Anförande på Cyberförsvarsdagen den 14 februari 2018

Tema: Cybermiljön ur ett försvars- och säkerhetspolitiskt perspektiv

Det talade ordet gäller

Sverige är ett av världens mest uppkopplade länder. Vår säkerhet och vårt välstånd vilar på digitala grunder. Vi har varit och är duktiga på att omfamna och anamma digitaliseringen. Den ger oss stora möjligheter. Men utvecklingen medför också risker och sårbarheter. De måste vi hantera.

Cybersäkerhetsfrågor får allt större betydelse i utrikes- och säkerhetspolitiken, liksom för den nationella säkerheten. Problematiken blir därför extra aktuell eftersom det säkerhetspolitiska läget i vår omvärld har utvecklats i en negativ riktning, något vi också sett i cyberrymden. Det är inget nytt i sig, men något vi måste förhålla oss till.

Vi har bara de senaste 18 månaderna sett flera exempel på större cyberattacker med tydliga säkerhetspolitiska och/eller försvarspolitiska implikationer – t.ex. uppgifterna om attacker mot politiska institutioner, individer och processer inför valet i USA och attacker mot den ukrainska elförsörjningen, som även drabbade den finansiella sektorn.

Cyberdomänen, eller cyberrymden, vad vi än väljer att kalla den, har kommit att bli en ytterligare arena för militär och annan verksamhet. Den trenden har varit tydlig under en tid. Tidigare rapporter från Försvarsberedningen har lyft fram de problem och risker som präglar cyberdomänen. Den tilltagande antagonistiska dimensionen i cyberrymden gör det nödvändigt att utveckla och stärka cyberförsvarsresurser. Vi kan se att ett flertal länder i världen har gjort just det. Det försvarspolitiska inriktningsbeslutet från 2015 innehöll ett tydligt och nytt steg i arbetet med svenskt cyberförsvar.

Digitalisering och globalisering har en accelererande betydelse för internationella relationer i stort. Cybersäkerhet har blivit en fråga med grundläggande relevans för fred, säkerhet och global utveckling. Staters agerande får allt bredare och mer omfattande utrikes- och säkerhetspolitiska återverkningar.

För svenskt vidkommande är folkrätten tillämplig även i cyberrymden och detta gäller såväl i fred som i krig.

Försvarsmakten fick för några år sedan i uppdrag av regeringen, att i nära samverkan med FRA, utveckla och förstärka svenskt cyberförsvar, inklusive en förmåga att genomföra aktiva operationer i cybermiljön.

Grunden är det försvarspolitiska beslutet från 2015. Arbete pågår och fortskrider enligt plan. Det här handlar om ett nära samarbete mellan Försvarsmakten och FRA vad gäller både utveckling och vidmakthållande av nämnda aktiva förmåga. Försvarsdepartementet följer arbetet.

Grunden i en robust cyberförsvarsförmåga är att säkerställa funktionalitet i samhällsviktiga funktioner och skydda de mest skyddsvärda verksamheterna, inklusive sådana system som är vitala för totalförsvaret, mot antagonistiska angrepp från kvalificerade statliga eller statsstödda aktörer samt andra aktörer med liknande förmåga.

Ett effektivt nationellt cyberförsvar utvecklas och förstärks i fred och inom ramen för totalförsvarsplaneringen och ska kunna verka i fred och krig. Cyberförsvar är ett kostnadseffektivt sätt att bidra till att ytterligare höja tröskeln för en potentiell angripare.

* * *

Kompetensförsörjning är en utmaning som vi delar med alla länder med ambitioner på cyberområdet. Det behövs helt enkelt fler personer med rätt kunskaper för att personalförsörja cyberförsvaret, men också ett flertal olika funktioner inom det allmänna informations- och cybersäkerhetsområdet. Här behövs kreativitet och samverkan för att hitta bästa möjliga lösningar för hela samhällets väl och ve.

Cyberförsvar är teknikintensivt. Dels för att hålla jämna steg i teknikutvecklingen som sådan. Dels för att teknikutvecklingen ger allt fler möjligheter att orsaka påverkan eller skada på exempelvis kritisk infrastruktur. Det måste samtidigt betonas att teknikutvecklingen också är ett medel för att stärka vårt skydd. Här spelar det privata näringslivet också en viktig roll.

