De tre olika perspektiven på IT-incidentsamarbete som presenteras kan sammanfattas som den vidöppna metoden, den snäva metoden och den ålagda metoden.
Funktion
På ett plan existerar alla nätverk med samma syfte: att bygga förtroende och sprida information. De skiljer sig i ambition, sortens utbyte och utmärker sig efter politiska gemenskaper.
Medlemskap
Medlemskapet skiljer sig rejält mellan de nätverk som studerats. First och TF-CSIRT är forum med hundratals medlemmar, EGC och NCC har betydligt färre medlemmar och EU:s CNW har fler medlemmar än det finns EU-medlemsstater. Karaktären på medlemmarna skiljer sig stort i First och TF-CERT medan de är likformiga i EGC och NCC. I EU-nätverket finns några medlemmar som sticker ut som militär istället för civil, eller är i grunden
utbildnings- och forskningsnätverk. Deltagande i First, TF-CERT är frivillig och det tillkommer nya medlemmar, EGC och NCC är frivilligt för stater men stängda för medlemskap, medan det är ålagt EU:s medlemsstater att delta i CNW som därför endast innehåller EU-medlemmar. Detta leder till att i First, TF-CERT och CNW finns större sannolikhet för skillnader i kompetens mellan team, medan de statiska och stängda EGC och NCC har mindre risk för det på grund av sin likformighet. Men såklart finns det mer erfarna nationella enheter inom de snäva nätverken också.
Medlemskap framträder som en viktig variabel för förtroende. Dels antalet medlemmar och det faktum om deltagaren kan välja vilka medlemmar som ingår i samarbetet. Det ligger i linje med Fägerstens kostnadskalkyl att mindre deltagare sänker risken för
Struktur
Det har visat sig svårt att undersöka inflytande inom nätverken och det flyter till viss del in i en medlems karaktär eller status. Men som undersökningen har pekat på kan First påverkas utifrån från politiska sanktioner, eftersom det är ett stor och löst, informellt forum. Inflytande inom EGC och NCC har inte kunnat undersökas. Inflytande inom CNW beror antagligen på mognadsgrad och ju äldre en medlem är, eftersom det anses vara en viktig del av arbetet att utöva just inflytande eller upplärning av nya CSIRT-enheter. Förtroendet för First som stort forum är svårt att upprätthålla om det anses vika sig för yttre påverkan. Samtidigt pekar undersökningen på att en pragmatisk förståelse för stormaktspolitiken och respekt för deras försök att hålla sig neutrala finns. Förtroende i CNW blir beroende på huruvida lyckat det blir att sprida god praxis och informationsdelningskultur bland nya medlemmar.
Som variabel verkar struktur mindre viktigt för förtroendebyggande i nätverken som granskas. Skillnader i expertis och professionellt inflytande är att förvänta i de
undersökta nätverken. Däremot kan det påverka om det följer Fägerstens tes att ett nätverks autonomi följer av nätverkets fördelning av inflytande. Eftersom EU-nätverket ordföranderoll roterar kan det vara ett problem. Detta har även illustrerats i diskussionen mellan öppet eller slutet medlemskap, i exemplet EGC.
Autonomi
Inom NCC finns ett stark politiskt mandat att dela hemlig information och arbetet sker utan större politisk styrning. Trots avsaknaden av ett tydligt politiskt mandat i informationsutbyte i EGC sker dock daglig, operativt arbete och utbyte, enligt MSB:s informant. Det finns olika syn inom CNW hur informell och ledigt arbetet ska ske, och vilken information som delas påverkas av detta. Politisk styrning sker genom raminstruktioner för Sveriges del. Även om politiskt mandat kan vara väldigt värdefullt, som i NCC:s fall, leder det inte automatiskt till förtroende och informationsdelning. En exakt jämförelse mellan nätverkens mandat av sina medlemmar har varit svårt eftersom informationen var svårtillgänglig.
Som variabel är självständighet från politisk inblandning viktig enligt informanterna. Det uttrycks att politisk inblandning som sanktioner försvårar nätverkens arbete, eller potentiella direkta politiska krav.
Integrationsperspektivet – EU kontra icke-EU
Det nordiska samarbetet mellan CSIRT-enheter kan karakteriseras som en förtroendestyrd spill-over när bredare säkerhetssamarbete föreslagits. Det visade sig enklare att samarbeta djupare inom IT-incidenthantering när redan existerande gemenskaper finns på plats.
