Sverige behöver en tydligare cybersäkerhetspolicy

Matbutiker. Banker. Elnät. Sjukhus. Vatten- och avloppssystem. Alla samhällsviktiga institutioner riskerar att drabbas av cyberattacker och slås ut. Och attackerna kan få förödande konsekvenser för ett lands befolkning. Att elnätet slås ut, eller att inte kunna betala med kort i mataffären, kan snabbt bli ett stort problem.

- Det är alltid ett lopp mellan "the good guys" och "the bad guys". Och ofta ligger "the bad guys" före, konstaterar Gazmend Huskaj som har disputerat vid Institutionen för data- och systemvetenskap (DSV).

Det är alltid ett lopp mellan "the good guys" och "the bad guys"

Digitaliseringen innebär stora fördelar i samhället, men baksidan är att vi har blivit mer sårbara för hackerattacker. Många organisationer saknar en analog plan B att ta till om det digitala systemet slås ut.

Det här behöver vi prata mer om - och höja beredskapen kring, anser Huskaj. Han har en militär bakgrund och arbetar i dag som cybersäkerhetschef vid Geneva Centre for Security Policy i Schweiz, samtidigt som han har varit industridoktorand vid Stockholms universitet.

- Idén till min doktorsavhandling föddes i diskussioner med svenska beslutsfattare. Jag upplevde att det fanns en del missförstånd kring offensiva cyberoperationer. En vanlig reaktion var: "Det där kan vi inte prata om, det är superhemligt!" trots att metoderna beskrevs i öppen akademisk litteratur. En annan reaktion var att de skyggade inför cyberoperationer som om de vore ett domedagsvapen - vilket de inte är.

- Jag tyckte att det till viss del saknades förståelse. Förhoppningen är att min avhandling ska öka förståelsen hos beslutsfattare på policynivå, säger Gazmend Huskaj.

Vad menas då med offensiva cyberoperationer? Rent konkret handlar det om att bryta sig in i informationssystem och relaterade nätverk. Syftet kan vara att störa en nations finanssystem eller inhämta information som kan komma väl till pass i nästa internationella stormöte.

- Det här är förstås en gråzon, offensiva cyberoperationer skulle också kunna kallas cyberunderrättelseinhämtning. Den enda skillnaden är att i offensiva cyberoperationer vill man kanske slå ut ett system, medan man vid cyberunderrättelseinhämtning vill vara dold så länge som möjligt - för att hämta information så länge som möjligt. Agentverksamhet är inte förbjudet enligt internationell rätt och många länder har underrättelsemyndigheter.

- I min forskning går jag inte igenom Sveriges förmågor, det är inte relevant för forskningsfrågan, utan riktar snarare blicken utanför landets gränser. Jag har utvecklat ett teoretiskt ramverk för att förklara vad offensiva cyberoperationer är, vilka metoder som finns och hur man kan gå tillväga för att organisera sig, säger Gazmend Huskaj.

Hotbild mot Sverige och svenskar

Han beskriver i avhandlingen hur länder som Sverige utsätts för eskalerande hot från länder som Ryssland, Kina och Iran. Dessutom finns det gott om hackergrupper som utför så kallade ransomwareattacker mot företag och organisationer, i syfte att pressa dem på pengar.

Huskaj hänvisar till regeringens totalförsvarsproposition "Totalförsvaret 2021-2025" som kom 2020. I den slår man fast att "Sveriges cyberförsvarsförmåga bör stärkas ytterligare. Det inkluderar förmågan att genomföra defensiva och offensiva operationer i cyberdomänen."

- Avskräckning är en viktig del i cyberförsvaret men metoderna skiljer sig från det traditionella försvaret, säger Gazmend Huskaj.

Ett traditionellt militärt försvar kan avskräcka med sin synlighet. När vi vet vad ett annat land har för stridsvagnar, flygplan och flotta, vet vi också vilken kapacitet den potentiella fienden har att skada oss. Cyberförsvaret fungerar annorlunda. Det är viktigt att visa att man är aktiv, det kan ha en avskräckande effekt. Men det är inte bra att avslöja exempelvis sina angreppsmetoder - de är i hög grad engångsvapen och därför särskilt skyddsvärda.

