Under det svenska valet 2022 hade Nationellt cybersäkerhetscenter, NCSC, personal på plats under valdagen och valnatten både i cybersäkerhetscentret och hos de ingående myndigheterna, för att kunna hantera och koordinera händelser under valnatten. – Det nära samarbetet både inom centret och med de ingående myndigheterna gjorde att vi hade en väldigt tydlig bild av det aktuella cyberläget under kvällen, säger Karl Selin, senior cybersäkerhetsspecialist på MSB/CERT-SE.
Flera månader före valet startade NCSC en särskild grupp med fokus på valet, med representanter från de myndigheter som ingår i centret. Fokus i gruppen var att bättre kunna koordinera och hantera eventuella incidenter eller händelser som skulle kunna inträffa under valet.
– Veckorna före och efter valet hade vi dagliga möten i centret för att stämma av det aktuella läget, om det finns mer information att dela. Under själva valdagen hölls regelbunden kontakt under dagen och natten både mellan de ingående myndigheterna och med Skatteverket och Valmyndigheten.
Under sommaren 2022 genomförde cybersäkerhetscentret två övningar där olika scenarier hanterades som skulle kunna inträffa under valperioden, det vill säga innan, under och efter valet.
Den ena övningen genomfördes tillsammans med Valmyndigheten och Skatteverket.
– Det var en skrivbordsövning där vi diskuterade igenom hur olika incidenter skulle kunna hanteras i centret och i kontakt med andra myndigheter och organisationer, företag, kommuner, regioner med flera, säger Karl Selin.
En sådan övning leds av en övningsledare som lägger fram olika scenarier, till exempel att det sker ett cyberangrepp. Deltagarna får sedan bidra med sin bild av hur de olika myndigheterna hanterar ett sådant scenario.
Den andra övningen hölls med de ingående myndigheterna för att testa rutiner i arbetet.
Eftersom NCSC inte har några egna mandat utan är en faciliterande och koordinerande funktion bygger arbetet på att de ingående myndigheterna bidrar utifrån sina egna mandat. Om det till exempel är ett brott som faller inom Polisens ansvarsområde så är det de som utreder och leder arbetet, men de andra myndigheterna kan stötta vid behov. På samma sätt är det CERT-SE som tillhör MSB, eller någon av de andra ingående myndigheterna, som tar vid när det gäller incidenter som inte rör brott.
Alla möten som skedde i gruppens arbete hölls på plats i centret. Det arbetssättet möjliggör en enklare och snabbare informationsdelning än vad som annars hade varit möjligt.
– Det är effektivt och smidigt att sitta tillsammans. Tack vare det nära samarbetet och möjligheten till informationsdelning kan vi få en tydligare lägesuppfattning. Under valnatten gjorde det att vi fick en mycket tydligare bild av läget.
Nu har de rutiner för incidentkoordinering som tagits fram inom ramen för Nationellt cybersäkerhetscenter testats i skarpt läge.
– Vi har fått använda våra rutiner i ett riktigt läge och kommer givetvis att dra lärdomar av det som hände. Den nya förmågan som vi fått nu genom att sitta tillsammans har varit så värdefull. Det är otroligt mycket bättre nu än det varit förut, säger Karl Selin.
Efter valet kommer gruppen nu att gå igenom det arbete som gjordes och göra en utvärdering av vad som gick bra och hur arbetet kan göras ännu bättre nästa gång.