Infrastruktur

Överdriven rädsla för IT-attacker mot Sverige

Överbelastningsattackerna mot svenska webbservrar har skapat en nationell skrämselhicka mot IT-attacker – och tal om att detta är ett ”cyberkrig”. Men är det rätt att tala om krig i detta sammanhang?

Den första fråga man måste ställa sig innan man säger ordet ”krig” är om det gör ont när det sker. Om det inte gör ont är det inte krig. Det är något annat. Att Riksbankens hemsida inte gick att komma åt under ett par timmar kan liknas med att någon krossat deras skyltfönster. Tråkigt, men närmare ett bus-streck än en krigshandling.

I realiteten är överbelastningsattacker (DDOS) hanterbara och ett brus i den digitala verkligheten. Den tekniska komplexiteten är låg och konceptet är en kvarleva från 1990-talet.

En betydande anledning till att överbelastningsattacker har blivit ett så stort samtalsämne har mer att göra med institutionella designfel än verkligheten. Estlands enda IT-mässiga ”claim to fame” var att man år 2007 blev digitalt mobbade av Ryssland med överbelastningsattacker. Detta kom att leda till etableringen av NATO:s cybersäkerhetscenter i Estland. Estland marknadsför nu, kanske för att motivera sin roll inom NATO, överbelastningsattacker som ”cyberkrig”, trots att de saknar relevans för verkligheten för oss icke-ester. Om cybersäkerhetscentret är lösningen är överbelastningsattackerna det problem man letat efter. I praktiken är däremot antalet överbelastningsattacker som innebär samhällsproblem ytterst få.

Justitieminister Beatrice Ask ställer nu, inte helt oväntat, krav på hårdare krav på lagföring och straff för de som utför attacker mot publika datorer genom överbelastningsattacker och intrång. Det vore kanske en bra idé – om det gick att säkerställa vem som utför dessa internationellt och att dessa sedan kunna lagföras.

Men det går helt enkelt inte att göra detta. Även för stormaktens cyberoperativa enheter är det i det närmaste omöjligt att fastställa vad och vem som är vem bakom internationella IT-attacker. Istället riskerar förslaget leda till att polisens resurser kommer att gå till att söka rätt på tonåringar som försökt ta ner sitt högstadiums webbsida, eftersom det är de enda man kommer att finna. Ett samhälle är aldrig betjänt av meningslös lagstiftning. Inte heller är samhället betjänt av att tvångsmedel används för brott som i normalfallet kan liknas med klotter eller fönsterkrossning.

Att man inriktar åtgärder mot det som uppmärksammas och når tidningarnas förstasidor kan förklaras med vad man inom forskningen kallar availability heuristics. Det innebär att man gör antaganden om hur sannolikt något är utifrån vilka exempel man kan komma ihåg. Har man precis läst i tidningen om en flygolycka påverkar det den bedömda sannolikheten för att man skall störta nästa gång man flyger.

Tyvärr riskerar denna typ av felslut leda till felaktiga resursallokeringar och till att man bortser från verkliga problem. Inom IT-säkerhet handlar det exempelvis om statsaktörers cyberoperationer, integration av inflytandeoperationer och informationsinhämtning, industrispionage och ekonomisk destabilisering genom systematiska cyberattacker. Dessa hot har en högre komplexitet och mer abstrakt hotbild men har till skillnad från överbelastningsattacker potential att allvarligt skada det svenska samhället.

När statsaktörer började använda internet som ett arena för subversiva och fördolda operationer förändrades spelfältet för informationssäkerhet eftersom man plötsligt kom att möta motståndare som hade en repertoar som det tidiga Internets bus saknade. Statsaktörer har underrättelsetjänst, stora budgetar och kan använda utpressning och mutor för att nå sina mål. Många har även en militariserad IT-industri. Detta är ett reellt hot mot legitimitet, inre och yttre auktoritet, kunskapshantering, samhällelig kontroll och publikt förtroende för nationalstaten. Statsaktörers informationsoperationer kan på kort tid skada och destabilisera en stat i ett kritiskt skede. Samtidigt är de utmaningar som endast i begränsad utsträckning adresserats utifrån en svensk kontext.

Överbelastningsattacker är brus och 1990-tal. Därför är det viktigt att inte låta politiken inrikta sig på sådana – även om det är de som syns på tidningarnas förstasidor.

Fotnot: Artikelförfattaren Jan Kallberg är medförförfattare till boken Digital National Security – Cyber Defense and Cyber Operations, som utkommer 2013.

Det här är en opinionstext publicerad i Dagens Samhälle. Åsikterna som uttrycks i artikeln står skribenten/skribenterna för.

Läs hela Dagens Samhälle

Dagens Samhälle vänder sig till beslutsfattarna på den offentliga marknaden. Tidningen kommer ut varje torsdag, 45 gånger per år. Prova gratis här.