Samtidigt har det uppmärksammats att den operativa och politiska nivån i fallet NCC inte nödvändigtvis är sammankopplade – att förutsättningar för förtroendebyggande redan fanns om man bortser från möjligheten att dela hemlig information.
Från ett designperspektiv, sett utifrån medlemmar och struktur, kan EU:s CNW sägas han något av det värsta av båda världar. Den riskerar att vara inte tillräckligt snäv att tillåta ett känsligt informationsutbyte, den riskerar även att inte vara tillräckligt bred att ta in privat expertis, som i de öppna forumen. Free-riders är en förväntad och accepterad risk. Det har en politisk förklaring eftersom nätverket bör tolkas som ett gemenskapsprojekt, att sprida kunskap, än den tydligare krisfunktion tidigare lagförslag gjorde gällande. De vinsterna samarbetet samlar, i Fägerstens ord, är istället långsiktigt kapacitetsbyggande och samlar en ”allians” av medlemsstater som arbetar under NIS-direktivet. Samtidigt sker privat-offentligt utbyte på andra ställen, på medlemsstatsnivå och på EU-nivå.
Diskussionen kring europeisk integration har förståtts som lojalitetsskiftningar. ”Vi-effekten” bland nätverken har varit svår att fånga upp, men verkar inte skilja sig från redan existerande politiska gemenskaper. Det ska antas vara ett eftersökt mål genom att socialisera regelbundet bland tjänstepersoner och experter. Samtidigt har
informationsdelningen inte följt strikt formella linjer. I EU-nätverket, som från ett designperspektiv inte borde ge känsligt informationsutbyte, finns däremot chansen att utvecklas till det vid större, gränsöverskridande incident.
Metodologisk kritik
Undersökningens jämförande kan kritiseras för att jämföra ojämförbara enheter. Antalet medlemmar är till exempel väldigt långt ifrån varandra. Det är även en ganska självklar slutsats att det nätverken var designade för från början mycket väl förändras och övertas av andra sätt att organisera sig. Det är inte sällan målsättningar presenteras i lagtext för att sedan bli något annat i verkligheteten. En allvarlig svaghet är att intervjumaterialet står alldeles för ensamt i vissa fall i undersökningen, och kan ibland inte backas upp av dokument eller annat ”vittnesmål”. Åsikter som framförs är inte fakta utan tolkningar, som ganska väntat stämmer överens med vilken sorts organisation intervjupersonen kommer ifrån. Det har ändå
presenterat en skillnad i syn på samarbete inom cybersäkerhet - stängt eller öppet,
säkerhetstjänst eller företag. Samtidigt har det inte varit undersökningens syfte att utesluta den ena modellen över den andra. Nätverken har valts eftersom de är närvarande och självklara inom cybersäkerhetssamarbete för informanterna även om de har olika uppdrag.
För att förstå ett EU-samarbete hade det lämpat sig att jämföra med andra EU- samarbeten och bakomliggande policyprocess. En jämförelse mellan medlemsstater hade också varit berikande. Samtidigt bör de nätverken som studerats utöver CNW förstås som viktiga inspiration för hur samarbetet byggdes upp av kommissionen och nätverkets egna medlemmar och därför värt att studera.
Referenslista
Intervjumaterial
Intervju 1 – Huvudman Försvarsmaktens CSIRT-enhet (FM-CERT)
Intervju 2 – Strategisk samordnare, Enheten för cybersäkerhet och säkra kommunikationer, Myndigheten för samhällsskydd och beredskap
Intervju 3 – Operativ chef, CERT-SE, Myndigheten för samhällsskydd och beredskap Intervju 4 – Styrelseledamot First
Böcker, artiklar och papper
Bevir, Mark (2012) Governance A Very Short Introduction. Oxford: Oxford University Press Bradshaw, Samantha (2015) “Combatting Cyber Threats: CSIRTs and Fostering International Cooperation on Cybersecurity” PAPER SERIES: NO. 23 — DECEMBER 2015. The Centre for International Governance Innovation and Chatham House.
