Ekonomin blir måltavla i hybridkriget
Sveriges finanssystem som ny säkerhetspolitisk front.
Genom att samordna ryktesspridning, desinformation och cyberattacker mot företag och finansiella institutioner kan Ryssland – eller andra illvilliga aktörer – skada Sverige. Handelsforskaren Gustav Almqvist varnar för att Sveriges öppna ekonomi och stora tillit allt oftare kommer att utnyttjas som måltavla i hybridkriget.
Bara några dagar innan ryska armén rullade in över gränsen till Ukraina i riktning mot Kiev fick många ukrainare ett sms. I meddelandet stod att pengarna på deras bankkonton hade försvunnit.
Samtidigt utsattes flera av landets storbanker för en cyberattack. Bankernas webbplatser slogs ut och många kunder fick svårt att logga in. Därmed försvann också möjligheten att snabbt dementera den falska ryktesspridningen.
– Sådana attacker skapar en väldig oro. Människor tänker: ”Oj, nu håller systemet på att kollapsa – pengarna har försvunnit från min bank”, säger Marcus Murray, cybersäkerhetsexpert och grundare av it-säkerhetsföretaget Truesec.
– Det är ett sätt att destabilisera ett samhälle, särskilt demokratier som bygger på tillit och förtroende för systemet.
På Handelshögskolan i Stockholm pågår ett forskningsprojekt om hoten mot Sveriges ekonomi. Gustav Almqvist, som leder projektet, tror att svenskar behöver en djupare förståelse för hur sårbart det ekonomiska systemet är, och hur det kan utnyttjas av aktörer som vill Sverige ont.
– När vi pratar om hot mot samhället pratar vi ofta om direkta militära hot. Men ekonomin är också sårbar. Samhället hålls ihop av ekonomin, och den som stör ekonomin kan stöka till det ganska ordentligt.
Som exempel nämner han att betalsystem kan slås ut samt att attacker mot bokföringssystem och handelsplatser kan leda till att viktiga affärsdata kan blockeras.
– Främmande makt kan även stjäla och utnyttja känslig, marknadspåverkande information – som patent och affärshemligheter, säger Gustav Almqvist.
Angreppets tre nivåer
Hoten mot Sveriges ekonomi kan delas in i tre kategorier: angrepp mot enskilda medborgare, attacker mot företag och organisationer samt försök att destabilisera samhällsviktiga institutioner och undergräva befolkningens förtroende för myndigheter, viktiga tjänster och det ekonomiska systemet.
På den första nivån handlar det om att komma åt enskilda personer, framför allt genom bedrägerier. Med hjälp av AI har ligorna blivit mer sofistikerade och även människor som tidigare varit svåra att lura faller nu offer, berättar Gustav Almqvist.
– Det brukade vara ett halvdant skrivet mejl från en nigeriansk prins som ville att du skulle betala honom en miljon kronor. Nu kan det vara en trovärdig inbjudan till en chattgrupp, följt av ett Zoommöte med någon som utger sig för att vara chef på ditt företag och ber dig göra en stor transaktion: I efterhand visar det sig att personen varit en AI-bot, säger Gustav Almqvist.
AI-bedrägerier
Det brukade vara ett halvdant skrivet mejl från en nigeriansk prins som ville att du skulle betala honom en miljon kronor. Med hjälp av AI har ligorna blivit sofistikerade och många som tidigare varit svåra att lura faller nu offer, berättar Gustav Almqvist vid Handels.
På den andra nivån handlar det om cyberattacker mot företag och institutioner, industrispionage, mullvadar och kidnappningar och utpressning mot företagsledare. I USA har det uppdagats att stora företag har haft mullvadar anställda. Bland annat ska nordkoreanska spioner, med välfabricerade cv:n, falska id-handlingar och AI-stödda anställningsintervjuer ha skaffat sig distansjobb.
– De har använt distansjobben för att stjäla företagshemligheter, stjäla kryptovaluta och spionera inne i organisationerna, säger Gustav Almqvist.
– De flesta större amerikanska börsbolag misstänks ha den här sortens personer anställda. Det vore naivt att tro att svenska storbolag inte också är måltavlor.
Även ryktesspridning – som den som ukrainska banksektorn utsattes för strax före krigsutbrottet – har drabbat svenska banker i Baltikum. Målet har varit att få bankkunder att ifrågasätta likviditeten och i bästa fall utlösa en bankrusning, där många försöker tömma sina konton samtidigt. Det kan pressa en bank in i en likviditetskris och i värsta fall leda till konkurs.
På den tredje nivån handlar det om att ge sig på institutioner och komponenter som är centrala för hela det ekonomiska systemets funktion. Här ingår desinformation och destruktiv propaganda.
