Cyberöverföring
En studie om problemrepresentation och policyöverföring
inom informations- och cybersäkerhetområdet
Cyber transfer
A study on problem representation and policy transfer in the
information and cyber-security area
Niclas Eriksson
Politices: Statsvetenskap Kandidatuppsats
15hp VT 2021
1
Abstract
During recent years, cyber-threats has become an increasing problem in society. Incidents during the previous decade has shown that cyber-attacks can cause severe consequences for states, businesses, and organisations all over the world. There has also been an increase in cyber-crimes like phishing and other types of scams and extortion, which threatens the general public. As a result, information and cyber-security has become a hot topic among technology developers as well as in policy discussions. This paper studies an EU-common policy and a Swedish national policy on cyber-security to find out how cyber-threats are represented as a problem within the EU and in Sweden. The study then applies a theoretical framework of policy transfer to explain how the represented problem has changed in the transfer from European to Swedish context. The study finds that in the transference the scope of the represented problem has widened, both in terms of what is considered a threat as well as in who the policy aims to protect. This study aims to increase the understanding on how governance based on discursive visions, affects the solution a problem receives.
2
Innehållsförteckning:
1.0 Inledning ... 3
1.1 Bakgrund ... 4
1.2 Syfte och frågeställning ... 4
1.3 Begreppsförklaringar ... 5
1.4 Disposition ... 6
2.0 Tidigare forskning ... 7
2.1 Forskning om cybersäkerhet ... 7
2.2 Forskning med WPR som metod ... 9
2.3 Forskning om policyöverföring ... 9
3.0 Metod och Material ... 10
3.1 WPR-ansatsen ... 10
3.1.1 WPR-ansatsens teoretiska utgångspunkt ... 10
3.1.2 WPR-ansatsens metodologiska utgångspunkt ... 11
3.2 Material ... 12
3.3 Tillvägagångssätt ... 13
4.0 Teori ... 15
4.1 Vad är Policyöverföring? ... 15
4.2 Inblandade aktörer och hur policyöverföring går till ... 16
5.0 Analys ... 18
5.1 Analys av Europaparlamentet och Rådets direktiv 2016/1148 ... 18
5.1.1 Presenterade problem ... 18
5.1.2 Presenterade lösningar ... 20
5.1.3 Tystnader ... 23
5.1.4 Sammanfattning ... 24
5.2 Analys av Regeringens skrivelse 2016/17:213 ... 24
5.2.1 Presenterade problem ... 24
5.2.2 Presenterade lösningar ... 26
5.2.3 Tystnader ... 33
5.2.4 Sammanfattning ... 35
5.3 Analys av förändring vid policyöverföring ... 35
5.3.1 Vad har överförts? ... 36
5.3.2 Vad har förändrats? ... 37
6.0 Slutdiskussion ... 39
3
1.0 Inledning
Sedan internet slog igenom under 1990-talet har digitalisering varit ett ständigt ökande inslag i samhället. Digitala tekniska lösningar har visat sig besitta stora fördelar för att kunna effektivisera många typer av verksamheter. Att vara ansluten och uppkopplad till internet är idag inte bara eftersträvansvärt, utan har snarare i det moderna samhället utvecklats till att vara en förutsättning för att kunna leva ett normalt och fungerande liv. Verksamheters konkurrensförmåga och förmåga att hålla sig relevanta, har en direkt koppling till hur väl de lyckas hålla sig och à jour med den digitala utvecklingen (FRA et al. 2020:6). Den privata sektorn såväl som den offentliga förvaltningen är därför idag till stor del beroende av digitala system för att kunna producera och leverera sina varor och tjänster. I takt med att digitaliseringen av samhället har vuxit har även en ny typ av sårbarhet vuxit fram, nämligen cyberhotet. Cyberhotet består av en bred variation av olika hot som kan påverka olika aspekter av samhället. Det kan till exempel utgöras av att enskilda personer försöker tillskansa sig sekretessbelagd eller på annat sätt känslig information att använda för egen vinning. Det kan utgöras av organiserade angrepp där en antagonistisk aktör försöker spionera på, sabotera eller ta kontroll över samhällsviktig infrastruktur. Det kan också utgöras av politiskt riktade attentat där angriparen försöker sprida desinformation med syfte att destabilisera och underminera samhällets demokratiska värden (Skr. 2016/17:213:9–10).
Händelser, framför allt på den här sidan av millennieskiftet, har visat att cyberattacker kan orsaka stora störningar i samhället och i enskilda aktörers verksamhet. En av de mest spektakulära och uppmärksammade attackerna ägde rum år 2017 i Ukraina. Attacken initierades genom att datorviruset Petya fördes in i datorer och servrar runt om i hela Ukraina. Viruset spred sig sedan utanför landets gränser och drabbade aktörer globalt (The New York Times, 2017). En av de aktörer som drabbades värst var det danska distributionsbolaget MAERSK. Viruset angrep och slog ut bolagets teknik under tio dagar vilket orsakade stora störningar i verksamheten. Incidenten tvingade bolaget till att genomföra en ominstallation av 45 000 datorer och 4000 servrar. Driftstörningen av verksamheten som viruset orsakade beräknas ha kostat bolaget omkring 300 miljoner dollar (Techworld, 2018). Under år 2012 uppdagades att den israeliska och den amerikanska staten verkar ha legat bakom spridandet av Stuxnet-viruset. Virusets syfte var att infiltrera och sabotera Irans atomprogram. Denna händelse anses av många markera starten för en tidsålder av cyberkrig mellan stater (Dunn, 2013:111).
