Richard Henriksson, om vad som krävs för att bibehålla kontroll och autonomi när cyberarenan blir central för konflikt och maktutövning.
Digital suveränitet avser att på en digital arena säkra demokrati och vår förmåga till självbestämmande.
Säkerheten kring den kommunikations- och IT-infrastruktur som är själva förutsättningen för det moderna samhället är idag av lika stor vikt som försvaret av gränser och territorium. Kritiska samhällsfunktioner, myndighetsutövning och näringsliv är idag beroende av funktionalitet och integritet i en till största del privatägd infrastruktur som också i stor utsträckning spänner över nationsgränser. Störningar i informationsflöden eller IT-system kan idag medföra omfattande påverkan på samhället.
Därför är kontroll över infrastruktur eller förmåga att slå ut eller störa funktionalitet ett maktmedel som kommer bli alltmer användbart och effektivt i takt med samhällets vidare digitalisering.
Cyberangrepp mot samhällets grundläggande funktioner är redan idag ett medel i internationell konflikt. Hot och attacker mot kraftförsörjning, försvar, transportsystem och andra grundläggande samhällsfunktioner är återkommande exempel i som framhålls och som också i vissa fall förverkligats. Men vår ökande digitalisering medför en mycket bredare sårbarhet än så. Redan vid lägre konfliktnivå kan attacker och hot mot finanssektor, sjukvårdssystem, medier eller enskilda myndigheters och företags verksamheter medföra omfattande kaskadeffekter och allvarliga störningar i samhällets förmåga att upprätthålla normal verksamhet.
Underrättelseinhämtning som bedrivs mot IT- och kommunikationssystem hotar såväl Sveriges säkerhet som stora ekonomiska värden och förutsättningar för svensk industri genom innovationsöverföring och möjligheter till marknadspåverkan. Angrepp mot informationssystem används som medel i påverkansoperationer syftande till att påverka vår förmåga till självbestämmande och till att destabilisera. Störningar i kommunikationsinfrastruktur och system kan redan i ett tidigt stadium påverka regeringens förmåga att effektivt styra riket.
Detta behöver medföra konsekvenser för hur vi som samhälle ser på och definierar vår säkerhet och hur vi upprätthåller denna.
Försvaret av informationssamhället behöver en uppdaterad begreppsvärld. Begreppet digital suveränitet beskriver tydligt vikten av försvaret av de digitala tillgångar som är en förutsättning för samhället. Digital suveränitet avser att på en digital arena säkra samhällets grundläggande funktioner och säkerhet, medborgarnas säkerhet och ytterst vår demokrati och förmåga till självbestämmande. Ansvaret för ett sådant försvar av samhällets grundvärden kan inte överlåtas till enskilda aktörer, operatörer eller företag utan behöver i ökande grad tydligt regleras nationellt genom en modern och anpassad lagstiftning.
Digital suveränitet avser inte en återgång till statligt ägande och kontroll av kommunikationsinfrastruktur eller begränsningar baserade på nationsgränser. Informationssamhället är globalt och kommunikations- och IT-system, varav merparten i privat regi, korsar lands lands- som organisationsgränser. Detta är informationssamhällets grundläggande förutsättningar och en av orsakerna till dess snabba framväxt och framgång. Skyddet av dessa resurser utförs bäst i de organisationer som äger och förvaltar dem och som erbjuder dessa som tjänster till samhället. På samma sätt sker utveckling av tekniska säkerhetsmekanismer och metoder lämpligast och mest effektivt på en marknad inom vilken inte minst svensk industri är framstående. Ett digitalt suveränitetsbegrepp måste utgå från dessa förutsättningar.
Statens roll behöver istället utökas till att inom ett större område än idag, tydligare reglera krav på säkerhet för system, verksamheter och aktörer. Genom det stora beroende som samhället idag har av fungerande informationssystem behöver regleringar inte bara träffa de system som idag identifieras som mest skyddsvärda och därmed omfattas av säkerhetsskyddslagens krav på skydd, utan också en större mängd system och verksamheter som idag är nödvändiga för att upprätthålla normala samhällsfunktioner.
Staten behöver genom en modern och anpassad lagstiftning och ett tydligt och samlat ansvar för samhällets cybersäkerhet identifiera och reglera säkerhetskrav i sådana system. Att uppnå enhetliga säkerhetsnivåer inom samhället är ett av de viktigaste syftena med en mer omfattande reglering. Det ömsesidiga samberoendet av säkerhet mellan aktörer är idag mycket utbrett genom att information och system delas i allt större utsträckning. Detta samberoende medför att den gemensamma säkerheten i stor utsträckning begränsas till den lägsta gemensamma säkerhetsnivån i kedjan.
En utökad reglering behöver omfatta krav på tekniska säkerhetslösningar och produkter att uppnå fastställda säkerhetsnivåer och behöver också omfatta former och metoder för systematiskt informations- och cybersäkerhetsarbete i offentlig verksamhet. Krav på formella säkerhetsgodkännanden av system och infrastruktur gentemot nationellt fastställda säkerhetsnivåer bör inrättas. Gemensamma säkerhetsnivåer, metoder och krav medför att säkerhet kan följas upp och kontrolleras.
