Man kan lätt, alldeles för lätt, få intrycket att hackare, cyberattacker och it-säkerhet inte är något stort problem för industrin. Jag menar, hur många drabbade har man hört talas om? Visst talas det om risk för produktionsstopp, skador på anläggningen, till och med dödsolyckor, men så gott som alltid på ett teoretiskt plan. De konkreta fallen går däremot att räkna på ena handens fingrar och är dessutom lätta att avfärda som specialfall.
Vi har förstås en anrikningsanläggning för uran. Men det var ju i Iran. Så är det kraftnätet i Ukraina, men där pågår ju något som liknar ett krig. Sedan var det visst ett stålverk i Tyskland, fast vilket vill ingen berätta.
Att det finns så få vittnesmål om it-attacker mot industrin betyder förstås inte att de inte inträffar, utan på att ingen vill erkänna att de drabbats. Tystnaden ljuger alltså. it-attacker mot industrin förekommer oftare än vi vill tro. Därför gäller det att vidta åtminstone grundläggande skyddsåtgärder.När en fabrik skaffar ett styrsystem, är det självklart att konfigurera systemet för tillämpningen: taggar namnges, in- och utgångar tilldelas egenskaper, cykeltider specificeras, kommunikationsprotokoll definieras. Däremot är det inte lika självklart att sätta parametrarna för säkerheten. Alltför många nöjer sig med standardvärden, defaultlösenord och annat som hackarna behärskar sedan gammalt. Och så länge det finns så lite information om de it-attacker som verkligen inträffat, är det lätt att stoppa huvudet i sanden. Därför behövs det mer kunskap om verkliga attacker och incidenter.Att drabbade företag frivilligt skulle gå ut i pressen eller sprida information om attacker de utsatts för på sina egna hemsidor lär knappast inträffa. Men på något vis måste det gå att sammanställa påtaglig, om än anonym, kunskap om it-incidenter. Vissa saker måste i och för sig rapporteras till Myndigheten för samhällsskydd och beredskap men det borde också ligga i företagens eget intresse att öka kunskapen. Detta om något borde väl vara en lämplig uppgift för branschföreningarna. Det må sedan vara olika industribranscher, som pappersindustrin, eller automationsföreningarna, som visar hur deras system drabbas.
Men ska informationen verkligen få genomslag, behöver den nå utanför branschgränserna. Därför borde någon organisation, typ notarius publicus, sammanställa information från flera håll. Den behöver också spridas utanför kretsen av närmast berörda, så att fler inser att hotet är påtagligt. Man skulle till exempel kunna tänka sig att Branschkansliet, som samordnar många branschföreningar, kan sköta en sådan uppgift.
Dag Toijer
