Fotograf: Ronny Hartmann/TT

"Sverige är illa förberett mot det gränslösa cyberhotet"

Hackerattacker och cyberkrigsföring blir vanligare och mer sofistikerade. Sverige är illa förberett för de här hoten, menar Lars Nicander, chef på Försvarshögskolans Centrum för asymmetriska hot- och terrorismstudier.

Under hösten 2014 observerade en privatperson i Stockholms skärgård något som såg ut som en ubåt. Personen kontaktade den svenska Försvarsmakten som inledde en militär operation och man kunde konstatera att en undervattensfarkost kränkt svenskt territorium. Sedan incidenten har svensk övervakning både under och ovan ytan i skärgården och ute på Östersjön ökat, för att avskräcka hot från utländsk makt.

FAKTA

Lars Nicander är chef för Försvarshögskolans Centrum för asymmetriska hot- och terrorismstudier (CATS). Han är medlem av både den brittiska tankesmedjan International Institute for Strategic Studies och Kungliga Krigsvetenskapsakademien.

Den här texten utgör ett utdrag ur boken Kan Sverige försvaras - mot vad?

Försvarsanslagen har också höjts för att kunna försvara Sverige på ett effektivt sätt. Detta händelseförlopp och försvarsmekanismer som kickar in vid kris är säkert bekanta och relativt lättförståeliga för gemene man i Sverige. Men hur väl förberedda är den svenska staten och samhället på att ta sig an de relativt nya hoten som riktas mot Sverige i form av cyberattacker? Rätt dåligt är det samlade omdömet och vår sårbarhet är en viktig och alldeles för sällan diskuterad fråga i den svenska säkerhets-, försvars- och ekonomiska debatten. Cyberhot och försvar är dock ett naturligt inslag i denna bok som heter Kan Sverige försvaras - mot vad?

Internationell krigföring i cyberrymden
Låt oss börja med en internationell översyn av cyberhotet och den lågintensiva krigföring som idag pågår runt om i världen.

Vi behöver bara titta österut för att hitta en av de mest kända cyberattackerna. 2007 attackerades Estland och Ryssland pekades ut som ansvarigt. Duma-ledamöter har senare öppet vidgått att ryska säkerhetsorgan låg bakom. Mönstret upprepades sedan i Georgien-kriget 2008 där cyberattacker användes som ett komplement till militära insatser.

Hotbilden mot främst de västliga informationssamhällena kan grovt delas upp i två delar. Dels denna typ av ovanstående cyberattacker som syftar till att slå ut kritiska samhällsstrukturer helt eller delvis i ett mellanstatligt konfliktsammanhang.

Dels cyberspionage för att komma åt främst teknisk och ekonomisk information men utan direkt avsikt att sabotera systemen och skada samhällsfunktionerna i sig, vilket av amerikanska officiella företrädare anses känneteckna ett kinesiskt agerande.


Den här texten utgör ett utdrag ur boken Kan Sverige försvaras - mot vad?

Även om Ryssland har en större faiblesse för cyberattacker medan Kina ägnar sig mer åt cyberspionage, så finns det även exempel på motsatsen där Kina attackerat det finansiella systemet i Taiwan eller där Ryssland ägnar sig åt sofistikerat cyberspionage för informationsinhämtning. I det ryska fallet är gränsdragningen mellan statlig verksamhet och avancerade kriminella nätverk i många fall mycket suddig, varför det kan vara svårt att urskilja vad som är en säkerhetspolitisk respektive kriminell ekonomiskt betingad aktivitet.

Även länder som USA, Israel och Iran har som framgår nedan varit aktiva i attacker som syftar till att nedgradera eller slå ut viktig infrastruktur i fientligt sinnade målländer. Några av de internationellt mest kända attackerna är följande:

• Aurora (2010) var den första större attacken i den moderna cyberdimensionen, och som attackerade Google och ett antal amerikanska organisationer. Den fick utrikesminister Hillary Clinton att offentligt utpeka Kina som skyldigt.

• Stuxnet (2010) är den hittills mest avancerade cyberattacken där USA och Israel utpekats som knutna till angreppet mot det iranska kärnvapenprogrammet. Styrdatorsystemet till urananrikningscentrifugerna hade i förväg på ett svårupptäckt sätt preparerats så att processerna inte fungerade.

• Red October (2012) där både Ryssland och Israel anklagades för att ligga bakom ett antal attacker mot västliga diplomater och forskare.

• Shamoon (2014) där Iran anses ligga bakom en storskalig attack på det saudiska oljebolaget Aramco med en hackerorganisation som täckmantel. 30 000 datorer förstördes i den första destruktiva attacken.