En ansvarig cybersäkerhetsmyndighet bör tillföras möjligheter och ansvar att bedriva såväl tillsyns- som stödverksamhet mot myndigheter och andra berörda aktörer. Enhetliga nivåer och metoder och möjlighet till kontroll och uppföljning medverkar till att bygga förtroende mellan aktörer vilket underlättar vidare samverkan och samarbete.
Krav på säkerhetslösningar och produkter behöver i vissa fall också omfatta teknisk kontroll som omfattar hela leveranskedjan. Sådana krav behöver innefatta tydlighet kring i vilken utsträckning eller under vilka förhållanden som skyddet av viktiga samhällsfunktioner kan anförtros till utrustningar som utvecklats av främmande makt och som vi därför inte har full kontroll över. Reglerade säkerhetskrav behöver också kunna omfatta privata aktörer som levererar tjänster såsom molnlösningar, IT-drift, och infrastruktur och behöver utgöra obligatorisk kravställning vid upphandling så att samhället på ett kontrollerat sätt dra största nytta av teknikutveckling och innovation.
Tydliga och obligatoriska säkerhetskrav kan inte längre ses som ett hinder för verksamhet utan är idag en möjliggörare för att bedriva alltmer känslig och skyddsbehövande samhällsverksamhet online. Samhällets vidare utveckling av den digitala säkerheten behöver ske i långtgående samverkan med näringsliv. Tydliga och långsiktiga förutsättningar i form av regleringar och kravställning kommer medverka till att skapa en marknad för lösningar, produkter och tjänster som inte minst en framstående svensk säkerhets- och IT-industri kan tillmötesgå genom innovation och produktutveckling.
En tydligare roll i reglering och styrning av samhällets digitala säkerhet kräver också en uppdaterad syn på ägande och kontroll av samhällets infrastruktur. Utbyggnaden av 5G kommer att ytterligare tydliggöra behovet av detta. Nya tekniska förutsättningar öppnar för en ännu mer uppkopplat samhälle och för ytterligare en digital innovationsvåg. Något som kommer medföra accelererande förändringar för samhället och ett än större beroende av de tekniska system som kommer utgöra kärnan i samhällets infrastruktur.
Hur samhället väljer att ställa sig till främmande makts kontroll över central infrastruktur, genom ägande, kontroll av teknisk utrustning eller på annat sätt, behöver tydligt regleras utifrån en genomtänkt riskhantering och alltid ur ett worst-case scenario. Sådana beslut kan inte begränsas till frågor om teknisk säkerhet utan behöver slutligen också innefatta säkerhetspolitiska överväganden. I det här fallet kring ett företag med starka band till kinesiska staten och vår analys av denna stats framtida utveckling, stormaktsroll och maktanspråk. De beslut som vi som samhälle idag väljer att fatta, eller alternativt inte fatta, kommer att innebära långtgående konsekvenser för framtiden. Bara genom en ändamålsenlig och moderniserad reglering som skapats för informationssamhällets förutsättningar kan samhället agera styrande istället för reaktivt.
Regleringar som svarar mot informationssamhällets behov av säkerhet kommer förverkligas och området kommer också bli föremål för mer eller mindre långtgående internationell reglering, troligen inom ramen för EU-samarbetet. Hur och under vilka förhållanden sådana regleringar tillkommer har vi fortfarande möjlighet att påverka. Genom att hantera frågorna med prioritet och med en öppenhet inför de förändringar som kan komma att krävas, inom såväl lagstiftning som hur samhället organiserar sig, har vi goda förutsättningar att skapa regleringar som kan tillmötesgå samhällets behov av säkerhet samtidigt som de också ger möjligheter att i största möjliga utsträckning dra nytta av informationssamhällets utveckling. Alternativet är regleringar som påförs under galgen och som utformats utefter redan etablerade faktum, utan förutsättningar att helt kunna tillmötesgå vare sig behoven av säkerhet eller andra centrala intressen.
I väntan på ett svar på den attack som dödade Iranske generalen Qassem Suleimani, spekuleras i om ett sådant svar kan komma att innefatta cyberattacker, något som också föranstaltats som möjligt av den Iranska regimen. Hotet från en sådan typ av modern konflikt blir också tydligare i ljuset av de i Ryssland nyligen genomförda testerna, där nationen i praktiken kopplat bort sig självt från det globala internet. Sådana demonstrationer tjänar inte bara till att visa på beslutsamheten kring att försvara nationens säkerhet mot cyberkrigföring och informationspåverkan utifrån, utan är i lika grad en påminnelse om att Ryssland därigenom skaffat sig en “first strike capability” i cyberdomänen.
Från vad som bara kan liknas vid ett cybervärldens atombomsskydd påminner oss Ryssland om att vår globala kommunikationsinfrastruktur är ett självklart mål vid en allvarlig konflikt.
Att verka för att upprätthålla digital suveränitet är att försäkra oss möjligheter att definiera, skydda och upprätthålla de nödvändiga funktioner som tillåter oss att bibehålla kontroll och autonomi i en framtida miljö där cyberarenan är central för konflikt och maktutövning.
RICHARD HENRIKSSON har under tio år arbetat med cyber- och informationssäkerhet vid Must och senare som ämnesråd vid Utrikesdepartementet.