4
1.1 Bakgrund
Med anledning av incidenter av den typ som nämns ovan och även andra IT-incidenter har det på sistone inom EU börjat göras ansträngningar för att skydda samhället från intrång och attacker i de digitala systemen. En av dessa ansträngningar utgörs av Europaparlamentet och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen. Direktivet togs fram som en del av EU:s cybersäkerhetsstrategi och är den första EU-täckande lagstiftningen om cybersäkerhet. Syftet med direktivet är att stärka cybersäkerheten i hela unionen. Direktivet trädde i kraft år 2016 (Enisa, [u.å]).
Direktivet fastställer att medlemsstaterna ska anta en nationell strategi för säkerhet i nätverks- och informationssystem (Direktiv (EU) 2016/1148:15). Denna bestämmelse översattes i Sverige till regeringens skrivelse 2016/17:213 Nationell strategi för samhällets informations- och cybersäkerhet. Regeringskansliet (u.å) förklarar att:
Strategin ska bidra till att skapa långsiktiga förutsättningar för samhällets aktörer att arbeta effektivt med informations- och cybersäkerhet samt att höja medvetenheten och kunskapen i hela samhället. Strategin omfattar statliga myndigheter, kommuner och landsting, företag, organisationer och privatpersoner.
Den nationella strategin antogs av riksdagen i januari år 2018 (Riksdagen, 2018). Betänkandet att anta en nationell strategi började dock innan styrning om en sådan fastställts genom direktiv (EU) 2016/1148. Redan år 2013 fattade regeringen beslut om att starta en utredning för att föreslå en strategi och mål för hantering och överföring av information i elektroniska kommunikationsnät och IT-system (Dir. 2013:110:1). År 2015 presenterade utredningen ett förslag om att regeringen bör anta en strategi med syfte att stärka informations- och cybersäkerheten i staten (SOU 2015:23:203). Förslaget innehöll embryot till de sex strategiska prioriteringar (se avsnitt 3.2) som utgör den nationella strategin (ibid:329–330).
1.2 Syfte och frågeställning
Jag studerar i den här uppsatsen europaparlamentet och rådets direktiv (EU) 2016/1148 samt regeringens skrivelse 2016/17:213 för att ta reda på hur cyberhotet representeras som problem inom EU och i Sverige. Syftet med studien är tudelat och handlar dels om att öka förståelsen för hur styrning utifrån diskursiva visioner påverkar vilka lösningar olika problematiseringar får, dels om att fånga upp det som försvinner eller förändras på vägen när olika idéer, i detta fall gällande lösningar på cyberhotet, färdas från en europeisk till en nationell kontext.
5 Studien ämnar besvara frågeställningarna:
- Hur representeras cyberhotet som problem i direktiv (EU) 2016/1148 respektive regeringens skrivelse 2016/17:213?
- Hur förändrades problemrepresentationerna, och följaktligen de föreslagna åtgärderna, när de överfördes från en europeisk till en svensk nationell kontext?
1.3 Begreppsförklaringar
I detta avsnitt förklaras vad som avses med några av de begrepp som förekommer i uppsatsen. Definitionerna av begreppen är det som avses i just den här uppsatsen och utgår ifrån min egen förståelse av begreppen, vilka i några fall har dubbelkollats genom enkla översiktliga sökningar på nätet.
Antagonist: Motståndare, meningsmotståndare eller fiende i kontrast till narrativets huvudaktör. Cyberattack: Avsiktligt angrepp som syftar till att förstöra, manipulera, stjäla eller otillgängliggöra information i den digitala miljön.
Cyberbrott: Kriminell handling som antingen angriper eller utnyttjar en dator, datornätverk eller nätverksansluten enhet.
Cyberbullying: Mobbning genom digitala medier, ofta genom kränkande, skrämmande eller hotande meddelanden.
Cyberkrig: Avsiktliga digitala attacker där stater söker störa eller sabotera andra staters digitala infrastrukturer.
Cyberrymden: Den virtuella miljö som internet utgör. Är att betrakta som kontrast till fysisk miljö.
Cybersäkerhet: Styrningsåtgärder, kunskapshöjande åtgärder och tekniska lösningar som avser skydd mot hot och risker i den digitala miljön. Begreppet avser i första hand åtgärder för skydd mot angrepp men kan beroende av kontext ibland användas synonymt med informationssäkerhet.
Cyberterrorism: Begreppet saknar vedertagen definition men antyder terrorhandlingar med hjälp av internet.
Desinformation: Osann eller vilseledande information som avsiktligt sprids i syfte att påverka människors attityder, ställningstaganden eller ageranden i en viss riktning.
6 Gromning: Process där en vuxen person tar kontakt med ett barn i sexuellt syfte, vilket ofta sker via internet.
Incident: En händelse med faktisk negativ inverkan.
Informationspåverkan: Aktion från främmande makt som, genom exempelvis spridandet av desinformation, söker skapa misstro mellan medborgare eller mellan medborgare och stat. Kan utföras som enskilda aktioner eller ingå i en påverkanskampanj.
Informationssäkerhet: Styrningsåtgärder, kunskapshöjande åtgärder och tekniska lösningar som avser skydd mot hot och risker i den digitala miljön. Begreppet avser i första hand åtgärder för att skydda den egna informationens konfidentialitet, riktighet och tillgänglighet men kan beroende av kontext ibland användas synonymt med cybersäkerhet.
