[KRÖNIKA] Tidigt i år verifierade FRA att cyberangrepp mot Sverige har ökat därför är det välkommet att regeringen har annonserat planerna för ett nationellt cybersäkerhetscenter.
Det är bra att frågorna om ett nationellt cyberförsvar kommer upp på agendan, samtidigt är det viktigt att strategin görs rätt och på flera nivåer.
Hot mot viktiga samhällsfunktioner
Våren 2007 blev Estland det första landet i världen att falla offer för en omfattande och riktad cyberattack. Den mycket stora DDoS-attacken förlamade en rad viktiga samhällsfunktioner och viss bankinfrastruktur, i ett av världens då mest uppkopplade länder. Landet tvingades helt enkelt koppla bort sig från internet för att återställa viktiga tjänster och samhällsfunktioner.
Sedan dess har antalet storskaliga attacker som syftar till att skada kritisk infrastruktur och destabilisera nationella intressen bara ökat. Ett av exemplen är den ökända Stuxnet-masken, som upptäcktes i juni 2010 och som siktade in sig på viktig infrastruktur i Iran. Det är sannolikt att attacken var statligt sponsrad. Ett annat är det gemensamma uttalande som USA och Storbritannien gjorde i april 2018, då de ansåg sig vara utsatta för skadlig cyberaktivitet, troligtvis initierad av Ryssland.
Oreda och skada
Storskaliga cyberattacker kan få långtgående konsekvenser om de drabbar viktiga samhällsfunktioner, från att de bara är irriterande eller störande till att vara rent dödliga. Vad händer exempelvis om el- eller vattenförsörjningen i en stad stängs av, låt säga i 36 timmar. Vissa företag skulle inte kunna fungera, medan patienter och andra utsatta människor riskerar livet.
En storskalig attack mot banksystemet skulle också kunna förlama finansmarknaden och få företag, eller till och med hela ekonomier, att kollapsa. För att inte tala om attacker som påverkar viktiga transportsystem som exempelvis flygledning, där de kan få oanade följder. Cyberkrig mellan olika nationer är idag en verklig och påtaglig fara. Frågan är vad som kan göras för att skydda medborgare och infrastruktur?
Hot från alla håll
Det är naturligtvis viktigt att påpeka att cyberhot mot ett land inte enbart kommer från andra länder. Cyberkriminella organisationer, terrorister, hackare och andra grupperingar har idag tillgång till sofistikerade verktyg, där några också lagt vantarna på statligt framtagna cybervapen, som läckt ut. Så var fallet med den globala ransomware-attacken WannaCry (och den efterföljande attacken NotPetya), som skapade rubriker under 2017. Inte undra på att World Economic Forums globala riskrapport för 2018 placerade cyberattacker högt både på skalan för sannolikheten och för konsekvenserna. Därför har de flesta länder redan gått från att se cyberhot som främst ekonomiska eller integritetshotande, till att klassa dem som påtagliga hot mot såväl fysisk säkerhet som liv.
Tredelad strategi
Många stater har därför anammat en tredelad strategi för cyberförsvar. Den ena delen går ut på att bygga cybervapen, det vill säga att utveckla kommittéer och förvaltningar som kan utforma de bästa strategierna, lagstiftningen och metoderna för att hantera cyberhot.
Den andra delen går ut på att utbilda och medvetandegöra. Många har också fokus på att försöka bidra till att minska den globala bristen på cybersäkerhetskompetens, som beräknas uppgå till cirka 3,5 miljoner, enligt forskning från Cybersecurity Ventures.
Den tredje delen fokuserar på att inrätta minst ett civilt nationellt CERT (Computer Emergency Response Team), som har till uppgift att konfrontera cyberhot och attacker. De flesta länder skiljer på det militära cyberförsvaret och det civila. För det civila försvaret är det möjligt att ha ett enda centraliserat CERT. Som namnet antyder är emellertid ett CERT främst inriktat på att vara reaktivt snarare än proaktivt. De agerar vanligtvis först efter att en stor cyberhändelse har inletts eller ägt rum. Vissa CERT är på väg att utveckla proaktiv kapacitet, där de samlar in information så att de kan varna för nya hot eller förutsäga attacker, men effektiviteten hos dessa åtgärder är begränsade, eftersom den totala cykeln från upptäckt, analys, publicering till implementation kan ta veckor snarare än sekunder eller minuter.
De flesta CERT saknar dock både laglig och teknisk förmåga att proaktivt skydda nationella intressen på ett omedelbart eller ett realtidsnära sätt. Här krävs också en hel del förändring. Även om ett CERT informeras timmar före en megaattack har det oftast inga möjligheter att proaktivt blockera attacken, så att de kan skydda känsliga mål.
Att skapa effektiv cybersäkerhet
Låt oss istället undersöka en säkerhetsmodell som vi är mer bekanta med. Förutom att försvara ett lands gränser, använder försvarsmakten idag verktyg som exempelvis radar, för att bevaka luftrummet och identifiera förestående angrepp och attacker mot landet. Det ger möjlighet att analysera angriparens handlingar och fatta intelligenta beslut om hur de ska agera för att erbjuda största möjliga skydd.
En liknande strategi bör tillämpas för rikstäckande cyberförsvar. Både yttre och inre skydd behövs mot cyberattacker, oavsett om det är omfattande DDoS-attacker eller bara en mindre skadlig kod. Det är därför viktigt att övervaka tänkbara mål på ett proaktivt sätt och analysera hotflöden, så att genomtänkta beslut kan fattas om ett hot uppstår. Detta kan också kombineras med olika hotförebyggande initiativ, där nya och okända hot kan identifieras och stoppas, innan de sprids.
Det är av största vikt att övervakning och analys ingår i det säkerhetsparaply som ett statligt försvar måste ha. Detta skydd måste också vara automatiserat för att säkerställa att omedelbara åtgärder kan vidtas.
Internet har revolutionerat alla aspekter av vårt samhälle, även internationell diplomati och krigsföring. För att försvara oss mot nya generationers hot är det enda tillvägagångssättet att ta en helhetssyn på ett nationellt cyberförsvar, som kan identifiera de tidiga tecknen på attacker och begränsa dem automatiskt innan de orsakar oreda och skada.
Fredrik Johansson, säkerhetsexpert, Check Point