– Med hjälp av konspirationsteorier kan en angripare minska förtroendet för finansiella institutioner, valutan eller tillståndet i landets ekonomi, säger Gustav Almqvist.
Om en illvillig aktör vill orsaka maximal skada är det mest effektivt att kombinera flera metoder – och slå till när Sverige eller ett viktigt företag är speciellt sårbart, enligt Gustav Almqvist.
– Om jag vore en elakt sinnad aktör och ville sabotera ekonomin i Sverige, då hade jag hängt med i nyhetsrapporteringen och varit uppmärksam på olika situationer som skulle kunna ge mig en möjlighet. Det kan vara när en bank får finansiella problem, eller när ett stort svenskt företag står inför ett avgörande skede, säger Gustav Almqvist och fortsätter:
– Eller ännu hellre när hela Sverige står inför en ekonomisk reform, till exempel en anslutning till eurovalutasamarbetet.
Just det har nyligen hänt i Bulgarien, som efter nyår anslöt sig till eurosamarbetet. Inför anslutningen spred proryska grupper koordinerade budskap på sociala medier om att reformen skulle gynna den politiska eliten och urholka landets suveränitet, enligt Financial Times och The Guardian.
Det spreds också påståenden om att bulgarer skulle förlora sina besparingar när växelkursen fastställdes mot den nya valutan.
Desinformation och rysk propaganda mot euron och EU-institutioner – som Europeiska centralbanken – är ett återkommande problem i Europa, menar Gustav Almqvist.
Bedrägerier och cyberbrott utförs ofta av kriminella organisationer som inte alltid agerar direkt på uppdrag av Kreml eller andra regeringar. Ändå sammanfaller intressen ofta och grupperna kan verka ostört i dessa länder – ibland med stöd från underrättelsetjänster, berättar cybersäkerhetsexperten Marcus Murray.
– Om vi tar Ryssland till exempel, så kan du inte verka som en rysk kriminell organisation utan Kremls goda vilja. Det finns ett symbiotiskt förhållande mellan kriminella organisationer och ledningen i landet, säger han och fortsätter:
– Ett stort problem är att Ryssland är väldigt riskbenäget. De är redan en utpekad fiende så de bryr sig mindre om vad omvärlden tycker och kan agera ganska ohämmat.
Tilliten – ekonomins styrka och svaghet
För att ekonomin ska fungera krävs ömsesidig tillit, särskilt i en marknadsekonomisk välfärdsstat med ett tätt samspel mellan medborgare, företag och statliga institutioner.
– Ekonomin bygger på saker vi tar för givna: att en skuld är en skuld och ska betalas igen, ett ingånget avtal ska hållas och att valutan fungerar och behåller sitt värde. Du känner dig trygg med att kronan accepteras som betalmedel, säger Handelsforskaren Gustav Almqvist.
– Jag var på Kuba häromåret när de hade hyperinflation. Ingen ville ta emot peson över huvud taget. Jag fick hanka mig fram på amerikanska dollar. Det är ett exempel på vad som händer när människor slutar lita på valutan.
För att undergräva tilliten kan en antagonist, som Ryssland, plantera misstro hos grupper i samhället som är särskilt mottagliga för informationspåverkan, berättar Gustav Almqvist.
– Det handlar ofta om marginaliserade grupper och personer med redan avvikande uppfattningar. De kan vara särskilt lätta att manipulera. Dels de som redan har en tendens att tänka konspiratoriskt, dels de som är negativt inställda till samhället i stort, säger han.
– Det här är personer som hämtar sin information från sociala medier snarare än traditionella nyhetsmedier.
För att nå dem kan en illvillig aktör betala influerare att sprida vissa påståenden och samtidigt använda trollarméer för att översvämma flöden på sociala medier med koordinerad desinformation.
Cyberattacker mot det svenska finanssystemet
Utöver desinformation och konspirationsteorier kan tilliten till ekonomin också skadas genom attacker mot funktioner som människor är beroende av i vardagen, säger Marcus Murray.
– Våra antagonister har ett tydligt modus: att försvaga förtroendet för systemet och samhället. Då går de ofta direkt mot medborgarna. Attackerna behöver inte orsaka stor teknisk skada, men de kan få en kraftig psykologisk effekt, säger han.
Våra antagonister har ett tydligt modus: att försvaga förtroendet för systemet och samhället. Då går de ofta direkt mot medborgarna.
Under hösten 2024 och våren 2025 utsattes svenska banker och delar av den finansiella infrastrukturen för allvarliga överbelastningsattacker. Bland annat låg bank-id nere, och många svenskar kunde varken nå sina banktjänster eller genomföra Swishbetalningar. Systemen återhämtade sig snabbt, men Riksbanken varnar i en ny rapport för att mer frekventa och långvariga störningar riskerar att underminera förtroendet för stabiliteten i finansiella tjänster.
