Bild: Anders Kjellberg / Dogday Productions

Sverige under cyberattack

Varje månad upptäcks 10 000 cyberangrepp mot Sverige från främmande makt. F&F har tittat närmare på vårt nya cyberförsvar – som även ska kunna slå tillbaka mot angriparna.

Publicerad

Jag klickar på länken på datorskärmen. Trafikljuset i korsningen slår om från rött till grönt. Klick. Tillbaka till rött. Med hjälp av en vanlig dator har jag hackat mig in i trafikljusets styrdator och har nu full kontroll över trafikflödet. Hade det varit på riktigt hade jag kunnat skapa kaos i trafiken, men nu befinner jag mig på Försvarets forskningsinstitut, FOI, i Linköping. Här finns en av Europas ledande träningsanläggningar för it-försvar. Hit kommer personal från kärnkraftverk, elbolag, myndigheter och militär för att öva på att stå emot cyberangrepp.

Behovet av den här typen av träning ökar. It-attacker pågår oavbrutet, och i takt med att samhället blir mer och mer uppkopplat ökar också sårbarheten. Bakom angreppen döljer sig hackare, aktivistgrupper och kriminella, men även stater. Det är framför allt de sistnämnda som har resurser att utveckla avancerade virus som kan ta sig ända in i de it-system som styr elnät, vattenverk och industrier. Angrepp som kan leda till stora fysiska skador.

– Jag brukar be besökare att nämna någon viktig tjänst som fungerar om man tar bort datorerna. Hittills har jag bara fått två exempel* , säger David Lindahl, forskningsingenjör och expert på cyberkrig på FOI.

Övningen med det hackade trafikljuset visar att det är förhållandevis enkelt att ta sig in i en styrdator utan kunskaper i programmering. Allt som krävs är lite handledning och färdiga datorprogram som laddas ner från nätet.

I FOI:s träningslokal finns en minimodell av ett samhälle kopplat till övningarna. I ett fall får deltagarna slå ut ett filter i reningsverket som gör att parasiter kan ta sig ut i dricksvattnet.

Hotet är högst reellt. De senaste två åren har flera händelser rapporterats som höjt beredskapen för cyberangrepp. Mest omskrivet är hackerattackerna i Ukraina, som Ryssland anklagas för att ligga bakom. Det drabbade elnätet, myndigheter och andra institutioner och gjorde bland annat drygt 200 000 hushåll strömlösa.

Vid övningarna hos FOI i Linköping används en minimodell av ett samhälle, för att visa hur it-angrepp kan få fysiska konsekvenser.


Bild: Ebrahim Norouzi

Enligt den senaste årsrapporten från den svenska signalspaningsmyndigheten FRA är statliga angrepp de allvarligaste cyberhoten mot Sverige. Varje månad upptäcker FRA omkring 10000 ”aktiviteter från utländska statliga och statsunderstödda angripare riktade mot mål i Sverige”. Syftet kan vara att hitta sårbarheter i kritisk infrastruktur, samla information om försvarsförmåga och försvarsplanering, men också att stjäla patent, forskningsresultat och industrihemligheter.

– Cyberkriget är redan i gång. Det finns stater som angriper Sverige med skadlig kod, säger Robin Blokker, informationssäkerhetsexpert på FRA.

FRA varnar också för att många svenska organisationer har brister i säkerheten. Under förra året säkerhetsgranskade FRA ett tjugotal myndigheter och statliga bolag. Granskningarna visar att ”det i många fall är för enkelt att ta sig in i svenska samhällsviktiga it-system”.

Risken för fientliga cyberangrepp har fått regeringen att under de senaste åren satsa mer på cyberförsvaret. För att kunna slå tillbaka mot cyberangrepp har Försvarsmakten i samarbete med FRA fått i uppdrag att utveckla ”förmåga att genomföra aktiva operationer”. Det betyder att Sverige inte bara ska upptäcka och skydda sig mot angrepp, utan också att kunna genomföra motattacker med hjälp av egna cybervapen, det vill säga datorprogram som utnyttjar sårbarheter i fiendens it-system.

