Om cyberhot mot vår digitaliserade energiinfrastruktur

Ulrika Tornerefelt: Varmt välkommen till Futurapodden, en podd som Stella Futura står bakom. Vi tror på kunskap och att dela den med varandra. Vi pratar energi och omställning och vi gör det med intressanta och spännande gäster. Vi som finns med er här är jag, Ulrika Tornerefelt, som är VD och grundare för Stella Futura.

Per Schlingmann: Och jag, Per Schlingmann, är rådgivare, författare och har det stora nöjet att leda den här podden tillsammans med dig Ulrika. Och denna gången har vi ett väldigt spännande tema. Vi ska prata digitala hot, energisäkerhet och vi ska göra det med Hanna Linderstål, också nyss utsedd till årets säkerhetsprofil. Grattis! Grattis!

Hanna Linderstål: Tack så mycket!

Per: Du har ju över 25 års erfarenhet av att bekämpa cyberhot, desinformation och driver idag Earhart Business Protection Agency. Vad är det för någonting?

Hanna: Earhart Business Protection Agency jobbar egentligen med cyber security-frågor, men vi vill hellre kanske kalla den cyberintelligence. Vi försöker hjälpa organisationer att få robust struktur gällande sin informationssäkerhet, men också skydda sig mot spionage som idag är ett omfattande problem, internationellt men också i Sverige.

Per: Både som samhälle, alltså samhällsstruktur och företag?

Hanna: Absolut, det är hela vägen.

Per: Precis, och sedan har du också en bakgrund inom det psykologiska försvaret?

Hanna: Ja, kanske inte bakgrund, men jag har ett engagemang.

Per: Ett engagemang?

Hanna: Ja, det är nämligen så här att när man inte jobbar med informationssäkerhet, cyberhot och digitalt spionage, då ägnar man sin fritid åt att analysera informationspåverkan. Jag är vice förbundsordförande i en frivillig försvarsorganisation som heter PsyOps -förbundet som finansieras av Myndigheten för psykologiskt försvar, tidigare MSB. Där vi jobbar med kunskapshöjande insatser, bland annat för offentlig sektor, men också allmänheten kring vad är informationspåverkan, vad är informationsmanipulation och vad kan man göra för att skapa sig själv en motståndskraft från att bli manipulerad?

Per: Hur stor är insikten hos den offentliga sektorn vid upphandlingar? Bara som en utgångspunkt för att säga att ni jobbar med kunskapshöjande åtgärder. Är kunskapen låg?

Hanna: Nej, men alltså, desinformation har alltid funnits, men med digitala kanaler och sociala medier så har det ju formligen exploderat. Det kan vara svårt att bedöma att när jag sitter i min privata digitala sfär, att jag får informationsflöden som påverkar mina professionella beslut. Och den där identitetsöverflytningen har vi väldigt svårt att hantera. Vi förstår inte riktigt att vårt digitala jag och vårt yrkes-jag flyter ihop. Så jag skulle säga att det är svårt för oss allihopa. Sen så är det en generationsfråga. Vi som sitter här, kan jag ju se på en gång, att vi är digitala invandrare, vi är ju inte födda i internet, vi är tillräckligt gamla för att ha invandrat i internet. Medan ungdomarna idag, de är ju födda i internet, de är redan födda med en virtuell identitet, egentligen från BB. När mamma eller pappa tog första bilden och publicerade online. Ungdomarna idag är ganska duktiga på att känna igen informationspåverkan. Men sen måste vi fatta att nu går det fort. Med AI-utveckling och snabb digitalisering och effektivisering av kommunikation så kommer informationspåverkan vara så svårt att avgöra i både deepfake-filmklipp och annat. Så det är otroligt komplicerat.

Per: Du är också aktiv inom FN-systemet, eller hur? Kopplat till de här frågorna.

Hanna: Ja, jag sitter som ordförande för Cyber Security Task Group, Metaverse, det som är extended reality, nu är det många svåra ord, inom ITU. ITU är FNs expertorgan för att ta fram regleringar kring internet. Så att regelbundet så får jag höra vad alla andra FN-länder har för framtidsplaner och där lär man sig en del om digital spionage, speciellt inom energisektorn.

Ulrika: Hur ligger Sverige till där, om du jämför med hur det ser ut globalt?

Hanna: Vi är ju reaktiva, jag vill se lite framdrift, jag vill se lite go nu. Jag vill att Sverige kommer upp på banan och pekar riktning. Vi sitter hela tiden och väntar på vad alla andra gör och sen så reagerar vi. Det ska vi ändra på.

Per: Vi har ju pratat ganska mycket beredskap på olika sätt i den här podden och det är väl uppenbart att det kan ju vara så att vi befinner oss i någon typ av skifte. Jag var ju själv statssekreterare i regeringskansliet för ganska många år sedan och då kan man säga att beredskap stod ganska lågt ner på agendan. Det var ju som att hela utgångspunkten var att vi befinner oss i en väldigt trygg värld där tryggheten kan tas för given och det är väl det som har raserats nu. Jag tänkte så här, låt oss gå in på energiinfrastruktur. Vad betyder cybersäkerhet där och varför är det så viktigt?

