Det digitala hotet mot museerna ökar

I slutet av förra året noterade ett svenskt länsmuseum en kraftigt förändring i sin statistik över digitala besök på plattformen Digitalt Museum. För första gången tog sig Ryssland in på topp fem bland länderna i besöksstatistiken.

Efter en analys gjord av museets huvudman kom man fram till att det kunde handla om riktade besök – alltså ett stort antal ryska besökare som ville titta närmare på museets digitala innehåll – och troligen inte om botar som letar sårbarheter och ingångar i allmänhet.

– Vi vet inte om man försöker slå ut servrarna eller om de är intresserade av det vi visar upp. Men vi har inte lagt upp något särskilt eller något med ny inriktning som vi ser kan självklart motivera denna nya målgrupp, säger länsmuseets chef.

Det tyder på kartläggning snarare än att personer som har intresserat sig för specifika föremål.

– Vi publicerar ju information om många kulturhistoriskt intressanta föremål, men det är inte direkt några stöldbegärliga skatter. Så jag kan inte se att det är något särskilt de är intresserade av, säger chefen, som konstaterar att museet inte har tillgång till någon antikvarie med kompetens att närmare undersöka attacken.

De många ryska besöken förbryllar medarbetarna på museet.

– Det ställer massor av frågor. Vi vill ju tillgängliggöra så mycket som möjligt digitalt, det är museernas prioritet. Museet vill bidra till ett öppet demokratiskt samhälle och sprida fakta och kunskap som når många. Ska vi behöva börja idka självcensur nu?, undrar chefen.

Plocka blommor

Säkerhetsexperten Hanna Linderstål, som arbetar med cybersäkerhetsfrågor över hela världen och som 2024 utsågs till ”Årets säkerhetsprofil” i Sverige, hänvisar till den australiensiska rapporten ”Picking flowers, making honey”. Den handlar om hur den kinesiska politiska ledningen skickar ut forskare i världen för att hämta in information som kan användas i militära kartläggningar.

Att plocka blommor i andra länder och tillverka honung på informationen, alltså. Blommorna kan bestå av läckta inloggningsuppgifter, kamerasystem och statistik, men även specifika funktioner, en bygds historia eller en individs kontaktnät. I sig själv kan informationen inte tyckas vara uppseendeväckande, men i stora mängder bidrar den till att skapa mönster.

– Precis som det här museet säger nästan alla att ”jag har ingenting att dölja” eller ”vi har inga hemligheter”. Men idag har vi möjlighet att hantera big data på ett sätt som inte gick för några år sedan. Vi kan massinsamla data för att laborera, säger Hanna Linderstål.

– Man brukar börja med att man gör den här analysen genom att titta på myndighetssidor, historiska sidor och inlägg i sociala medier. Man tittar på nyhetssidor och samlar informationen för att se ett samhällsmönster.

Hon nämner Lantmäteriet och förra årets rapporter om att hemlig information fanns tillgänglig offentlig och sökbar.

– Det var ju inte så att någon hackade Lantmäteriet, all information låg ju på deras digitala tjänster. Det var ju bara att söka. Så vi är nog ganska dåliga på det, för vi förstår inte.

Syftet med att samla in information kan variera. Det kan vara ett sätt att skaffa sig det som brukar kallas för ”humint”, eller human intelligence, alltså ett sätt att rent kognitivt lära känna den man vill angripa.
Det kan också handla om insamling och analys av maskin- och teknikdata, där flödet av datakommunikation kan bilda ett mönster.

Även om det är omöjligt att veta det exakta syftet med de många ryska besöken på det nämnda länsmuseet tror Hanna Linderstål att museet mycket väl kan ha råkat ut för blomplockning.

Extremister

Det kan såklart vara så att insamlaren inte fann någon information av värde. Men det kan lika gärna vara det motsatta. Sedan Rysslands invasion av Ukraina har medvetenheten om kulturarvets betydelse för krigsföring ökat.

– Det kan vara ett försök att identifiera sådant som en angripare vill slå sönder i en krigssituation, som din stridsvilja, din identitet och enheten i ditt land. Eller så kanske informationen ska användas i ett desinformationsdrev om Sveriges historia, att Sverige har stått för elände eller egentligen aldrig varit speciellt bra, säger Hanna Linderstål.

– Kartmaterial, platsmaterial och visst historiskt material som är kopplat till identitet behöver skyddas, men sedan handlar det också om att skydda informationen så att den inte manipuleras och kan användas i nedsmutsande syfte.

På kulturkartan, som tas fram av World Values Survey och visar  värderingar och deras inverkan på det sociala och politiska livet i olika länder hör Sverige till de mest sekulära och individualistiska. Våra sociala normer gör att Sverige skiljer sig från många andra länder.

– Vi är ju extremister. Jämför man oss med dem som bor i en auktoritär diktatur är vi jättekonstiga. Så att titta på Sverige behöver inte innebära att man är intresserad av att angripa Sverige, utan kanske angripa det som Sverige står för, säger Hanna Linderstål.

Hon konstaterar att effekten av att ”daska till Sverige” blir större än för enbart de nio miljoner personer som bor här.