https://www.cigionline.org/publications/combatting-cyber-threats-csirts-and-fostering- international-cooperation-cybersecurity (hämtad 2019-11-22)
Boeke, Sergei (2018) “National cyber crisis management: Different European approaches”
Governance. 2018 vol 31 s. 449–464
Boin, Arjen, Magnus Ekengren & Mark Rhinard (2006) ”Protecting the Union: Analysing an Emerging Policy Space” Journal of European Integration, 28(5) s. 405-421
Boin, Arjen, Magnus Ekengren & Mark Rhinard (2014) ”Managing Transboundary Crises: The Emergence of European Union Capacity” Journal of Contingencies and Crisis
Management 22(3) s. 131-142
Bossong, Raphael & Sandra Lavenex (2016) “Governance and EU Internal Security Cooperation” i Bossong, Raphael & Sandra Lavenex (red) Theorizing Internal Security
Cooperation in the European Union Oxford: Oxford University Press
Christou, George (2016) Cybersecurity in the European Union – Resilience and Adaptability
in Governance Policy Palgrave Macmillan.
Carrapico, Henelna & André Barrinha (2017) ”The EU as a Coherent (Cyber)Security Actor”
Esaiasson, Peter, Mikael Gilljam, Henrik Oscarsson, Ann Towns, Lena Wängnerud (2017)
Metodpraktikan – konsten att studera samhälle, individ och marknad Femte upplagan,
Stockholm: Wolters Kluwer
Ekengren, Magnus (2018) ”A return to geopolitics? The future of the security community in the Baltic Sea Region” Global Affairs VOL. 4, NOS. 4–5, s. 503–519
Fägersten, Björn (2010) Sharing Secrets – Explaining International Intelligence Cooperation Lund: Media-Tryck
Hollis, Simon (2010) ”The necessity of protection: Transgovernmental networks and EU security governance” Cooperation and Conflict 45(3) s. 312–330
Keohane, Robert O. and Nye, Joseph S. (1974) “Transgovernmental Relations and International Organizations”, World Politics 27(1) s. 39–63.
Kirchner, Emil & James Speriling (2007) EU Security Governance Manchester: Manchester University Press
Krzysztof F., Silwinski (2014) “Moving Beyond the European Union’s Weakness as a Cyber- Security Agent” 35(3) Contemporary Security Policy s.468-486
Mitrany, David (2003) ”A Working Peace System”, i Nelson, B. & Stubb A. (red.) The
European Union: Readings on the Theory and Practice of European Integration,
Basingstoke: Palgrave Macmillan
Nye, Joseph S (2014) “The Regime Complex for Managing Global Cyber Activities” PAPER
SERIES: NO. 1 — MAY 2014 The Centre for International Governance Innovation and
Chatham House. https://www.cigionline.org/publications/regime-complex-managing-global- cyber-activities (hämtad 2019-11-22)
Odermatt, Jed (2018) “The European Union as a cybersecurity actor” i Blockman, Stevens & Panos Koutrakos (red.) Research handbook on the EU’s Common Foreign and Security
Policy, Cheltenham & Northampton: Edward Elgar Publishing
Porcedda, Maria Garcia (2018) ”Patching the patchwork: appraising the EU regulatory framework on cyber security breaches” Computer Law and Security Review, 34 (5). s. 1077- 1098
Rhinard, Mark & Arjen Boin (2009) “European Homeland Security: Bureaucratic Politics and Policymaking in the EU” Journal of Homeland Security and Emergency Management, 6(1) Sandra Lavenex & Nicole Wichmann (2009) “The External Governance of EU Internal Security” European Integration, 31:1, s. 83-102
Skopik, Florian (2017) Collaborative Cyber Threat Intelligence: Detecting and Responding to
Advanced Cyber Attacks at the National Level CRC Press
Tofan, Dan, Konstantinos Moulinos and Christoffer Karsberg (2015) ENISA Impact
Trost, Jan (2010) Kvalitativa intervjuer Lund: Studentlitteratur
