Stockholms universitet

Sverige behöver en tydligare cybersäkerhetspolicy

En cyberattack kan vara ett hot mot nationell säkerhet, och i Sverige är den generella kunskapen på området för låg. Det menar Gazmend Huskaj som vill se en satsning på offensiva cyberoperationer – på bred front i samhället.

Genrebild: Hackers i ett mörkt rum med många datorskärmar.
Ransomwareattacker har historiskt sett varit en lönsam affär. Foto: User_79526/Mostphotos.

Matbutiker. Banker. Elnät. Sjukhus. Vatten- och avloppssystem. Alla samhällsviktiga institutioner riskerar att drabbas av cyberattacker och slås ut. Och attackerna kan få förödande konsekvenser för ett lands befolkning. Att elnätet slås ut, eller att inte kunna betala med kort i mataffären, kan snabbt bli ett stort problem.

– Det är alltid ett lopp mellan ”the good guys” och ”the bad guys”. Och ofta ligger ”the bad guys” före, konstaterar Gazmend Huskaj som har disputerat vid Institutionen för data- och systemvetenskap (DSV).

Det är alltid ett lopp mellan ”the good guys” och ”the bad guys”

Digitaliseringen innebär stora fördelar i samhället, men baksidan är att vi har blivit mer sårbara för hackerattacker. Många organisationer saknar en analog plan B att ta till om det digitala systemet slås ut.

Det här behöver vi prata mer om – och höja beredskapen kring, anser Huskaj. Han har en militär bakgrund och arbetar i dag som cybersäkerhetschef vid Geneva Centre for Security Policy i Schweiz, samtidigt som han har varit industridoktorand vid Stockholms universitet.

– Idén till min doktorsavhandling föddes i diskussioner med svenska beslutsfattare. Jag upplevde att det fanns en del missförstånd kring offensiva cyberoperationer. En vanlig reaktion var: ”Det där kan vi inte prata om, det är superhemligt!” trots att metoderna beskrevs i öppen akademisk litteratur. En annan reaktion var att de skyggade inför cyberoperationer som om de vore ett domedagsvapen – vilket de inte är.

– Jag tyckte att det till viss del saknades förståelse. Förhoppningen är att min avhandling ska öka förståelsen hos beslutsfattare på policynivå, säger Gazmend Huskaj.

Porträttbild på Gazmend Huskaj som disputerat på DSV, Stockholms universitet.
Gazmend Huskaj beskriver i sin avhandling hur Sverige kan stå starkare i cyberattacker. Foto: Åse Karlén.

Vad menas då med offensiva cyberoperationer? Rent konkret handlar det om att bryta sig in i informationssystem och relaterade nätverk. Syftet kan vara att störa en nations finanssystem eller inhämta information som kan komma väl till pass i nästa internationella stormöte.

– Det här är förstås en gråzon, offensiva cyberoperationer skulle också kunna kallas cyberunderrättelseinhämtning. Den enda skillnaden är att i offensiva cyberoperationer vill man kanske slå ut ett system, medan man vid cyberunderrättelseinhämtning vill vara dold så länge som möjligt – för att hämta information så länge som möjligt. Agentverksamhet är inte förbjudet enligt internationell rätt och många länder har underrättelsemyndigheter.

– I min forskning går jag inte igenom Sveriges förmågor, det är inte relevant för forskningsfrågan, utan riktar snarare blicken utanför landets gränser. Jag har utvecklat ett teoretiskt ramverk för att förklara vad offensiva cyberoperationer är, vilka metoder som finns och hur man kan gå tillväga för att organisera sig, säger Gazmend Huskaj.

 

Hotbild mot Sverige och svenskar

Han beskriver i avhandlingen hur länder som Sverige utsätts för eskalerande hot från länder som Ryssland, Kina och Iran. Dessutom finns det gott om hackergrupper som utför så kallade ransomwareattacker mot företag och organisationer, i syfte att pressa dem på pengar.

