Perspektiv
6 juli 2017 kl 14:45

Denna artikel publicerades för 2 år sedan

Sveriges digitala sårbarhet måste hanteras

Under våren har många länders företag och myndigheter utsatts för cyberattacker. Även Sverige kommer att drabbas, vilket kan påverka grundläggande samhällstjänster. Vår digitala sårbarhet måste hanteras.

Över hundra länders företag och myndigheter drabbades i maj. Häromveckan var det dags igen när en ny cyberattack började spridas. Det är hög tid att inse: Sverige kommer att utsättas för en omfattande cyberattack med stor påverkan på grundläggande samhällstjänster. Vi måste lära oss handskas med samhällets digitala sårbarhet.

Låt oss anta ett historiskt perspektiv för att belysa en av de mest brännande frågorna i dagens samhälle – cybersäkerheten. Antikens Grekland kände till vikten av att styra. Deras begrepp kybernetes, vilket betyder styrman, finns till och med i Bibeln om man tar del av den grekiska versionen. Grekernas kybernetes är ursprunget till dagens cyberbegrepp. På 1830-talet talade man i Frankrike om cybernétique och avsåg då styrning av de offentliga ­finanserna. På 1950-talet togs begreppet upp av forskare som namnet på en allmän ­teori för styrning av processer och kommunikation, cybernetiken.

1968 döpte danska konstnären Susanne ­Ussing sin ateljé till Atelier Cyberspace. Science fiction-författaren William Gibson övertog sedan begreppet 1982 för att beteckna någon form av tredimensionell virtuell verklighet i sina böcker. Han tänkte sig en ”verklighet” – som användare av datorer och datornätverk frivilligt levde sig in i tillsammans – ­el­ler som han uttryckte sin definition av cyberrymden: ”en masshallucination i samförstånd över datornätverk”.

Från 1990-talet och framåt blev cyberrymden ett ofta använt begrepp för att beteckna det globala datornätverket internet. Men i dag innefattar begreppet allt tänkt utrymme där digital kommunikation sker. 

Användningen av begreppet cyberrymden vid sökningar på internet har enligt sökmotorernas trendmätningar minskat kraftigt sedan millennieskiftet. Samtidigt har användningen av säkerhetsrelaterade begrepp såsom cybersäkerhet, cyberkrig, cyberattack ökat markant. Det är inte helt oväntat eftersom just säker­het är en av de viktigaste aspekterna att hantera i cyberrymden.

I dag är grundläggande samhällstjänster som vatten i kranen, värme i bostaden, ljus i mörkret, mat i affären, äldrevården i kommunen, eleven i skolan, kärleken i telefonen och din röst i det kommande riksdagsvalet beroende av cybersäkerhet för att kunna levereras. Detta eftersom alla de här tjänsterna antingen helt eller delvis levereras via, eller styrs och kontrolleras med hjälp av, digitala system.

 Det betyder att ”den stora cyberattacken” mot Sverige kommer att drabba hårt. Effekten kommer att sitta i under flera dagar och innebära stora umbäranden för medborgarna, men kommer även att medföra en ny syn på hur vi ska handskas med samhällets sårbarhet i digitaliseringens tidevarv. 

Utan vatten blir man snabbt törstig, utan värme blir man kall, utan ljus famlar man i vintermörkret och utan mat blir man hungrig. Ja, vi har satt oss i en riktigt sårbar situation – kanske utan att vi själva, våra politiker, kommuner, länsstyrelser, landsting, myndigheter och vårt militära försvar hunnit göra en korrekt analys av situationen. Analysen bör lyda: Vi är mycket mer sårbara – och situationen är betydligt mer akut– än vad vi hittills förstått. Cybersäkerhet är grundläggande för vårt samhälles funktion, och för våra demokratiska fri- och rättigheter.

Det saknas inte insatser från samhällets sida. Inte minst EU driver på med ny författning som ställer krav på företag och myndigheter vad gäller cybersäkerhet i form av dataskyddsregleringen GDPR från EU och NIS-direktivet som ställer högre säkerhetskrav på leverantörer av viktiga samhällstjänster. 

