Så kan man sammanfatta cybersäkerhetsexperten Mattias Wåhléns betyg på Sveriges försvar mot cyberangrepp efter vad som uppges vara en ransomware-attack av hackergruppen Akira mot finska it-leverantören Tietoevry natten mot lördag förra veckan. En attack som inte bara slagit ut delar av svenska myndigheters och företags it-miljö, utan också tagit sig förbi brandväggen till Sveriges riksdag.
– Det är jätteallvarligt, det här är stort, sade Peter Hultqvist (S), ordförande i försvarsutskottet, till TV4 i tisdags efter att det blev känt att riksdagen drabbats.
Möjlig rysk inblandning
Huruvida det verkligen är Akira som ligger bakom attacken återstår att se. Uppgiften om deras inblandning kommer från Tietoevry. Om det stämmer lär ett kravbrev snart publiceras online där angriparen kräver en stor summa pengar för att befria Tietoevrykundernas kidnappade och via kryptering låsta filer. Sådana krav brukar enligt Mattias Wåhlén komma någon vecka efter själva attacken.
Om Akira till slut tar på sig attacken är sannolikheten inte så liten för att det i slutänden är Ryssland som på ett sätt eller annat står i bakgrunden och rycker i trådarna. Akira sägs nämligen ha kopplingar till Conti, en annan hackergrupp, som i sin tur enligt flera rapporter uttryckt stöd för Ryssland och dess president Vladimir Putin.
Så hur allvarlig är egentligen attacken mot Tietoevry?
– Det jag känner till är att ett system som används av väldigt många myndigheter för löneutbetalningar drabbats. Det är så klart inte bra, men det är inte något som gör att vårt demokratiska styre inte funkar, säger Mattias Wåhlén.
Men vad säger du om att en hackergrupp med kopplingar till Ryssland tar sig in under vår demokratis it-skal?
– Det är oroande, absolut. Dels för att det visar hur sårbara våra system är, dels för att det säkert finns känslig data som riskerar att hamna i fel händer, såna som sen kan sälja vidare data till främmande underrättelsetjänster.
Finns det risk att en läcka i en it-miljö gör det enklare att komma åt annan data kopplad till samma miljö?
– Rent teoretiskt kan jag tänka mig att om ett system blir komprometterat så kan hackarna göra en supply chain attack där de alltså via lönesystemet skickar ut en uppdatering till alla användare och den vägen sprida skadlig kod som gör att hackarna får fotfäste i myndigheten. Men det är inget som verkar ha hänt nu. Dessutom, om man hade haft såna planer hade man inte bränt dem genom en ransomwareattack som alla kommer att upptäcka direkt.
Huruvida några personuppgifter läckt ur riksdagens lönesystem Primula, det som drabbats i samband med attacken mot Tietoevry, kan inte Lena Parkvall vid riksdagsförvaltningens presstjänst svara på.
– Det här systemet ligger ju externt hos en leverantör så det är bäst att de får svara på det, men vi har i alla fall inte fått några indikationer om att något annat läckt, säger hon.
Förlitar sig på det privata
Överlag tycker Mattias Wåhlén att Sverige står väl rustat mot cyberangrepp. Ett problem är dock att statens resurser är mindre än de privata säkerhetsföretagens.
– Det innebär att det ofta blir privata aktörer som gör komplicerade brottsutredningar vid stora cyberangrepp. Skulle Sverige sedan utsättas för ett allvarligt cyberangrepp från ett annat land med stora resurser, så skulle också mycket av ansvaret för att avhjälpa detta sannolikt ligga på privata cybersäkerhetsföretag, säger han.
Du nämnde supply chain attack som exempel på hur djupt hackare kan tränga in i ett system. Vilken är den största skada de kan göra?
– Det kanske mest destruktiva cyberhotet man kan tänka sig är självspridande cybervapen. Skadlig kod som automatiskt försöker sprida sig och förstöra data. År 2017 släppte Ryssland ut ett självspridande förstörelsevirus som kallades NotPetya. Tanken var att det skulle spridas i Ukraina, men inom kort kom det att spridas över hela världen.
Enligt Mattias Wåhlén bedöms kostnaden av det angreppet ha överstigit 10 miljarder kronor.
– Ett annat exempel är Stuxnet som riktades mot Irans kärnvapenprogram, men också spreds utanför landet. Sådana angrepp är dock extremt sällsynta, dels för att det tar lång tid att utveckla dem, dels just därför att de är nästan omöjliga att kontrollera.
Dagens ETC har sökt Tietoevry.