IT: Informationsteknik
Malware: Infiltrerande datorprogram med skadlig inverkan för datasystem eller personliga integritet.
Nätfiske: Metod för social manipulation genom digitala medier i syfte att anskaffa information om bankkonton, kreditkort, lösenord eller annan känslig information.
Policy: Lagstiftningsåtgärder och andra statlig styrningsåtgärder, vilket inkluderar övergripande förhållningssätt som definierar avsikt och ambition, inom ett visst politikområde.
Påverkanskampanj: Större centralt styrd aktion som kan infatta desinformation samt såväl öppna som dolda politiska, diplomatiska, ekonomiska och militära medel i syfte att påverka mottagarens förståelse, vilja, attityder och beteenden.
Överbelastningsattack: Attack mot ett datasystem som förhindrar normal funktion i systemet genom överbelastning, vilket begränsar eller effektivt förnekar tillgången till systemets information.
1.4 Disposition
Efter detta inledande kapitel presenteras i kapitel två tidigare relevant forskning. Jag redogör i kapitlet för forskning, som bär relevans för min studie, på såväl cybersäkerhetsområdet och policyöverföring som forskning som likt mig använder WPR-ansatsen som metod. I kapitel tre presenterar jag mitt metodologiska verktyg, det material som studien baseras på samt hur jag har gått till väga i genomförandet av studien. I kapitel fyra redogör jag för
7 aktörer som kan vara inblandade vid överföring samt hur överföringsprocessen kan gå till. I kapitel fem presenterar jag min analys. Först presenterar jag min analys av direktiv (EU) 2016:1148, därefter presenterar jag min analys av regeringens skrivelse 2016/17:213, slutligen analyserar jag med hjälp av den valda teorin hur policyn har förändrats i överföringen från europeisk till svensk kontext. I kapitlet sex redogör jag för vad jag har kommit fram till samt diskuterar kort på vilket sätt min studie har öppnat upp för vidare forskning.
2.0 Tidigare forskning
I detta kapitel presenteras ett urval av tidigare forskning som bär relevans för min studie. Inledningsvis redogör jag för forskning med direkt anknytning till cybersäkerhetsområdet. Därefter redogör jag för två studier som likt mig applicerar WPR-ansatsen som metod. Slutligen redogör jag för två studier om policyöverföring.
2.1 Forskning om cybersäkerhet
Stevens (2018) sammanför en bred litteraturöversikt inom cybersäkerhetsområdet. Han
förklarar hur cybersäkerhet har vuxit fram som begrepp och fenomen under 2000-talet och hur begreppet etablerats såväl hos teknikutvecklare som i policydokument (ibid:1). Stevens går igenom forskning och resultat inom flera olika områden av cybersäkerhetsforskningen och uppmuntrar avslutningsvis att mer forskning behöver bedrivas inom ämnet (ibid:2–3). Stevens artikel ger en relevant introduktion till forskning på cybersäkerhetsområdet.
Gunduz & Das (2020) studerar hot och risker riktat mot det smarta elnätet [smart grid] och sakernas internet [internet of things]. Det smarta elnätet är en nalkande utveckling av elnätet som innehåller mekanismer som möjliggör att både leverantör och konsument bättre ska kunna anpassa förbrukningen av el efter behov (ibid:5). Sakernas internet är nya
tekniklösningar som medger att alla sorters prylar och maskiner, som bilar, kylskåp och luftkonditionering är uppkopplade mot internet. Den nya tekniken medger därmed
utvecklandet av till exempel smarta städer, smarta byggnader och smart transport. Författarna menar att den nya tekniken omfattas av säkerhetsbrister, vilka kan utnyttjas för cyberattacker och cyberterrorism. Studien utgår ifrån en lista som tagits fram av CIA, med en klassificering av olika typer av cyberhot (ibid:1). De olika hoten analyseras sedan med hjälp av tidigare forskning inom respektive hotområde för att försöka fastställa vilka åtgärder som behöver vidtas för att höja säkerheten i den nya tekniken (ibid:2).
8 Singh et al. (2021) presenterar en rykande färsk studie om cyberattacker under COVID-19-pandemin. Studien kartlägger rapporterade cyberattacker under pandemins initiala fyra månader och visar hur bedrägerier med kopplingar till COVID-19-pandemin ökar över tid (ibid:7). Forskarna argumenterar i studien att cyberbrottslingar utnyttjar händelser som utsätter människor för mental stress för att få större utbyte av sina attacker. Kriser och katastrofer distraherar det mänskliga sinnet vilket gör människor mindre uppmärksamma på att upptäcka bedrägerier (ibid:2–3). Studien visar att det finns ett tidssamband mellan politiska beslut om restriktioner på grund av pandemin och rapporterade cyberattacker (ibid:8). Cyberbrottslingarna utnyttjar människors oro till följd av myndigheters och vetenskapliga uttalanden för att lura till sig pengar, framförallt genom nätfiske och malware (ibid:12). Den globala omställningen till arbete hemifrån, till följd av pandemin, har dessutom uppmärksammat utmaningar och brister i cybersäkerheten såväl för allmänheten som för företag och mjukvaruleverantörer (ibid:2). Gunduz & Das (2020) och Singh et al. (2021) blir relevant för min studie då artiklarna understryker vilken påverkan cyberhot kan ha på samhället och allmänheten.
