Under ett aktuellt framförande på Radar Security Stockholm lyfte Peter Larsson CTO, Orange Cyberdefense utveckling som blir allt tydligare inom cybersäkerhet: gränserna mellan olika typer av hotaktörer håller på att suddas ut.
Det som tidigare framstod som tydligt avgränsade grupper med olika drivkrafter, metoder och mål börjar i dag i allt större utsträckning överlappa varandra.
Traditionellt har säkerhetsvärlden kategoriserat angripare i tre huvudgrupper: statsstödda aktörer, cyberkriminella och hacktivister. Men enligt Larsson är denna uppdelning i dag allt mindre relevant. I praktiken använder dessa aktörer liknande verktyg, drivs av delvis samma incitament och opererar i en gemensam digital hotmiljö där gränserna mellan ideologi, ekonomi och geopolitik blir allt svårare att särskilja.
Gemensamma drivkrafter växer fram
Trots olika ideologiska eller politiska utgångspunkter delar många aktörer i dag samma grundläggande mål. Ekonomisk vinning är inte längre exklusivt för cyberkriminella. Även statsnära aktörer använder finansiell skada som ett strategiskt verktyg.
Samtidigt har den kognitiva dimensionen fått en allt större betydelse. Påverkan på beslutsfattande, opinion och känslor är centrala komponenter i moderna angrepp, oavsett aktörstyp.
– Det handlar inte längre bara om att stjäla eller sabotera, utan om att påverka hur vi tänker och agerar, betonade Larsson.
Peter Larsson CTO, Orange Cyberdefense
En gråzon av statlig koppling
En annan tydlig trend är att många aktörer verkar i en gråzon när det gäller statlig koppling. Vissa är direkt integrerade i statliga strukturer, medan andra opererar mer löst, men ofta med någon form av tolerans eller indirekt stöd.
Det innebär att ansvarsfördelningen blir otydlig. Angripare kan agera relativt fritt inom vissa geografiska och politiska sfärer utan att nödvändigtvis vara formellt kopplade till staten.
– Det avgörande är inte alltid om kopplingen finns, utan hur stark den är, menade Larsson.
Samma verktyg – olika tillämpning
När det gäller metoder är likheterna ännu tydligare. Phishing, ransomware, sårbarhetsutnyttjande och social manipulation används av samtliga aktörstyper.
Skillnaden ligger snarare i hur verktygen används:
- Statsaktörer arbetar mer långsiktigt och sofistikerat
• Hacktivister är ofta mer opportunistiska och riskbenägna
• Cyberkriminella fokuserar på skalbarhet och effektivitet
Men själva verktygslådan är i stort sett densamma.
Fokus måste skifta – från aktör till beteende
Den kanske viktigaste slutsatsen är att försvar inte längre bör utgå från vem angriparen är, utan från hur angreppen ser ut.
Ett ensidigt fokus på attribution riskerar att bli ineffektivt i en miljö där aktörer överlappar varandra, både i motiv och metod.
I stället lyfter Larsson behovet av ett mer beteendebaserat och resiliensdrivet angreppssätt:
- Identifiera mönster i attacker
• Bygga robusthet mot effekter
• Agera snabbare på avvikelser
Ett kollektivt ansvar
Avslutningsvis betonades att cybersäkerhet inte längre är en isolerad fråga för enskilda organisationer eller myndigheter. Det är ett kollektivt ansvar där varje aktör behöver bidra till helheten.
Budskapet är tydligt:
Vi har fortfarande möjlighet att agera proaktivt, men tiden att göra det minskar, avslutar Peter.
