I samhällsdebatten har det under de senaste åren till och från lyfts fram uppmaningar om att ett svenskt cyberhemvärn behöver skapas. Den breddade insikten om behovet av stärkt cybersäkerhet är glädjande, men det gäller att ha rimliga förväntningar på vad som kan åstadkommas med frivillighet. Frivilliga krafter kan förstärka – inte ersätta – den cybersäkerhetskompetens varje organisation behöver för att över tid säkerställa kontinuiteten i sin verksamhet.

Att hantera ett intrång i efterhand när all information är raderad eller krypterad av en antagonist (”ransomware”) innebär ett mycket ogynnsamt läge jämfört med tidig upptäckt och skyndsamt vidtagna åtgärder för att begränsa utbredningen innan alltför stor skada har skett. Det är därför särskilt viktigt att möjligheten till frivillig förstärkning inte tas som en ursäkt för verksamhetsutövare att låta bli att avdela de resurser som krävs för att upprätthålla en tillräcklig säkerhetsnivå i sina system och tjänster (”om det blir problem är det någon annans uppgift att rädda oss”).

Det ovanstående undantar inte behovet av frivilliga inom cyberområdet:  cybersäkerhetsspecialister som engagerar sig i en eller flera frivilligorganisationer har precis som andra specialister en viktig och självklar roll i Sveriges totalförsvar.

Vilken roll är då detta? För att gå från diskussion till realiserad förmåga behöver några nyckelfrågor besvaras. Det gäller till exempel att konkretisera vilka uppgifter de frivilliga ska lösa, vilka kompetenser som krävs för att göra det, samt inte minst att identifiera vilken organisation som är bäst lämpad för uppdraget.

I det här inlägget kombinerar jag några slutsatser från en essä som jag skrev för ett par år sedan med ett förslag från Richard Oehme. I min essä, skriven som en del i en kurs, skissade jag på en fristående organisation vars huvudsakliga syfte skulle vara att under höjd beredskap förstärka cybersäkerheten inom prioriterad säkerhetskänslig verksamhet. Min slutsats efter det arbetet var att det fanns alltför många utmaningar för att gå vidare med det förslaget.

Här kommer istället Richards förslag in i bilden. Förslaget (https://www.linkedin.com/pulse/inte-helt-s%25C3%25A4ker-p%25C3%25A5-att-ett-cyberhemv%25C3%25A4rn-%25C3%25A4r-l%25C3%25B6sningen-f%25C3%25B6r-oehme/) utgår från den verksamhet som redan bedrivs av en av de frivilliga försvarsorganisationerna.

I inlägget använder jag begreppet fredstida kriser eller i vissa fall bara kriser som samlingsnamn för alla typer av kriser och större allvarliga händelser (exempelvis vad som i vissa författningar idag benämns ”extraordinära händelser”) som inträffar innan höjd beredskap.

Övergripande uppgifter

För att identifiera vilken organisation som är lämplig behöver först de övergripande uppgifterna definieras. För den fortsatta diskussionen utgår jag från nedanstående kärnuppgifter:

  1. Möjliggöra att civila cybersäkerhetsspecialister genom frivillighet kan ingå i totalförsvarsmyndigheternas krigsorganisationer. Utöver att upprätthålla säkerheten i Hemvärnets sambands- och ledningsstödssystem kommer vid höjd beredskap skyddet av kritiska informationssystem sannolikt att behöva förstärkas inom flera totalförsvarsmyndigheter.
  2. Utbilda medlemmar i de frivilliga försvarsorganisationerna och Hemvärnet i cybersäkerhet utifrån de krav som ställs på deras respektive befattningar.
  3. Erbjuda ett nätverk där individer med cybersäkerhetskompetens och engagemang för totalförsvaret kan samverka och lära sig av varandra, samt arrangera och delta i övningar för att ytterligare stärka sina kunskaper och färdigheter.
  4. Stödja civilsamhället. Så länge inte höjd beredskap råder kan de frivilliga försvarsorganisationerna och deras medlemmar stödja civilsamhället under fredstida kriser.

Ytterligare ingångsvärden – vilka är de frivilliga?