Hanna: Hela samhället bygger på att vi har ett energisystem som fungerar. Vi är enormt beroende av elektricitet alltifrån till hur vi lever, men också alla våra digitala system som egentligen styr hela vår vardag. Så det är ju helt avgörande att vi har säkrat den. Men tyvärr så är vi ju otroligt naiva i Sverige för vi har ju gjort en uppsjö av, jag ska försöka hitta ett fint ord som inte låter alldeles för aggressivt, naiva uppköp och inköp snarare, upphandlingar av system, som kanske inte alls är säkra vid händelse av, säg en geopolitisk instabilitet där de som vi tror är våra lojala leverantörer inte kommer leverera.

Ulrika: Finns det några väldigt konkreta exempel på det som man skulle kunna ge?

Hanna: Ja men om vi tittar lite på, vi ska inte hänga ut några specifika leverantörer. Ja men om vi börjar med att titta på den förnybara energin då så tittar vi till exempel på vindkraft så vet vi att Kina är storleverantör av vindkraft i Sverige. Har byggt enorma vindkraftsparker och vi är enormt beroende av både deras tekniska kompetens i infrastruktur och driftsförmåga men också alla de här systemen är uppkopplade, de ska uppdateras regelbundet. Och vad skulle hända om Ryssland och Kina bestämmer sig tillsammans att nej vi ska nog inte stötta Sverige längre? Vad händer då?

Per: Ett jobbigt scenario.

Hanna: Ja och kanske inte så himla far-fetched.

Per: Nej, när vi har pratat beredskap tidigare så har vi pratat väldigt mycket utifrån systemets konstruktion, att det finns en balans mellan centraliserat system och mer decentraliserat. Men det som tillförs här är ju också oaktat systemets konstruktion, så här pratar vi om komponenterna, systemen, systemets innehåll så att säga.

Ulrika: Ja och framförallt nu när allting måste digitaliseras eftersom vi har en mer volatil produktion, vi har en mer volatil konsumtion och då måste vi på något sätt skapa en miljö i det som gör att vi får balans. Och det är väl det också att digitaliseringen måste gå så fort nu, hur ska man hinna med det och samtidigt hålla koll på vad man gör?

Hanna: Det första, digitaliseringen har gått snabbt de senaste 25 åren. Vi gillar att digitalisera i Sverige, vi är i framkant när det gäller att ha ett smart samhälle. Vi har inte varit duktiga på att se till vilka våra leverantörer är, hur hanteras våra systemdata, vem har kontrollen över systemen, vem har den indirekta möjligheten att påverka min leverantörs kontroll? Här måste vi vara lite mer, som jag säger, sunt paranoida och tänka att ja men tänk om de pressar min leverantör att tycka eller göra på ett visst sätt. Där ligger vi ganska svagt till. Sen tänker jag också att nu går det ganska fort på AI-fronten och jag har en oro i magen, som jag tänker rätt mycket på, och det är ju vad händer när vi börjar se våra leverantörer säga att ja men vi ska nog ha ett AI som korrigerar styrel vid strömavbrott och alla säger ja vilken bra idé, det går snabbt. Besluten kommer komma i sekundhastighet. Men då gäller ju att den upphandlingen, det systemet och den installationen är klockren. Det oroar jag mig ganska mycket för, det går ju inte långsammare framöver utan tittar vi imorgon och i övermorgon så går det ännu snabbare.

Ulrika: AI är redan en stor integrerad del i all typ av styrning och prognostisering, eller snarare det är ju hybrider ofta av AI och uppsamling av den lilla befintliga data som finns.

Per: Men du säger här att vi är ju exponerade för attacker.

Hanna: Absolut.

Per: Frågan är, sker det löpande attacker mot svensk energiinfrastruktur?

Hanna: Nu sitter inte jag inne så jag kan se alla systemen, men om vi tittar på Sverige i stort så kan vi se att de traditionella cyberattackerna pågår hela tiden mot Sverige, det vi kallar för överbelastningsattacker. Eller också DDoS, Attacker Distributed Denial of Service. Och det är egentligen att man bara bombar ett system med massor med data. Förfrågningar, öppna, öppna, öppna. Jag brukar säga lite sådär krasst att om brandlarmet går och vi ska springa samtidigt ut genom den här dörren blir det trångt. Det är en liten överbelastningsattack. Det sker hela tiden i Sverige. Sen har vi de systematiska intrångsförsöken i system. Och där har vi de som eventuellt har avslöjats. Det är inte jättemånga. Men det som oroar mig det är de som inte har avslöjats. De system som redan är infiltrerade som kanske har en trojan som ligger och väntar på rätt tillfälle eller har en sårbarhet som kan utnyttjas. Och då kommer vi till den tredje delen, och det är ju att drifta IT-system kräver att man ständigt, ständigt, ständigt är på tå. Att man ständigt har den senaste versionen, man är ständigt uppdaterad på hur konstellationerna ser ut inom IT-branschen. Hur datahanteringen ser ut men också våra leverantörers nationella lagar. Så det kräver ganska mycket av oss själva om vi ska ha system. Och där tror jag att vi har en del att göra.

Per: Och hur ser ansvarsfrågan ut i Sverige? Vi har ju pratat tidigare här om ansvarig beredskapsmyndighet. Finns det någon som tar ett samlat grepp kring, låt oss kalla det för cybersäkerhet, kopplat till energiinfrastruktur?

Hanna: Vilken bra fråga. Jag tror inte just ordet ansvar och cybersäkerhet, en sådan myndighet har vi inte.

Per: Det är som två omvända magneter.

Hanna: Ja, jag kände det på en gång. Tänk om jag hade en cyberansvarig myndighet. Nej, det har vi inte. Vi har ett cybercenter som FRA håller på och bygger upp som säkert kommer göra fantastiska rådgivningar till svenska organisationer. MSB har ju sina stöd med cert.se. Energimyndigheten har ju sina delar säkert. Men just ansvaret för det, den frågan kör vi ganska svenskt. Det är oftast egenansvar ut till respektive leverantör.

