Myndighetschefen: Skydda företaget mot främmande makt

Det var i mars som Magnus Hjort, generaldirektör för Myndigheten för psykologiskt försvar, MPF, var talare i ett seminarium om desinformation, anordnat av Teknikföretagen tillsammans med Säkerhets- och försvarsföretagen, SOFF. I samband med detta tog Magasin t: tillfället i akt för att ställa honom några frågor.

Vad är desinformation för något?

– Desinformation är per definition falsk information som sprids i ett antagonistiskt syfte. På MPF tittar vi på ämnet utifrån en bredare aspekt och pratar generellt om informationspåverkan. Det behöver inte alltid handla om falsk information utan kan vara spridningen av sanna uppgifter som är tagna ur sitt sammanhang eller uppgifter som är av värdeladdad karaktär och som polariserar, säger Magnus Hjort och fortsätter:

– Ett syfte med informationspåverkan är att skapa starka känslor hos mottagaren. Då handlar det ofta om hemska saker, som övergrepp i krig, som kan vara helt eller delvis fabricerade. Det är då vi blir arga, delar informationen vidare och skapar en spridning. Därför gäller det att tänka efter innan man delar vidare informationen – är det sant och rimligt, det som påstås?

– Ett råd är att söka på mer information om händelsen i fråga. Hur beskriver andra stora medier samma händelse? Man kan inte bara lita på det flöde som man har i telefonen eftersom algoritmerna anpassar sig till vad man är mottaglig för. Desinformation kan också vara svårt att identifiera själv. Främmande makt kan till exempel skapa falska dokument som framstår som äkta. 

Desinformation med syfte att skada Sverige som land, är detta något som företag borde bry sig om?

– Ja, eftersom företagen utgör en del av den infrastruktur som ombesörjer vårt totalförsvar, som vår förmåga att kommunicera, eller livsmedelsförsörjningen. Om man lyckas skada den värdekedja som har med livsmedelsförsörjningen att göra, då får vi det svårt och motståndskraften i landet minskar. Eller om vår informationsförsörjning förstörs på grund av olika attacker. Så företag kan i allra högsta grad bli måltavlor. Därför är det bra att uppmärksamma olika typer av störningar i verksamheten, säger Magnus Hjort.

– En annan sak som påverkar företagen är om det sprids desinformation om Sverige som gör det svårare att verka i vissa delar av världen. Till exempel som när det i Mellanöstern spreds desinformation om att muslimska barn omhändertogs utan rättsligt stöd av socialtjänsten i Sverige.

Är vissa typer av företag mer utsatta för cyberattacker än andra?

– Svensk försvarsindustri en viktig måltavla för att komma åt information eller för att skada bilden av svensk försvarsindustri eller försvarsförmåga. Men egentligen kan alla typer av företag bli utsatta.

– Som angripare kan man jobba på två sätt: Antingen genom att angripa de viktigaste måltavlorna eller genom att angripa de mest sårbara. De senare handlar om dem som är sämre på cybersäkerhet och har svårast att försvara sig mot intrång. Man kan enklare skicka ransomware och stjäla dokument från dessa. Så egentligen kan små företag också vara väldigt sårbara för intrång.

– Något som många företag inte tänker på är att vi också är sårbara när vi kommunicerar via telefoner och videokonferenssystem, eftersom allt detta kan avlyssnas av antagonister. Den avlyssnade informationen kan sedan användas som informationspåverkan eller för att skapa sig fördelar i affärssammanhang, förklarar Magnus Hjort.

Hur är utvecklingen i dag när det kommer till desinformation? Ökar den? Ändrar den karaktär?

– Något som vi ser kommer mer är AI-genererade videor och ljudklipp. Dessa kommer att användas allt oftare i och med att tekniken utvecklas och det går redan nu att snabbt producera falskt material med hjälp av AI. Det är något som alla ”yttre hot”-aktörer arbetar med.

Vad kan företagen göra för att skydda sig mot yttre hot?

– Det man behöver göra är att vara medveten om de hot som finns och de sårbarheter man själv har som organisation. Vilka frågor håller företaget på med som angripare kan exploatera? Man behöver också ha ett gott nätverk med andra aktörer. Det kan vara ett nätverk med myndigheter, branschorganisationer eller andra företag där man kan dela erfarenheter, säger Magnus Hjort. 

– Man måste också ha en bra och snabb beslutsförmåga. När man blir angripen är tiden en kritisk faktor. Det gäller att snabbt förstå vad som har hänt och vad som ska göras. Man kommer aldrig att ha all information utan man måste fatta beslut utifrån den information man har i ett visst läge.

– Kommunikationsförmågan är också viktig i det sammanhanget. När man har förstått vad som har hänt, hur kommuniceras det internt och externt? Vilken information om händelsen kan spridas, på vilka språk och i vilka kanaler? Man ska gärna ha tänkt igenom olika scenarier och övat på dessa.