Tidigare i veckan drabbades ett flertal svenska lärosäten av en dataläcka när skolplattformen Canvas hackades. Enligt uppgifter kan 275 miljoner användare världen över ha fått sina uppgifter exponerade.
Universitetsvärlden är ett prioriterat mål för intrång, något som Ulf Däversjö, ansvarig för Affärsteknik och Utveckling på Akademiska Hus, känner igen från sin egen vardag. Fastighetsbolaget, som äger och förvaltar campusmiljöer, drabbas nämligen av intrångsförsök var femte minut.
[ Annons ]
– Angriparna är en blandning av statsstödda aktörer och kriminella ekosystem med hela leveranskedjor av specialister. Vi ser angrepp från Kina, Ryssland, Nordkorea och Iran. Läget har förvärrats radikalt jämfört med bara för några år sedan, säger Ulf Däversjö.
Lite skämtsamt kan vi säga att vi fungerar som en virtuell vallgrav
Akademiska Hus är inte universitetens IT-leverantör, men de äger byggnaderna där spjutspetsforskning bedrivs, känsliga laboratorier drivs och forskare och studenter rör sig dagligen. Det gör dem ibland till en tilltänkt bakdörr.
[ Annons ]
– Jag misstänker att en del aktörer tror att de kan nå universitetetens data genom oss. Det kan de inte. Lite skämtsamt kan vi säga att vi fungerar som en virtuell vallgrav för hyresgästerna i de fallen, säger Ulf Däversjö.
När Fastighetstidningen pratade med Kaj Winther på Fastighetsägarna och Nicklas Walldan på Vasakronan om AI-säkerhet var slutsatsen att branschen generellt ligger efter i AI-frågan, och att riskerna förstärks av bristande ordning i den digitala infrastrukturen.
Akademiska Hus ligger dock i framkant, delvis för att kunderna kräver det.
– Våra kunder lever med den här utmaningen och ställer krav på oss. Det är delvis därför vi organiserar oss som vi gör, säger Ulf Däversjö.
Man måste tänka bortom de egna glasögonen
Att vara en typ av vallgrav menar han kräver ett annat säkerhetsarbete än vad de flesta i branschen känner igen. Akademiska Hus jobbar med segmentering där fastighetssystem, administrativ IT och OT-miljö hålls strikt åtskilda, och ett lyckat intrång i ett system ska inte ge tillgång till nästa.
– Om någon tar sig in via belysningskontrollen eller ett annat fastighetssystem ska de inte kunna ta sig därifrån vidare. Det är grundprincipen.
Samma tänk styr teknikvalen. I campusmiljöerna används närvarosensorer för att förstå beläggning och personflöden, men Akademiska Hus har medvetet valt sensorer som enbart registrerar om det finns varma kroppar i ett rum, ingenting mer.
– Det finns teknik som kan fånga mycket mer detalj om individer. Den använder inte vi. Inte för att vi skulle missbruka informationen, utan för att detaljerade uppgifter kan vara intressanta för en annan aktör. Man måste tänka bortom de egna glasögonen.
Akademiska Hus använder redan agentisk AI i delar av fastighetsverksamheten, och Ulf Däversjö är tydlig med att det skapar en ny dimension av säkerhetsarbetet.
– Det finns redan exempel på attacker där man fått en agent att hämta ut data den inte är avsedd att dela, eller agera på sätt den inte ska. AI-agenterna får inte bli nyttiga idioter för en angripare.
Svaret är ordning på data. Akademiska Hus informationsklassar all sin information – från det som är strikt skyddat och inte ens digitalt tillgängligt, till det som är publikt – och ställer krav på att medarbetare förstår skillnaden. Lika viktigt är att bolaget tillhandahåller moderna, godkända verktyg internt. Annars uppstår shadow IT, där medarbetarna löser det på egen hand i publika tjänster.
Människan är ofta den svagaste länken – och kulturen är vårt starkaste skydd
– Begränsar man sig till traditionella verktyg och inte erbjuder bättre alternativ tappar man kontrollen snabbt. Man måste vara tillräckligt snabb med bra verktyg, annars skapar man precis det problem man försöker undvika.
Den springande punkten är ändå människorna, inte systemen. Metoderna för att lura en användare att göra något den inte borde är alltmer sofistikerade, och det är svårt att bygga bort med teknik.
– Det behöver inte ens handla om oaktsamhet. Det finns väldigt raffinerade metoder för att få med sig en användare på saker. Det är nästan svårt att hänga med i den utvecklingen, säger Ulf Däversjö.
En sak han lyfter är att identitetshantering är den åtgärd som är så självklar att den nästan glöms bort. Angripare bryter sig inte in, de loggar in – och frågan har förskjutits från ”Vem är du?” till ”Vad får du göra just nu?”
– Människan är ofta den svagaste länken – och kulturen är vårt starkaste skydd. Genom att skapa medvetenhet om hoten och bygga en stark säkerhetskultur kan vi skydda oss mot mycket.
Till branschen i stort är rådet att börja med det som Ulf Däversjö kallar informationsägarskap, att förstå vilken data verksamheten hanterar, klassificera den och bygga ordning därifrån.
För den som inte känner igen sig i hotbilden alls gäller ett enkelt tips:
– Att börja fundera på vad man har missat.