Gör riskanalys

Men hur ska man som museum agera när det plötsligt sker en stor mängd digitala besök från en främmande makt? Hanna Linderstål tycker att museet ska utgå från att bestämma sig för vem man är till för. Ska miuseet vara tillgängligt digitalt för hela världen, eller ska möjligheten till besök från vissa länder begränsas?

– Det är den första frågan man behöver ställa sig. Fundera över för vem vi finns, säger hon.

– Om museet kommer fram till att det ligger i deras uppdrag att vara tillgängliga för alla på internet bör det göra en riskanalys av informationen som läggs ut, för att kartlägga vilka konsekvenser det kan få om den pusslas samman med annan information.

Hanna Linderstål påpekar att den som är osäker alltid kan ringa och prata med Säpo.

– De kan inte förbjuda något, men de kan säga ”vi tycker att ni ska tänka över det noga innan ni lägger ut”. Det brukar betyda att det kanske inte är jättebra. Men vi är ju trots allt ett öppet samhälle, så man får besluta själv.

Riskanalysen kan vara tidskrävande, men behöver inte vara särskilt kostsam.

– Sätter man sig med nyckelfunktionerna i organisationen och gör en bedömning av vad som är kritisk information för museet och vad som är kritiskt för Sverige behöver det inte vara så ansträngande. Jag tycker man behöver göra den läxan, för att museerna ingår i Sveriges beredskap, säger hon.

Nya lagar

Svenska organisationer är enligt Linderstål generellt sett ”ganska dåliga” på att göra riskanalyser kring sin digitala information.  En ny cybersäkerhetslag väntas träda i kraft i sommar. Regeringen lägger fram en proposition under våren som i sin tur är en följd av EU-direktivet NIS2. I den ställs tydligare krav på bland annat just riskanalyser och olika säkerhetsåtgärder.

Enligt det förslag som ligger ute kommer lagen inte uttryckligen omfatta museer, men däremot museer som till exempel har staten som huvudman och institutioner som bedriver forskning.

Hanna Linderstål konstaterar att museer gärna publicerar bilder och filmer från sina lokaler. Detta för dock med sig risker, eftersom det kan ge information om museets säkerhetssystem. Hon uppmanar till att aldrig fotografera den egna verksamheten så att det går att urskilja sådan information.

– Oavsett om jag är hacker, inbrottstjuv eller fientlig på annat sätt, vill jag som angripare vill jag veta vilken typ av säkerhetssystem man har, både hårdvara och mjukvara. Att identifiera det är det första man gör, säger hon.

Behövs censur?

Museer står i grund och botten för öppenhet och tillgängliggörande. De flesta museerna drivs av ambitionen att deras föremål och information ska vara tillgängliga för alla. Men tanken på att information ur samlingarna skulle hamna i fel händer var enklare att hantera så länge föremål och information var fysiska.

Kommer museerna, precis som länsmuseichefen frågar sig, behöva börja censurera sig digitalt?

Hanna Linderstål understryker att hon rent principiellt är mot censur, men att det är på sin plats att noggrant tänka igenom vilken information man väljer att publikt lägga ut på nätet.

– Särskilt när det gäller känsliga saker, platser som kan ha betydelse, så är det bra att ha en tanke med det. Jag tycker det är lite synd, för jag gillar öppenhet och frihet i kommunikation. Men att göra riskanalysen och se vilka konsekvenser det skulle få att lägga ut viss information, det tror jag är viktigt.

Hennes känsla är att de museer som har säkerhetsansvariga har ”ganska god” insyn i både de fysiska och digitala hoten.

Så hur ser det egentligen ut med det tidigare nämnda länsmuseets digitala beredskap?

– När vi idag startar nya saker, projekt eller utställningar finns det ett säkerhetstänk inbyggt. Då finns det hjälp att få. När det däremot gäller sådant som redan ligger online är det sämre, säger museets chef.

Bygger ny kriminell arena

Det finns mängder av rapporter om att cyberbrotten har ökat i hela världen, Europa och Sverige. Efter Rysslands invasion av Ukraina 2022 ökade det ännu mer. Under det tredje kvartalet 2024 skedde i genomsnitt 1650 cyberattacker per organisation och vecka i Sverige, enligt en aktuell rapport.

Det finns ingen anledning att tona ned detta hot, menar Hanna Linderstål. Utöver de skäl som hon tidigare har angett konstaterar hon att många verksamheter själva har sett till att bli en måltavla genom att skaffa försäkringar mot cyberattacker, och därigenom slippa undan kostnaden för ”ransomware”-attacker, där angripare implementerar skadlig programvara i verksamheters system för att kunna utöva utpressning.

– Vi har sett ett mönster där kriminella väljer att angripa organisationer med cyberförsäkring, för att dessa faktiskt betalar utpressningsavgiften. Sverige är ett av de länder som är mest frekventa att betala sådana avgifter.

Hanna Linderstål konstaterar att kostnaden för att begå cyberbrott har gått ned med 95 procent. Införandet av AI-tjänster har gjort det lätt att producera skadlig kod, virus eller systematiska phishing-mejl.

– Vi är på väg mot en digitaliserad kriminalitet på en nivå som vi aldrig sett förut, säger hon.