Cybersäkerhet – inte blott en fråga om staten


Av: Sara Norrevik

2012-02-24 |

Stater som USA, Ryssland och Kina har arbetat med frågor om cyberförsvar sedan 1990-talet. Under de senaste åren har antalet IT-attacker ökat dramatiskt. Nu höjs röster som varnar för kapprustning och cyberkrig.

Stater som USA, Ryssland och Kina har sedan 1990-talet arbetat med frågor om cyberförsvar, det vill säga skydd av IT-system mot attacker och intrång. En del varnar för kapprustning och cyberkrig, vilket för tankarna till kalla kriget – men jämförelsen kunde inte vara mer missvisande. Dagens cyberkonflikter involverar en komplex skara av aktörer med skiftande lojaliteter och icke-hierarkiska maktstrukturer, vilket ställer nya krav på traditionella mellanstatliga samarbetsformer inom försvar och säkerhet.

Frågor om cybersäkerhet har under de senaste åren fått ett rejält uppsving. I tider av försvarsåtstramning läggs stora summor pengar på att utveckla kapacitet till cyberförsvar; USA och Storbritannien är länder som redovisat stora satsningar de senaste åren.

IT-attackerna har ökat dramatiskt både i storlek och i skala. Antalet datavirus som har påträffats årligen har stigit från 25 000 till 300 miljoner under de senaste åtta åren. Samhällsviktig infrastruktur är dessutom i större utsträckning beroende av IT-teknik än tidigare vilket gör samhället mer sårbart vid en eventuell attack.

I och med Stuxnet-attackerna mot Iran 2010, då ett datavirus tog sig in i  industriella energianläggningar, togs begreppet cyberhot till en ny nivå och visade därmed hur sårbara samhällen är för IT-attacker. Tidigare har angrepp mot Estland 2007 och Georgien 2008 varit exempel på när cyberattacker får reellt inflytande på mellanstatliga konflikter.

En kapprustning inom cyberförsvar har blivit mer tydlig de senaste åren. Kina och Ryssland har arbetat med cyberfrågor sedan 1990-talet och inom länderna finns stor kapacitet för att bedriva cyberkriminalitet, cyberspionage och regelrätta attacker. Deras fokus har än så länge framförallt varit på inrikespolitisk ”stabilitet” (för att använda deras egen terminologi) snarare än mellanstatliga attacker, även om kapacitet har utvecklats i båda syften.

Efter kriget mot knarket (Nixon) och kriget mot terrorismen (Bush), har röster varnat för att det pågår ett IT-krig. Men Vita Husets ”cybersäkerhets-tsar” Howard Schmidt har avfärdat denna idé: ”Det pågår inget cyberkrig. Jag tycker det är en förfärlig metafor och jag tycker att det är ett förfärligt koncept”. Ändå kommer den medialt tacksamma termen, som ger associationer till science fiction-världen, troligtvis att hänga kvar.

Kampen mot cyberkriminalitet samordnas på EU-nivå i generaldirektoratet för inrikesfrågor och av den svenska kommissionären Cecilia Malmström. Hittills har EU-samarbetet försvårats av ett antal problem, såsom:

• olika tolkningar av vad om utgör en cyberattack.
• skillnader i cyberkapacitet mellan länder
• rädsla för att dela med sig av känslig information

Som lösning på de europeiska samarbetssvårigheterna föreslog Malmström i januari 2011 ett ökat samarbete med försvarsalliansen Nato. EU har därför inlett en dialog om samordning på cybersäkerhetsområdet med Nato, som tycks ha kommit längre i utvecklingen. En pådrivande faktor var angreppen mot Estland 2007 som drabbade regering, parlament, banker och medier. ”Man är alltid lika sårbar som sin svagaste länk” säger en Nato-talesman. I Tallin upprättades ”Nato Center of Excellence on Cyber Defense” som ett svar på attackerna mot Estland, där målet är att ge medlemsstaterna mer kunskap genom forskning, utveckling och träning inom cybersäkerhet.

För att vara bättre förberedda på cyberattacker har Nato:s medlemsstater genomfört gemensamma övningar i december 2011. Och i november 2011 genomförde USA och EU en uppmärksammad gemensam övning.

