Cyberhotet mot Sverige är ett faktum – så försvarar vi oss

Natten mellan 19 och 20 januari tog sig hackare in i ett datacenter som tillhörde den finska molntjänstleverantören Tietoevry. Företaget lyckades isolera den infekterade plattformen, men skadan var redan skedd. Myndighet efter myndighet upptäckte att de inte kunde komma åt programmet de använder för löneutbetalningar. Filmstaden kunde inte längre sälja biobiljetter, vare sig på nätet eller på biograferna. På sjukhus i flera regioner gick det inte längre att skriva ut patienter.

Totalt 120 svenska myndigheter, flera regioner och över trettio företag drabbades. Tietoevry-attacken är en av de mest omfattande cyberangreppen som drabbat Sverige. Men jämfört med de scenarier Försvarsmakten och FRA varnar för är det en västanfläkt.

Det finns två sorters aktörer som genomför cyberattacker på stor skala: cyberkriminella och statsaktörer.

– De cyberkriminella utgör det vanligaste hotet. Men nationalstaterna är farligare. En del av dem, framför allt Ryssland och Kina, lägger enorma resurser på att ta sig in i och påverka andra länders digitala infrastruktur. Tusentals statsanställda går till jobbet varje dag med det målet. Det är den mest potenta motståndaren vi har, säger Pontus Johnson, professor och föreståndare för Centrum för cyberförsvar och informationssäkerhet, ett samarbete mellan bland andra Försvarsmakten och KTH.

Cyberkriminella är sällan lika tekniskt kompetenta och saknar statsaktörernas resurser. Johnson beskriver dem som opportunister: de är inte särskilt noga med vem de hackar, så länge vederbörande kan betala.

– De tjänar pengar på utpressning. Vem de angriper är generellt sett inte viktigt för dem, så länge offret inte är för svårt att hacka. De angriper det svagaste djuret i flocken.

Men gränsen mellan stat och privat är inte glasklar. Det blir tydligt när man tittar närmare på Tietoevry-attacken, som vid första anblicken är typisk cyberkriminalitet. Den ansvariga gruppen, Akira, specialiserar sig på så kallade dubbelutpressningsattacker: först tar sig hackarna in i nätverket och stjäl data, sedan krypterar de filerna och kräver en lösensumma för att avkryptera dem. Vill man inte betala hotar de i stället med att sälja eller publicera den stulna informationen.

Utpressarna tenderar att kräva betalt i kryptovalutor. De är svårare att spåra än vanliga transaktioner, men inte omöjliga. Och genom att spåra kryptobetalningar har man hittat kopplingar mellan Akira och hackergruppen Conti, som i samband med Rysslands fullskaliga invasion av Ukraina uttalade sitt stöd för den ryska staten. Det provocerade fram en hämndaktion: någon hackade Conti och publicerade dess internkommunikation på nätet.

– Där kan man se att Contioperatörerna vet vad den ryska staten önskar och agerar i samförstånd med det. Man kan inte heller utesluta att det finns mer direkta kopplingar, säger Johnson.

Det löper alltså en diskret röd tråd från attacken mot Tietoevry till den ryska staten. Sådana samband är inte ovanliga – Ryssland låter ofta kriminella hackergrupper hålla till och verka inom landets gränser utan inblandning från polisen. Och i Sverige får vi fler kriminella cyberangrepp från Ryssland än från något annat land.

– Vi tror att den ryska statsapparaten ser cyberkriminella angrepp mot väst som något nettopositivt för deras utrikes- och säkerhetspolitik, säger Johnson.

Ju mer digitaliserade vi blir, desto känsligare blir vi för cyberattacker. Om hackare slår ut elnätet lamslås hela samhället – något Ryssland gjorde mot Ukraina för närmare tio år sedan. Lika farlig kan en attack mot de digitala betalsystemen vara.