För en frivilligorganisation där medlemmarna utför kvalificerade uppgifter inom cybersäkerhetsområdet finns det ytterligare några ingångsvärden som behöver beaktas:

  • Det finns en uppenbar vilja i samhället att bidra. Detta är positivt, men om uppgiften är att skydda kritiska informationssystem krävs utöver vilja också kunskaper och färdigheter som tar längre tid att tillgodogöra sig än några enstaka kurser.
  • De som har den efterfrågade kompetensen och intresset för området har i regel också alla förutsättningar att ha det som heltidssysselsättning. Anställningsformen kan variera, men sannolikt utifrån arbetstagarens villkor och preferenser.
  • Cybersäkerhetsspecialister med anställning i säkerhetskänslig verksamhet kommer i framtiden sannolikt att vara krigsplacerade där de arbetar och därmed inte gripbara för annan verksamhet vid höjd beredskap.
  • En viktig målgrupp är således cybersäkerhetsspecialister som inte genom anställning krigsplaceras inom säkerhetskänslig verksamhet. I målgruppen återfinns exempelvis konsulter, anställda inom utvecklingsföretag, samt individer som har sin försörjning tryggad på annat sätt, till exempel pensionärer och studenter.
  • Frivillighet betyder just att det är frivilligt. Utöver att individerna kan vara bortresta eller ha privata åtaganden är det också sannolikt att många av dem under samhällspåverkande it-säkerhetshändelser kommer att vara ianspråktagna av den egna arbets- eller uppdragsgivaren såvida inte pliktinstrumentet kan användas. Till följd av internets globala räckvidd är det också sannolikt att en och samma incident får samhälls- eller åtminstone sektorsövergripande spridning.

En slutsats från ovanstående är att antalet individer med cybersäkerhetskompetens som inte kommer vara ianspråktagna av totalförsvaret genom anställning är svårbedömt. Det ska dock poängteras att befintlig krigsplacering inte diskvalificerar medlemskap i frivilligorganisationer; sådana individer kan exempelvis göra stor nytta inom utbildningsverksamhet så länge höjd beredskap inte råder.

Uppgifter som hanteras av andra

Lika viktigt som att identifiera kärnuppgifter är det att exkludera uppgifter och verksamhet som hanteras av andra aktörer:

  • Även om det vid första anblicken kan vara tilltalande att tänka sig ett nätverk av frivilliga som går till ”motangrepp” vid cyberattacker finns det ett antal praktiska och framför allt legala utmaningar kopplat till ett sådant förfarande. De frivilligas uppgift är därför att skydda de egna systemen mot en angripares aktiviteter – inte att agera offensivt.
  • Psykologiskt försvar och skydd mot påverkansoperationer hör inte till cybersäkerhetsområdet. Det är annan verksamhet med andra kompetenser.

Den gamla totalförsvarsstrukturen levererar!

Den befintliga totalförsvarsstrukturen är i många fall tillämpbar även för dagens utmaningar.  En del i denna struktur är Sveriges arton frivilliga försvarsorganisationer som av Försvarsmakten beskrivs så här (https://www.forsvarsmakten.se/sv/organisation/frivilliga-forsvarsorganisationer/):

De frivilliga försvarsorganisationerna spelar en viktig roll för Sveriges kris- och krigsberedskap. Varje organisation har specialistkompetens inom olika områden som brukshundar, fallskärmshoppning eller radiokommunikation. Genom kurser och utbildningar ser organisationerna till att den särskilda kompetensen bevaras. Organisationerna placerar även ett stort antal personer på specialistbefattningar inom totalförsvaret.

Specialistområdet radiokommunikation som nämns ovan är en ursprunglig kärnkompetens för Frivilliga radioorganisationen (FRO).  Radio används för samband och radioutvecklingen har som så mycket annat inneburit ökad digitalisering vilket innebär att cybersäkerhet blir en viktig egenskap även för att säkerställa radiosambandet. FRO bildades 1946 och har sedan dess följt teknikutvecklingen. I föreningens stadgar nämns tre särskilda teknikområden: sambands- och ledningssystem samt cybersäkerhet och på deras hemsida beskriver föreningen sitt uppdrag så här (https://www.fro.se/web/uppdrag/):

Vårt uppdrag är att bemanna totalförsvaret med utbildad personal inom radiokommunikation, signalskydd och cybersäkerhet.

Den cybersäkerhetsexpert som vill engagera sig i totalförsvaret har därmed en naturlig plats som medlem i FRO. Genom den förordning som reglerar de frivilliga försvarsorganisationerna kan myndigheter med uppgifter i totalförsvaret sedan teckna avtal med individen samt krigsplacera denne i myndighetens krigsorganisation. Detta ger även individen rätt till ersättning vid deltagande i totalförsvarsrelaterad utbildnings- och övningsverksamhet innan höjd beredskap.