Dunn (2008) ifrågasätter existensen av cyberterrorism i en studie där hon analyserar hur cyberhotet inramas inom den amerikanska staten. Dunn hävdar att terrorister inte använt cyberrymden som vare sig vapen eller som ett mål för attack, ändå framhåller den amerikanska diskursen cyberterrorism som ett reellt hot. Komplexa beroendeförhållanden till informationsinfrastrukturer gör sårbarheter i dessa svårgripbara. De abstrakta och svårförståeliga förhållandena föranleder att det skapas retoriska resonemang om att komponenter i dessa infrastrukturer utgör konkreta mål för cyberterror, vilket hotar nationens säkerhet. Dessa resonemang skapar i sin tur en diskurs om ett vi (i det här fallet det amerikanska samhället) mot ett dem (terrorister utanför det amerikanska samhället) vilket styr den nationella säkerhetspolitiken (ibid:30). Dunn argumenterar att diskursen istället borde vridas om för att fokusera på marknadsaspekter vilket skulle gagna den privata sektorn (ibid:31).
I en senare artikel fortsätter Dunn (2013) utmana uppfattningen om länken mellan cyberrymden och nationell säkerhet som en vedertagen sanning. Dunn argumenterar att för att kunna förstå det centrala i säkerhetspolitiska processer måste samspelet mellan politisk diskurs och styrningsåtgärder studeras även i de små säkerhetsaspekterna. Cyberrymden och cybersäkerhetsresonemang menar hon har erbjudit en uppsjö av sådana hotrepresentationer (ibid:107). Hur vi förstår cyberrymden får konsekvenser för hur strategier och handlingar utkristalliseras (ibid:108). Under senare år har problemrepresentation av cyberrymden beskrivit
9 en laglös och anarkisk virtuell värd där hackare och terrorister härjar fritt och cyberrymden behöver därför regleras och kontrolleras (ibid:112). Cyberdiskursen är belamrad med kraftfulla metaforer vilka får konsekvenser för människors agerande. Till exempel var valet av ordet virus som en beskrivning av självreplikerande datorprogram avsett att göra det enklare för lekmän att förstå programmens funktion. Men ordet virus spelar på människors rädslor för biologiska sjukdomar vilket gör problemlösningar om nationell säkerhet till logiska val (ibid:118). Dunns resonemang från de båda artiklarna blir relevant för min studie då den pekar på hur diskursiva visioner inom cybersäkerhetsområdet påverkar vilka typer av lösningar problemen får.
2.2 Forskning med WPR som metod
Rönnblom (2011) studerar svensk jämställdhetspolicy i syfte att förstå hur nyliberala styrningsmentaliteter tas i uttryck inom området. Genom en granskning av
problemrepresentationen i svenska policydokument om jämställdhet söker Rönnblom ta reda på hur jämställdhet görs i svensk politik (ibid:39–40). Hon finner att det tycks finnas en diskrepans mellan hur jämställdhet problematiseras i övergripande resonemang och hur jämställdhet konkretiseras genom styrningsåtgärder. I själva genomförandet sker en
avpolitisering av jämställdhetintegrationen som leder till att åtgärderna tycks syfta till att lösa administrativa problem (ibid:49).
Rönnblom & Sandberg (2015) studerar jämställdhetsarbetet i Kiruna. Studiens syfte är att synliggöra hur jämställdhet görs i relation till plats (ibid:60). Studien analyserar ett blandat material på tre platsspecifika teman. I studien ingår intervjuer med personer som kan förväntas komma i kontakt med jämställdhetsarbetet samt analyser av diverse
policydokument, artiklar, hemsidor och dylikt (ibid:63). Studien kommer fram till att jämställdhetsarbetet som genomförs snarare syftar till att förändra bilden av Kiruna än att förändra maktförhållandena mellan kvinnor och män (ibid:79). Dessa två artiklar blir relevanta för min studie då de illustrerar på ett tydligt sätt hur WPR-ansatsen kan appliceras på olika typer av policyuttryck för att finna inneboende problemrepresentationer i
resonemangen.
2.3 Forskning om policyöverföring
Stone, Porto de Oliveira & Pal (2020) för argumentet att kunskapsspridning driver
policyöverföring. Artikelns fokus ligger i vilken roll makten över kunskap och idéer spelar i policyöverföring (ibid:1). Författarna argumenterar att framstående individer, organisationer och nätverk utnyttjar intellektuell auktoritet och professionell expertis för att befästa
10 policyparadigm och normativa standarder som bästa praxis. Konsekvensen blir att
förespråkare för denna bästa praxis ofta inte tar hänsyn till maktasymmetrier som kan
undergräva policyöverföring till utvecklings- och övergångsländer. Denna bästa praxis utgörs ofta av formell teknisk kunskap vilken riskerar att överrösta tyst praktisk kunskap om lokala förhållanden (ibid:10). För att råda bot på detta problem föreslås att policyöverföring ska analyseras i samband med processer i det internationella utvecklingssamarbetet. En sådan analys skulle kunna belysa mekanismer involverade i processerna som skulle kunna hjälpa till att bättre anpassa policies till dess sammanhang (ibid:13).
