Foto: Stefan Anderssonav Bo Richard Lundgren

Måndagen den 27 april kl. 09-12.30 arrangerade KKrVA ett seminarium i Sverigesalen på Försvarshögskolan, Drottning Kristinas väg 37, Stockholm inom ramen för akademiens projekt Krigsvetenskap i det 21:a århundradet, KV 21. Seminariet är ett led i Delprojekt 2 – Icke-militära hot, som leds av ledamoten Lars Nylén, vilken också ledde seminariet. Cirka 130 deltagare hade anmält sig. Styresmannen Mikael Odenberg öppnade seminariet och Lars Nylén redogjorde för seminariets roll i delprojektet och beskrev seminariets syfte och upplägg. Första delen av seminariet avsåg att vara en beskrivning av ”hotbilden.” Den andra delen syftade till en mer problemorienterad diskussion om hur IT-säkerheten ser ut i Sverige och hur vi borde ta itu med problemen. Därefter följde debatt och diskussion som avlutade med en kommentar av inrikesminister Anders Ygeman.

Inledningsvis presenterade Mikael Wedlin, IT-säkerhetsforskare vid FOI, dystopiska exempel på vad som går att göra med avancerad datateknik för att skada en motståndare eller ställa till problem i samhället. Han demonstrerade effektfullt hur hackning via Internet kan åstadkomma stora problem i samhällets infrastruktur och för Försvarsmaktens förband och enheter. Det går t ex att göra båtar manöverodugliga och tvinga dem att gå in till kaj för felsökning m m. Google är det viktigaste verktyget i hackarens händer.

Han framhöll att inte bara stater utan även terroristorganisationer och andra grupper nu förfogar över denna avancerade teknik. Exempel är Isis attacker mot en fransk Tv-station. Slutsatser och rekommendationer gick ut på att vi bara befinner oss i början på en ny sort teknisk utveckling som kan jämföras med bilismens barndom. Nu krävs en större medvetenhet om säkerhetsfrågornas betydelse. Det krävs mera kunskap, utbildning och träning hos alla dem som är ansvariga för viktiga system, särskild de som bygger systemen.

Därefter talade Chuck Esposito, Assistant Legal Attaché vid FBI i Köpenhamn. Rubriken var ”Identify, Pursue, Defeat. The FBI´s view of – and Approach to – Cyber Threatscape. År 2013 rapporterades i USA 256 attacker mot kritisk infrastruktur och antalet var ungefär detsamma 2014. Talaren framhöll bl a att cyberhotet idag är ett hot mot ”intellectual property” och kan orsaka stora ekonomiska förluster för företag och banker. Inom näringslivet kan den här sortens ”informationsinhämtning” uppfattas som att konkurrenterna inte längre ses som en del i en normal konkurrens på en marknad utan måste ses som förträdare för direkt olagliga och skadliga metoder. Han nämnde också hur just sådan inhämtning kan ske genom ombud – ”hackers for hire”. Han räknade upp olika motiv som kan göra att en individ blir hackare. Det svåraste att komma åt är hackning från insidan av en organisation. Som samhällsproblem överträffas terrorismen nu av cyberhotet. Via cyberaktiviteter bedrivs förbekämpning (battlefield preparation).

Christian Squalli vid finanspolisen redogjorde därefter för de nya betalningssystemen och nationell säkerhet. Han gav åhörarna en överblick av det nya finansiella landskapet och beskrev detta under två rubriker. Det ena var Elektroniska pengar och det andra Virtuella valutor, t ex Bitcoin. Bägge områdena är på snabb frammarsch, och det är svårt att överblicka vad konsekvenserna kan bli för de finansiella systemen. Transaktionerna går ofta inte att spåra, och kriminella nätverk och aktörer har stora möjligheter att dölja sin verksamhet. Lagstiftningen hänger inte med d v s det är frågan om en stor oreglerad verksamhet och inte minst skattemyndigheterna saknar insyn då aktörerna förblir anonyma.