Som för alla frivilliga försvarsorganisationer är utbildningsverksamheten en central del i verksamheten, både för egna medlemmar och för medlemmar från de övriga frivilliga försvarsorganisationerna. FRO erbjuder redan idag en kurs som ger deltagarna förståelse för cyberhot och kunskaper i hur dessa kan hanteras. Richard Oehmes inlägg på LinkedIn den 9 maj 2022 innehåller därutöver ett antal bra förslag på hur kursverksamheten inom området kan utvecklas.

Genom att medlemmarna i de frivilliga försvarsorganisationerna som inte sedan tidigare har kunskaper inom cybersäkerhetsområdet tar med sig sina nyvunna färdigheter till sina ordinarie arbetsplatser uppnås ytterligare positiva effekter för hela samhället. Cybersäkerhetsspecialister i FRO kan i sin tur berikas av den kunskap och utbildningar som FRO har inom signalskyddsområdet, vilket ger ömsesidig förstärkning till båda områdena och därmed ett starkare totalförsvar.

FRO bedriver i enlighet med stadgarna också ungdomsverksamhet, vilket beskrivs på hemsidan (https://www.fro.se/web/cyberungdom):

Cyberungdom är en ny verksamhet inom FRO. Egentligen har den funnits länge, men nu har verksamheten fått ett eget namn. Detta är för dig som vill diskutera och lära sig mer om allmän IT-kunskap och cybersäkerhet. Du kan diskutera med likasinnade, hitta nya vänner och träffas på centrala kurser.

Genom att erfarna specialister deltar som exempelvis instruktörer i ungdomsverksamheten kan dessa bli förebilder som attraherar ungdomar till branschen, alternativt högskolestudier inom data- eller elektroteknik med inriktning mot cybersäkerhet.

För ytterligare engagemang, exempelvis genom att hjälpa lokalsamhället i händelse av en fredstida kris finns möjligheten att genom FRO ingå i den egna kommunens frivilliga resursgrupp (FRG), där cybersäkerhetskompetens torde behövas på samma sätt som inom alla verksamheter. FRG beskrivs av Civilförsvarsförbundet på följande sätt (https://civil.se/frivilliga-resursgruppen/):

Frivilliga Resursgruppen, FRG, består av utbildade frivilliga som under kommunal regi är ett stöd för samhället i samband med kriser eller andra extraordinära händelser.  Idén till FRG kom från Civilförsvarsförbundet. Dåvarande Krisberedskapsmyndigheten, KBM, gav ok till satsningen. Civilförsvarsförbundet har sedan dess utbildningsansvaret och är motorn i FRG. Civilförsvarsförbundet är drivande för att etablera och utveckla FRG men varje FRG har en kommun som huvudman. […]

Där samband upprättas och ledningsstödssystem etableras behöver också cybersäkerheten upprätthållas. Genom deltagande i FRG får de frivilliga öva på att säkerställa cybersäkerheten i oplanerade och ibland fältmässiga förhållanden. Detta ger värdefulla erfarenheter samtidigt som övriga medlemmar i FRG berikas genom att cybersäkerhetsspecialisterna förmedlar metoder och rutiner för att bedriva verksamhet på ett säkert sätt. Förutom att minska utrymmet för antagonistisk påverkan i fred skapas goda rutiner som blir än mer viktiga vid en beredskapshöjning.

Utöver ovanstående har myndigheter, regioner och kommuner möjlighet att etablera överenskommelser med FRO för olika typer av stöd. Frånvaron av överenskommelser hindrar inte heller att en aktör vid en kris efterfrågar stöd från lämpliga frivilligorganisationer även om det inom cybersäkerhetsområdet finns några särskilda utmaningar att beakta (se nästa avsnitt).

Den som vill fördjupa sig i Sveriges struktur för frivillighet kan med fördel ta del av MSB:s information i ämnet: https://www.msb.se/sv/amnesomraden/krisberedskap–civilt-forsvar/frivilliga/

Några ord om incidenthantering

I inledningen nämnde jag att det i vissa fall kan finnas för stora förhoppningar för vad en frivilligorganisation med cybersäkerhetskompetens ska tillföra. Ett sådant område rör incidenthantering innan höjd beredskap.