Stiftelsen för strategisk forskning har genom en utlysning vikt närmare en tredjedels miljard kronor för forskning om cybersäkerhet i Sverige de kommande fem åren. Myndigheten för samhällsskydd och beredskap jobbar febrilt med att ta fram rätt krav, men också rätt stöd för god cybersäkerhet, med visst fokus på offentlig sektor. Konsultbyråerna erbjuder stöd med stigande timpriser. 

Inom universitetsvärlden försöker vi – utöver forskningen om nya metoder och tekniker – möta ­de­lar av en skenande efterfrågan på kompetens inom cybersäkerhet genom ­populära kurser och mastersprogram inom cybersäkerhet. Det saknas närmare två miljoner cybersäkerhetsexperter i världen år 2022 om man ska tro flera bedömare.

Trots dessa omfattande insatser kvarstår en allvarlig och akut sårbarhet av främst tre skäl: 

  • Cybersäkerhet hanteras alltför ofta som en fråga om dokumenterade rutiner, me­dan den konkreta tekniska säkerheten i datorer och kommunikationssystem förblir eftersatt. ­Enkelt uttryckt: Man är noga med att ta fram styrdokument som policyer, men mindre noga med att tillse att datorprogram och datorer är skyddade mot angrepp. Många organisationer fastnar därigenom i ändlösa risk­analyser, workshops och policyförfattande, vilket ger en begränsad effekt på sårbarheten för cyberattacker.
     
  • Många organisationer hanterar cybersäkerhetsfrågan som en fråga om att visa att man följer lagar, förordningar och före­skrifter. Men när man hanterar cybersäkerhets­frågan blir den mer en ”duktighet” än ett införlivat eget syfte, vilket separerar den från kärnverksamheten och skapar stuprör; varje ny extern föreskrift följs av en ny intern funktion för att leva upp till kravet. Samtidigt går helheten förlorad.
     
  • Lagstiftaren – både nationellt och inom Europa – har ofta bråttom att detaljreglera cybersäkerheten i många viktiga branscher utan att egentligen beakta hur de olika regleringarna hänger samman. Detta har gjort det svårt – för att inte säga omöjligt – för många organisationer att efterleva författningskraven.

Nu står vi här, sårbara. Vi inväntar ”den ­stora cyberattacken” mot Sverige som vi vet kommer. Vi vet inte exakt vem som kommer att angripa oss, vad skälet kommer att vara, mot vilken eller vilka grundläggande samhällstjänster angreppet kommer att slå eller när det kommer att ske. Men vi kommer att titta tillbaka och säga: Vi visste att den skulle komma, vi visste att vi inte ännu byggt in rätt cybersäkerhet och motståndskraft i våra grund­läggande samhällstjänster, och vi ­visste i detalj hur vi skulle ha kunnat skydda oss. 
Vi visste. Men ändå lät vi det vara.

Sverige behöver få ett slut på fragmenterade lagkrav och tillsyn inom cybersäkerhet, möjligen genom en ny cybermyndighet som får ett helhetsansvar för all tillsyn inom området. Vi behöver få fram bättre stöd till företag och myndigheter så att de kan tolka och följa lagkraven och även identifiera och möta sina egna behov gällande cybersäkerhet.

Dagens fokus på att skydda informationen i digtala processer och IT-system måste ändras så att vi i stället skyddar förmågan att tillhandahålla grundläggande samhällstjänster till medborgarna kontinuerligt, och oaktat ­negativa cyberincidenter.

Den stora trähästen är inrullad i Troja. Även om hästar var lika heliga för trojanerna i Grekland som digitaliseringen är för oss, så varnade Kassandra för hästen. Men soldaterna hoppade ut ur den så snart natten sänkt sig, ­dödade vakterna och släppte in det ­stora angreppet ­genom ringmuren. Låt oss undvika det. 

Det här är en fördjupande text, som syftar till att ge perspektiv på en fråga. De eventuella åsikter som uttrycks är skribentens egna.