• Sony Pictures-attacken (2014) är unik då den riktades mot ett enda bolag och där motivet ansetts vara att kommersiellt skada filmbolaget som släppt en filmsatir om Nordkoreas diktator Kim Jong-un. Det finns fortfarande frågetecken om attacken kom inifrån Nordkorea eller av hackers placerade i kinesiska gränsstäder, eftersom IP- infrastrukturen i Nordkorea inte anses välutvecklad. En fråga är hur nordkoreanska attacker kan ske utan kinesiska myndigheters goda minne.

• OPM-hacket (2014). Det allvarliga intrång som i sonnel Management (OPM), som ansvarar för data gällande statsanställda, var värre än man först trodde. Uppgifter om antal drabbade varierar mellan 4,2–18 miljoner människor. Det mest allvarliga är att datan även innefattar bakgrundsinformation för säkerhetsprövningar (clearance) – till exempel födelsedatum, arbetshistorik, försäkringsuppgifter, kön och ålder, utländska släktingar och vänner. Kina bedöms ligga bakom detta intrång. En teori är att intrånget var möjligt på grund av outsourcing – alltså att den amerikanska regeringen använt sig av externa organisationer för att behandla känsligt material.

• Ashley Madison-hacket (2015) handlar om en otrohetssite (typ Victoria Milan i Sverige) som hackades och där över 6 000 militära e-postadresser fanns med. I kombination med uppgifter i OPM-hacket ovan har detta ansetts vara en säkerhetsmässig katastrof då kinesiska (och troligen även ryska och kanske iranska) underrättelseorganisationer – förutom en fullständig kartläggning av individers kontaktmönster inom och utom USA – även får skäl till utpressning.

• Det amerikanska energidepartementet drabbades under 2010–2014 av 1 341 försök till cyberintrång, varav 159 lyckades. Den särskilda myndighet inom departementet – The National Nuclear Security Administration – som hanterar säkerheten kring landets kärnvapenprogram och lagringen av nukleärt material drabbades av 19 fullföljda cyberintrång under samma period.

Cyberhot mot Sverige
IT-säkerhetsföretaget Fire-Eye har i en rapport våren 2015 pekat på förekomsten av kinesiska underrättelseoperationer i svenskt närområde med "spearfishing" (lura någon att klicka på en farlig länk i ett mail som ser ut att vara legitimt) och lågprofilerade smygande hot – så kallade APT-attacker (Advanced Persistent Treat). Dessa riktas främst mot företag och forskningsinstitutioner, medan ryska motsvarande APT-attacker riktas mot nordiska försvarsmakter. Den stora cyberspionageattacken mot det finska utrikesministeriet 2013 blev för många politiskt ansvariga en väckarklocka, även om Ryssland aldrig officiellt pekades ut. Ryssland har även ägnat sig åt överbelastningsattacker i propagandakriget mot tjetjenska webbsajter med servrar placerade i Norden.

Idag upplever vi även den ökade säkerhetspolitiska spänningen i vårt närområde, där ryska asymmetriska hot kopplas till hybridoperationer, cyberattacker och "mjuka" påverkansoperationer inom det som brukar benämnas "gråzons"-krigföring.

Syftet kan vara att påverka beslutsfattande rörande svensk försvars- och utrikespolitik, och/eller att skada statliga myndigheter och institutioner. Två separata men samtidiga it-incidenter kan exempelvis ske i Södertälje kommun och Banverket i Skåne utan att väcka förvåning. Dock inte ifall nyhetsbyrån Russia Today i Oslo exklusivt rapporterar om incidenterna dagen efter, då händelsen får en helt annan kontext.

Kan Sverige försvaras mot cyberhot?
Sverige är i många hänseenden ett välutvecklat informationssamhälle vilket lett till ökat välstånd både i ekonomiska och sociala hänseenden. Detta samhälle har också skapat beroenden och sårbarheter som inte beaktats fullt ut av staten och samhället i allmänhet. Sveriges kritiska informationsinfrastrukturer – till exempel el, tele, transporter, finans – är idag inte tillräckligt rustade mot dolda antagonistiska cyberattacker.

En fråga som varit besvärlig i alla länder som vill bygga cyberförsvar har varit att identifiera den statliga aktör som "äger frågan" om och när något händer. På myndigheterna vill man gärna upprätthålla strikta sektorsgränser, och även om man inte klarar de behov som uppkommer till följd av de nya hoten så ska i varje fall ingen annan myndighet ha synpunkter på detta.

Men den värld vi lever i är inte en värld där stuprörstänkande bör regera. Behovet av en tvärsektoriell struktur på central nivå kan åskådliggöras av följande exempel.