Huskaj hänvisar till regeringens totalförsvarsproposition ”Totalförsvaret 2021–2025” som kom 2020. I den slår man fast att ”Sveriges cyberförsvarsförmåga bör stärkas ytterligare. Det inkluderar förmågan att genomföra defensiva och offensiva operationer i cyberdomänen.”

– Avskräckning är en viktig del i cyberförsvaret men metoderna skiljer sig från det traditionella försvaret, säger Gazmend Huskaj.

Ett traditionellt militärt försvar kan avskräcka med sin synlighet. När vi vet vad ett annat land har för stridsvagnar, flygplan och flotta, vet vi också vilken kapacitet den potentiella fienden har att skada oss. Cyberförsvaret fungerar annorlunda. Det är viktigt att visa att man är aktiv, det kan ha en avskräckande effekt. Men det är inte bra att avslöja exempelvis sina angreppsmetoder – de är i hög grad engångsvapen och därför särskilt skyddsvärda.

Avskräckning är en viktig del i cyberförsvaret

– Det finns en del saker på plats i Sverige som är mer eller mindre kända. Till exempel har vi ett par IT-försvarsförband, och vi tar in cybervärnpliktiga. Men om vi skulle påvisa våra förmågor på ett tydligare sätt kan det innebära att vi förlorar övertaget.

Det är en kamp mot klockan att hinna täppa till luckor i systemen innan någon utnyttjar dem.

– Vi brukar prata om ”nolldagarssårbarheter”, det är sårbarheter i mjukvara som någon har identifierat men som ännu inte blivit publikt kända. Den dag som sårbarheten blir känd räknas som dag noll, och först efter det kan skyddsmekanismer utvecklas. En sårbarhet kan till exempel innebära att kriminella får fjärråtkomst till andras mobiltelefoner. Det finns en stor marknad för nolldagarssårbarheter och de utnyttjas ofta i både kriminella och statliga syften, berättar Huskaj.

 

Digital prepping på alla nivåer

För att öka Sveriges motståndskraft vill han se en tydligare svensk cybersäkerhetspolicy. Det krävs samhällsövergripande insatser, menar Gazmend Huskaj – en slags digital prepping. Näringsliv, myndigheter och civilsamhälle behöver arbeta tillsammans och det finns behov av både teknisk kunskap och diplomatiska kontakter. Vi är inte riktigt i mål ännu.

– I dag bör varje organisation ha koll på cybersäkerhet, oavsett om det handlar om ett sjukhus eller en livsmedelsbutik. Även som individ behöver du förstå lite om cybersäkerhet, så att du till exempel inte klickar på länkar i suspekta mejl. Men kompetensbristen inom cybersäkerhet är tyvärr ett problem på alla nivåer i samhället.

– Vi måste prata mer sinsemellan, det finns behov av kanaler mellan industri, akademi och beslutsfattare så att hotinformation kan överföras snabbt, säger Huskaj.

Kompetensbristen inom cybersäkerhet är tyvärr ett problem

Han påpekar att eventuella offensiva cyberoperationer ska genomföras av staten. Enligt totalförsvarspropositionen är det Försvarsmakten som är ansvarig, med stöd av till exempel Försvarets radioanstalt och övriga försvarsunderrättelsemyndigheter, Säkerhetspolisen och MSB.

– I avskräckningssyfte bör staten kommunicera att man har förmåga att bedriva offensiva cyberoperationer. Däremot bör man inte kommunicera hur förmågan planeras eller verkställs.

Ett gediget underrättelsearbete, inom och bortom cyberdomänen, kan leda till att man avslöjar hotaktörers verktyg och metoder. Om de exponeras till allmänheten måste hotaktören utveckla nya verktyg, och det kan då bli dyrt att försöka angripa oss.

