KRÖNIKA – Louise Brown, antikorruptionsexpert på Advisense
Medan den brittiska premiärministern Rishi Sunak med uppkavlade skjortärmar agerade programledare på scenen i London med Elon Musk i intervjustolen vid världens första toppmöte om AI säkerhet, pågick något annat i Washington.
Vid International Counter Ransomware Initiative (CRI) häromdagen, det tredje som arrangeras, kom dryga 50 medlemsländer från Albanien till Uruguay fram till ett beslut. Beslutet i form av ett uttalat löfte vid CRI-mötet handlar om att dela mer information om cyberattacker och att sluta betala ransomeware, det vill säga pengar till cyberbrottslingar. Datakidnappning och efterföljande utpressning på pengar är ett växande och reellt hot. Bakom attackerna ligger stora och diversifierade brottskonglomerat och ibland enskilda länder, varav Nordkorea och Iran ofta nämns. Det är inget nytt. Omfattningen och motreaktionen är ny. Det är även nytt hur pass mycket mer avancerade attackerna blivit på kort tid, inklusive sådana som produceras i exempelvis Nordkorea. Hur AI används i den kriminella ekonomin är ett stort bekymmer.
Läget kräver gemensamma internationella ansträngningar. Att Vita Huset går i bräschen för att få statliga institutioner att sluta att betala utpressningspengar till cyberbrottslingar har sin logiska grund. En stor andel av de bolag som utsätts är nämligen amerikanska. Enligt en rapport från Chainanalysis från juli i år, siktar cyberbrottslingar in sina attacker mot högviltet, det vill säga stora bolag med stor betalningsförmåga.
Ledande cybersäkerhetsbolag anger siffror som pekar på att mellan 70-90 procent av bolag internationellt utsatts de senaste 24 månaderna. Det är en ökning på cirka 50 procent sedan 2021. Förlusterna från attackerna bedöms till ca tjugo miljarder USD samma år, en siffra som förutspås tredubblas till 2026. Enligt Splunk, ett amerikanskt mjukvarubolag, betalade 83 procent av de privata företag som utsattes för en ransome-attack 2022 i snitt 100 000 USD eller mer i hälften av fallen. Några av de kända enskilt namngivna fallen ger en indikation på den högre kostnadsligan. Världens ledande nötköttsproducent JBS betalade 11 miljoner USD i cyberutpressningspengar för några år sen. GPS-produktbolaget Garmin betalade 10 miljoner USD.
Notera att beslutet på CRI i Washington gäller statliga institutioner. Inte privata aktörer. Utifrån denna utveckling och omfattning, behöver vi sätta ljuset på vad som driver utbudet och efterfrågan, eller vice versa. I ambitionen att förstå benägenheten att ge föga för utpressningarna, eller vägra, finns en Svarte Petter.
Företag har idag i allt högre utsträckning en cyberförsäkring. Enligt en talesperson för amerikanska Cybersecurity and Infrastructure Security Agency (CISA), är det försäkringsbranschen som eldar på ransomeware-industrin eftersom den gör det så mycket enklare att betala utpressningspengarna. Lite som ett dagen efter piller. Man betalar för en kortsiktig motåtgärd med många bieffekter, men det ohållbara agerandet i sig ändras inte. Kausaliteten mellan att ha en cyberförsäkring och att utsättas för ransomeware attack kan och bör självklart ifrågasättas och är enligt kritiker överdriven.
Det vi kan säga med säkerhet är att det är mer sannolikt att det bolag som betalar sin utpressningsnota en gång, kommer att tvingas betala fler gånger. Enligt Cyberreason utsätts 68 procent av de bolag som betalat en gång för en ny attack inom en månad, och då dessutom till ett högre pris.
Området försäkringsbedrägerier i Sverige har begränsat utrymme medialt och i det kollektiva medvetandet. Det är helt enkelt inte intressant nog, sägs det. Enligt en uppgift på årets Financial Fraud Forum, kostar försäkringsbedrägerier i Sverige drygt 7 miljarder kronor per år. Per person skulle det innebära 500 kr i premier som betalas till brottsligheten.
Hur prissätter vi marknaden för brottslighet respektive att skydda sig mot brottslighet? Kommer vi att upptäcka att försäkringsbolagen inte prissatt sig korrekt i relation till hur marknaden i termer av den kriminella ekonomin utvecklas?
Om brottspremien är 500 kronor per privatkund och år i Sverige, kan vi räkna med minst en relativt skalenlig motsvarande peng per företag som tecknar en cyberförsäkring. Det blir intressant att följa hur premierna för brottligheten i det längre perspektivet kommer att påverka både försäkringsbolagens och andra verksamheters konkurrenskraft.
För att ta ett exempel, om än analogt. Ett fall i Nacka tingsrätt för ett antal år sedan involverade gärningspersoner inom sakförsäkring och organiserad stöld av hemelektronik. Upplägget var att uppgifter om kunder som köpt exklusiva hi-fi produkter på en butikskedja och tecknat försäkringar såldes till en stöldliga som kort därpå gjorde inbrott. Effektivt. Brottslighet med bäst avkastning är skrivbordsarbete. Inte gatuförsäljning. Det handlar alltmer om vilka potentiella måltavlor som sitter på vilken information och hur man genom infiltration kommer åt den. Cash må vara king, men information är en ännu tyngre valuta.
Och om vi tänker ett steg till. Enligt polisen har de kriminella gängen kopplingar till landets storbanker, och personal på bankerna hjälper gängen att lura kunder på pengar. Detsamma torde gälla försäkringsbolagen. Anta ett scenario där information om vilka större bolag som tecknar cyberförsäkring läcker till kriminella aktörer?
Åter till toppmötet för AI-säkerhet i Storbritannien. Går det för långt, så är det viktigaste att veta i princip hur man drar ur sladden, svarade Elon Musk på frågan om hur riskerna med ondskefull AI ska hanteras. Det man behöver är en lokal avknapp som kan skyddas offline.
Tyvärr finns det ingen enkel avknapp som stänger av risken för brottslighet. Inte heller med dagen efter piller. Det väsentliga nu är att fler organisationer gör en hållbar kalkyl som reflekterar riskmiljön som vi lever i. Själv kommer jag att se över mina försäkringspremier inför 2024. Jag vill inte betala mer än absolut nödvändigt, varken nu eller senare.
International Counter Ransomware Initiative 2023 Joint Statement | The White House