En finansiell institution drabbas av ett virusangrepp via sina nätverk, vilket orsakar omsättningsförluster kring 80-100 miljarder kronor vilket ger svallvågor på finansmarknaden och i svåra fall kanske orsakar en börsstängning. Vem ska de då ringa till? Är det till Telia (eller annan operatör) vars ledningar berörs? Är det till Post- och Telestyrelsen (PTS) som är den statliga tillsynsmyndigheten för telekommunikationer? Är det till incidentrapporteringsenheten vid Myndigheten för samhällsskydd och beredskap (MSB/CERT) dit man frivilligt kan ansluta sig? Är det till Finansinspektionen som har tillsynsansvar för företagets informationssystem? Är det till FRA som har en teknisk infrastruktur att spana mot denna typ av hot – dock inget uppdrag gentemot det privata näringslivet? Är det "den resandes ensak"? Eller är det försäkringsbolaget? Eller är det Finansinspektionen som har ansvar för tillsynen av försäkringsbolagen? Är det till Polismyndigheten eller till Säkerhetspolisen?

Alltså, vem har inom staten ansvar för skydd, finansiering och tillsyn vad gäller cyberhot mot det svenska samhället? Det svenska systemet, sedan Axel Oxenstiernas dagar, med relativt små regeringsdepartement och starka självständiga myndigheter har ingen naturlig avdömningsfunktion, varför frågan har varit svår att hantera inom regeringskansliet. Det är idag fyra departement och (minst) åtta myndigheter inblandade, och där fungerande avdömningsmekanismer i regeringskansliet saknas.

Sex utredningar sedan 1997 har pekat på behovet av nya organ för samverkan och koordinering på såväl myndighetsnivå som inom regeringskansliet, men ingen har lyckats få till stånd en ny statlig strategi och samordning. Den sjunde och senaste utredningen (NISU 2014) som Brå:s generaldirektör Erik Wennerström lade fram i mars 2015 innehåller en nationell strategi som fokuserar på statens roll, och bland annat på ett snabbt införande av ett särskilt incidentrapporteringssystem som även EU kommer att kräva av medlemsstaterna.

Svensk cybersäkerhets- och cyberförsvarspolicy
När det gäller cybersäkerhet och övergripande informationssäkerhet så handlar det om att kunna hantera två dimensioner samtidigt. Dels uppifrånperspektivet med säkerhetspolitiska implikationer som behov av internationella normer och regelverk, för att till exempel kunna spåra hackerattacker i nära realtid. Dels nedifrånperspektivet där den tidigare utredaren Anders Svärd (C) ville "höja golvet" beträffande informationssäkerheten. Det handlade om ökad utbildning med en satsning på Chief Information Assurance Officers (CIAO) för att hjälpa

GD/VD att få en helhetssyn på de informationssäkerhetssatsningar som görs i den egna verksamheten. Likaså nämndes behovet av tekniska cyberförsvarsövningar som på ett bra sätt påvisar okända och komplexa sårbarheter.

Det går inte att göra någon skillnad på offensiv och defensiv förmåga – det är bara de svåråtkomliga avsikterna som kan ge vägledning. Eftersom den tekniska utrustningen är extremt användbar för såväl fredliga syften som för antagonistiska ("dual-use"), så kan i princip varenda datakunnig ungdom anskaffa den utrustning som behövs med helt legitima motiv.

Detta leder till att krav på så kallad rustningskontroll inte är tillämpliga, och att möjliga fiender kan sökas långt utöver vad som förekommit under tidigare decennier.

När det gäller cyberförsvar kan detta delas upp i tre delar:

• Skyddsåtgärderna med Computer Network Defence (CND), där Myndigheten för samhällsskydd (MSB) i Sverige kan sägas vara huvudaktör – dock endast samordnande – med fokus på den offentliga sektorn och samhällskritisk privat infrastruktur.

• Underrättelse- och signalspaningsdelen Computer Network Exploit (CNE) där Försvarets Radioanstalt (FRA) är huvudaktör.

• De offensiva åtgärderna Computer Network Attack (CNA) där Försvarsmakten och dess it-försvarsförband kan ha en roll om statsmakterna så bestämmer.

Rollspelet mellan CND-CNE-CNA bör eftersträvas till att vara "sömlöst" både av operativa/mandatmässiga och ekonomiska skäl så att skattebetalarna inte behöver betala samma sak två gånger. CNE innebär ju en dubbel leverantörsroll av information åt de som ansvarar för såväl CND som CNA, och stora investeringar i datorer för sårbarhetsanalyser har under åren gjorts på FRA.

Internationellt sett finns det olika lösningar mandatmässigt.

