I en nutid präglad av stora osäkerheter i den digitala domänen talas det mycket om hur Sverige som nation ska försvara sig i cyberrymden, det talas om ett cyberförsvar. Men vad är och gör egentligen Sveriges cyberförsvar? Vad kan du som privatperson, näringsidkare förvänta dig från cyberförsvaret? Kan du förvänta dig något överhuvudtaget?
Detta är en första artikel i en serie av artiklar om det svenska cyberförsvaret. Men även efter en relativt omfattande literaturstudie kvarstår, och även uppstår, många frågetecken kring Sveriges cyberförsvar. Förhoppningen är ändock att serien kan skänka lite klarhet i dels vad ett cyberförsvar innebär, dels vad cyberförsvaret försvarar och dels hur det rimligen bör vara uppbyggt för att vara effektivt i sitt uppdrag.
Mycket nöje.
Vad är ett cyberförsvar?
Enligt FRA och Försvarsmakten1 innebär ett cyberförsvar Sveriges samlade förmågor och skydd av kritisk cyberinfrastruktur vars uppgift är att upprätthålla kritiska samhällsfunktioner samt förmågan att skydda sig från kvalificerade cyberangrepp. Regeringen beskriver det på ungefär samma sätt.2 Försvarsmakten har en egen definition som utökar med offensiva utöver defensiva åtgärder.3
Ytterligare en definition4 värd att notera är den i Värnkraft:
“Enligt FRA:s och Försvarsmaktens gemensamma terminologi definieras cyberförsvar som en nations eller annan aktörs samlade förmågor och åtgärder, såväl offensiva som defensiva, till skydd för dess kritiska samhällsfunktioner samt förmågan att försvara sig mot kvalificerade angrepp.” -Värnkraft
Denna utökar Försvarsmaktens och FRAs gemensamma genom att även inkludera annan aktörs samt såväl offensiva som defensiva. Denna matchar dock Försvarsmaktens egna definition bättre än den gemensamma…
Vad består ett cyberförsvar av?
Literatur som behandlar ämnet cyberförsvar är tämligen begränsat. Det i sig är ett intressant fenomen givet vikten det ges i sammanhang av Sveriges försvarspolitiska inriktning5 för 2021-2025. Som alltid skulle det kunna förklaras genom det ganska tråkiga argumentet att det är by design, alltså att det behöver vara “hemligt”. (Det skulle jag dock inte köpa, men det är en annan artikel.)
På ett övergripande plan kan vi säga att cyberförsvaret består av:
- Förmågan att förstå sin “domän” (underrättelser).
- Förmåga att genomföra offensiva och defensiva cyberoperationer.
Utöver dessa förmågor behöver cyberförsvaret även ha förmåga och kapacitet att försvara det som skall försvaras, men det är en tämligen uppenbar kommentar. Jag kommer att grotta lite i vad denna grundläggande förmåga bör bestå av i en framtida artikel
Robust försvarsunderrättelseförmåga
Regeringen skriver6 i Värnkraft om inriktningen av säkerhetspolitiken och utformning av det militära försvaret att en robust försvarsunderrättelseförmåga ska kunna identifiera:
- Motståndarnas avsikt och förmåga
- Vilka är motståndarna
- Deras angreppsmetoder
- Deras offer
Detta ska företrädesvis göras7 med hjälp av signalspaning. Och när det handlar om signalspaning tänker jag självklart på FRA som genom nätverksinhämtning8 ska förse Sverige med underrättelser. Det talades redan 2004 om denna typ av inhämtning men kallades då datornätverksinhämtning, och ingick i begreppet datornätverksoperationer (DNO)9. Nätverksinhämtning, eller datornätverksinhämtning, är en aktiv operation som syftar till att identifiera brister hos en motståndares informationssystem och nätverk. Huruvida dessa faller inom ramen för offensiva cyberoperationer är oklart.
Förmåga att utföra offensiva och defensiva cyberoperationer
Genom defensiva och offensiva åtgärder ska cyberförsvaret kunna agera proaktivt för att upptäcka och hantera cyberintrång, hotande cyberoperationer och attribuera operationers ursprung10. Den offensiva förmågan kompliceras något av en skrivelse om totalförsvarets offensiva cyberförsvarsförmåga11. Vad innebär totalförsvarets offensiva cyberförsvarsförmåga? Hur skiljer den sig från försvarets “normala” offensiva cyberförsvarsförmåga? Den frågan lämnar jag obesvarad i det här läget.
