”…det är inte bara tonårspojkar som dricker jolt cola som ligger bakom…” (Anna-Karin Hatt, IT- och energiminister)

Ordet ”cyber” har ingen riktigt bra svensk motsvarighet men kan löst syfta på internet och informationssystem (varning: ordet förekommer rikligt i denna text).

Stuxnet var först?

Viruset Stuxnet var det första cybervapnet som blev allmänt känt. Dess angrepp mot Iranska datorsystem anses av vissa ha inlett en era med användning av cybervapen i militärliknande aggressioner.

Ingen aktör kan vara intresserad av att tillåta spridning och användning av verktyg för cyberkrigföring, särskilt inte de länder som har den starkaste förmågan.

Dessa industriella nationer – som har den ekonomiska, politiska och militära makten – är starkt beroende av teknisk infrastruktur för försörjning av el och vatten, transporter, informationsöverföring m.m., samtidigt som samma system är dåligt skyddade. Länderna har därför ett intresse av att diskutera normer och avtal kring cyberkrigföring och cybervapen, även om det får begränsad effekt.

Militarisering av språkbruket

Analogier kan vara effektiva, men när militära termer används för den virtuella världen kan det bli problem.

”Cybervapen”, ”cyberkapaciteter”, ”cyberanfall”, ”cyberförsvar”, ”cyberavskräckning” osv. indikerar att cyberrymden kan och borde behandlas som en operativ arena i paritet med land, hav, luft och rymd. Så sker också i amerikansk militär doktrin sedan en tid tillbaka.

Problemet är att analogierna rimmar illa med hotbilden och vilka möjligheter till motåtgärder som finns.

Ett: vapnen måste skräddarsys

Cybervapen är inte som fysiska: de är opportunistiska och syftar till att vara smartare än det tekniska försvaret. Vapnen fungerar – eller inte. Kunskapen och förberedelserna bakom ett anfall kan heller inte utan vidare skalas upp.

Även om cybervapnen ofta utgår från en grundläggande plattform som kan återanvändas måste varje nytt vapen skräddarsys för sin specifika uppgift. De kan inte på vanligt sätt förvaras i ett förråd tills de ska användas några år senare. Det informationssystem som ska anfallas kan ha uppgraderats/-daterats och därmed är vapnet i all väsentlighet obrukbart.

Två: det går inte att ”slå”

Att resonera i termer av ”anfall” och ”försvar” skapar en felaktig bild av omedelbarheten i orsak och verkan. Högnivåanfall mot kritisk infrastruktur är troligtvis kulmen av ett långsiktigt, subtilt och systematiskt intrång. Den förberedande fasen kan sträcka sig över flera år.

Och när har anfallet påbörjats? I den inledande fasen för att hitta sårbarheter i ett specifikt system? När sårbarheterna utnyttjas för att plantera ex.vis ett virus? När viruset aktiveras?

Om (inte när) ett anfall upptäcks kan det vara omöjligt att bedöma om det rör sig om vandalism, aktivism, kriminalitet, terrorism, främmande stats underrättelseinhämtning eller ett faktiskt anfall. Att utröna vem eller vilka som ligger bakom kan även det ta åratal. Skickliga hackare brukar dölja sig i bruset av alla ‘script kiddies‘ som inte riktigt vet vad de gör.

Att slå tillbaka enligt militärt tänkande blir inte meningsfullt.

Tre: avskräckning fungerar inte

Avskräckning fungerar bara om den ena parten framgångsrikt lyckas förmedla att den är kapabel och villig att använda vissa vapen – och att det finns en identifierad motståndare som bryr sig. Att beskylla en part för en incident baserat på cui bono (vem som tjänar på det) är inte tillräckligt.

Därför kommer inte avskräckning och vedergällning att fungera när det gäller cybervapen.

Framtiden

Framtida konflikter kommer att ha en digital komponent i form av spionage, störningar, manipulation av informationssystem etc. Men de framgångsrika anfall som hittills har genomförts beror mindre på en ny era inom (cyber)krigföring och mer på bristande säkerhetstänk och riskhantering.

De vanligaste angreppen mot kritisk infrastruktur kommer fortsatt att vara kinetiska eller i form av traditionellt sabotage, inte datorintrång. Men varianten med ett fysiskt intrång och synligt sabotage i syfte att dölja det verkliga anfallet – infektion av ett datorsystem av någon sort – ska inte underskattas.

Att den digitala världen har inneboende sårbarheter betyder inte att de kommer att utnyttjas, men när det gäller säkerhet krävs alltid en bedömning. Frågan är vem som har ett intresse av och möjlighet att anfalla, samt varför.

Brottslighet och spioneri (politisk, ekonomisk) är sannolikare än regelrätta anfall. Sådan subversiv verksamhet pågår över tiden och kommer att vara de dominerande riskerna framöver.

Oavsett vad som ligger bakom att system går ner är det gemensamma att förvarningen ofta är obefintlig, att tempot är högt och att incidentens konsekvenser får stor spridning, kanske över nationsgränser.

Från ett strategiskt perspektiv är situationen inte enkel.