Ulrika: Så det finns ingen samlad organisation eller organ?

Hanna: Inte vad jag känner till. Nu är jag ju inte jurist.

Per: Jag tänkte att det skulle vara intressant att simulera från andra hållet. Ponera att det sker en attack och hur det svenska sättet att hantera det i myndighets- och den politiska världen skulle se ut.

Hanna: Gud, det där var ju oroande. Jag hoppas innerligt att om det skulle ske en större attack att man kastar in något ess som Patrik Fällström eller så som styr upp skutan. Men jag är lite rädd för att vi hamnar i det här vanliga konsensusdiskussionen först innan vi börjar agera. Vi måste förstå att när det gäller cyberangrepp så sker de hela tiden. Vi är ständigt utsatta och vi måste agera snabbt. Det finns en beslutsprocess som heter OODA-loopen, som ni kanske känner till. Och det handlar lite om att komma före fiendens OODA-loop. Och OODA står ju för Observe, Orient, Decide and Act. Så man observerar snabbt vad sjutton det är som har hänt. Man orienterar sina förmågor och man fattar beslut och man agerar. Och det är precis så fienden arbetar i systemet. Sen behöver inte fienden vara en främmande stat. Det vet man inte. Det kan lika gärna vara en cyberproxy. Det kan vara organiserade nätkriminella som använder digitala hot för att tjäna pengar med ransom-attacker. För det är ju så idag att ransom-attacker.

Ulrika: Och ransom-attacker, bara för att förklara för våra lyssnare, vad är det?

Hanna: Jamen ransom-attacker, alltså utpressningsattacker, det är när jag kapar ert system. Ni har kanske fått ett phishing-mejl någonstans i organisationen. Det brukar vara den lättaste vägen in. Jag kanske skickar till dig med en jättegullig bild. Titta min fina kattunge jag har köpt och du säger åh vad spännande, den klickar jag på. Och så helt plötsligt så dyker det upp en ruta där det står: jag är hemskt ledsen, era system har blivit låsta. Men vi ska självklart hjälpa dig. För att hjälpa dig så måste du köpa bitcoin. Har du aldrig köpt bitcoin förut så har vi självklart en kundservice som hjälper dig. Och jag kan säga att det här är den bästa kundservicen i världen. De kriminella har verkligen jobbat med customer support. För du får hjälp hela vägen hur man löser detta. Men det är också den industrin som omsätter mer pengar än vad oljan är värd. Det här är en kassako.

Per: Om man tittar på hoten då så kan man säga att de kan vara statssponsrade, stater eller kriminella. Men det kan ju också finnas andra skäl, alltså insider och…

Hanna: Ja absolut, jag skulle säga att vi har våra statsaktörer, där vet vi att Ryssland, Kina och Iran är de som är aktivast mot Sverige. Och det kan vi läsa i Säpo-rapporten. Och inte minst häromveckan så pekade Säpo också ut Iran i en hackerattack mot SMS-systemet i Sverige. Sen har vi våra cyber proxies, de här olika som levererar attacker som en tjänst. Och då har vi lite olika varianter. Vi har de som gör attacken åt en. När man säger hej, kan du hjälpa mig att hacka det här systemet. Sen har vi de som har till exempel ransomware as a service. Alltså att du köper in dig på plattformen. Där finns det allt ifrån Akira till exempel. Där vem som helst egentligen kan köpa tjänsten att attackera en verksamhet och så betalar man lite för att få hjälp att hacka. Sen har vi ju massor med småaktörer. Där har vi allt ifrån enskilda hackare som vill tjäna sig en hacka, organiserad brottslighet. Och glöm inte de här ideologiskt drivna aktörerna där vi har olika typer av aktivism men också digital terrorism. Så vi har en bred arena av hotbilder. Och ensamma står vi på andra sidan och tänker hur sjutton ska vi lösa det här?

Ulrika: Och det som också är ytterligare komplext i det här som vi har pratat om i podden mycket. Vi har ju ett energisystem som är sammanbyggt i hela Europa. Och hur man på EU-nivå på något sätt ska kunna enas kring en typ av cybersäkerhetsstrategi för det. För det blir väl ganska svårt kan jag tänka mig att se Sverige som en enhet när vi sedan är sammankopplade med hela Europa. Så jag kan tänka mig att det är någon ytterligare komplexitet. Vad händer på EU-nivå kring cyber security? Det finns ju en del initiativ.

Hanna: Ja alltså vi befinner oss i EU Digital Decade just nu. Det är 90 lagar och regleringar som ska uppdateras eller skapas. Och det som alla pratar om just nu i Sverige är väl möjligtvis då NIS-direktivet. Som blir då cybersäkerhetslagen i Sverige. Och nu i oktober, det är ju nu som remissvaren ska vara inne och vi ska få höra hur det har gått. Och jag tror minsann att det var över 200 aktörer som ska svara på remiss på detta. Så det kommer bli spännande. Men energi kommer ju omfattas. Vi vet att lagen ska träda i kraft i januari 2025. Vi vet att det är ganska många som kommer omfattas och den största skillnaden från NIS idag. För vi har ju en NIS 1 idag. Det är att idag så omfattas den delen av verksamheten som omfattas som samhällskritisk. I NIS 2 står det ganska tydligt att har ni någon del som är samhällskritisk så omfattas hela verksamheten. Det är många som kommer få sätta sig och gå igenom sina informationssäkerhetsstrukturer, rutiner, leverantörskunskap. Och det står väldigt tydligt: lär känna dina leverantörer och dina leverantörers leverantörer. Du ska kunna ha evidens på vid en revision att här är mina leverantörer. Jag har kontrollerat att det är så här mitt data hanteras och vår driftssäkerhet säkras. Och så här ser min redundans ut.