Överbelastningsattackerna har blivit både fler och mer avancerade, enligt Riksbankens rapport. Än så länge har konsekvenserna varit begränsade, men i ett alltmer skärpt säkerhetsläge ökar risken för mer sofistikerade attacker med allvarligare följder.
Mot bakgrund av de ökade spänningarna i Europa har regeringen lagt fram ett förslag om att ge Riksbanken ett utökat ansvar för krishantering om samhällsviktiga finansiella tjänster slås ut. Förslaget ligger på lagrådsremiss, har fått positiv respons från Riksbanken och väntas kunna antas till sommaren.
I det exceptionellt kontantlösa Sverige sker omkring 90 procent av alla transaktioner digitalt. Det gör banksektorn och betalsystemen särskilt sårbara. Svenskar är beroende av att de digitala betalsystemen fungerar, från att handla mat och medicin till att ta emot löner och bidrag.
Riksbanken planerar därför även att införa möjlighet till offlinekortbetalningar för vissa nödvändiga varor, som livsmedel, läkemedel och drivmedel.
Vad är en överbelastningsattack?
En ddos-attack (distributed denial of service) är ett cyberangrepp som syftar till att slå ut en digital tjänst genom att överbelasta den med trafik. I stället för att ta sig in i ett system försöker angriparen göra det otillgängligt för användare. Attacken genomförs ofta med hjälp av botnät – nätverk av kapade datorer och uppkopplade prylar som samtidigt skickar stora mängder förfrågningar mot samma mål. När servrarna inte längre hinner svara slutar tjänsten att fungera.
Ddos-attacker används mot allt från banker och myndigheter till medier och e-handelsföretag, med politiska, ekonomiska eller kriminella motiv.
Cyberkriminalitetens affärsmodell
Bakom överbelastningsattackerna finns kriminella nätverk, ideologiskt motiverade grupper och statliga aktörer. Det är ofta svårt att avgöra vem som ligger bakom, eftersom flera använder samma infrastruktur.
Cyberbrottsnätverk erbjuder attacker som en tjänst, eller hyr ut kontrollpaneler där angriparen själv genomför attackerna. En sådan tjänst är Gorillabot, som enligt Riksbanken har använts i flera attacker mot svenska finansiella aktörer.
Överbelastningsattacker är den vanligaste typen, men svenska bolag drabbas också av utpressningsattacker, så kallade ransomware. Vid en överbelastningsattack pressas en digital tjänst tills användare inte kommer åt den. Vid ransomware låser angriparen ett it-system och kräver en lösensumma för att återställa åtkomsten. Den typen av angrepp kan pågå betydligt längre och skapa mer långvariga konsekvenser.
Trots svårigheten att identifiera beställarna ser Riksbanken och andra europeiska organ mönster som pekar på geopolitiska motiv. Marcus Murray på Truesec delar den bilden.
– Vi utreder runt 200 incidenter per år. Ofta ser vi tydliga tecken på politiskt motiverade angrepp, men det är svårt att bevisa, säger Marcus Murray.
Vad är ransomware?
Ransomware är en typ av cyberattack där angriparen låser ett it-system eller krypterar filer och kräver en lösensumma för att återställa åtkomsten. Angreppen riktas ofta mot företag, myndigheter och sjukhus, där driftstopp snabbt blir mycket kostsamma.
Till skillnad från ddos-attacker, som främst slår ut tillgängligheten, kan ransomware orsaka långvariga störningar och stora ekonomiska förluster. I vissa fall stjäls data också innan den låses, vilket gör att offret hotas med läckor om ingen betalning sker. Ransomware används både av kriminella nätverk och i attacker med geopolitiska motiv.
Större bolag har i regel byggt upp avancerade cybersäkerhetsfunktioner. Mindre företag är ofta mer sårbara.
– Trenden just nu är att mindre bolag drabbas hårdare, säger han.
Gustav Almqvist har samma bild och påpekar att vissa branscher är mer förberedda än andra.
– Jobbar du i politiskt känsliga branscher eller inom vapenindustrin, är det här inga nyheter. Men i branscher och företag som inte har sett sig som särskilt känsliga finns ofta en naivitet. Där tror jag att många är oförberedda.
Gustav Almqvist tror att angrepp mot Sveriges ekonomi, medborgare och företag kommer att öka i omfattning och bli mer sofistikerade de närmaste åren. Därför behöver både företag och individer förbereda sig bättre.
– Sverige är ett land där medborgarna har mycket hög tilltro till de finansiella institutionerna och till samhället i stort. Men det finns inga garantier för att det kommer vara så för evigt, säger han.
– Vi vill inte att människor ska börja tveka innan de sparar i aktier eller sätter in sparpengar på banken, som de faktiskt gör i vissa andra länder. Misstro är mycket skadligt för ekonomin.