Wallace, Helen (2010) “An Institutional Anatomy and Five Policy Modes” i Wallace, Helen, Mark A. Pollack & Alasdair R. Young (red.) Policy-Making in the European Union Oxford: Oxford University Press
Westberg, Jacob (2008) EU:s drivkrafter. En introduktion till teorier om europeisk
integration Andra upplagan. Stockholm: SNS Förlag
Zwolski, Kamil (2018) European Security in Integration Theory: Contested Boundaries Palgave Macmillan
Elektroniska källor
BBC (2017) Massive ransomware infection hits computers in 99 countries https://www.bbc.com/news/technology-39901382 (hämtad 2020-01-07)
Enisa CSIRT Inventory https://www.enisa.europa.eu/topics/csirts-in-europe/csirt-
inventory/certs-by-country-interactive-map?iframe=true#network-status=Member (hämtad 2019-12-15)
Enisa (2006) CERT cooperation and its further facilitation by relevant stakeholders
Deliverable WP2006/5.1(CERT-D3) (hämtad 2019-11-23)
TERENA (1999) MINUTES of the MEETING TO DISCUSS FUTURE COLLABORATIVE
ACTIVITIES BETWEEN CERTs IN EUROPE Amsterdam, 24 September 1999
https://www.terena.org/activities/tf-csirt/pre-meeting1/minutes.pdf (hämtad 2019-11-26) TERENA (2000a) TSec(00)048 – Minutes of 3rd meeting to discuss collaborative activities between CSIRTs in Europe Vienna, 12 May 2000. Karel Vietsch - Draft 1, issued 17 May 2000 https://www.terena.org/activities/tf-csirt/pre-meeting3/minutes.pdf (hämtad 2019-11-26) TERENA (2000b) TSec(00)111 – Minutes of the 1st TF-CSIRT meeting Paris, 29 September 2000 https://www.terena.org/activities/tf-csirt/meeting1/minutes.pdf (hämtad 2019-11-26) MSB (2014) Dr: 2014-4934 Förbättrade möjligheter för stöd inom Norden - Samordnad
utveckling av praktiska förutsättningar för stöd mellan de nordiska länderna vid kriser och allvarliga händelser i fredstid https://www.msb.se/siteassets/dokument/om-msb/vart- uppdrag/regeringsuppdrag/2014/140415-forbattrade-mojligheter-for-stod-inom-norden.pdf (hämtad 2019-12-29)
Stoltenberg, Thorvald (2009) NORDISK SAMARBEID OM UTENRIKS- OG
SIKKERHETSPOLITIKK Forslag overlevert de nordiske utenriksministerne på ekstraordinærtnordisk utenriksministermøte, Oslo 9. februar 2009
https://www.regjeringen.no/globalassets/upload/ud/vedlegg/nordiskrapport.pdf (hämtad 2019- 12-29)
Haugevik, Kristin, Ulf Sverdrup (red) Björn Fägersten, Karsten Friis, Lars Gjesvik, Pia Hansson, Calle Håkansson, Tuomas Iso-Markku, Hans Mouritzen, Silja Bára Ómarsdóttir, Auður Birna Stefánsdóttir, Øyvind Svendsen (2019) Ten years on: Reassessing the
Stoltenberg Report on Nordic cooperation
https://www.researchgate.net/publication/332934959_Ten_years_on_Reassessing_the_Stolten berg_Report_on_Nordic_cooperation (hämtad 2019-12-29)
First (2005) The FIRST membership process
https://www.first.org/membership/process#Membership-Processes (hätmad 2019-12-19) First (2014) FIRST Site Visit Requirements and Assessment
https://www.first.org/membership/site-visit-v3.0.pdf (hämtad 2019-12-18)
First (2016) THE FORUM OF INCIDENT RESPONSE AND SECURITY TEAMS, INC. BYLAWS https://www.first.org/_/downloads/first-bylaws-201606.pdf (hämtad 2020-01-04) First (2019a) FIRST Members around the world
https://www.first.org/members/map#country%3AJP (hämtad 2019-12-18)
First (2019b) Statement regarding Huawei’s suspension from the Forum of Incident Response and Security Teams (FIRST) https://www.first.org/newsroom/releases/20190918 (hämtad 2019-12-22)
ITU (2015) International Telecommunications Union: Security in Telecommunications and
Information Technology - An overview of issues and the deployment of existing ITU-T Recommendations for secure telecommunications https://www.itu.int/dms_pub/itu-
t/opb/tut/T-TUT-SEC-2015-PDF-E.pdf (hämtad 2020-01-06)
