I en allt mer splittrad omvärld med nya konflikter som poppar upp, den danska regeringen, som menar att landet är utsatt för hybridkrig, ett kraftvärmeverk i Karlskrona som nyligen blev hackat och fiberkablar samt mobilmaster runt E22 som saboterats, är cybersäkerhet ett hett och högaktuellt ämne. Inom IoT blir detta särskilt påtagligt: med fel data in, eller ingen data alls, blir processer ineffektiva och i vissa fall kan man inte köra på måfå utan rätt värden måste in.
Jag har varit runt kors och tvärs under året, och överallt pratar man om AI och cybersäkerhet. När Region Jönköping anordnade en IoT-dag deltog jag i ett seminarium om cybersäkerhet och lyssnade på en etisk hackare som delade verkliga case där han försökt hacka industriella IoT-system. Listan över vanliga fel var lång: system som inte var säkerhetskonfigurerade, uppdaterade, övervakade, avvecklade eller krypterade. Det låter som självklarheter. Men på listan fanns även hur många enheter som skulle finnas på nätverket av en viss typ. När räknade du era uppkopplade konferensrumsskyltar senast? Smarta skärmar? En perfekt väg in, lägg till en enhet på nätverket som identifierar sig som “skärm” fast den egentligen vill något annat.
Det viktiga sambandet mellan smart teknik och robust skydd
Under det senaste året har vi fått åtminstone två regelverk som påverkar oss som jobbar mot kritiska system: NIS2, och det som gäller alla aktörer som har utrustning som ansluter till internet: det uppdaterade RED-direktivet. NIS2-direktivet ställer krav på både cybersäkerhet och fysiskt skydd för kritisk infrastruktur, exempelvis vattenreservoarer och vattenförsörjningssystem. Den svenska NIS2-lagen har gällt sedan den 1 januari 2025, och bristande åtgärder kan tolkas som underlåten efterlevnad.
Det direktiv som av branschen uppfattas som jobbigare, det utökade RED-direktivets artikel 3.3 d–f, trädde i kraft i augusti 2025. All radioutrustning som hanterar persondata eller är uppkopplad till nätverk måste skydda data och integritet samt ha robusta mekanismer mot cybersäkerhetshot. Produkterna ska hållas säkra och uppdaterade under hela livscykeln, via över-luften-uppdateringar (OTA) eller fysiska besök. Billiga sensorer riskerar att ge en sur eftersmak för systemägaren om de inte kan uppdateras och underhållas enligt reglerna, då måste man resa till dem och uppdatera dem, eller pensionera dem i förtid.
När CE-märkningen kom så fuskades det en del vid, kanske framförallt, import ifrån länder där det var billigare att producera. Jag har sett litet för många liknande problem med hårdvara nu, där tillverkare som inte är i Europa ibland har låga incitament för att efterleva regelverken, samtidigt som risken då läggs på importörerna.
NIS2 och det uppdaterade RED-direktivet ställer tydliga krav, och varje del i ekosystemet – hårdvara, uppkoppling, plattformar och drift – måste uppfylla dem. Att tänka på secure by design, kryptering, uppdateringar, lokal datahantering och resiliens handlar inte bara om regelverk, utan om att skapa robusta och pålitliga system som levererar verklig samhällsnytta.
Genom att kombinera teknik, organisation och rutiner kan vi skapa effektivare verksamheter, hjälpa oss skydda kritisk infrastruktur och värna personuppgifter. Att vara proaktiv idag är att säkra funktioner och samhällsvärde imorgon. Cybersäkerhet är inte en abstrakt fråga, utan har direkta konsekvenser för både verksamheter och individer.
Nu börjar ju året gå mot sitt slut. Och även år kan man summera det som att det var året alla pratade om AI, nu i hård konkurrens med cybersäkerhet. Nu senast har ju AI tagit sig ända in i flygvapnets nya, stolta, version av Gripen, Gripen E. Vid en presskonferens med Ulf Kristersson och Ukrainas president Volodymyr Zelenskyj så stoltserade planet med texten “AI powered” på planets stjärtfena. Jag hoppas, och tror att det är en riktigt kraftfull AI-modell utan BIAS eller trötthetstecken när den får jobba hårt. Tänker också på hur det var att träna modellen att identifiera flygplan och jag kan inte annat än tänka på den kända textraden “är det en fågel, är det ett plan? Nej det är en [valfritt ryskt flygplan]”.
Länk till hela numret av tidningen.