F&F i din mejlbox!

Håll dig uppdaterad med F&F:s nyhetsbrev!

Beställ nyhetsbrev

Vad betyder cyber för krigföringen?

Thomas Roth, militärhistoriker, Armémuseum
Bild: Marie Alpman

”Historiskt sett innebar flyget en större militär förändring. Det tillförde en helt ny dimension, luften, där man tidigare inte kunnat strida. Cyber kommer att vara en del, men jag tror inte att en krigshandling kommer att bestå enbart av cyberkrigföring. Det krävs soldater på plats för att säkerställa kontrollen av ett område. För att sprida propaganda och vid psykologisk krigföring är det däremot ett kraftfullt verktyg.”

Jan Kallberg, forskare vid Army cyber institute at West Point, amerikanska arméns tankesmedja för framtidens cyberkonflikter.

”Det största hotet är när cyberförmågor används för att skapa splittring i samhället och minska förtroendet för myndigheter och de styrande. Det gör att motståndskraften minskar mot samhällsstörningar, som då kan leda till kaos och underkastelse inför en främmande makt. Omvänt, om det finns en motståndskraft bland befolkningen, så betyder en fallerad infrastruktur inte undergång. Britterna härdades till exempel i sitt motstånd mot Nazityskland under Blitzen 1940.

En annan viktig fråga är om ett land som engagerar sig i offensiva cyberoperationer är redo för konsekvenserna och om man klarar att hantera eskalering. Framtidens cyberkrig kommer att ske i datorhastighet, och om du sätter en förhållandevis långsam mänsklig hjärna i mitten som beslutsfattare finns risk för missförstånd och upptrappning till en större multidimensionell konflikt.”

”Krafter vill få oss att tro att demokratin inte fungerar”

Medborgarna måste vara vaksamma.

Mikael Tofvesson, biträdande chef för operativa avdelningen på Myndigheten för samhällsskydd och beredskap, MSB.

Efter försöken att påverka val i USA, Frankrike och Storbritannien råder höjd beredskap inför höstens svenska val. Mikael Tofvesson, biträdande chef för operativa avdelningen på Myndigheten för samhällsskydd och beredskap, MSB, uppmanar till vaksamhet.

1 | På vilka sätt kan det svenska valet påverkas?

– Erfarenheterna från andra länder pekar på fyra olika scenarier. Det första är att någon kan attackera själva it-systemet som hanterar valet. Det andra är att man vill påverka röstdeltagandet, till exempel genom att sprida falska rykten om att valet är inställt, eller att det inte går att ta sig till vallokalen. Sedan kan man vilja påverka de politiska preferenserna genom att sprida falska nyheter som underblåser konflikter och ökar polariseringen i samhället. Slutligen kan man försöka påverka politiker direkt, eller misskreditera dem.

2 | Falska nyheter talas det mycket om, men kan det dyka upp nya metoder som vi inte är lika förberedda på?

– Ja, man kan tänka sig ett stort antal aktiviteter som minskar förtroendet för myndigheterna och den politiska ledningen. Jag vill inte spekulera över vad det skulle kunna vara som riktas mot Sverige, men det kan påverka handel, elförsörjning och annan kritisk infrastruktur.

3 | Vad kan syftet vara?

– Att sänka förtroendet för valet och för demokratin. Det kan vara ett annat land som vill få oss att tro att demokrati inte fungerar, eller antidemokratiska grupper inom landet.

4 | Vad blir konsekvenserna om det lyckas?

– Den mest allvarliga konsekvensen är det som händer efter valet. Misstron mot samhället ökar. Både den egna befolkningen och andra länder ställer sig frågande till om valet till riksdagen är legitimt. Utrikespolitiken försvagas.

5 | Vad kan jag som medborgare göra?

