Sveriges nya soldater slåss på nätet

Klädd i gröna militärkläder slår sig William ner vid bordet i ett av rummen på logementet. Vid väggarna står metallskåp och i varje hörn en välbäddad våningssäng.

Efter snart åtta månaders militärtjänst här på Lednings­regementet i Enköping har han lärt sig att hantera vapen och leva i fält, men framför allt att strida vid tangentbordet. Som cybersoldat är Williams uppgift att skydda Försvarsmaktens it-system.

– Innan jag kom hit visste jag inte mer om cyberkrig än vad som rapporterats i media, men nu har jag insett komplexiteten. Det är till exempel svårt att veta vem som gör vad på internet, säger William.

Egentligen heter han något annat. Av säkerhetsskäl hålls cybersoldaternas identiteter hemliga, förklarar Martin Liland, kapten och chef för Cyberplutonen som också är med vid intervjun.

Precis som andra delar av samhället är försvaret beroende av fungerande kommunikationer och it-system. I cybersoldaternas uppgifter ingår att hålla dem uppdaterade och upptäcka om någon försöker hacka sig in för att spionera eller sabotera. Då gäller det att sätta stopp för intrångsförsöket och, om det behövs, även slå tillbaka mot inkräktaren, det som brukar kallas offensiva cyberoperationer.

– Det är viktigt att träna för att förstå hur cyberkrigföring går till. För att bli bra på att försvara dig måste du också förstå motståndarens angrepps­metoder, säger William.

Cybersoldaterna får först en tre månaders militär grundutbildning. Sedan varvas praktiska övningar inom it-säkerhet med kurser som tagits fram av Kungliga tekniska högskolan, KTH. Kurspaketet motsvarar 30 högskolepoäng och innehåller bland annat en kurs i etisk hackning.

Sommaren 2021 muckade de första 30 killarna och tjejerna. William tillhör den andra kullen med 40 värnpliktiga. I höst ska 50 nya tas in och målet är att utbilda 60 nya cybersoldater om året. Om det skulle bli krig rycker de in vid olika förband. Enligt plutonchefen Martin Liland finns ett stort sug efter deras kompetens inom hela försvaret. Men det är knappast något skrivbordsjobb.

– Nej, vi har grönkläder och systemen vi skyddar används även i fält så vi ska kunna jobba var som helst, i ett tält eller i skogen, säger William.

Utbildningen är en del av upprustningen av det svenska cyberförsvaret som nu pågår. Förutom de nya cybersoldaterna ska Sverige få ytterligare ett it-försvarsförband med uppgift att skydda Försvarsmaktens system och slå tillbaka mot cyber­angrepp – dygnet runt. Dagens förband finns i Enköping. Det nya börjar byggas upp i Linköping med start i år. I höst startas även för första gången en ut­bildning till officer med specialisering på cyber­försvar.

Bakgrunden till upprustningen på cyberområdet är att it-attacker i dag är en del av krigföringen. Allt oftare används beteckningen hybridkrig där militära och icke-militära metoder blandas.

Till skillnad mot ett väpnat angrepp sker cyber­operationer ofta i skymundan i den så kallade gråzonen, innan konflikten övergått i regelrätt krig. Syftet med den här typen av gråzonsattacker är att skapa osäkerhet, störa viktiga samhällsfunktioner, sprida falska budskap och minska befolkningens tillit till den egna regeringen. Det kan också vara att orsaka ekonomisk skada eller skada fysisk infrastuktur i form av elnät eller vattenförsörjning.

Samtidigt råder en osäkerhet om vad som ska räknas som en krigshandling. För den som blir angripen kan det också vara väldigt svårt att spåra vem som står bakom attackerna. Är det främmande makt? Hackare? Aktivister? Kriminella?

Hur många som i dag ingår i den militära delen av cyberförsvaret och hur många som ska rekryteras är inget som Försvarsmakten går ut med.

– Men det dimensioneras nu för att möta de mest kvalificerade motståndarna, säger Thomas Nilsson, som leder hela det svenska cyberförsvaret vid Försvarsmaktens högkvarter i Stockholm.

I klartext betyder det att Sverige ska kunna möta ett väpnat angrepp där cyberattacker är en del av krigföringen. Kriget i Ukraina är ett tydligt exempel.

– Det ryska anfallet innehåller allt från cyber­attacker till mer traditionella militära maktmedel, säger Thomas Nilsson.

I Ukraina har cyberattacker från rysk sida pågått under närmare tio års tid. Efter annekteringen av Krim 2014 har till exempel delar av det ukrainska elnätet slagits ut vid två tillfällen, 2015 och 2016, efter att fientlig kod tagit sig in i styrsystemen. Myndigheter och banker har varit måltavlor för en rad virus och överbelastningsattacker.

– Det kan vara svårt att förneka ett luftangrepp, men i cyberdomänen har du större möjlighet att förneka en operation, säger Thomas Nilsson.

