Sverige under cyberattack

Jag klickar på länken på datorskärmen. Trafikljuset i korsningen slår om från rött till grönt. Klick. Tillbaka till rött. Med hjälp av en vanlig dator har jag hackat mig in i trafikljusets styrdator och har nu full kontroll över trafikflödet. Hade det varit på riktigt hade jag kunnat skapa kaos i trafiken, men nu befinner jag mig på Försvarets forskningsinstitut, FOI, i Linköping. Här finns en av Europas ledande träningsanläggningar för it-försvar. Hit kommer personal från kärnkraftverk, elbolag, myndigheter och militär för att öva på att stå emot cyberangrepp.

Behovet av den här typen av träning ökar. It-attacker pågår oavbrutet, och i takt med att samhället blir mer och mer uppkopplat ökar också sårbarheten. Bakom angreppen döljer sig hackare, aktivistgrupper och kriminella, men även stater. Det är framför allt de sistnämnda som har resurser att utveckla avancerade virus som kan ta sig ända in i de it-system som styr elnät, vattenverk och industrier. Angrepp som kan leda till stora fysiska skador.

– Jag brukar be besökare att nämna någon viktig tjänst som fungerar om man tar bort datorerna. Hittills har jag bara fått två exempel* , säger David Lindahl, forskningsingenjör och expert på cyberkrig på FOI.

Övningen med det hackade trafikljuset visar att det är förhållandevis enkelt att ta sig in i en styrdator utan kunskaper i programmering. Allt som krävs är lite handledning och färdiga datorprogram som laddas ner från nätet.

I FOI:s träningslokal finns en minimodell av ett samhälle kopplat till övningarna. I ett fall får deltagarna slå ut ett filter i reningsverket som gör att parasiter kan ta sig ut i dricksvattnet.

Hotet är högst reellt. De senaste två åren har flera händelser rapporterats som höjt beredskapen för cyberangrepp. Mest omskrivet är hackerattackerna i Ukraina, som Ryssland anklagas för att ligga bakom. Det drabbade elnätet, myndigheter och andra institutioner och gjorde bland annat drygt 200 000 hushåll strömlösa.

Enligt den senaste årsrapporten från den svenska signalspaningsmyndigheten FRA är statliga angrepp de allvarligaste cyberhoten mot Sverige. Varje månad upptäcker FRA omkring 10000 ”aktiviteter från utländska statliga och statsunderstödda angripare riktade mot mål i Sverige”. Syftet kan vara att hitta sårbarheter i kritisk infrastruktur, samla information om försvarsförmåga och försvarsplanering, men också att stjäla patent, forskningsresultat och industrihemligheter.

– Cyberkriget är redan i gång. Det finns stater som angriper Sverige med skadlig kod, säger Robin Blokker, informationssäkerhetsexpert på FRA.

FRA varnar också för att många svenska organisationer har brister i säkerheten. Under förra året säkerhetsgranskade FRA ett tjugotal myndigheter och statliga bolag. Granskningarna visar att ”det i många fall är för enkelt att ta sig in i svenska samhällsviktiga it-system”.

Risken för fientliga cyberangrepp har fått regeringen att under de senaste åren satsa mer på cyberförsvaret. För att kunna slå tillbaka mot cyberangrepp har Försvarsmakten i samarbete med FRA fått i uppdrag att utveckla ”förmåga att genomföra aktiva operationer”. Det betyder att Sverige inte bara ska upptäcka och skydda sig mot angrepp, utan också att kunna genomföra motattacker med hjälp av egna cybervapen, det vill säga datorprogram som utnyttjar sårbarheter i fiendens it-system.

Ansvarig för att bygga upp den nya offensiva förmågan är generalmajor Fredrik Robertsson, chef för det svenska cyberförsvaret.

– Vi är ständigt utsatta för angreppsförsök, och i omvärlden ser vi redan nu exempel på cyberhändelser kopplade till konflikter, säger han när vi ses i ett anonymt konferensrum på Försvarsmaktens högkvarter i Stockholm.

Han tänker till exempel på händelserna i Ukraina. Att något liknande skulle kunna inträffa i Sverige är ”definitivt möjligt”, enligt Fredrik Robertsson.

Hur de svenska planerna på moteld ser ut är dock hemligt. Han avslöjar inga detaljer om hur långt arbetet har kommit eller hur många ”hackare” som hittills har rekryterats.

– It-försvarsförmågan kommer att växa och ska kunna användas för att till exempel påverka en angripares ledningssystem, men också för att svara på attacker mot kritisk infrastruktur, säger han.

En som följt utvecklingen under lång tid är Johan Sigholm, forskare på Försvarshögskolan. Han anser att den svenska regeringen varit överdrivet försiktig när det gäller att bygga ut it-försvaret.

– FRA-debatten kring signalspaning har säkert spelat en roll här, säger han per telefon från USA, där han gästforskar inom cybersäkerhet på Harvard university i Boston.

Enligt Johan Sigholm är behovet av aktiv cyberförsvarsförmåga akut.