– Tro inte på allt som står på nätet. Var vaksam och källkritisk. Även om en händelse i sig är korrekt kan den vinklas fel. Fråga dig vem avsändaren är och vad syftet kan vara. Vem tjänar på att vi blir rädda och arga och sprider hat och hot?

Ansvarig för att bygga upp den nya offensiva förmågan är generalmajor Fredrik Robertsson, chef för det svenska cyberförsvaret.

– Vi är ständigt utsatta för angreppsförsök, och i omvärlden ser vi redan nu exempel på cyberhändelser kopplade till konflikter, säger han när vi ses i ett anonymt konferensrum på Försvarsmaktens högkvarter i Stockholm.

Han tänker till exempel på händelserna i Ukraina. Att något liknande skulle kunna inträffa i Sverige är ”definitivt möjligt”, enligt Fredrik Robertsson.

Hur de svenska planerna på moteld ser ut är dock hemligt. Han avslöjar inga detaljer om hur långt arbetet har kommit eller hur många ”hackare” som hittills har rekryterats.

– It-försvarsförmågan kommer att växa och ska kunna användas för att till exempel påverka en angripares ledningssystem, men också för att svara på attacker mot kritisk infrastruktur, säger han.

En som följt utvecklingen under lång tid är Johan Sigholm, forskare på Försvarshögskolan. Han anser att den svenska regeringen varit överdrivet försiktig när det gäller att bygga ut it-försvaret.

– FRA-debatten kring signalspaning har säkert spelat en roll här, säger han per telefon från USA, där han gästforskar inom cybersäkerhet på Harvard university i Boston.

Enligt Johan Sigholm är behovet av aktiv cyberförsvarsförmåga akut.

– De stora it-bolagen här i USA beskriver läget som att försvarssidan håller på att förlora kampen. På andra sidan står resursstarka ofta statsunderstödda aktörer som genomför alltmer kvalificerade angrepp.

Många länder, som USA och Storbritannien, men även Danmark och Estland, har kommit längre än Sverige när det gäller att rusta sin cyberförmåga och utveckla cybervapen. Estland har till exempel ett cyberhemvärn bestående av frivilliga it-experter som träffas regelbundet för att öva.

– Detaljerna i länders offensiva cyberförmåga är naturligtvis känsliga, eftersom man inte vill avslöja för en potentiell motståndare vilka verktyg och metoder man har tillgång till. Samtidigt kan det vara effektivt att öppet visa prov på sin förmåga i avskräckande syfte, säger Johan Sigholm.

Det var till exempel en cyberenhet inom Nederländernas underrättelsetjänst som hittade de avgörande bevisen för rysk inblandning i intrången mot det demokratiska partiet under det amerikanska valet 2016, förklarar han.

– De hade tagit sig in i övervakningskamerorna i byggnaden i centrala Moskva där en rysk cyberenhet var baserad. Man hade alltså bokstavligen talat koll på vad de höll på med.

Det digitala slagfältet är vitt skilt från forna tiders, med två arméer som ställdes upp mot varandra. Operationerna sker nu i det fördolda, ofta under lång tid. Angriparen stjäl lite information i taget för att undgå upptäckt. Oftast är det omöjligt att veta vem som ligger bakom. Fienden sopar igen spåren efter sig, eller utger sig för att vara någon annan. Angreppen kan också ske över stora avstånd, och jämfört med annan form av krigföring är aktiviteten förhållandevis billig. Det gör att även mindre nationer med rätt kunskap kan orsaka stor skada.

Det finns heller ingen tydlig gräns mellan militära och civila mål. Om någon slår ut ett lands betalnings- eller mobilsystem kan det vara i syfte att destabilisera samhället – eller för att begå brott.