I Storbritannien är cyberförsvar en civil fråga där signalspaningsmyndigheten GCHQ under utrikesministeriet är ansvarigt, medan ansvaret i Nederländerna ligger på försvarsdepartementet. I USA är chefen för signalspaningsmyndigheten NSA "dubbelhattad" och tillika chef för den militära delen Cyber Command. I det senare fallet har ett principiellt argument varit att det ska vara en militär organisation med officerare som beordrar handlingar som faller inom ramen för krig och örlog, och inte en tekniker i en civil myndighet. I Sverige är detta vägval inte färdiganalyserat.

Svensk policy utesluter inte möjligheten till offensiva cyberattacker inom ramen för ett nationellt försvar, men detta är i praktiken betydligt svårare än man tror. Det är ett engångs-vapen för angrepp, då man aldrig direkt kan slå tillbaka mot en avsändare på grund av risken att hamna på en falsk ("spoofad") returadress och kanske råka stänga av hjärt-lungmaskinen på ett sjukhus.

Sveriges riksdag har till och med pekat på möjligheten att inom ramen för FN-mandat kunna använda offensiva it-vapen för att upprätthålla sanktioner mot en utpekad part som alternativ till att skicka soldater.

De vägvalsfrågor som våra statsmakter nu står inför handlar om ett antal dimensioner.

• Vilket ansvar har staten för näringslivet och att Sverige anses som en säker marknadsplats? Hur ska infrastrukturen kunna bli mer robust och utgöra en konkurrensfördel?

• Vilket är rollspelet mandatmässigt civilt-militärt? De flesta cyberattacker äger rum under fred där ansvaret i Sverige hamnar under Inrikesministern och där MSB och delvis Säpo har ett utpekat informationssäkerhetsansvar, medan resurserna för att hantera detta med FRA och Försvarsmakten finns under Försvarsdepartementet.

• Hur ska gränsdragningen mellan brottsutredning och nationell säkerhet bli mer "sömlös" vid dessa snabba förlopp?

• Vem sammanställer den samlade lägesbilden vid en cyberkris? Hur övas detta samordningsbehov i regeringskansliet och på central nivå där ansvarsprincipen med traditionell myndighetssamverkan inte alltid är lösningen vid dessa snabba förlopp?

En samordnad underrättelsestruktur för dessa frågor håller på att växa fram där MUST, FRA och SÄPO samt delvis MSB försöker skapa sig en uppfattning om hotet. Bland annat har de tre förstnämnda valt att samverka inom ramen för "Nationell samverkan till skydd mot allvarliga it-hot" (NSIT) där de analyserar och bedömer hot och sårbarheter när det gäller allvarliga eller kvalificerade it-angrepp mot våra mest skyddsvärda nationella intressen och där MSB har observatörsstatus sedan 2014. Det är dock de exekutiva myndigheterna (PTS, Svenska Kraftnät, Banverket etc.) som har budgetarna att åtgärda de problem de identifierar, vilket gör att ledtiderna för informations/beslutscykeln ofta blir för långa. Om man hittar en svaghet i samhälleliga informationssystem så måste förslag i form av balanserade och integrerade åtgärder ske mycket snabbt. Det är därför viktigt att regeringen i ett sådant läge genom inrikesministern som utpekad aktör snabbt och verksamhetsnära kan begära, prioritera, sammanställa och bedöma all slags relevant omvärldsinformation.

Gränslösa hot kräver gränslösa svar
Det finns inga gränser i cyberrymden. Skyddsåtgärder mellan alla länder måste därför ske i samverkan mellan så många länder som möjligt och på alla nivåer. Legala och tekniska regelverk måste harmoniseras så att ett cyberangrepp kan spåras och stoppas i nära realtid. Vår hemläxa är dock att tvärsektoriella hot kräver tvärsektoriella lösningar, vilket måste prägla utformningen av en nationell skyddsstrategi mot denna typ av asymmetriska hot mellan "hot" och "planering" torde ändå, om viljan finns, hanteras i vårt svenska system. Den senaste utredningen föreslog ett myndighetsråd för att öka samordningen. Jag tror inte detta räcker. Mot bakgrund av den tidigare nämnda splittrade ansvarsbilden inom såväl regeringskansli som på myndighetsnivå, kan inrättandet av en nationell samordnare ("cyberszar") vara ett ytterligare viktigt steg för att få igång en sådan ordnad process.

Lars Nicander är chef för Försvarshögskolans Centrum för asymmetriska hot- och terrorismstudier (CATS). Han är medlem av både den brittiska tankesmedjan International Institute for Strategic Studies och Kungliga Krigsvetenskapsakademien.

Den här texten utgör ett utdrag ur boken Kan Sverige försvaras - mot vad?


NYHETSBREV


Kalendarium

SENASTE VA