Ulrika: Det blir en massiv övning för många kan jag tänka mig.

Hanna: Ja, de som inte har börjat borde vara ganska stressade och jag säger det, första steget är att se hur ser leverantörsleden ut.

Per: Men för NIS 2, är det en lag som direkt träder i kraft eller är det en förordning som ska omsättas i nationell lag?

Hanna: Det ska omsättas i nationell lag. I Sverige blir det cybersäkerhetslagen.

Per: Ska vi gå över lite grann på frågan då? Vi har målat upp en hotbild som är ganska tydlig. Ja. Och den tror jag är någonting som alla känner i alla delar av samhället. Alltså som människa, som samhälle. Men hur skyddar man sig då? Om vi går över till den frågan så att säga. Och nu är ju frågan då, hur skyddar man sig? Det här mannet kanske ska definiera, vem är man:et? Om vi utgår från att man:et till en början är ett företag så kan vi gå in på själva energiinfrastrukturen sen.

Hanna: Ja, men vilken typ av företag tänker du i?

Per: Ja, men vi tänker oss ett företag, där den digitala infrastrukturen spelar en väldigt stor roll med mycket leverantörer, mycket kunder. Och låt oss säga att det också har en samhällskritisk dimension i sig.

Hanna: Ja, men alltså i grund och botten om jag har det här företaget, det första jag skulle göra är att se till att jag har koll på vad har vi i huset? För det är nästan ingen idag som kan säga till mig när jag kliver in, vad har ni för system i huset?

Per: Och när du säger system, vad betyder det?

Hanna: Då menar jag egentligen allt som driftar, de kritiska funktionerna. För det första så brukar man nästan aldrig kunna svara på, vilka är era kritiska funktioner?

Per: Om man tar ett försäkringsbolag, någonstans hör jag att de har uppemot 2000 system.

Hanna: Och alla 2000 lär ju inte vara kritiska, utan de kommer ha en handfull som är de mest kritiska systemen. Och då tittar man på dem och då är första frågan, vem levererar de här systemen? Vem i organisationen, i min egen organisation, är ansvarig för att det är uppdaterat, att vi har senaste version och senaste kunskap om de här systemen och också bevakar potentiella sårbarheter och läckor i de här systemen? Sen hade jag gått vidare och tittat på, okej, om de här systemen av en händelse då inte skulle fungera, hur ser redundansen ut? Vad gör vi då? Är det så att vi har reservkraft eller har vi reservlösningar för det? Och där kan man ju lära sig lite av Svenska kyrkan, som ju var utsatt för en stor cyberattack för inte så länge sedan och de gick över till det klassiska cellulosabaserade informationssystemet. Och det blir väldigt lokalt. Det är svårt att och nu är alla stiften väldigt lokala som tur är, men hade det varit en nationell organisation som är decentraliserad så hade de här post-it-lapparna blivit ganska jobbiga att hantera. Det är därför jag menar på att vi måste börja se så här, okej, vad är kritiskt för att vi ska kunna jobba?

Per: Och sen säger man så här, vem levererar? Vad tycker du man ska ha för policy där?

Hanna: Jag tycker man ska börja med att läsa Säpos årsrapport först.

Per: Och Säpos årsrapport i väldigt kort sammanfattning, den landar ut i vad?

Hanna: Den landar ut i att vi har tre stater som bedriver aktivt spionage mot Sverige, det är Kina, Ryssland och Iran. Man är ganska tydlig med att det här varnar man för, både när det gäller systemhantering men också när det gäller infiltration så man måste vara ganska försiktig. Jag tycker att i nästa steg att man ska titta på, okej, de systemleverantörer vi har, oavsett om det är drift eller datasystem, var hanteras de någonstans? Och utan att hänga ut bara tre specifika längder, det gäller alla länders nationella underrättelselag kommer påverka våra data om vi hanterar det i det landet.

Per: Om man tänker sig på batterisystem då, så är det här en ytterst aktuell fråga.

Hanna: Mycket aktuell, det är mycket teknologi, ett batteri är inte bara ett batteri, det finns ganska mycket teknologi runt, i, och styrning.

Per: Och hur tycker du utifrån ett cybersäkerhetsperspektiv att vi borde förhålla oss till exempelvis batterisystem från Kina?

Hanna: Jag tycker vi ska vara ytterst försiktiga.

Per: Och vad betyder ytterst försiktiga?

Hanna: Jag tycker inte det ska sitta kritisk infrastruktur överhuvudtaget.

Per: Och vad leder till en förlängning, att egentligen behovet av att bygga upp europeiska värdekedjor, europeisk kunskap, europeisk-amerikansk kanske?

Hanna: Ja, men tittar vi krasst på det, vi måste bygga nationell förmåga. Vi måste ha nationell förmåga i Sverige, vi måste ha samverkansförmåga inom EU för att kunna hantera det geopolitiska spänningsläget, som bara blir värre och värre. Det ser inte alls speciellt ljust ut 2030 till 2045. Vi måste bygga egen förmåga och då måste vi ha system som vi själva kan styra över, inte som plötsligt inte fungerar eller kanske levererar fel data på något sätt eller fel förmåga.

