Kulturarv ”åker snålskjuts” på ny cybersäkerhetslag

I oktober 2023 drabbades Berlins naturhistoriska museum av en cyberattack, vilken orsakade skador på kommunikationskanaler, insamlings- och forskningsprogram och datalagring som tog månader att återställa. Alldeles nyligen tvingades British Museum hålla stängt i flera dagar efter att en tidigare anställd angripit delar av museets IT-system.

Och som Museer & omvärld tidigare har rapporterat har även svenska museer kommit att bli digitala måltavlor för främmande makter med dunkla motiv.

Museisektorn är med andra ord inte förskonad från den lavinartade ökningen av cyberbrott i världen.

Men nu skärps lagstiftningen för att bromsa utvecklingen. Under 2025 kommer Sverige få en ny cybersäkerhetslag, som bygger på direktivet NIS2, som antogs av EU i höstas.

NIS är en förkortning som i översättning står för ”direktiv om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela Unionen”.

Den just nu gällande cybersäkerhetslagstiftningen riktas mot verksamheter med uppenbart samhällsviktiga funktioner, som till exempel hälso- och sjukvård och energiförsörjning. I enlighet med NIS2 kommer den nya svenska lagen breddas till att omfatta 18 sektorer, jämfört med tidigare sju. Bland dessa sektorer ingår alltifrån ”avfallshantering” och ”post- och budtjänster” till ”forskning” och ”rymden”.

Men hur påverkas museerna och kulturarvet av den nya lagen?

 

Kulturarv saknas i nya lagen

Sedan i augusti 2023 ingår kulturarv på den lista över viktiga samhällsfunktioner. Listan är sammanställd av Myndigheten för samhällsskydd och beredskap, MSB, och ligger till grund för det arbete som ska stärka samhällets beredskap. Till detta hör, menar MSB, ”förmågan att samla in, skydda och bevara det materiella, immateriella och digitala kulturarvet och dokumentation av kulturarvet”.

MSB har föreslagit att denna lista ska ligga till grund för den nya cybersäkerhetslagen. Detta har dock inte hörsammats av utredningen, som istället pekar ut de 18 sektorerna i sitt delbetänkande.

Att ordet ”kulturarv” inte alls förekommer i detta delbetänkande, vill inte Martin Snygg, handläggare enheten för strategi och samordning på MSB, se som ett tecken på att cyberhotet mot det digitala kulturarvet är förbisett.

– Om man tittar på den kommande regleringen, och höjningen av ambitionsnivån i samhället generellt, så kommer det digitala kulturarvet åka snålskjuts på det. Att det är många som behöver höja nivån råder det ingen tvekan om. Så det är varken specifikt för det här området eller något annat. Alla behöver ju dra sitt stråk till stacken och bygga ett robustare samhälle, säger han.

 

Hela verksamheten

Av samma anledning har MSB inte planerat några riktade insatser mot just det digitala kulturarvet. Myndigheten har ett bredare uppdrag än att jobba mot specifika sektorer (”vi försöker ju få med alla på det här”, fastslår Martin Snygg).

– Men har man då i bakhuvudet att hela organisationen omfattas av den nya lagen, så innebär det ju också i viss mån det digitala kulturarv man har i en verksamhet, säger han och sätter fingret på en annan viktig förändring i den nya cybersäkerhetslagen.

I enlighet med den nuvarande lagstiftningen har till exempel en kommun enbart behövt tillämpa särskilda säkerhetsåtgärder för verksamhet som anses vara samhällskritisk, som hälso- och sjukvård.

– Men nu kommer även delar av verksamheter som inte har samma hotbild mot sig omfattas. Till exempel biblioteket, som ju i någon mån kan sägas vara i andra änden av organisationen sett till kritikalitet, säger Martin Snygg.

 

Det digitala kulturarvet under attack

Sedan EU tog fram det första NIS-direktivet 2016 har säkerhetsläget i världen förändrats dramatiskt. Och frågan om beredskap för kulturarv har blivit högaktuell sedan krigsutbrottet i Ukraina, där även det digitala kulturarvet har utsatts för omfattande attacker.