Att få stöd av frivilliga i ett sådant läge kräver dels att det finns tillräckligt många frivilliga med rätt kompetens tillgängliga (se avsnittet om ingångsvärden kopplat till de frivilliga), dels att verksamheten både vill och kan ta emot dem. Jag utvecklar utmaningarna nedan.

De frivilliga, för att kunna hjälpa till på ett effektivt sätt, kan komma att behöva åtkomst med administratörsbehörigheter. Beslut kan också behöva fattas om att stänga av eller koppla bort tjänster för att begränsa utbredningen vilket kräver förståelse för hur sådana åtgärder påverkar både systemen och de verksamheter som är beroende av dem. Förtroendet för individens förmåga och lämplighet kommer därför att vara avgörande eftersom felaktigt nyttjande av behörigheterna kan orsaka stor skada för verksamheten. Rör det sig dessutom om säkerhetskänslig verksamhet kan godkänd säkerhetsprövning behövas innan tillträde kan ges.

Inom cybersäkerhetsområdet finns här ofta en skillnad från exempelvis de av Hemvärnets medlemmar som hjälper till att söka efter försvunna personer: för cybersäkerhetsspecialister kan det förväntade stödet vara mycket likt deras ordinarie sysselsättning. Det finns också en avtalsrättslig utmaning rörande ersättning och försäkringar (både avseende ansvar och olycksfall) såväl som frågan i vilka situationer en arbetsgivare är villig att bevilja ledighet för något som är mycket likt vanlig konsultverksamhet inom it-området.

Utifrån ovanstående, samt återigen avsnittet om ingångsvärden, är jag tveksam till realiserbarheten av eventuella koncept där frivilliga vid en kris och med kort varsel men utan tidigare relation till verksamheten och utan föregående kunskap om dess system förväntas  komma in och ombesörja stora delar av incidenthanteringen. Frivilliga kan som sagt vara ett komplement men inte en ersättning till egen personal och stödet behöver planeras i förväg.

Förutsättningarna för att ta emot stöd är däremot bättre för de totalförsvarsmyndigheter där FRO:s medlemmar blir krigsplacerade eftersom det är rimligt (klarspråk: en förutsättning) att specialisterna övar regelbundet tillsammans med respektive myndighet och dess personal. På så sätt uppstår personliga relationer och förtroende samt förståelse för verksamheten och systemen. Dessa myndigheter kan inför fredstida kriser förbereda tidsbegränsade anställningar för individerna samt försäkra sig om deras vilja att ställa upp, samt i förekommande fall också deras arbetsgivares principiella vilja att med kort varsel godkänna sådan ledighet.

Oavsett de frivilliga cybersäkerhetsspecialisterna tillgänglighet för att stödja andra vid en kris kommer sannolikt kontaktnät etableras där medlemmarna i FRO informellt kan utbyta information och stödja varandra i sina ordinarie arbeten så länge arbetsgivarnas och lagens krav på bevarande av företagshemligheter och sekretess uppfylls. Genom detta kommer samhällets förmåga att hantera it-säkerhetsincidenter att stärkas både i fred och vid höjd beredskap.

På sikt, allt eftersom förtroendet mellan individerna fördjupas och spiller över på de organisationer de företräder kan också informella eller formella överenskommelser skapas där medlemmarna kan ge direkt stöd mellan organisationerna, inklusive former för samarbete när flera av dem drabbas gemensamt. Detta kan liknas med det framgångsrika samarbetet som NTSG (Nationella telesamverkansgruppen) bedriver, där företag som är direkta konkurrenter samarbetar med myndigheter för att snabbt avhjälpa störningar.

Vägen framåt

Strukturen finns på plats och FRO har börjat axla uppgiften. Några aktiviteter som kan driva arbetet framåt återges nedan. Aktiviteterna är inte i prioritetsordning och kan ske parallellt.