– Det skulle leda till en oöverblickbar katastrof om det globala finansiella systemet drabbades av allvarliga angrepp. Säg till exempel att den svenska värdepapperscentralen förlorade sin data, så att man inte längre vet vem som äger vilka aktier. Hur man återhämtar sig från ett sådant angrepp, det vet jag inte, säger Johnson.

Banker och elbolag lägger förstås stora resurser på att skydda sig mot attacker. Men det är lättare sagt än gjort. I den digitala världen är nästan alla företag och myndigheter beroende av IT-tjänster de köper in från privata företag, som i sin tur är beroende av underleverantörer. En enskild myndighet kan vara beroende av hundratals externa program, applikationer och tjänster – och det räcker att en enda komprometteras för att korthuset ska falla samman.

Det uppmärksammade sabotaget mot Coop sommaren 2021 var till exempel inte en direkt attack mot butikskedjan. I stället angrep hackarna ett system hos ett företag som levererade mjukvara till kassorna – det räckte för att nära åttahundra butiker skulle stänga.

Enligt FRA blir den här sortens leveranskedjeattacker allt vanligare. Och ju fler som är beroende av samma it-leverantör, desto större skada kan en cyberattack göra. Om Amazon Web Services, världens största molntjänstoperatör, skulle hackas skulle resultatet bli förödande – men än så länge verkar ingen ha lyckats ta sig förbi de stora it-jättarnas säkerhetsmaskineri.

Även Sverige har till slut börjat få upp ögonen för cyberhotet.

– Jämfört med andra länder stack vi länge huvudet i sanden. Vi har satsat hårt på digitaliseringen och haft ambitionen att ligga i framkant. Problemet är att cybersäkerhet inte är produktiv, utan snarare något som begränsar utvecklingen. Jag tror att vi i Sverige länge tänkte att digitaliseringen var viktigare än problemen med cybersäkerhet, säger Pontus Johnson.

Den sittande regeringen verkar däremot ta hotet på allvar, säger han. Samtidigt håller EU på att skärpa kraven på it-säkerhet, och ett svenskt Natomedlemskap skulle ytterligare stärka vårt cyberförsvar.

Problemet är att statens handlingsutrymme är begränsat. Mycket samhällsbärande infrastruktur är i privata händer, och ansvarsprincipen säger att var och en är ansvarig för sina egna system. Staten kan utöva tillsyn, men inte mycket mer. Samtidigt förlitar sig även det offentliga på privata leverantörer.

Precis som angriparna ofta verkar i en gråzon mellan cyberkriminalitet och cyberkrigföring, befinner sig alltså försvararna i en gråzon mellan civilt och militärt.

– Om ett stridsflygplan passerar den svenska territorialgränsen med bara några meter lyfter våra jaktflygplan. Men i cyberrymden finns inga territorialgränser. Om en svensk myndighet köper molntjänster av ett amerikanskt företag som hackas av ryska cyberkriminella är det väldigt oklart vem som har blivit angripen, säger Johnson.

I så kallad hybridkrigföring blandar en angripare cyberattacker med konventionella militära attacker, som Ryssland i Ukraina. Där är det uppenbart att det rör sig om cyberkrigföring. Men vad händer om en angripare utför samma cyberattacker utan att angripa militärt? Det är inte bara en teoretisk fråga. Sedan i julas har GPS-systemet i södra Sverige varit utsatt för vad som av allt att döma är ryskt sabotage.

I totalförsvarspropositionen från 2020 skrev den dåvarande regeringen Löfven att cyberangrepp i vissa fall kan vara att betrakta som ett väpnat angrepp.

– I princip ansåg man alltså att cyberattacker skulle kunna utgöra en krigshandling, säger Johnson.

Men det kräver att attacken är tillräckligt allvarlig.

– GPS-störningarna är ett statligt cyberangrepp, men jag skulle inte säga att de kan klassas som en krigshandling. Det är typiskt gråzonen.

Läs även: När hybridkriget kom till Sverige

Läs även: Svenska lärosäten – guldgruva för spioner