkerheten i fråga om både systemen och den information som lagras i dem. Det är också viktigt att välja tillförlitliga leverantörer och underleverantörer.

Informationssäkerhet är en kontinuerlig process. Programvaran ska hållas ajour genom säkerhetsuppdateringar. Systemets förmåga att upptäcka avvikelser måste fungera för att det ska gå att upptäcka om något avvikande inträffar. Logguppgifter bör samlas in systematiskt, eftersom det hjälper till att i efterhand utreda eventuella intrång i systemet.

Systemförvaltarna ska bygga upp systemen på så sätt att de tål skadlig verksamhet. Det kan vara mycket svårt för vanliga människor att känna igen exempelvis meddelanden för informationsfiske som är proffsigt utarbetade. Det vore ändå bra om också användarna kom ihåg att använda starka lösenord och tvåstegsautentisering. Det är också bra med sund skepsis mot avsändare av
e-meddelanden och mot bilagor och länkar i olika meddelanden.

Myndigheterna stöder it-säkerhetsarbetet. Skyddspolisen samarbetar med sina internationella och nationella partner för att avvärja cyberhot. I Finland hör Cybersäkerhetscentret till Skyddspolisens viktigaste partner när det gäller att avvärja cyberhot. Skyddspolisen producerar information för centret. Cybersäkerhetscentret delar ut utmärkta anvisningar på sina webbsidor och genom sina nätverk för att utveckla systemsäkerheten.

Vikten av att sörja för cybersäkerheten accentueras allt mer i hela samhället.