I det här sammanhanget kan det vara värt att prata om den eventuella skillnaden mellan offensiva och defensiva cyberoperationer. Ska vi anse att en cyberoperation som syftar till att inhämta information (genom nätverksinhämtning12 är offensiv eller defensiv?
Jag väljer att kategorisera nätverksinhämtning som en i huvudsak aktivt defensiv försvarsåtgärd. Eftersom syftet13 är att inhämta information om brister hos motståndarens informationssystem och nätverk. Denna information kan givetvis användas inom ramen för offensiva operationer, men det kan också vara för att exempelvis oskadliggöra en del av en förmåga och infrastruktur som motståndaren har. Genom detta reducerar vi motståndarens förmåga att verka i domänen, e.g. hindra denne från att mot oss genomföra offensiva operationer. Defensivt, eller offensivt agerande av oss? Gränsdragningen är inte solklar.
Från vilka försvarar cyberförsvaret vad?
Enligt definitionen ovan är det faktiskt oklart exakt vem som cyberförsvaret ska försvara Sverige ifrån. Det står kvalificerade angrepp, men det står också att cyberförsvaret ska skydda kritisk cyberinfrastruktur. Och eftersom vem som helst kan angripa den kritiska cyberinfrastrukturen torde det inte endast handla om statliga aktörer, även om det oftast talas om kvalificerade angrepp. Då måste vi rimligen tolka kvalificerade angrepp utförda av statliga aktörer.
Cyberförsvaret ska försvara den kritiska cyberinfrastrukturen. Men vad innebär det egentligen? Det blir snabbt snårigt då vi nu börjar beblanda oss med Myndigheten för samhällsskydd och beredskap (MSB) arbete med viktig samhällsinfrastruktur, kritiska sektorer14, kritiska samhällsfunktioner15 och verksamheter16. Avgränsningarna är inte särskilt tydliga.
Sveriges cyberförsvar
Detta är en översiktlig beskrivning av Sveriges cyberförsvar. Det är långt ifrån tydligt vad cyberförsvaret innebär, vad det ska skydda och från vilka. Dessa frågor är givetvis viktiga att besvara eftersom det handlar om Sveriges förmåga att motstå kvalificerade angrepp. I nästa artikel tänkte jag gräva lite djupare i försvarsunderrättelseförmågan och hur, samt vad denna rimligen bör inhämta och på vilket sätt.
-
https://www.fra.se/download/18.60b3f8fa16488d849a5104/1531472485077/FRA-arsrapport-2017-lowres.pdf ↩︎
-
https://data.riksdagen.se/fil/84AFE370-7FA8-4E75-87FC-D3B750C568B4 ↩︎
-
https://www.forsvarsmakten.se/sv/var-verksamhet/det-har-gor-forsvarsmakten/cyberforsvar/ ↩︎
-
https://data.riksdagen.se/fil/1C535A6C-8BB9-495C-AAD7-F92EA36C532E (s.252) ↩︎
-
https://data.riksdagen.se/fil/1C535A6C-8BB9-495C-AAD7-F92EA36C532E ↩︎
-
https://data.riksdagen.se/fil/1C535A6C-8BB9-495C-AAD7-F92EA36C532E (s.253) ↩︎
-
ibid. (s.253) ↩︎
-
ibid. (s.253) ↩︎
-
https://www.regeringen.se/49bb48/contentassets/f2312bdb467c49f0a4b3e8879bee6bf9/informationssakerhet-i-samhallet-i-sverige-och-internationellt---en-oversikt-sou-200432 (s.28) ↩︎
-
https://data.riksdagen.se/fil/1C535A6C-8BB9-495C-AAD7-F92EA36C532E (s.251) ↩︎
-
ibid. (s.253) ↩︎
-
https://www.regeringen.se/49bb48/contentassets/f2312bdb467c49f0a4b3e8879bee6bf9/informationssakerhet-i-samhallet-i-sverige-och-internationellt---en-oversikt-sou-200432 (s.28) ↩︎
-
https://www.regeringen.se/49bb48/contentassets/f2312bdb467c49f0a4b3e8879bee6bf9/informationssakerhet-i-samhallet-i-sverige-och-internationellt---en-oversikt-sou-200432 (s.28) ↩︎