– De stora it-bolagen här i USA beskriver läget som att försvarssidan håller på att förlora kampen. På andra sidan står resursstarka ofta statsunderstödda aktörer som genomför alltmer kvalificerade angrepp.

Många länder, som USA och Storbritannien, men även Danmark och Estland, har kommit längre än Sverige när det gäller att rusta sin cyberförmåga och utveckla cybervapen. Estland har till exempel ett cyberhemvärn bestående av frivilliga it-experter som träffas regelbundet för att öva.

– Detaljerna i länders offensiva cyberförmåga är naturligtvis känsliga, eftersom man inte vill avslöja för en potentiell motståndare vilka verktyg och metoder man har tillgång till. Samtidigt kan det vara effektivt att öppet visa prov på sin förmåga i avskräckande syfte, säger Johan Sigholm.

Det var till exempel en cyberenhet inom Nederländernas underrättelsetjänst som hittade de avgörande bevisen för rysk inblandning i intrången mot det demokratiska partiet under det amerikanska valet 2016, förklarar han.

– De hade tagit sig in i övervakningskamerorna i byggnaden i centrala Moskva där en rysk cyberenhet var baserad. Man hade alltså bokstavligen talat koll på vad de höll på med.

Det digitala slagfältet är vitt skilt från forna tiders, med två arméer som ställdes upp mot varandra. Operationerna sker nu i det fördolda, ofta under lång tid. Angriparen stjäl lite information i taget för att undgå upptäckt. Oftast är det omöjligt att veta vem som ligger bakom. Fienden sopar igen spåren efter sig, eller utger sig för att vara någon annan. Angreppen kan också ske över stora avstånd, och jämfört med annan form av krigföring är aktiviteten förhållandevis billig. Det gör att även mindre nationer med rätt kunskap kan orsaka stor skada.

Det finns heller ingen tydlig gräns mellan militära och civila mål. Om någon slår ut ett lands betalnings- eller mobilsystem kan det vara i syfte att destabilisera samhället – eller för att begå brott.

På militärspråk talar man om gråzoner och skymningslägen – tidiga faser av en konflikt där cyberkrigföring används som ett komplement till andra metoder för att skapa oro och oreda. I ett scenario som FOI nyligen utarbetat på uppdrag av Myndigheten för samhällsskydd och beredskap, MSB, beskrivs ett sådant förlopp där bland annat falska nyheter sprids, som ger en skev bild av Sverige och som minskar förtroendet för myndigheter och politiker. Omfattande cyberangrepp slår ut betalningssystem, ledningssystem för flyg- och tågtrafik samt mobiltelefonin.

Att påverkanskampanjer även riktar sig mot val visar inte minst dataintrånget mot demokraternas mejlservrar vid den amerikanska presidentvalskampanjen 2016. Det och andra exempel gör att beredskapen höjts inför det svenska valet i höst (se ruta på sidan 34).

Att cyberaktiviterna befinner sig i en gråzon gör det svårt att avgöra vad som är en krigshandling och vilka lagar som gäller.

– Kan ett land till exempel svara på ett cyberangrepp med vapenkraft? Hur ska de folkrättsliga reglerna tillämpas? Det finns en rad obesvarade frågor, säger Pål Wrange, professor i folkrätt vid Stockholms universitet.

Kampen mellan angripare och försvarare är en katt-och-råtta-lek, där båda sidor utnyttjar den senaste tekniken. Vid en stor överbelastningsattack hösten 2016, som stängde ner många stora internettjänster som Twitter och Spotify, visade det sig att viruset spreds via infekterade uppkopplade prylar som skrivare och webbkameror.

Artificiell intelligens, AI, är en annan het teknik som kan bli ett kraftfullt verktyg, både för att genomföra och för att skydda sig mot attacker.

– AI kommer med nödvändighet att vara en del av vårt framtida cyberförsvar, säger David Olgart, utvecklingsledare på Försvarshögkvarterets ledningsstab.

Han tror att AI kommer att kunna användas både för att upptäcka attacker och för att kartlägga sårbarheter. I framtiden kan man tänka sig automatiserade it-attacker, där anfallarens AI används för att hitta svagheter i olika system. David Olgart tror dock att det kommer att dröja innan utvecklingen har nått så långt.

– Jag tror att man kommer att vara försiktig med att släppa lös AI-system helt okontrollerat på internet. Det kan komma tillbaka och bita en i svansen, säger han.

För att testa tekniken har Försvarsmakten lagt ett uppdrag på FOI i Linköping att utveckla ett AI-system som styr attackerna i träningsanläggningen.

Där påpekar anläggningsledaren Jonas Almroth att det är människan som i slutänden är den svagaste länken i kedjan. Det räcker med ett infekterat usb-minne eller att någon klickar på en länk med farlig kod för att skadan ska vara skedd.

Stress är en annan viktig faktor. I pressade situationer är det lätt att begå misstag.

– Då är det lätt att sila mygg och svälja kameler, säger Jonas Almroth.

Fotnot: De två exemplen på samhällsfunktioner som fortsätter att fungera utan datorer som David Lindahl syftade på i början av artikeln är fysiska vägar och torghandel med kontanter. Kan du komma på fler exempel? Skriv till redaktion@fof.se