På militärspråk talar man om gråzoner och skymningslägen – tidiga faser av en konflikt där cyberkrigföring används som ett komplement till andra metoder för att skapa oro och oreda. I ett scenario som FOI nyligen utarbetat på uppdrag av Myndigheten för samhällsskydd och beredskap, MSB, beskrivs ett sådant förlopp där bland annat falska nyheter sprids, som ger en skev bild av Sverige och som minskar förtroendet för myndigheter och politiker. Omfattande cyberangrepp slår ut betalningssystem, ledningssystem för flyg- och tågtrafik samt mobiltelefonin.

Att påverkanskampanjer även riktar sig mot val visar inte minst dataintrånget mot demokraternas mejlservrar vid den amerikanska presidentvalskampanjen 2016. Det och andra exempel gör att beredskapen höjts inför det svenska valet i höst (se ruta på sidan 34).

Att cyberaktiviterna befinner sig i en gråzon gör det svårt att avgöra vad som är en krigshandling och vilka lagar som gäller.

– Kan ett land till exempel svara på ett cyberangrepp med vapenkraft? Hur ska de folkrättsliga reglerna tillämpas? Det finns en rad obesvarade frågor, säger Pål Wrange, professor i folkrätt vid Stockholms universitet.

Kampen mellan angripare och försvarare är en katt-och-råtta-lek, där båda sidor utnyttjar den senaste tekniken. Vid en stor överbelastningsattack hösten 2016, som stängde ner många stora internettjänster som Twitter och Spotify, visade det sig att viruset spreds via infekterade uppkopplade prylar som skrivare och webbkameror.

Artificiell intelligens, AI, är en annan het teknik som kan bli ett kraftfullt verktyg, både för att genomföra och för att skydda sig mot attacker.

Angreppen sker med datakod, men kan få påtagliga fysiska konsekvenser. Ju mer uppkopplat samhället blir, desto fler potentiella attackpunkter finns det.


Bild: Johan Jarnestad

– AI kommer med nödvändighet att vara en del av vårt framtida cyberförsvar, säger David Olgart, utvecklingsledare på Försvarshögkvarterets ledningsstab.

Han tror att AI kommer att kunna användas både för att upptäcka attacker och för att kartlägga sårbarheter. I framtiden kan man tänka sig automatiserade it-attacker, där anfallarens AI används för att hitta svagheter i olika system. David Olgart tror dock att det kommer att dröja innan utvecklingen har nått så långt.

– Jag tror att man kommer att vara försiktig med att släppa lös AI-system helt okontrollerat på internet. Det kan komma tillbaka och bita en i svansen, säger han.

För att testa tekniken har Försvarsmakten lagt ett uppdrag på FOI i Linköping att utveckla ett AI-system som styr attackerna i träningsanläggningen.

Där påpekar anläggningsledaren Jonas Almroth att det är människan som i slutänden är den svagaste länken i kedjan. Det räcker med ett infekterat usb-minne eller att någon klickar på en länk med farlig kod för att skadan ska vara skedd.

Stress är en annan viktig faktor. I pressade situationer är det lätt att begå misstag.

– Då är det lätt att sila mygg och svälja kameler, säger Jonas Almroth.

Fotnot: De två exemplen på samhällsfunktioner som fortsätter att fungera utan datorer som David Lindahl syftade på i början av artikeln är fysiska vägar och torghandel med kontanter. Kan du komma på fler exempel? Skriv till redaktion@fof.se

Exempel på allvarliga cyberangrepp

2007: Estland drabbas hårt av ryska it-attacker som slår ut banker, myndigheter och tidningar. Som en direkt följd bygger NATO upp ett centrum för cyberförsvar i Tallinn 2008. Estland har numera ett cyberhemvärn bestående av frivilliga it-experter.

2012: Datorviruset Shamoon orsakar stor skada och förstör bland annat 30 000 datorer hos Saudiarabiens största oljebolag.

2014: En omfattande it-attack drabbar filmbolaget Sony. Angriparna kräver att filmen The Interview, som skämtar om Nordkoreas ledare, dras tillbaka.

2015: Den franska tv-stationen TV5-Mondes kanaler, webb och Facebook slås ut av en stor cyberattack.