Blake et al. (2020) studerar policyöverföring inom EU. Studien tittar på hur bästa praxis skapas inom det EU-gemensamma projektet CYCLEWALK, vilket är en plattform för utbyte och diskussion av kunskap, idéer och policies som syftar till att främja gång och cykling (ibid:6). Studien finner att dessa bästa praxis stödjer sig på varierande och ofta tvivelaktiga resonemang (ibid:16). Trots att bästa praxis ger sken om att vara skapat genom sunt förnuft och vedertagen vetenskap tycks skapandet av bästa praxis kantas av mycket improvisation. Informella diskussioner i små grupper, subjektiva resonemang och vem som har tid att deltaga vid möten tycks vara avgörande för hur dessa bästa praxis formuleras (ibid:17). Dessa två artiklar blir relevanta för min studie då de illustrerar hur policyöverföring kan gå till i praktiken. Dessutom pekar båda studierna ut några av de risker som är involverade i processen.
3.0 Metod och Material
I det här kapitlet redogör jag för studiens metod och material samt för de val och avgränsningar jag gjort. Inledningsvis förklarar jag WPR-ansatsens teoretiska och
metodologiska utgångspunkter. Därefter beskriver jag det material som studien utgår ifrån. Slutligen förklarar jag hur jag har gått till väga i genomförandet av studien.
3.1 WPR-ansatsen
3.1.1 WPR-ansatsens teoretiska utgångspunkt
Grunden i ’What’s the problem represented to be?’-ansatsen [WPR] är att problematiseringen i en policy endast existerar på grund av hur problemet konceptualiseras (Bacchi, 2009:262–263). En policy antas för att skapa förändring eller mer specifikt för att lösa ett problem. Genom denna problematisering skapar policyn en underliggande innebörd för hur vi ser på problemet. Det handlar här inte om ett skapande av flera konkurrerande problemdefinitioner utan snarare om skapandet av problemrepresentationer som cementeras i diskursen och påverkar hur vi lever
11 och hur vi styrs (ibid). WPR är en diskursanalytisk metod och teoretiskt ramverk med rötter i socialkonstruktivism, poststrukturalism, feminism och governmentality (ibid:264). Jag kommer i följande avsnitt redogöra för WPR-ansatsens teoretiska ramverk.
WPR-ansatsens socialkonstruktivistiska utgångspunkt innebär att saker vi oftast tar för givet är produkter skapade av en särskild situation, tid eller plats (ibid). Genom detta perspektiv uppmuntras vi att identifiera särskilda koncept och kategorier för att sedan undersöka dem. Inom poststrukturalism ifrågasätts om kategorier och begrepp har givna innebörder (Boréus & Bergström, 2018:28–29). Hur vi använder språket har enligt poststrukturalismen en betydande roll i hur vi förstår verkligheten. Hur vi förstår särskilda nyckelbegrepp är inte universellt utan varierar mellan olika samhällen, kulturer och över tid (ibid). Genom denna förståelse för språket och genom att spåra brukandet av dessa nyckelbegrepp, kan vi med WPR-ansatsen förklara hur styrning legitimeras (Bacchi, 2009:265). Feministisk teori bidrar med att belysa människors perception (ibid). Governmentality riktar fokus mot hur styrning skapas genom breda tankemönster (ibid). Dessa tankemönster tas i uttryck som en form av politisk rationalitet eller politiskt förnuft som föranleder styrning. Governmentality brukar oftast bygga på antagandet att särskilda förhållanden provocerar fram särskilda politiska beslut. Men med en WPR-ansats bör inte fokus för analysen ligga i en föreställning om denna provokation utan snarare i hur en problemrepresentation föranleder antagandet om att en viss policy är nödvändig (ibid:266). WPR-ansatsen ger dessutom möjligheten till ett bredare underlag för analys än en traditionell governmentalitystudie då WPR-ansatsen kan appliceras på varje enskild policy istället för att analysera regeringens övergripande roll (ibid).
Med utgångspunkt i dessa teorier är WPR-ansatsen ett verktyg för analys av policy. Genom WPR-ansatsen kan forskaren belysa den inneboende problemrepresentationen i en given policy (Bacchi, 2009:xvi–xvii). Traditionellt ses alltså policyskapande som ett sätt att ta fram en lösning på ett problem. WPR-ansatsen förflyttar fokus från problemets lösning till att ifrågasätta förståelsen för problemet i sig.
3.1.2 WPR-ansatsens metodologiska utgångspunkt
Enligt Bacchi brukar policyskapande allmängiltigt ses som ett sätt att erbjuda en lösning på ett problem (2009:1). Detta sätt att se på policyskapande menar hon begränsar möjligheterna till analys av policyskapandeprocessen. Fokus för analysen hamnar då i jämförelsen mellan olika sätt att lösa problemet. Ett annat sätt att se på policy menar Bacchi, är att policyns utformning i sig formar sättet vi ser på ett specifikt problem. Policyskapande går då från att reagera på ett problem till att bidra till skapandet av problemet. För att kunna analysera vilka
12 problemrepresentationer en policy kan innehålla har Bacchi utvecklat ansatsen. En WPR-ansats för policyanalys består av sex frågor forskaren ställer till texten under genomläsningen. Genom dessa frågor arbetar sedan forskaren ”baklänges” för att se hur problemet representeras (Esaiasson et al. 2017:217).
1. What’s the ’problem’ (e.g. of ‘problem gamblers’, ‘drug use/abuse’, domestic violence, global warming, health inequalities, terrorism, etc.) represented to be in a specific policy?