Per: Ja, men precis och det är ju en diskussion som finns väldigt tydligt. Jag tänker nästa dimension då, det är ju att det här företaget som är man:et här har ett par tusen medarbetare, som alla har sina tjänstemobiler. Jag håller upp en mobil här. Och den här tjänstemobilen består ju av en massa appar. Hur tycker du man ska förhålla sig där?

Hanna: Ja, men när det gäller digital spionage så är det ju allt ifrån våra kritiska system vi har i verksamheten till medarbetarens digitala identitet. Jag är ganska tydlig, det har varit mycket diskussioner med ska jag få ladda ner kinesiska appar på min privata mobil? Jag säger till och med så här, du ska inte ladda ner privata appar på din tjänstemobil överhuvudtaget. Det är en risk. Men det är en väldigt stor risk att appar från ett land som Kina som har en ganska tydlig underrättelselag, det finns två lagar från 2017 som uppdaterades 2021, som visar tydligt att kinesiska företag är skyldiga att dela information med staten. Det blir en väldigt stor risk för oss. Så där måste vi lära oss att vårt digitala beteende som känns privat på arbetsplatsen eller på mina arbets-devicer kommer kunna påverka mina arbetsgivares informationshantering och informationssäkerhet.

Per: Vi tar appar som Shein eller Temus som har varit väldigt omdiskuterade. Är det appar du skulle säga att man skulle vara väldigt restriktiv med?

Hanna: Jag skulle säga att alla kinesiska appar ska man vara väldigt restriktiva med. Nu hängdes Temu ut ganska hårt i somras och det har att göra med att appen hade ett väldigt vad vi kallar för deceptive behavior. Den gjorde saker bakom kulisserna som rent tekniskt inte ska vara möjligt för en app att göra men man hade skrivit om de säkerhetsspärrar som fanns för att till exempel kunna tanka in data från andra appar. Nu säger Temu själva att de har uppdaterat det här och åtgärdat det men de har totalt tappat förtroendet för en app som har betett sig så.

Ulrika: Jag har en fundering där som kanske gäller lite generellt. Både hur man hanterar dylika saker på kontoret men också när man bygger kritisk infrastruktur, energi eller finansiell infrastruktur, vad det än må vara. Hur bråttom är det? Det har vi kanske redan svarat på men jag menar går det att rektifiera sådant som redan är gjort? Kina äger väl 80 % av Sveriges vindkraft. Vad kan man göra i efterhand om det bara fortsätter att springa utan någon större eftertanke?

Hanna: Det är en så bra fråga. Jag är ledsen att det är kört.

Ulrika: Det var ett enkelt svar i alla fall.

Hanna: Det datat som har läckt, det har läckt. Det kommer vi aldrig få tillbaka. Allt som någon gång har publicerats på internet finns alltid kvar.

Ulrika: Såklart. Då ska jag förtydliga frågan. Låt säga att vi installerar massa kritisk infrastruktur för att vi har ju också en brådska i andra änden att komma loss med den gröna omställningen och återigen för att göra det så måste vi digitalisera fort och det kan ju bli på bekostnad av cyber security. Kan man rektifiera det i efterhand? Om vi potentiellt säger att vi installerar väldigt mycket teknik från de här tre länderna och sen så kommer vi liksom ikapp om några år och nu måste vi liksom sortera upp i det här. Kan man göra något då? För datan som har läckt är ju en sak.

Hanna: Ja, men det finns ett gammalt militärt begrepp: gör om, gör rätt. Det tycker jag är ganska bra. Då får man börja om från början och se om man kan skapa nationell förmåga i det här. Kan vi hålla datat inom Sverige? Och nu ska jag ärligt erkänna att jag inte superinsatt exakt hur sådana här system fungerar, men om du tänker rent hypotetiskt att jag har någon typ av backupsystem eller batterilagningssystem. Har jag då möjligtvis någon typ av styrapp eller någonting? Då handlar det om hur är den appen kodad? Var är den kodad någonstans? Hur hanterar den datan? Vi måste göra hela den här resan. Inte bara titta på ursprungssystemet utan all digital hantering på vägen dit. Men gör om, gör rätt. Det är där vi ska stå nu. Vi har tagit en hel del riktigt konstiga beslut med tron att, som var det 1996 regeringen sa, det finns ingen hotbild mot Sverige under överskådlig framtid. Tror jag, eller om det var 95. Och nu är det dags att se över att det uttalandet gäller inte längre, utan nu finns det en hotbild mot Sverige. Det är krig i Europa. Säpo varnar för spionage. Det kommer larm om cyberattacker. Nu är det dags att sträcka på sig och säga att nu får vi fatta nya beslut och nu får vi ta action på det.

Per: Vi pratar här om system, vindkraft och kritisk infrastruktur. Sedan har vi hela personbilssidan. Det är väldigt mycket diskussion just nu om hur otroligt aktiva kinesiska företag är att få ut bilar på den europeiska marknaden. Vi har alla appar vi pratar om. Sedan när du säger gör om och gör rätt. Egentligen är det en ganska omfattande förändring. Ja, Ulrika, vi hade förmånen att vara på ett seminarium om den gröna omställningen häromdagen med 20-30 riksdagsledamöter. Vi pratade bland annat om offentlig upphandling, där det kanske inte ens skulle vara möjligt att välja kinesiska alternativ. Vad säger du?

