Det påstås att Sverige dagligen utsätts för cyberangrepp av statliga såväl som cyberkriminella aktörer. Cyberkriminella vill komma åt dina kreditkort och personuppgifter, statsunderstödda aktörer vill stjäla er fleråriga forskning inom bioteknik och främmande makt bedriver aktivt underrättelseinhämtning i Sverige.
Vi är alla måltavlor. Gränsen mellan vad som är civila och militära mål har blivit allt svårare att urskilja. Länder som Nord Korea bedriver en slags kriminell verksamhet med målsättningen att skaffa pengar till sin annars tämligen magra ekonomi. Ryssland är mästare på desinformationskampanjer som syftar till att destabilisera “väst”, men de är även mycket framgångsrika i asymmetrisk krigföring. USA försvarar framåt (eng. defending forward) och lyckas genom detta bidra till att världen straffas (WannaCry, NotPetya).
Så här fortsätter det. Gemensamt för samtliga är att de alla utnyttjar cyberdomänen för att främja sina egna agendor och målsättningar. Det finns många saker som skiljer cyberdomänen från övriga domäner så som rymd och land. En attack i cyberdomänen kan utföras av en enskild, eller av en hel stat. Trots denna gränsöverskridande aktivitet mot civila och militära mål talas det fortfarande om att försvarsmyndigheterna ska upprätta en cyberförsvarsförmåga med Försvarsmakten i spetsen.
Naturligtvis ska Försvarsmakten ha ett cyberförsvar. Men, jag är rädd för att den politiska diskussionen och så som området behandlas i diverse rapporter betraktar problemet som att det vore en nästan uteslutande en militär angelägenhet. Förhoppningsvis har jag fel, och förhoppningsvis ser även Försvarsmakten, och övriga försvarsmyndigheter, en framtid framför sig där den privata sektorn med nödvändig kompetens och resurser är en integrerad del av det framtida cyberförsvaret.
Kommer detta av Försvarsmaktens upprättade cyberförsvar att agera om ett stort företag förlorar flerårig forskning inom bioteknik? Forskning som kostat företaget massor av miljoner att bedriva. Eller om våra svenska universitet utsätts för samma typ av angrepp? Det är inget militärt angrepp, inte heller något som rimligen kan anses falla inom ramen för terrorism eller spionage, och således alltså inte Säkerhetspolisens ansvar.
Vem ska försvara dessa företag och organisationer som utsätts för dessa typer av kvalificerade angrepp?
Ett nytänkande cyberförsvar
Det är min uppfattning att Sverige måste tänka nytt när det gäller cyberförsvarsförmåga och hur vi ska skydda våra nationella intressen. Det talas alldeles för ofta om kvalificerade angrepp som angriper våra Svenska företag. Sverige behöver ett modernt och nytänkande cyberförsvar. För mig innebär ett nytänkande cyberförsvar att separationen mellan militära mål och civila försvinner. Det finns ingen direkt anledning att särskilja dessa i cyberdomänen. Särskilt aktuellt blir detta i den rådande gråzonsproblematiken där det militära och civila alltmer vävs samman. I pågående cyberkonflikter är de civila målen mest utsatta. Vi kan även läsa om hur militära angrepp genomförs mot civila mål (cyberangreppen i Ukraina mot elförsörjningen).
Sveriges framtida cyberförsvar är en nationell angelägenhet och förmåga som vi bygger med gemensamma krafter och kompetenser från det privata såväl som det statliga. Det behöver vara en nationell och gemensam förmåga.
Detta cyberförsvar är byggt utifrån antagandet att hoten från cyberrymden är riktade mot oss alla. Det är inte längre relevant att prata om hur militären ska skydda vår suveränitet som nation. Vad som är relevant är hur vi skyddar Sveriges kunskap, innovationskraft och företagsamhet. När våra företagshemligheter slussas ut från vår nation förlorar vi alla. Utan innovation, utan företag har vi inget land att försvara. Vi måste tänka längre än hur världen såg ut för 30 år sedan innan Internet, innan vi blev del av det globala och digitala samhället.
Sverige behöver ett decentraliserat cyberförsvar som utgår ifrån att samtliga av Sveriges företag, organisationer, myndigheter samt medborgare är mål i det högst asymmetriska cyberlandskapet. Sveriges framtida och moderna cyberförsvar är inte längre endast en militär angelägenhet, det är en nationell gemenskap i vilken vi enas för att försvara Sverige.
Vägen dit
Framför mig ser jag först och främst att det nationella centrumet för cybersäkerhet (NCSC) blir början på detta arbete. Vi måste börja någonstans och detta är troligen det bästa alternativet. Här är det av stor vikt att den privata sektorn blir en integrerad del i centrumet. Gemensamma lägesbilder för hela Sverige, utpekade sektorer eller företag. Poängen är att vi alla ska skydda Sverige.
Efter att vi lyckats cementera detta samarbete mellan den privata sektorn och statliga kan vi ta steget mot att lyfta förmågan till en nationell cyberinsatsstyrka. Låt exempelvis FRA, Försvarsmakten leda, men i samarbete med det privata en elit-styrka som kan hjälpa utsatta företag. Om de utsatta så önskar. Låt denna elitstyrka vara Sveriges främsta svar på ett cyberangrepp mot civila mål som exempelvis faller inom ramen för samhällskritiska tjänster.
Efter denna förmåga kanske vi skulle kunna lyfta blicken mot det slutgiltiga cyberförsvaret. Nu talar vi om en permanent sammansvetsning av de företag med mest spetsig it-säkerhetskompetens tillsammans med Försvarsmakten, FRA och NCSC ett ordentligt cyberförsvar. I kombination med elitstyrkan enligt ovan blir det cyberförsvarets uppgift att bygga proaktivitet, och ha en bild av helheten. Vilka angrepp riktas mot vilka företag, vilka aktörer gör vad. Cyberförsvaret har den övergripande uppgiften att förstå omvärldsläget och hur detta kan komma att påverka Sveriges många intressen.