Utmärkande för cyberförsvarssektorn är dock dess icke-statliga karaktär. Privata företag, statliga myndigheter och enskilda individer och nätverk är alla delaktiga i cyberkapprustningen och bildar spretiga relationer.
”Hacktivists”, exempelvis Anonymous, kallas de nätverk som använder cyberattacker för specifika intressen. ”Patriot-hackers” är de individer som agerar i en stats intresse för att angripa andra stater direkt eller indirekt (Ryssland har hävdat att så var fallet i Georgien 2008, då presidentens och regeringens webbsidor togs över av hackare under pågående militäroffensiv). Dessutom finns ”statliga hackare”, främst inom nationella underrättelsetjänster som utvecklar kapacitet inom cyberförsvar. Även de som drabbas av cyberattacker utgör en blandad skara: regeringssidor är populära mål, men även företag, organisationer och privatpersoner utsätts.

Paradoxalt nog har samarbetet med icke-statliga aktörer gått långsammare i västvärlden, där företag och organisationer i högre grad är oberoende från staten. I både Ryssland och Kina har starka band bibehållits mellan stat, näringsliv och civilsamhälle. Båda dessa länder ligger i framkant vad gäller samarbetet med icke-statliga aktörer (privata företag, hackare och andra organisationer). Cyberkapaciteter från den icke-statliga sektorn har inkluderats i ländernas nationella cyberpolicy. I EU och USA, där nästintill all mjukvara och hårdvara som utgör basen för cyberkapacitet ägs av icke-statliga aktörer, är samarbetet med den privata sektorn och civilsamhället mindre utvecklat – trots att dessa sektorer normalt har en större roll i våra samhällen. 80–90 procent av den utpekade kritiska infrastrukturen i USA ägs och drivs av icke-statliga aktörer.

Ett ytterligare problem har att göra med lojaliteter: det finns gott om amerikanska och europeiska företag som faktiskt levererar IT-system och tekniska lösningar till så kallade skurkstater och därmed bidrar till att regimer kan bedriva cyberspionage mot sin egen befolkning och mot andra stater.

Utmaningen för de långsiktiga strategier om cybersäkerhet som just nu utformas ligger således i att frångå traditionella, hierarkiska och mellanstatliga maktstrukturer. Till skillnad från fallet i de auktoritära staterna bör jämbördiga relationer etableras mellan statliga och icke-statliga aktörer. Detta gäller dels analysen av fiender och dels uppbyggnaden av försvarskapacitet, där samarbetet bör inkludera statliga aktörer, privat näringsliv, civila organisationer och individer.

I retoriken kring cybersäkerhet saknas individens perspektiv, alltså hur vi påverkas och gör uppoffringar i vår vardag som konsekvens av det ökade beroendet av cybersystem. Och systemens roll blir självförstärkande: ju mer vi använder IT-systemen, desto större blir beroendet av bättre och säkrare program. Kritiker menar att det råder en besatthet om ”cyber” inom säkerhets- och försvarsindustrin som till viss del speglar en vilja inom försvarsindustrin att stärka och återta sin roll från kalla krigets dagar. De lösningar som presenteras för att motverka sårbarheten inom IT-teknik och kritisk infrastruktur framstår ibland som absurda: exempelvis föreslås att de sårbara och samhällsviktiga systemen ska skyddas genom ytterligare system och nätverk som lager på de tidigare systemen, det vill säga IT-systemens crème de la crème. Här uppstår en hårfin linje mellan vad som är del av lösningen och vad som är del av problemet.

Möjligtvis speglar besattheten av cyberhot ett skifte i referensobjekten för säkerhet: från territorier och medborgare till objekt såsom infrastruktur och kommunikationsteknologi. Men på ett praktiskt plan kan vi dra slutsatsen att om vi ska hänga med i cyberkapprustningen måste de nationella strategierna hitta sätt att inkludera redan inblandade icke-statliga aktörer – utan att förlora öppenhet, frihet och integritet, både i cybervärlden och i våra vanliga liv.


Text: Sara Norrevik, stipendiat på UI under våren 2012 och knuten till UI:s Europaprogram.


Om UI-bloggen

Arkiv