Hanna: Det vore väl alldeles ypperligt, för idag är det fortfarande så att de flesta som gör offentliga upphandlingar är väldigt nervösa av att göra fel. Så vi väljer det med absolut lägsta pris. Vi kommer aldrig kunna priskonkurrera med den kinesiska marknaden.

Per: Men egentligen vad du säger är att allt det som är systemorienterat som finns i Europa, låt oss säga, system, kraftverk. Vi har pratat ganska mycket tidigare om hur säkerhetskontrollerna på flygplatserna, alla personbilar, alla appar, allt är en del av ett möjligt spionage från annan makt.

Hanna: I princip är det det och för att skrämma er lite. Ja, om vi skräms lite grann så är det så här att det är inte bara att data samlas in i en stor hög, utan nu för tiden så har vi ganska bra generativa AI. Man bygger idag digitala tvillingar, men det gör man även på statlig nivå där man tittar på, okej, hur mycket data kan vi suga in om till exempel nationen Sverige? Om vi leker med tanken, vi plockar data från alla appar som ni har i era devicer, era vänner har i sina devicer och tittar, vad har ni gett för access till de apparna? Har de access till kamera, mikrofon, bilddatabas, senaste SMS eller information om andra appar på din devicer och så lägger vi det i vårt moln. Och sen så passar vi på att plocka alla IOT du har i hemmet, för du råkar ha en liten eldammsugare och du har en uppkopplad värmepump och lite andra spännande grejer. Så vi tar det datat och stoppar det i samma moln. Och som en händelse så kör du en kinesisk elbil som du har köpt billigt och bra. Det var den absolut billigaste som föll under tjänstebilspolicyn som ställer till det här ganska väl och så stoppar vi det i samma moln. Och sen så tar du nästa steg och tittar i kommunen. Vad har vi då för uppkopplade system som också är kopplade till kinesiska leverantörer? Vi kanske har det inom VA, vi kanske har det inom ventilationssystem eller andra samhällsomfamnande system, kanske till och med kommunikationssystem för busstrafiken, vem vet? Och så suger vi in det i samma moln och så går vi lite högre upp och tittar på regionernas nivå och tittar hur ser det ut inom deras data? Hur ser deras datahantering ut? Och så suger vi in den potentiella datan i systemet och sen går vi upp på nationell nivå och så tittar vi i Regeringskansliet och så undrar vi vilka system använder dem? Och så råkar jag en händelse, utan att hänga ut ett specifikt system, veta att det finns åtminstone en kinesisk leverantör som levererar system för kommunikation. Och då pratar jag inte om telefoner utan jag pratar om redigeringssystem. Och så suger vi in det datat. Förstår ni då vad den här digitala tvillingen kan användas till utöver att titta på Sverige? Jag kan använda den för att modellera scenarier och se vilka, det är ganska lätt att plocka ut, vilka kritiska funktioner har jag i samhället? Vilka leveranskedjor är kritiska för att Sverige ska må bra och vara glada? För en hybridsituation, ett hybridkrig, jag ser inte att vi kommer ha en luftlandsättning på Gotland. Jag ser snarare att vi kommer ha förtroendekriser, man kommer misstro systemet, man kommer känna att regeringar klarar inte av sitt jobb, vi har myndigheter som är dåliga eller man kan inte lita på dem. Det är ganska lätt att skapa när du har den här kartbilden framför dig som du kan modellera med och faktiskt laborera med.

Ulrika: Och här är det ju väldigt intressant att du nämner digitala tvillingar. För här hamnar vi i det här läget att hur ska man kunna kombinera snabb innovation och effektivt beslutsfattande med cyber security? Det råkar nämligen vara så att Stella Futura själv håller på att jobba med en digital tvilling för att vi vill kunskapsdela och accelerera den gröna omställningen. För precis som du säger, med en digital tvilling så kan man ju generera olika scenarier. Och vi är även i dialog med dem som är ansvariga för den nationella strategin kring digitala tvillingar. Men det är ju ett enormt kraftfullt verktyg som man inte vill vara utan. Men det viktiga om man ska börja bygga sådana system är att man liksom har stenkoll på hur interfacen går digitalt. Absolut.

Hanna: Det är precis det jag menar. För det är andra sidan av det här digitala myntet. Den digitala tvillingen.

Ulrika: Exakt. Och den balansen kommer alltid att behöva hållas koll på.

Hanna: Ja, vi vill ju inte att den ska rulla iväg till någon annan helt enkelt. Eller att någon annan helt enkelt bygger den åt oss för det var billigare.

Per: Du målade upp en hotbild och sen så säger vi så här att vi måste bygga upp en nationell förmåga. Mm. Då undrar jag, finns det något land, du skulle vilja säga, ett västligt land som bygger på mänskliga rättigheter och öppenhet som jobbar mycket, mycket mer proaktivt med detta? Jag tänker exempelvis kanske Sydkorea som ligger liksom exponerat på ett annat sätt. Vad skulle du säga?

Hanna: Nu är jag inte insatt jättemycket i vad Sydkorea gör. Jag vet att de är digitaliserade, de är extremt duktiga på digitalisering. Jag vet att de har en väldigt tydlig hotbild. Jag är mer inspelad på till exempel hur det ser ut i Norden, Europa och där har vi ju lite olika förutsättningar. Om vi tittar på nationell förmåga så har ju Finland i ryggraden alltid byggt på nationell förmåga men de har också en ganska lång gräns till Ryssland…

Per: Och det gäller även i de här frågorna?