– Ett bra exempel är när Coop utsattes för angrepp och fick stänga ner i hela landet. Här skulle staten ha kunnat genomföra offensiva cyberoperationer mot angriparen.

Genrebild plakat när Coop höll stängt p g a IT-attack.
Coops kassasystem havererade i en IT-attack 2024. Foto: Gamma-man/Mostphotos.
 

Lönsamma ransomwareattacker

Ett annat ”vapen” som eventuellt kan avskräcka angripare är sanktioner. I ransomwareattacker kapas organisationers system, och angriparen begär en lösensumma för att lämna tillbaka kontrollen över systemen till ägaren. Historiskt sett har det varit en lukrativ bransch.

Med tydliga sanktioner kan det bli mindre lockande att ge sig in i hackerbranschen. Ofta är det svårt att hitta den skyldiga, men i vissa fall har individer och grupper kunnat ställas till svars. Ett uppmärksammat fall är attacken mot amerikanska Colonial Pipelines i maj 2021. Den ledde till kaos eftersom bränsletransporter inom USA stoppades.

– Bensinpriserna gick upp, panikköp ledde till att bränslet tog slut, och flygbolagen blev sårbara. Amerikanska myndigheter satte in stora resurser för att hitta ransomwareaktören som visade sig vara rysk. Diskussionen fick föras på högsta nivå – Biden och Putin möttes i Genève. Till slut kunde en person gripas, säger Gazmend Huskaj.

 

Viktiga åtgärder för ökad cybersäkerhet

På samhällsnivå: Tydlig nationell policy för offensiva cyberoperationer och avskräckning. Budskapet är att vi kommer att slå tillbaka – när och hur är upp till oss. Men ibland kan en privat aktör vara bättre rustad för cyberförsvar än staten.

”När svenska multinationella företag utsätts för cyberangrepp kan det vara en nackdel att staten ingriper. Företag kan ha bättre förutsättningar att hantera cyberincidenter genom tillgång till resurser och juridiska ramar i andra länder. De kan agera självständigt eller med internationell assistans”, säger Gazmend Huskaj.

På organisationsnivå: Styrelse och ledning måste förstå att cybersäkerhet är värdeskapande – inte en utgift. De måste också ge informationssäkerhetschefen befogenhet att bedriva ett systematiskt strategiskt cybersäkerhetsarbete.

”Organisationer bör skifta perspektiv från cybersäkerhet till cyberresiliens så att de kan fortsätta bedriva sin verksamhet även under ett angrepp.”

På individnivå: Engagera dig och utbilda dig. Ta reda på vem på din arbetsplats som är ansvarig för utbildning och medvetandehöjande åtgärder.

”Vi är så uppkopplade i dag att varje individ måste kunna något om cybersäkerhet. Det största hotet för privatpersoner är bedrägerier, vi hör hela tiden om personer som får sina bankkonton tömda”, säger Huskaj.

 

Mer läsning

Gazmend Huskaj disputerade vid Institutionen för data- och systemvetenskap (DSV), Stockholms universitet, 6 september 2024.

Hans forskningsämne är cybersäkerhet

Doktorsavhandlingen har titeln ”Offensive Cyberspace Operations: Implications for Sweden”.

Den kan laddas ner från Diva

Avhandlingen bygger på fallstudier, litteraturstudier och semistrukturerade intervjuer med representanter för svensk politik och svenskt försvar.

Handledare för avhandlingsarbetet är Stefan Axelsson och Fredrik Blix, DSV.

Opponent vid disputationen var Geir Olav Dyrkolbotn, Norwegian University of Science and Technology (NTNU), Norge.

Gazmend Huskaj inledde sin doktorandresa vid Försvarshögskolan och Högskolan i Skövde. I samband med att han anställdes som cybersäkerhetschef vid Geneva Centre for Security Policy i Schweiz blev han industridoktorand vid DSV.

Kontaktuppgifter till Gazmend Huskaj

Text: Åse Karlén