För en antagonistisk aktör finns det många mål i ett modernt, teknologiskt utvecklat land. Det finns mycket i vårt samhälle som är allmänt skyddsvärt och som utgör samhällsviktiga funktioner. Det finns också sådant som ingår i det vi kallar för det mest skyddsvärda.

I april 2017 fick FRA och Säkerhetspolisen i uppdrag att utveckla ett fördjupat samarbete om de mest skyddsvärda verksamheterna. Försvarsmakten har vävts in i det här samarbetet genom ett kompletterande uppdrag i regleringsbrev 2018.

När det gäller skyddet av det mest skyddsvärda så är det här uppgifter som förutsätter en nära samverkan mellan säkerhetstjänst och signalspaning på den civila sidan och, självklart, ett nära samarbete mellan dessa och försvaret. Det är precis det här som regeringsuppdraget till FRA, Säkerhetspolisen och Försvarsmakten handlar om.

Men låt mig också betona att utöver dessa tre finns det många fler uppgifter där andra myndigheter och samhällsaktörer har mycket viktiga roller att spela för ett samlat svenskt cyberförsvar.

* * *

Cyberhoten aktualiserar vikten av privat-offentlig samverkan. Vi behöver stärka både säkerhetstänk och praktiskt skydd i Sverige. Inte sällan nämns vikten av att höja lägstanivån. Och det behövs. Men olika verksamheter i samhället behöver höja sitt skydd till rätt nivå. Alla verksamheter kan knappast ha samma skyddsnivå.

Företag, myndigheter och andra organisationer behöver bygga in informations- och cybersäkerheten som en självklar del av verksamheten. Förmågan att kravställa och upphandla på ett säkert och adekvat sätt är även fortsatt viktigt.

Det är mycket svårt att bedöma hur många attacker och intrång som svenska system drabbas av dagligen, veckovis, månadsvis, årligen. Men man kan konstatera att det pågår kontinuerligt.

I FRA:s årsrapport för 2016 framhålls att angrepp mot Sverige är vanliga. Det FRA sagt är att det grovt räknat under en månad sker cirka 10 000 aktiviteter med skadlig kod som kan härledas till de statliga aktörer som FRA följer.

En aktivitet är inte samma sak som en attack, utan det kan handla om sonderingar, tester och försök till intrång eller faktiska attacker. Det primära är inte hur många attacker det handlar om, utan att det pågår kontinuerligt och är ett påtagligt hot.

Den nya informations- och cybersäkerhetsstrategin från sommaren 2017 anger tydligt att stater, statsunderstödda eller andra aktörer med liknande förmåga utgör det allvarligaste informations- och cybersäkerhetshotet mot Sverige.
Sverige är, liksom andra länder, föremål för utländska aktörers försök att komma över information om, exempelvis, vår försvarsförmåga och våra politiska avsikter. Svenska företag och svensk forskning är också av stort intresse.

* * *

Utöver cyberspionage finns också hotet om renodlade attacker av olika allvarsgrad och med olika syften. Det är fortfarande alldeles för enkelt att nå framgång med överbelastningsattacker eller s.k. spear-phishing där någon klickar på en länk i ett mail som utlöser skadlig kod.
Ett annat exempel är så kallade ransomware-attacker mot företag, organisationer, individer. De här attackerna har i vissa fall orsakat mycket stora ekonomiska förluster och problem.

Än allvarligare är riskerna för cyberattacker som syftar till att slå ut kritisk infrastruktur och kommunikationer. Antingen som en attack i sig eller som en del av krigföring.

Allmän informationssäkerhet, robusthet, perimeterskydd, detekterings- och varningsförmåga är helt nödvändiga delar men måste också kompletteras med cyberförsvar, defensivt och aktivt.

Den aktiva cyberförmågan ger trovärdighet och bidrar till tröskeleffekten.
Uppgifterna om valet i USA är det kanske mest kända exemplet på hur cyberspionage/dataintrång använts för att stjäla information som sedan används i en påverkansoperation. Det var inte första, ej heller sista gången, som cyberverktyg används i försök till illegitim påverkan.
En antagonistisk aktör har goda möjligheter att dölja sin verksamhet och vem aktören egentligen är. Det här leder också till det uppenbara behovet av nationell förmåga att faktiskt upptäcka när och att vi är utsatta för intrång och attacker.