Hanna: Ja, jag tycker att de har varit duktiga på det. Däremot så kan man ju fundera över varför de lät ryska ingenjörer bygga sitt kärnkraftverk men det kan vi ju fundera över. Det är en annan fråga. Men jag vet också att Danmark har jobbat ganska mycket när det gäller sin omställning kring grön energi och har haft de här frågorna på bordet. Det är många som diskuterar det här just nu men jag skulle säga att det är ingen som är bäst i klassen. Men det som vi behöver jobba på, som vi i Sverige snubblar på hela tiden, det är att en del av våra lagar och regler ställer till det lite för oss, som lagen om offentlig upphandling. Det gör att vi hela tiden siktar på att vi ska hitta det billigaste alternativet och det är ganska lätt att skjuta in sig på den svenska marknaden. Jag pratade ganska nyligen med några av våra myndigheter som har valt att köpa in kinesiska drönare för övervakning och jag sa att vi har ett närmare tiotal företag i Sverige som bygger och levererar drönare. De är små, de kämpar och försöker komma upp på banan. Om vi ska bygga nationell förmåga, ge dem en chans. Och likväl säga samma sak om energisektorn. Vi har ett antal leverantörer i Sverige som är duktiga på att bygga och skapa nya saker, men då måste vi ju satsa på dem om vi ska ha nationell förmåga.

Per: USA, stor hemmamarknad och väldigt stark. Vi tror ofta i Europa att de har blicken riktad mot oss, men deras blick är väldigt riktad mot Kina. Har de en större awareness och ett annat förhållningssätt?

Hanna: USA har generellt en mer sund paranoia än vad vi har haft. Man har varit väldigt noga med, man har ett väldigt högt tänk kring att vi ska hålla hög nationell säkerhet. Man har haft ganska tydliga hotbilder genom åren, till skillnad från oss där det har varit mer diffust. Man har inte riktigt vågat peka. Om vi bara tittar på militära övningar, jag har varit med i ganska många de senaste 15 åren, så har man aldrig vågat säga vilka hotaktörerna är, utan man kallar dem alltid någon sån här Geltic eller Örkland eller något sånt där. Medan i USA när man är med på Nato-övningar, vilket jag också har varit, där är det hotbilder i Ryssland och Kina och det är inget snack. Men i Sverige ska vi linda in det lite, att det kanske finns ett hot som är lite där borta.

Per: Jag tänker också att det är en större hemmamarknad, man är mer självförsörjande på energi, man har mer sund paranoia som vi kallar det för. Jag tycker det är så intressant att du pratar om den nationella beredskapen och det har ju varit slutsatsen väldigt mycket i våra samtal. Samtidigt så går utvecklingen väldigt mycket mot att tänka en europeisk beredskap. Men du pratar väldigt mycket om det nationella. Är det för att det är en mer överblickbar möjlighet att styra i det här fallet?

Hanna: Ja och sen om du tittar med ett par sunda ögon på EU och Europa idag så händer det ganska mycket. Demokratin är inte på uppgång. Nationalismen och staternas inneslutande är ganska tydligt.

Per: Absolut.

Hanna: Jag ser visionen om ett öppet och fritt EU känns lite kantstött och jag kanske inte lägger hela mitt förtroende där just nu utan jag känner att Sverige behöver bygga nationell förmåga.

Per: Men upplever du, om man tar Sverige, att vi i det här som vi kallar för sund paranoia-insikten om hotbilden, att vi går i rätt riktning? Folk och försvar, var det i år eller förra året när man sa att nu måste vi rusta oss för krig som ÖB och statsministern och civilförsvarsministern och sådär. Det är ju ett förskjutet tonläge.

Hanna: Ja det är det. Men om du läser rapporterna, allt ifrån Försvarsberedningens rapporter till alla rapporter om hur hotbilden ser ut så pratar man om att det är ett förestående hybridkrig där vi pratar om gråzonsproblematik, cyberattacker, desinformation, samhällsstörningar. Och då säger en del av Sverige att vi ska köpa kulor och kanoner och då tänker jag att det finns något som heter soft power och så finns det något som heter hard power. Vi pratar om soft power och vi köper hard power. Jag skulle gärna se att vi hittar någon jämvikt här. Jag förstår att vi måste rusta för det är viktigt. Vi har verkligen nedrustat Sverige alldeles för mycket och det är krig på marken i Ukraina som är nära Sverige. Men de mjuka värdena när det gäller allt ifrån samhällsstörning till cyberattacker, det handlar ju mycket om vilka beslut vi fattar. Vilka initiativ vi tar när det gäller digitalisering, vilka system vi kopplar upp. Det är det som kommer göra förutsättningarna för ett hybridkrig.

Ulrika: Det är ingen idé att vi får hemskickat i brevlådan ”Så förbereder du dig om krisen kommer” om det inte fattas beslut på högre nivå som ger förutsättningar för att undvika en kris.

Hanna: Helt rätt, jag håller med dig till 100 procent. Jag är lite rädd för att den här broschyren ibland skapar ganska mycket rädsla. Den första frågan jag får när jag är ute och pratar om cyberattacker är att jag vet inte vad närmsta skyddsrum är och jag sa att jag har ingen aning, jag jobbar inte med skyddsrum, jag jobbar med cyberfrågor. Men det är där vi landar någonstans.

Per: Hur tycker du man som människa ska förhålla sig till det här? Hur mycket tonvikt ska man lägga vid det hotet som kan vara nära förestående? Och hur fri och öppen ska man kunna känna sig?