– Där handlar det framför allt anläggningar som informationssystemen driftas i. Dels att de blev utsatta för fjärrbekämpning, så att hårdvaran gick sönder. Men man har även givit sig på energiförsörjningen. Då är det ju traditionell kontinuitetshantering. Man behöver se över det också, finns det en plan b, finns det tillgång till reservkraft?, säger Martin Snygg.

LÄS ÄVEN: Internationellt nätverk ska rädda Ukrainas digitala kulturarv | Riksantikvarieämbetet

– Men det är ju svårt att sitta i Sverige och tänka att ”vi behöver bygga anläggningar som står emot fjärrbekämpning”. Det är ju otroligt kostsamt. Man kanske får titta på de mer sannolika scenarierna. Vilket man ju ska göra ändå, strömavbrott kan ju ske av andra anledningar. Översvämningar sker ju.

Han upplyser om att det finns en mångfald av stödmaterial på myndighetens hemsida, som till exempel metodstöd för hur man systematiskt arbetar med informationssäkerhet.

– Men vi tar emot incidentrapportering från NIS-leverantörer och statliga myndigheter, så när det händer någon IT-relaterad incident och om man är rapporteringspliktig så får vi det till oss. Den informationen ligger ju sedan till grund för analyser – vad är det som händer? Hur går det till? – för att sedan kunna komma med rekommendationer, som ju är ganska generella och tillämpbara för de flesta som befinner sig i en digital miljö, säger han och noterar att även Nationella cybersäkerhetscentret ger ut publikationer med rekommendationer ”som alla behöver titta på och förhålla sig till om man har en digital exponering”.

– Och där handlar det ju om att helt enkelt höja lägstanivån för att inte göra det för enkelt för någon, oavsett om det är ett antagonistiskt hot eller om det är ett misstag som sker. För att få ner sannolikheten för att det inträffar och, om det inträffar, mildra konsekvenserna.

Lägstanivån gäller även för leverantörer av IT-tjänster.

– I den nya regleringen finns även krav på att man behöver säkerställa sina direkta leverantörer, att de också vidtar lämpliga åtgärder, säger Martin Snygg.

 

Svårt att jobba effektivt

Enligt MSB:s årliga cybersäkerhetskoll, en undersökning som görs bland statliga myndigheter och kommuner, framgår att sex av tio inte når upp till en grundläggande nivå av ett systematiskt informationssäkerhetsarbete. De statliga myndigheterna ligger något högre, på grund av deras föreskriftskrav. Kommunerna bidrar till att det sammantagna resultatet dras ned.

– Framför allt mindre kommuner, som har väldigt ansträngt med resurser. Det är svårt för dem att kunna jobba med det här på ett effektivt sätt, säger Martin Snygg.

Och där handlar det ju om att helt enkelt höja lägstanivån för att inte göra det för enkelt för någon, om det är ett antagonistiskt hot eller om det är ett misstag som sker. För att liksom få ner sannolikheten för att det inträffar och om det inträffar mildra konsekvenserna.

I likhet med vad säkerhetsexperten Hanna Linderstål säger i intervjun med Museer & omvärld understryker Martin Snygg vikten av att alla organisationer jobbar systematiskt med sin cybersäkerhet. Att de börja med en riskanalys och ser över vilka risker verksamheten har och därefter vidtar åtgärder för att minska sannolikheten.

– Och sedan fortsätta göra det där, ”ok, nu har vi hanterat den här risken, då behöver vi adressera nästa”, så att det inte bara blir en engångsgrej. Att man inte nöjer sig med att köpa en brandvägg. Man behöver jobba med det löpande, säger han.

Att ett svenskt länsmuseum, som nämns i samma text, har noterat en stor ökning av antalet ryska digitala besökare tycker han belyser en ”spännande utmaning”, eftersom ett museum ska tillhandahålla information.

– Där får museet titta på vem det är det ska vara tillgängligt för? Är det för Sverige? Det går ju att begränsa tillgängligheten, så att man enbart tillåter besök från IP-adresser i Sverige. Det kan ju vara en sak. Det är visserligen ganska trivialt att ta sig förbi sådant för en seriös aktör, om man nu verkligen vill det. Men samtidigt så måste man ju ha det här offentlighetsansvaret, eller vad vi ska kalla det, i bakhuvudet. Kan vi censurera information för omvärlden?, säger Martin Snygg.