2016: Datorintrång mot USA och demokraternas högkvarter under valrörelsen. Ryssland pekas ut för att ligga bakom stölderna av bland annat mejl som sedan läcks ut.

2016: Första stora överbelastningsattacken som utförs med hjälp av kapade, uppkopplade prylar som skrivare och webbkameror. Mängder av stora internettjänster slås ut. Efter detta har fler attacker som utnyttjar sårbarheter hos uppkopplade prylar – internet of things – rapporterats.

2017: En bugg i ett säkerhetssystem som används inom många industrier utnyttjas av hackare för att stänga ner en industrianläggning. Händelsen har bekräftats av tillverkaren, som dock inte avslöjat vilken anläggning det rör sig om.

2017: Svenska försvarsmaktens övningssystem Caxcis stängs ned till följd av en it-attack.

2017: En gigantisk attack med ett så kallat utpressningsvirus – ransomware – slår mot Windows-datorer över hela världen. Viruset Wannacry krypterar data på de infekterade datorerna och kräver en lösensumma för att låsa upp informationen igen. Nordkorea misstänks ligga bakom.

2017: Ett omfattande cyberangrepp som kallas Cloudhopper upptäcks. Angriparen kommer åt stora mängder data från företag via deras it-leverantörer. Bland de drabbade finns flera svenska myndigheter och organisationer. En hackergrupp med koppling till den kinesiska staten pekas ut som ansvarig.

2010: Stuxnet blir en ögonöppnare för regeringar världen över. Det mycket avancerade viruset, som brukar kallas världens första cybervapen, är skräddarsytt för att sabotera centrifuger för urananrikning i Iran. Israel och USA pekas ut som ansvariga.

2012: Ett nytt mycket avancerat cybervapen upptäcks som får namnet Flame. Det används för avancerat spionage och informationsstölder i framför allt Mellanöstern och Nordafrika.

2012: Datorviruset Shamoon orsakar stor skada och förstör bland annat 30 000 datorer hos Saudiarabiens största oljebolag.

2014: En omfattande it-attack drabbar filmbolaget Sony. Angriparna kräver att filmen The Interview, som skämtar om Nordkoreas ledare, dras tillbaka.

2015: Den franska tv-stationen TV5-Mondes kanaler, webb och Facebook slås ut av en stor cyberattack.

2016: Datorintrång mot USA och demokraternas högkvarter under valrörelsen. Ryssland pekas ut för att ligga bakom stölderna av bland annat mejl som sedan läcks ut.

2016: Första stora överbelastningsattacken som utförs med hjälp av kapade, uppkopplade prylar som skrivare och webbkameror. Mängder av stora internettjänster slås ut. Efter detta har fler attacker som utnyttjar sårbarheter hos uppkopplade prylar – internet of things – rapporterats.

2017: En bugg i ett säkerhetssystem som används inom många industrier utnyttjas av hackare för att stänga ner en industrianläggning. Händelsen har bekräftats av tillverkaren, som dock inte avslöjat vilken anläggning det rör sig om.

2017: Svenska försvarsmaktens övningssystem Caxcis stängs ned till följd av en it-attack.

2017: En gigantisk attack med ett så kallat utpressningsvirus – ransomware – slår mot Windows-datorer över hela världen. Viruset Wannacry krypterar data på de infekterade datorerna och kräver en lösensumma för att låsa upp informationen igen. Nordkorea misstänks ligga bakom.

2017: Ett omfattande cyberangrepp som kallas Cloudhopper upptäcks. Angriparen kommer åt stora mängder data från företag via deras it-leverantörer. Bland de drabbade finns flera svenska myndigheter och organisationer. En hackergrupp med koppling till den kinesiska staten pekas ut som ansvarig.

Prenumerera på Forskning & Framsteg!

10 tidningsnummer om året och dagliga nyheter på fof.se med kunskap baserad på vetenskap.

Beställ idag

Teknik

Upptäck F&F:s arkiv!

Se alla utgåvor