2. What presuppositions of assumptions underlie this representation of the ‘problem’? 3. How has this representation of the ‘problem’ come about?
4. What is left unproblematic in this problem representation? Where are the silences? Can the ‘problem’ be thought about differently?
5. What effects are produced by this representation of the ‘problem’?
6. How/where has this representation of the ‘problem’ been produced, disseminated and defended? How could it be questioned, disrupted and replaced?
(Bacchi, 2009:2)
Frågorna används för att analysera materialet och ställs vid sidan av de övergripande forskningsfrågorna. Forskaren måste inte använda alla frågorna i sin undersökning utan frågorna kan kombineras och varieras för att passa studiens behov (Esaiasson et al. 2017:216– 218). Syftet med metoden är alltså att analysera problemrepresentationer och inte problemen i sig. Att problemet inte har en entydig och objektiv grund betyder inte att problemet inte kan föra med sig negativa konsekvenser. Metoden är anpassad för att synliggöra hur problem kan uppfattas och tolkas olika. Denna diskrepans kan få konsekvenser för vem som gynnas respektive missgynnas av en viss policy. Metoden blir då ett verktyg för att komma åt kopplingen mellan diskurser och de effekter diskursen medför (Bergström & Ekström, 2018:272)
3.2 Material
Jag analyserar i den här uppsatsen innehållet i Europaparlamentet och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen. Jag har valt att analysera detta dokument eftersom det, som titeln förklarar, reglerar säkerheten i nätverks- och informationssystem i hela EU. Detta val baseras på att jag vill analysera en policy med ett bredare verkansområde än en nationell policy då cyberhotet inte begränsas av några statsgränser. Dokumentet består av en punktlista med 75 skäl till policyns antagande, 27 artiklar om allmänna bestämmelser och avslutas med tre bilagor. Bilaga I listar de krav som ställs på CSIRT-enheter (Computer Security Incident Response Teams) samt deras uppgifter (Direktiv (EU) 2016/1148:26). Bilaga II definierar vilka
13 typer av aktörer som i direktivet refereras till som leverantörer av samhällsviktiga tjänster. Aktörerna är sektorsvis indelade i sektorerna; energi, transporter, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvårdssektorn, leverans och distribution av dricksvatten samt digital infrastruktur (ibid:27–29). Bilaga III listar de tjänster som i direktivet refereras till som digital tjänst. Med digital tjänst avses i direktivet internetbaserade marknadsplatser, internetbaserade sökmotorer samt molntjänster (ibid:30). Sammantaget består dokumentet av 30 sidor text.
Dessutom kommer jag i den här studien analysera innehållet i Regeringens skrivelse 2016/17:213 Nationell strategi för samhällets informations- och cybersäkerhet. Detta dokument har valts på grund av att det är det huvudsakliga styrande dokumentet om cybersäkerhet i Sverige. Dokumentet är uppdelat i tre kapitel. Det första kapitlet innehåller en problembeskrivning och en förklaring till behovet av en strategi. Det andra kapitlet innehåller sex strategiska prioriteringar med tillhörande målsättningar. De strategiska prioriteringarna är att:
- Säkerställa en systematisk och samlad ansats i arbetet med informations- och cybersäkerhet.
- Öka säkerheten i nätverk, produkter och system.
- Stärka förmågan att förebygga, upptäcka och hantera cyberattacker och andra IT-incidenter.
- Öka möjligheterna att förebygga och bekämpa IT-relaterad brottslighet. - Öka kunskapen och främja kompetensutvecklingen.
- Stärka det internationella samarbetet.
(Skr. 2016/17:213:4)
Det tredje kapitlet innehåller en kortfattad förklaring om uppföljning av strategin. År 2018 uppdaterades strategin med en bilaga innehållande en styrningsram. Styrningsramen är främst ett ramverk för ansvarsfördelning mellan de statliga myndigheterna. Sammantaget består dokumentet av 50 sidor text.
3.3 Tillvägagångssätt
Jag har alltid haft ett starkt intresse för säkerhetspolitiska frågor och har på grund av det tjänstgjort i Försvarsmakten i mer än ett decennium. När jag påbörjade arbetet med den här uppsatsen var därför en säkerhetspolitisk inriktning ett självklart val. Under de senaste åren har jag blivit alltmer uppmärksam på de säkerhetspolitiska utmaningar som cyberrymden utgör.
14 Både brottslighet och internationell säkerhetspolitik verkar i allt högre utsträckning ta plats i den digitala miljön. Av dessa anledningar ville jag inrikta min uppsats mot cybersäkerhet. Under förarbetet till uppsatsen hittade jag regeringens skrivelse 2016/17:213, vilken jag då ansåg lämplig som utgångspunkt för uppsatsen. Min första idé var att genom samtalsintervjuer undersöka hur samverkansarbetet om cybersäkerhet och implementering av den nationella strategin fungerade i praktiken i Sveriges kommuner. Det visade sig dock väldigt svårt att få tag i informanter att intervjua. Jag förkastade då den idén och avsåg att istället genom WPR-ansatsen undersöka hur cyberhotet representeras som problem i den nationella strategin. Innan jag hann påbörja det arbetet blev jag dock varse att den studien redan genomförts i en uppsats av Sjölander (2019). Jag valde därför att höja blicken och ville istället undersöka hur problemet representerades på EU-nivå. Materialvalet föll då på europaparlamentet och rådets direktiv 2016:1148, vilket var det dokument jag bedömde hade störst relevans för min undersökning. Efter att jag applicerat WPR-ansatsen på direktivet insåg jag från mina tidigare genomläsningar av den nationella strategin att de tycktes finnas vissa betydande skillnader mellan de båda dokumenten. För att kunna göra en jämförelse mellan dokumenten valde jag då att trots allt genomföra en analys av den nationella strategin med hjälp av WPR-ansatsen. Valet föll sedan på att använda policyöverföring som teoretisk ram för att kunna förklara hur den europeiska policyn överförts till den svenska och därmed kunna analysera vad som har förändrats på vägen.
