Därför är Sveriges cybersäkerhet eftersatt

– Ryssland drar sig inte för att använda hybridkrigsföring, och cyberangrepp är ett bra exempel på detta. Om Ryssland vill kan de därför ta till den här metoden utan att eskalera det till ett fullskaligt krig, säger Pontus Johnson, professor i nätverk och systemteknik vid KTH och föreståndare för centret för cyberförsvar och cybersäkerhet.

Två möjliga scenarion

När det kommer till kriget i Ukraina, och vad vi för Sverige kan förvänta oss av det i cyberlandskapet, ser Pontus Johnson två scenarion. Det första är att vi blir drabbade av en oavsiktlig attack, precis som till exempel Maersk och DHL blev under NotPetya-attacken som ryska hackare riktade mot den ukrainska staten 2017.

Det andra scenariot är att Ryssland avsiktligt skulle angripa Sverige eller länder i vår närhet.

– Cyberdomänen är en väldigt asymmetrisk domän, vilket innebär att en angripare bara behöver hitta ett hål, medan en försvarare måste täppa till alla möjliga hål, säger Pontus Johnson.

Är anfall bästa försvar?

– Nej, det skulle jag inte säga, för om vi eller någon annan skulle attackera Ryssland är det osannolikt att det skulle lamslå dem på ett sådant sätt att de inte skulle kunna attackera oss tillbaka.

Inget land tillräckligt säkert

Om vi drabbas av storskaliga it-attacker har vi inte ett tillräckligt skydd att kunna stå emot det på ett önskvärt sätt. Och enligt Pontus Johnson gäller det de flesta, för att inte säga alla, länder i Europa.

En av huvudförklaringarna är att vi har digitaliserat snabbt och gjort oss väldigt beroende av it, men inte lagt tillräckliga resurser på säkerhetsaspekten.  

– Det finns en till synes outsinlig mängd sårbarheter i programvaror och operativsystem som Windows och Linux, som ju är otroligt centrala för i princip alla verksamheter. Operativsystem uppdateras i stort sett varje månad för att vi hittat nya sårbarheter i dem, och så har det varit i decennier. Orsaken är att mänskligheten helt enkelt ännu inte lärt sig att bygga säkra it-system och vi behöver utveckla bättre verktyg och metoder för att hjälpa oss med detta.

Vad beror det på?

– Själva idén med en dator är att den är programmeringsbar och därmed formbar. Problemet är att det finns svårigheter att begränsa vem som ska få forma vad. Normalt sett får en vanlig användare inte programmera systemet, utan bara tillhandahålla data. Men det är svårt att förhindra programmering på grund av en annan egenskap hos ett datorsystem: att data och program är utbytbara. Beroende på var i systemet datan finns, kan det klassas som antingen data eller programkod. Många sårbarheter handlar just om att någon lurar maskinen att använda data som kod, vilket därmed möjliggör för en angripare att ta kontroll över datorn.

Saknar 200 000 säkerhetsspecialister

Pontus Johnson tror att vi är på väg i rätt riktning när det kommer till de lite mer lågt hängande frukterna, som att se till att ha backupsystem på plats och se till att ha rätt uppdaterade system. Men för att bli ännu bättre efterfrågar han utbildningsinsatser på området.

I Europa finns undersökningar som visar att det fattas uppemot 200 000 cybersäkerhetsspecialister som har sin huvudsakliga uppgift att säkra system.

– Utöver det behöver våra beslutsfattare en bättre förståelse av vad deras ansvar är och vad de kan bidra med för att stärka det svenska cyberförsvaret. Och så behövs förstås kontinuerliga uppmaningar och påminnelser till våra medborgare om vikten av att hantera sin egen säkerhet genom klassiska hygienfaktorer som att ha rimliga lösenord.

På det stora hela är det ju onekligen en ganska dyster bild av cybersäkerhetslandskapet du målar upp.

– Det positiva är ju digitaliseringen, som varit oerhört viktig och inneburit enorma förbättringar för mänskligheten. Den har räddat många liv och lett till mycket stora välståndsökningar. Men cybersäkerhet är ett problem som jag tror vi kommer att dras med under en lång period framöver. Jag hoppas att vi på sikt kan komma till rätta med det.