Den andra delen av seminariet inleddes av riksrevisorn Claes Norgren som redovisade sin nyligen publicerade rapport Informationssäkerheten i den civila statsförvaltningen (Riksrevisionens rapport, RiR 2014:23). Han beskrev en ”bekymmersam palett” av problem, ofullkomligheter och utmaningar inom den civila statsförvaltningen. Hit hör att regeringen saknar en samlad bild, myndigheternas sårbarhetsanalyser ”hänger inte med”, följsamheten gentemot givna föreskrifter är låg, det finns bristande kompetens på många håll, incidentrapporteringen är inte obligatorisk etc. Resultatet är bl a att det är lätt att bryta sig in i samhällsviktiga system och ställa till stor skada. I rapporten finns ett antal rekommendationer till åtgärder. Norgren ansåg att flera av dessa var absolut nödvändiga för att förbättra IT-säkerheten inom det statliga området.

Även MSB har nyligen tillsammans med Polisen, Försvarsmakten och FRA genomfört ett analysarbete som resulterat i en rapport – Trender i informationssäkerhet 2015. Rapporten tar upp sju trendområden. Dessa är: ”Informationssäkerhet – en avvägning mot andra värden”, ”Komplexiteten i moderna IT-tjänster”, ”Privatlivet – informationsexplosionen och säkerheten”, ”Den säkerhetspolitiska dimensionen av informationssäkerheten”, ”Brottslighet i informationssamhället”, ”Kapplöpningen mot den svagaste länken” samt ”Robusta informationssystem och kontinuitet”. Christina Goede, programansvarig från MSB, beskrev översiktligt rapportens ämnesområden och redogjorde för de viktigaste slutsatserna inom varje område. Hon framhöll, föredömligt, att de civila aktörernas bristande IT-säkerhet också har en säkerhetspolitisk dimension. Om denna säkerhet inte håller måttet kommer inte heller det civila stödet till Försvarsmakten att fungera i krig.

Som avslutning på andra delen av seminariet före debatten och diskussionen redovisade generaldirektören och regeringens särskilda utredare Erik Wennerström sin rapport om Strategi för cybersäkerhet, Informationssäkerhetsutredningen 2014 (NISU), som han tagit fram på regeringens uppdrag. Också i denna utredning finns flera förslag som tillsammans skulle kunna utgöra en nationell strategi för cybersäkerhet. I sammanfattning kan dessa förslag beskrivas under följande rubriker: Styrning och tillsyn av informationssäkerheten i staten stärks, Staten blir en tydlig kravställare, Statliga myndigheter kommunicerar säkert, Samtliga statliga myndigheter rapporterar IT- incidenter, Förebyggande och bekämpande av IT-relaterad brottslighet stärks samt Sverige ska vara en stark internationell partner.

Också Wennerström framhöll att bristande resurser och förmåga på civil sida har en säkerhetspolitisk dimension. Han framhöll också det viktiga att bevara förtroendet hos medborgarna för statliga myndigheter. ”En stor och spretig orkester fungerar inte utan en dirigent”. Regeringen måste därför leda IT-säkerhetsarbetet, ansåg han.

Den avslutande diskussionen leddes av ledamoten Sven Christer Nilsson. Han framhöll att de tidigare presentationerna tydligt visat att det finns ett ”stort gap” mellan den nivå som IT-säkerheten har idag och den som krävs för att vi skall ha tillförlitliga IT-system inom såväl den offentliga sektorn som det privata näringslivet. Frågan som riktades till debattpanelen var: Hur minskar vi detta gap? Flera paneldeltagare hänvisade till de rekommendationer man tidigare formulerat. Även åhörare i publiken ställde frågor.

I sin avslutande kommentar lyfte inrikesminister Anders Ygeman fram de rapporter som regeringen fått in och sade att dessa utgör ett mycket bra underlag före den proposition som regeringskansliet förbereder inom området. Det finns åtminstone tre områden som regeringen ”tänker ta itu med”: 1. Ansvarsfördelningen mellan de myndigheter som har ansvar för IT-säkerhetsfrågor kommer att tydliggöras. 2. En obligatorisk incidentrapportering kommer att införas. 3. MSB, SÄPO och MUST kommer att få ett ökat tillsynsansvar och rollerna dem emellan kommer att klargöras.

Delprojektledaren Lars Nylén avslutade seminariet med att tacka alla medverkande för deras utmärkta insatser.

 

Författaren är tidigare institutionschef vid FHS och ledamot av KKrVA.

Mer av samma skribent