  • Individer med cybersäkerhetskompetens som vill ingå i eller bidra till totalförsvaret bör uppmuntras att söka medlemskap i FRO
  • Totalförsvarsmyndigheter behöver se över sina krigsorganisationers behov av frivillig personal med cybersäkerhetskompetens. Utifrån resultatet kan dialog ske med FRO med slutmål att upprätta frivilligavtal med medlemmar vars kompetens motsvarar behoven.
  • Kommuner med FRG kan inleda dialog med FRO för att diskutera behov av individer med cybersäkerhetskompetens. Kommuner utan FRG som vid kris behöver stöd inom cybersäkerhetsområdet bör överväga att etablera en FRG alternativt samverka direkt med FRO. Det faktum att FRO består av 23 olika förbund med regional indelning kommer sannolikt att underlätta det lokala samarbetet.
  • Regioner som ser behov av extra cybersäkerhetsresurser vid kriser som kan påverka exempelvis sjukvården eller kollektivtrafiken kan samverka med FRO eller med de kommuner i regionen som har FRG.
  • En möjlighet som jag särskilt vill uppmärksamma är att universitet och högskolor som bedriver utbildning inom exempelvis datalogi, datateknik och framför allt informations- eller cybersäkerhet kan etablera samarbete med FRO avseende gästföreläsningar. Detta kan skapa kontinuitet i kurserna och komma ifrån det personberoende som idag ofta råder och som leder till att föreläsningar utgår när någon av de inblandade byter tjänst. Samtidigt får FRO synlighet hos relevanta målgrupper vilket utöver möjlighet till nya medlemmar också ökar samhällets kunskap om de frivilliga försvarsorganisationerna.

Även om alla punkter kan genomföras oberoende av varandra måste det finnas förståelse för att FRO:s verksamhet inom cybersäkerhetsområdet är under uppbyggnad och inte minst att denna uppbyggnad förutsätter att det finns tillräckligt många frivilliga specialister som vill bidra.

I förlängningen kan det också bli aktuellt med en närmare samverkan mellan FRO och Försvarsmaktens cyberförsvarsfunktion, där informationsutbyte kring olika händelser i cyberdomänen kan vara till nytta både för Försvarsmakten och FRO:s medlemmar. Det är dock viktigt att komma ihåg att individbaserade informella nätverk inte ersätter ordinarie lednings- och lydnadsförhållanden; myndigheter och andra aktörer totalförsvaret ansvarar för sina respektive verksamheter inklusive deras förordningsreglerade rapporteringsskyldigheter i olika konfliktnivåer. Individer som krigsplaceras i dessa organisationer blir därmed också en del av organisationerna under tjänstgöringen. Detsamma gäller givetvis vid tidsbegränsade anställningar under fredstida kriser.

Avslutning

Ett modernt totalförsvar dimensionerat för höjd beredskap och väpnat angrepp skapar robusthet som kan nyttjas även i fred. Cybersäkerhetsspecialisterna i de frivilliga försvarsorganisationerna kan genom det nätverk som de får stödja varandra i sina ordinarie arbeten. De kan också stödja lokalsamhället vid fredstida kriser genom deltagande i sin kommuns frivilliga resursgrupp.

Ett medskick som anknyter till rubriken för artikeln är för övrigt att benämningen cyberhemvärn kan bli problematisk. Sverige har idag ett hemvärn och det är Hemvärnet, som på samma gång är en frivilligorganisation med bred folkförankring och en del av Försvarsmakten. Om ett cyberhemvärn formellt etableras som en fristående organisation uppstår frågan om också det ska vara en del av Försvarsmakten eller vem som annars ska organisera det.

Att andra länder har cyberhemvärn anpassade för deras förutsättningar betyder inte per automatik att det är rätt väg för Sverige. Strukturen med de frivilliga försvarsorganisationerna är på plats sedan länge och dessa organisationer utvecklas tillsammans med omvärlden. Därmed har Sverige redan de förutsättningar som krävs för att omhänderta viljan till frivilligt engagemang inom cybersäkerhetsområdet, om än inte med namnet cyberhemvärn. Det kan liknas med att vi inte heller har ett brukshundshemvärn eller fallskärmshoppningshemvärn utan detta är precis som cybersäkerhet olika specialistkompetenser inom Hemvärnet och övriga totalförsvaret som försörjs genom de frivilliga försvarsorganisationerna.

Nyttjande av den befintliga totalförsvarsstrukturen möjliggör dessutom effekt i närtid och utan ytterligare utredning eller författningsändringar, vilket känns extra attraktivt utifrån det rådande omvärldsläget.

De cybersäkerhetsexperter som på frivillig basis vill bidra till att stärka totalförsvaret och samtidigt vara en del i att utveckla verksamheten har slutligen alla möjligheter att inleda engagemanget redan idag – ansökningsformulär finns på FRO:s hemsida (https://www.fro.se).

Författaren är civilingenjör i informationsteknologi och tjänstgör inom Ledningsstabens CIO-avdelning vid Försvarsmaktens högkvarter.