Grunden för tekniskt skydd kommer alltid vara olika former av perimeterskydd såsom lösenord, kryptering, brandväggar m.m. Men olika former av sensorer som larmar om intrång och attacker samt förmåga att vidta åtgärder vid larm blir allt viktigare.

* * *

Sverige är ett högteknologiskt land med hög grad av internetberoende, precis som alla andra jämförbara länder. Det är i princip ofrånkomligt att digitaliseringen leder till sårbarheter.

Förmågan att via t.ex. internetuppkopplade styr- och kontrollsystem gör det som bekant fullt möjligt att orsaka fysisk skada från ett tangentbord.

I sin senaste rapport skriver Försvarsberedningen:

"Många av de system som är kritiska för att upprätthålla samhällets funktionalitet är redan i fredstid sårbara för störningar. Sårbarheter finns i alltifrån elektroniska kommunikationer, sjö- och luftfart till elnät, industriella styrsystem och i det finansiella systemet. Såväl i fredstid som under höjd beredskap och i krig är sårbar teknik i det avancerade informationssamhället en måltavla för en motståndare.

I dagens informationssamhälle är det militära försvaret beroende av att det övriga samhällets grundläggande funktioner fortsätter att fungera före och under ett väpnat angrepp – det vill säga det blir allt svårare att säga var den civila infrastrukturen slutar och var den militära börjar."

Slutsatsen är egentligen ganska enkel och Försvarsberedningen har formulerat det väl:

"En stark informations- och cybersäkerhetsförmåga behöver säkerställas i totalförsvaret."

Under senare tid har utmaningarna med att upprätthålla säkerhetsskyddet vid så kallad outsourcing uppmärksammats.
Regeringen har därför vidtagit ett antal åtgärder för att komma till rätta med problemet.

I mars 2017 tillsatte regeringen en utredning med uppdrag att kartlägga och föreslå åtgärder som motverkar att uppgifter som gäller Sveriges säkerhet eller säkerhetskänslig verksamhet utsätts för risker i samband med så kallad outsourcing och överlåtelse av sådan verksamhet. Uppdraget ska redovisas i slutet av oktober 2018.

Regeringen har också redan nu gjort ändringar i säkerhetsskyddsförordningen som innebär att en myndighet i vissa situationer måste samråda med Säkerhetspolisen eller Försvarsmakten när myndigheten avser att upphandla varor, tjänster eller byggentreprenader från en utomstående leverantör.

Säkerhetspolisen och Försvarsmakten har även getts befogenhet att helt stoppa en upphandling om säkerhetsskyddslagens krav inte kan tillgodoses.

* * *

Den digitaliserade framtiden är bitvis redan här. Vi talar allt oftare om Big Data, Internet of Things – eller Internet of Everything, artificiell intelligens, automatisering, självkörande fordon, robotisering, moln, smarta städer m.m.

Hur framtidens landvinningar, risker och sårbarheter kommer att se ut vet ingen av oss. Förändringstakten verkar exponentiell. Det finns samtidigt anledning att minnas vad som inte förändras, vad som består.

Det är viktigt att se saker och ting för vad de faktiskt är. En del skulle kanske hävda att internet förändrade allting. Jag skulle säga ja, men också nej. Internet är en revolution i sig. Vi söker och delar information, kommunicerar och interagerar på nya sätt. Det har skapat nya möjligheter och nya sårbarheter.

Men fundamenta i försvars-, säkerhets- och utrikespolitiken förblir desamma. Stater och icke-statliga aktörer försöker påverka varandra med målet att destabilisera och etablera strategiska och taktiska fördelar. I den bemärkelsen är cyberdomänen bara en ny domän, ett nytt redskap, för gamla syften.

Informations- och cybersäkerhet är inte heller en ny företeelse. Vi har under lång tid i Sverige arbetat med åtgärder, reglering och en mångfald av initiativ för att bygga, förstärka och utveckla vårt skydd mot sårbarheter i vårt samhälle.

Försöken att stjäla, förändra eller förstöra information är inte heller en ny företeelse. Det som är nytt är snarare omfattningen av problemet, omfattningen av riskerna, hoten och sårbarheterna. De antagonistiska aktörerna blir också vad vi kan se allt mer avancerade och uthålliga.