Hanna: Som medborgare och människa tänker jag att det här är en lagsport. Det omfamnar hela Sverige, varenda medborgare. De initiativ jag tar i den digitala sfären kommer faktiskt påverka helheten. Så att egenansvar när det gäller digitalt beteende. Jag vill se informationssäkerhet i grundskolan för våra barn. Det kommer vara en stor del av den informationsutveckling vi har. Jag vill se att man förstår och också respekterar att alla system jag laddar ner, köper in, använder, kopplar upp kommer att påverka helheten. Så att vi har ett ganska stort egenansvar faktiskt. Sen när det kommer till den fysiska beredskapen, jag tycker faktiskt att vi ska ha en liten krislåda hemma med lite mat och vatten och annat. För att får vi systembortfall så har vi faktiskt ett medborgaransvar i Sverige.

Per: Jag tycker det är intressant när du säger att det är en lagsport. Men utmaningen kanske är att vi inte riktigt inser att det är en match.

Hanna: Precis! Eller hur!

Per: Det är väl den insikten och när du säger att i USA så har man det här sunda, där inser man mer att det är en match. Medan här har vi inte riktigt gjort det. Jag berättade att när jag kom ifrån den politiska strukturen, det var ju som att det är ingen match. Utan vi kan ta tryggheten för given. Men nu är det match och då är det en lagsport och då måste alla vara med. Allt från medborgare, alla de som är en del av energiinfrastrukturen och så vidare.

Hanna: Ja och sen så tror jag vi måste lära oss att förstå att den här jättetrevliga säljaren från det här bolaget som jag träffar, den säljaren är ju inte spion utan den säljaren är säljaren och ska sälja ett system. Och där är vi svenskar väldigt artiga och vi tycker att det är lite jobbigt att säga. Det är lite pinsamt till och med nästan att säga så här: du det här systemet som ni levererar, hur hanterar ni datan? Säger man lite fnissande så där för att man vågar liksom inte ta ställning. Och där tror jag vi måste lära oss en del. Jag var i Bryssel och föreläste för ett och ett halvt år sedan på en konferens. Jag skulle föreläsa om kinesisk spionage i digitala devicer. Och när jag kliver upp på scen så har jag fem minuter på mig att koppla in och så ser jag av en slump att det sitter två representanter från kinesiska ambassaden längst fram. Och tänkte att det här kommer bli lite krispigt så jag springer ner snabbt från scenen och så springer jag fram och så slänger jag fram handen och säger: Hej, jag heter Hanna Linderstål. Jag ska prata om kinesiskt spionage så jag ber om ursäkt i förskott.

Ulrika: Det var relevant för dem att vara där kan jag tänka. De var väl ditskickade?

Hanna: Nej, men jag tänkte att de log och nickade och så tänkte jag att då är de lite förberedda. Men de vet också att jag står inte där och ber om ursäkt. Det här är inte vad jag tycker utan jag tittar på de rapporter vi har från underrättelsetjänsterna. Jag tittar på datahanteringen.

Ulrika: Fair, tycker jag. Ja, vi behöver nog börja runda av det här spännande, men jag har en fråga också som jag skulle vilja ställa. Om vi tittar på Sverige, vi har ju mycket känslig infrastruktur, energi är en som vi fokuserar på i den här podden, men finns det någon bransch i Sverige som ändå har faktiskt gått lite i bräschen för det här? Alltså intuitivt, utan att veta, så skulle jag kunna tänka mig ett bankväsende borde vara i enorm framkant, eller?

Hanna: Ja, alltså generellt så är bank och finans väldigt duktiga för de hanterar ju faktiskt pengar. Och de är väldigt utsatta. Men du ska ju också veta att när vi tittar på bankväsendet, världens största bankrån genom tiderna på över en miljard dollar, den genomfördes av en stat emot en statlig bank och det var Nordkorea som hackade Bank of Bangladesh. Det var en cyberattack.

Ulrika: Det var en rejäl rackare. Det finns en fin dokumentär om det tror jag, på DOX eller något liknande.

Hanna: Så generellt kan jag säga att bank och finans är väldigt duktiga på att hantera säkerhet, men det är också deras affärsidé och har alltid varit att skydda våra pengar.

Ulrika: Det ligger i deras DNA.

Per: I den här podden så har vi alltid tre frågor som vi ställer till alla. Som jag också tänkte ställa till dig. De är av lite annan karaktär. Och lite mer koppling till Futurapoddens energikoppling. Den första är väldigt svår. Vilket är ditt energifavoritslag?

Hanna: Man vill ju gärna veta var ens energi kommer ifrån, men det är väldigt svårt när man pluggar in någonting i väggen. Så jag skulle säga förnybar energi.

Per: Och när det gäller energisystemet då? Finns det något land som du tycker Sverige kan lära av? Låt oss se det ur ett cybersäkerhetsperspektiv.

Hanna: Jag tycker nog att Danmark har varit ganska duktiga när det gäller cybersäkerhet. Jag tror att det finns ett antal andra länder som jobbar på. Men i princip alla länder har ju varit drabbade av cyberattacker mot sina system. Så jag tänker, ska inte Sverige gå i bräschen på den?

Ulrika: Jo, vi tar med oss det.

Per: Och sist då, vad får dig att känna dig energisk?

Hanna: Mitt jobb. Jag älskar ju det jag gör.

Per: Fantastiskt, stort tack.

Hanna: Tack för att jag fick komma hit.