Eftersom internet är gränslöst finns också risk för att virus som riktas mot ett visst mål sprider sig. Ett exempel är den skadliga programvaran Not Petya som riktades mot Ukraina år 2017 men spred sig och orsakade stor skada för företag i flera länder. Bland annat drabbades den danska rederikoncernen Maersk hårt.

Försvarsmakten står för den offensiva förmågan i cyberrymden, det vill säga aktiva motangrepp, men är ändå bara en del av det totala cyberförsvaret. Att skydda it-system mot angrepp är en uppgift för väldigt många myndigheter, kommuner och landsting men även företag. För att stärka Sveriges samlade möjlighet att upptäcka och stå emot it-angrepp har ett nytt Nationellt cybersäkerhetscentrum bildats. Där ingår bland annat Försvarets radioanstalt, Försvarsmakten, Myndigheten för samhällskydd och beredskap, MSB, och Säkerhetspolisen, Säpo.

Kriget i Ukraina innebär höjd beredskap hos exempelvis statliga Svenska kraftnät som ansvarar för det svenska stamnätet för el. Säpo varnade nyligen för en ökad risk för cyberangrepp och upp­manar myndigheter och företag att se över sin it-säkerhet.

I början av mars fick MSB i uppdrag av regeringen att genomföra en informationskampanj om cybersäkerhet riktad mot allmänheten.

– Vi vet att Ryssland har en stor förmåga att genomföra cyberattacker mot länder, företag och myndigheter. Även om Sverige inte är ett primärt mål så kan det inte uteslutas att vi kan komma att drabbas och det behöver vi ha beredskap för, sa justitie- och inrikesminister Morgan Johansson vid presskonferensen.

Pontus Johnson är professor med inriktning mot cybersäkerhet på Kungliga tekniska högskolan, KTH, i Stockholm och föreståndare för Centrum för cyberförsvar och cybersäkerhetsforskning, CDIS. Han anser att Sverige vaknat upp sent jämfört med andra länder.

– Kanske beror det på vår teknikoptimism och att vi har stor tilltro till systemen.

Att vi nu börjar ta cybersäkerhet på större allvar tror han bland annat beror på en större medvetenhet om baksidorna med digitaliseringen, som nått ovanligt långt i Sverige. Till exempel är vi nästan helt kontantfria. Hur sårbara vi är visade inte minst it-attacken mot Coop sommaren 2021, som gjorde att kassasystemet inte fungerade och butiker tvingades stänga. Före jul samma år drabbades Kalix kommun av en liknande attack som låste en stor del av datorsystemet.

– Den här typen av händelser gör det tydligt för både allmänheten och beslutsfattare att det är ett allvarligt hot, säger Pontus Johnson.

Han säger att det inte är osannolikt att Ryssland kommer att besvara sanktionerna från västvärlden med cyberangrepp.

– Det beror på hur mycket de har lyckats förbereda sig. Vi vet att Ryssland har goda cyberförmågor och tidigare har varit inne i amerikanska elkraftnät, men valt att inte stänga ner för att undvika en internationell diplomatisk kris. Kanske har de tänkt om och vill nu straffa västvärlden.

Att utföra en avancerad cyberattack är inte bara att trycka på en knapp, utan det kräver lång förberedelse. Pontus Johnson uppskattar att det tog minst sex månader att få till angreppen på det ukrainska elnätet 2015 och 2016. Först måste sårbarheter upptäckas, angreppet ska planeras och den skadliga koden föras in i det system som ska angripas. Och har du väl använt ett cybervapen kan det inte användas igen.

– Om du etablerar tillgång till ett eldistributions­bolags driftcentral, då kan du bara använda den accessen en gång, för intrånget kommer att upp­täckas och säkerhetshålet täppas till. Då måste du hitta ett nytt sätt att ta dig in nästa gång, säger Pontus Johnson.

Inom Centrum för cyberförsvar och informationssäkerhet på KTH pågår forskning för att bland annat bygga säkrare it-system. Det är dock en mycket svår uppgift eftersom ju större systemen är, desto mer komplicerade blir de.

– Det myllrar av sårbarheter i vår digitala infrastruktur. Varje månad upptäcks hundratals nya i kritiska programvaror.

Pontus Johnson jämför med skattesystemet där det går att hitta kryphål i det komplicerade regelverket.

– Det är samma sak med programvara – fast värre. Varje rad med programkod är en regel. Tillsammans blir det miljontals regler. Ett skattesystem består kanske av tusentals regler.

Han uppmanar alla att se över sin cyberhygien och byta ut dåliga lösenord och uppdatera program­varor till den senaste versionen.

– Det är saker som alla vet men inte prioriterat tillräckligt högt.

På logementet i Enköping berättar William att en av de saker som gjort honom mest förvånad är hur lätt det är att lämna en lucka i datorn.

– I den fysiska världen lär man sig att inte lämna dörren olåst för då kan tjuven ta sig in, men få vet om hur lätt det är att lämna låset öppet i cyber­domänen.