Jag använder alltså i den här uppsatsen det diskursanalytiska verktyget WPR-ansatsen (beskriven i avsnitt 3.1) till hjälp för min analys. Jag har valt detta verktyg över andra diskursanalytiska verktyg som till exempel framing för att WPR-ansatsen är bättre lämpad till att komma åt dolda och underliggande problemrepresentationen som de diskursiva visionerna framhåller. Jag använder för min analys de två metodfrågorna:
1. Hur representeras problemet? 2. Vilka är tystnaderna?
Den första metodfrågan har valts för att kunna utreda och förstå vilket eller vilka problem direktivet och den nationella strategin försöker lösa. För att svara på den första frågan har jag dels analyserat den explicita problemformuleringen i materialet, dels analyserat de presenterade lösningarna till det presenterade problemet för att identifiera vilka nyckelord som används i texten. Jag har på ett strukturerat sätt under upprepade genomläsningar av dokumenten strukit över nyckelord och viktiga passager enligt ett färgkodat system. Nyckelorden har valts ut på grundval av; att de är frekvent återkommande (här innefattas även synonyma begrepp och kontextbundna associationsord), att de står i fokus för problembeskrivningen och är viktiga för
15 att förstå textens sammanhang, att de ger uttryck för olika aktörer och deras roller samt inbördes relationer. Vidare är nyckelorden centrala för att bära upp problemrepresentationen och deras betydelse är beroende av kontexten. För att tydliggöra dessa nyckelord är de kursiverade i analysen (undantaget nyckelord som ingår i ett citat). Nyckelorden används sedan för att identifiera på vilka premisser en viss åtgärd är grundad och på så vis hitta den i texten inneboende implicita problemformuleringen. Den explicita formuleringen tillsammans med den implicita formuleringen utgör sedan textens problemrepresentation.
Den andra metodfrågan har valts för att identifiera aspekter som faller utanför problembeskrivningen och alltså inte anses vara i behov av att förändras. Dessa aspekter blir viktiga för att kunna problematisera styrningens omfattning. För att svara på den andra frågan använder jag resultatet från analysen i första frågan för att sedan deduktivt härleda vad texten inte avhandlar. De övriga metodfrågorna har jag bedömt inte håller lika hög relevans för min studie och har därför valts bort för att begränsa analysens omfattning. Till sist vill jag poängtera att WPR-ansatsen likt andra kvalitativa metoder innehåller subjektiva inslag. Forskarens tidigare erfarenheter kan påverka både förståelse och tolkning av den studerade texten, vilket gör att resultat av samma material kan variera mellan olika forskare. Vilket sammanfattas ganska väl i meningen: ”Det är du som berättar en historia med hjälp av texten och dina analytiska verktyg, det är inte texten som berättar en historia för dig.” (Esaiasson et al. 2017:216).
4.0 Teori
I det här kapitlet redogör jag för det teoretiska ramverk jag använder i studien. Inledningsvis förklarar jag vad policyöverföring är för någonting. Därefter beskriver jag kort några av de inblandade aktörerna och slutligen beskrivs hur överföringsprocessen kan gå till.
4.1 Vad är Policyöverföring?
Policyöverföring [Policy transfer] är ett begrepp som beskriver hur en policylösning förflyttas från en plats till en annan. Mer utförligt så är policyöverföring en process där en stat erhåller kunskap om hur en policylösning utformats i ett politiskt system och överför sedan lösningen till ett annat politiskt system. Dessa policylösningar kan till exempel inkludera styrningsåtgärder, institutioner, administrationsstrukturer och idéer. Olika stater beter sig ofta på olika sätt. Vissa stater tenderar att vara mer innovativa och nyskapande medan vissa stater oftare tenderar att försöka efterlikna andra stater. Trots dessa skillnader är policyöverföring sällan enkelriktad (Cairney, 2012:250). Policyöverföring är ett paraplybegrepp för spridning av
16 policy, vilket inkluderar lesson-drawing, policy diffusion och policy convergence (ibid:249). Lesson-drawing är ett sätt att förklara hur en stat vid policyskapande drar lärdomar från det förflutna eller från andra stat. Fokus för processen ligger i att dra lärdomar ur vad som har fungerat hos andra för att sedan försöka förutsäga vad som skulle krävas för att tillämpa en lyckad policylösning på hemmaplan. Lärdomar kan också dras genom att analysera vad som inte fungerat för att sedan implementera en annan policylösning (ibid:244–245). Policy diffusion började som ett sätt att förklara policyspridning mellan de amerikanska delstaterna. Med hjälp av policy diffusion studeras policyinnovation och efterliknande. Med policyinnovation menas framtagandet av en policy som är ny för den stat som antar den. Den nya policyn efterliknas sedan av andra stater. Staternas förutsättningar kan dock skilja sig åt, vilket kan göra policyspridningen ojämn och oförutsägbar (ibid:247). Policy convergence beskriver hur olika staters policies med tiden börjar likna varandra. Fenomen som globalisering gör att liknande policyproblem kan uppstå hos flera stater. Problemens likheter kan göra att de olika staterna producerar liknande lösningar utan att för den skull ha dragit lärdomar från eller försökt efterlikna varandra. I dessa fall blir de beslut som fattas i policyskapandeprocessen intressanta att studera för att förstå varför en policy antas (ibid:248–249).