TI (2019) Overview of TI Processes https://www.trusted- introducer.org/processes/overview.html (hämtad 2020-01-07)
TF-CSIRT (2019a) Trusted Introducer https://tf-csirt.org/trusted-introducer/ (hämtad 2020- 01-07)
TF-CSIRT (2019b) Meetings (https://tf-csirt.org/tf-csirt/meetings/ (hämtad 2020-01-07) Schreck, Thomas (2019) FIRST Annual Report 2018-2019
https://www.first.org/about/reports/FIRST-Annual-Report-2018-2019.pdf (hämtad 2020-01- 07)
SVT (2017) Timrå kommun drabbat av utpressningsattack
https://www.svt.se/nyheter/inrikes/timra-kommun-drabbat-av-utpressningsattack (hämtad 2020-01-07)
GOVCERT.LU (2017) RFC2350_NCERT (Public) Version 1.0 - 2017.10.16 (Final) Policy (POL 220) https://www.govcert.lu/docs/POL220_RFC2350_NCERT_(Public)_1.0.pdf (hämtad 2020-01-05)
CIRCL.lu (2018) RFC 2350 CIRCL http://www.circl.lu/mission/rfc2350/ (hämtad 2020-01- 05)
EGC (2019) http://www.egc-group.org/index.html (hämtad 2019-12-30) EU-dokument
EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen https://eur-lex.europa.eu/legal-
content/SV/TXT/HTML/?uri=CELEX:32016L1148&from=EN (hämtad 2019-12-10) KOMMISSIONENS GENOMFÖRANDEBESLUT (EU) 2017/179 av den 1 februari 2017 om fastställande av de förfaranden som krävs för samarbetsgruppens verksamhet enligt artikel 11.5 i Europaparlamentets och rådets direktiv (EU) 2016/1148 om åtgärder för en hög
gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen https://eur- lex.europa.eu/legal-content/SV/TXT/HTML/?uri=CELEX:32017D0179&from=EN (hämtad 2019-12-10)
Komissionen (2017) KOMMISSIONENS REKOMMENDATION (EU) 2017/1584 av den 13 september 2017 om samordnade insatser vid storskaliga cyberincidenter och cyberkriser https://eur-lex.europa.eu/legal-
content/SV/TXT/HTML/?uri=CELEX:32017H1584&from=EN (hämtad 2020-01-07) Förslag till EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV COM(2013) 48 final 2013/0027 (COD) om åtgärder för att säkerställa en hög gemensam nivå av nät- och
informationssäkerhet i hela unionen https://eur-lex.europa.eu/legal-
Bilaga 1
Intervjuguide
Inledning
Vad sysslar din organisation med? Vad är din roll? Hur länge har du hållt på med detta och
hur har jobbet förändrats över tid tycker du?
Hur skulle du beskriva en kris som din organisation jobbar med? Nätverkspåverkan bottum-up
Är din organisation medlem i ett internationellt, regionalt eller nationellt nätverk?
- Varför/inte? Varför är ni medlemmar i vissa men inte andra?
- Hur skiljer sig nätverken åt, enligt dig? Dels för din organisation specifikt och arbetet för cybersäkerhet generellt?
Påverkan och styrning.
- Vilket nätverk påverkar din organisation mest, enligt dig, om någonting alls? - Kan din organisation påverka internationell på något sätt genom dessa nätverk?
Hierarkisk påverkan top-down
Hur påverkas din organisation av NIS-direktviet?
Hur påverkas ni av lagstiftning för effektivare krishantering?
Vad påverkar lagstiftningen er förmåga att samarbeta internationellt? Kunskapsdelning
Hur bygger ni tillit mellan varandra, skulle du säga? Hur ofta träffas eller kommunicerar ni?
Hur ungefär ser informationskanalerna ut?
Med vilka tar ni emot och/eller delar information internationellt? Sense-making
Hur värderar ni ett (cyber)hot?
Löpande sårbarheter jämfört med en incident… Verktyg
Använder ni er av någon form av utvärderingsmodell gemensamt med andra CSIRTs? Använder ni er av någon from av modnadsutvärdering (CSIRT Maturity Calculator)? Är din organisation en CVE Numbering Authority? Varför/inte?
Använder ni er av CVSS? (Common Vulnerability Scoring System Calculator) – first.org? Årliga hotbildsrapporter?