Avskräckning är en viktig del i cyberförsvaret

- Det finns en del saker på plats i Sverige som är mer eller mindre kända. Till exempel har vi ett par IT-försvarsförband, och vi tar in cybervärnpliktiga. Men om vi skulle påvisa våra förmågor på ett tydligare sätt kan det innebära att vi förlorar övertaget.

Det är en kamp mot klockan att hinna täppa till luckor i systemen innan någon utnyttjar dem.

- Vi brukar prata om "nolldagarssårbarheter", det är sårbarheter i mjukvara som någon har identifierat men som ännu inte blivit publikt kända. Den dag som sårbarheten blir känd räknas som dag noll, och först efter det kan skyddsmekanismer utvecklas. En sårbarhet kan till exempel innebära att kriminella får fjärråtkomst till andras mobiltelefoner. Det finns en stor marknad för nolldagarssårbarheter och de utnyttjas ofta i både kriminella och statliga syften, berättar Huskaj.

Digital prepping på alla nivåer

För att öka Sveriges motståndskraft vill han se en tydligare svensk cybersäkerhetspolicy. Det krävs samhällsövergripande insatser, menar Gazmend Huskaj - en slags digital prepping. Näringsliv, myndigheter och civilsamhälle behöver arbeta tillsammans och det finns behov av både teknisk kunskap och diplomatiska kontakter. Vi är inte riktigt i mål ännu.

- I dag bör varje organisation ha koll på cybersäkerhet, oavsett om det handlar om ett sjukhus eller en livsmedelsbutik. Även som individ behöver du förstå lite om cybersäkerhet, så att du till exempel inte klickar på länkar i suspekta mejl. Men kompetensbristen inom cybersäkerhet är tyvärr ett problem på alla nivåer i samhället.

- Vi måste prata mer sinsemellan, det finns behov av kanaler mellan industri, akademi och beslutsfattare så att hotinformation kan överföras snabbt, säger Huskaj.

Kompetensbristen inom cybersäkerhet är tyvärr ett problem

Han påpekar att eventuella offensiva cyberoperationer ska genomföras av staten. Enligt totalförsvarspropositionen är det Försvarsmakten som är ansvarig, med stöd av till exempel Försvarets radioanstalt och övriga försvarsunderrättelsemyndigheter, Säkerhetspolisen och MSB.

- I avskräckningssyfte bör staten kommunicera att man har förmåga att bedriva offensiva cyberoperationer. Däremot bör man inte kommunicera hur förmågan planeras eller verkställs.

Ett gediget underrättelsearbete, inom och bortom cyberdomänen, kan leda till att man avslöjar hotaktörers verktyg och metoder. Om de exponeras till allmänheten måste hotaktören utveckla nya verktyg, och det kan då bli dyrt att försöka angripa oss.

- Ett bra exempel är när Coop utsattes för angrepp och fick stänga ner i hela landet. Här skulle staten ha kunnat genomfört offensiva cyberoperationer mot angriparen.

Lönsamma ransomwareattacker

Ett annat "vapen" som eventuellt kan avskräcka angripare är sanktioner. I ransomwareattacker kapas organisationers system, och angriparen begär en lösensumma för att lämna tillbaka kontrollen över systemen till ägaren. Historiskt sett har det varit en lukrativ bransch.

Med tydliga sanktioner kan det bli mindre lockande att ge sig in i hackerbranschen. Ofta är det svårt att hitta den skyldiga, men i vissa fall har individer och grupper kunnat ställas till svars. Ett uppmärksammat fall är attacken mot amerikanska Colonial Pipelines i maj 2021. Den ledde till kaos eftersom bränsletransporter inom USA stoppades.

- Bensinpriserna gick upp, panikköp ledde till att bränslet tog slut, och flygbolagen blev sårbara. Amerikanska myndigheter satte in stora resurser för att hitta ransomwareaktören som visade sig vara rysk. Diskussionen fick föras på högsta nivå - Biden och Putin möttes i Genève. Till slut kunde en person gripas, säger Gazmend Huskaj.

Text: Åse Karlén