4.2 Inblandade aktörer och hur policyöverföring går till
Som nämnt i avsnitt 4.1 tenderar vissa stater ofta vara exportörer av policies medan andra stater antar rollen som importör. Sverige har till exempel under lång tid exporterat socialdemokratiska idéer till andra länder. På samma sätt har Tyskland exporterat idéer om hur inflation kan kontrolleras på ett effektivt sätt. De importerande staterna tenderar att anamma olika policies från olika stater vid olika tidpunkter. Det är vanligt förekommande för stater att importera policies från andra stater i närområdet som delar liknande förutsättningar och ideologi. Men modern kommunikationsteknik har dock gjort det enklare att söka efter policylösningar på andra platser än i närområdet (Cairney, 2012:251). Studiet av policyöverföring har sitt huvudsakliga fokus i de internationella politiska processer som utgör grunden för spridning av policies. I dessa processer kan flera olika typer av aktörer vara inblandade. Tre av de aktörer som blir intressanta för min studie är supranationella institutioner, internationella policynätverk och andra stater.
I Supranationella institutioner inkluderas stora internationella institutioner med stort inflytande som till exempel EU, OECD, Världsbanken och FN. Denna kategori inkluderar även moderorganisationens underordnade institutioner som till exempel europakommissionen (som tillhör EU) eller världshälsoorganisationen (som tillhör FN) (ibid:252–253). Internationella
17 policynätverk består av nätverk av experter med stor kunskap och kompetens inom ett särskilt policyområde. Dessa experter ingår oftast i mindre inhemska nätverk som i sin tur är sammanlänkade i ett större nätverk genom en internationell organisation. Idéer delas genom nätverken och medlemmarna propagerar sedan för dessa i idéer i sina hemländer (ibid). Stater är ofta iblandade i påverkan av policyöverföring till andra stater. Påverkan kan ske direkt (genom tvång eller påtryckningar) eller indirekt (genom normförändringar) (ibid).
Policyöverföring sker ofta genom en kombination av flera av dessa aktörer. Till exempel kan en eller flera stater utöva påtryckningar mot en annan stat genom en supranationell organisation (ibid). För att ta reda på varför en policy sprids måste vi först veta om policyn antagits frivilligt eller om den är påtvingad. Alltså om beslutet att anta en ny policy kommit från den egna staten eller från utomstående aktörer. Det ena måste inte nödvändigtvis utesluta det andra utan en policyprocess kan i många fall innehålla både frivilliga och tvingande inslag. Policyöverföring kan ses som ett spektrum, från frivillig till påtvingad, med lesson-drawing i ena änden och direkt påtvingad policyöverföring i den andra. Genom lesson-drawing är inte antagande av en viss policy oundviklig. Processen börjar med ett inhemskt missnöje om en viss policy där staten inte själv hittar en lämplig lösning på problemet. Beslutsfattare börjar då söka hur andra stater har hanterat liknande problem och kan sedan försöka efterlikna dessa staters lösningar, eller välja att låta bli. Den andra änden av policyöverföringsspektrumet är istället när andra stater, internationella organisationer eller supranationella organisationer tvingar en stat att anta en viss policy (ibid). Importlandet blir då utsatt för krav att anta en viss policy vilket också brukar innebära negativa konsekvenser om kravet inte uppfylls. Till exempel är det vanligt att utvecklingsländer som i utsatta lägen ansöker om lån hos Internationella valutafonden eller Världsbanken, blir bemötta med motkravet att anta vissa reformer för god förvaltning för att lånet ska beviljas (ibid:254).
Policyöverföring kan också kategoriseras som obligatorisk och indirekt påtvingad. Obligatorisk policyöverföring är sådan som sker inom en supranationell organisation som till exempel EU. Även då europadomstolen har möjlighet att nyttja tvingande medel för att följa upp att medlemsstater följer EU-gemensam policy, är inte detta att betrakta som påtvingad då medlemskapet i unionen är frivilligt. Indirekt påtvingad policyöverföring utgår från importlandet själv har en uppfattning om att det måste förändras. Det kan fortfarande finnas yttre påtryckande inslag och negativa konsekvenser om importlandet inte assimileras, men förändringsambitionen kommer främst från importlandet självt. Det kan handla om att den importerande staten upplever påtryckningar på grund av andra staters förändrade normer eller
18 ekonomiska reformer och känner sig då tvingade att förändras för att inte hamna på efterkälken. Indirekt påtvingad policyöverföring är vanligt bland små stater med landgräns till en stor inflytelserik stat (ibid:254–255).
Hur mycket som överförs vid policyöverföring kan variera. Det kan handla om omfattande reformer som helt omstrukturerar den offentliga förvaltningen och tar årtionden att färdigställa, men det kan också vara betydligt mindre omfattande och snarare handla om att importlandet väljer att inte efterlikna exportlandet genom lärdomar om vad som inte fungerat. För att kunna fastställa att det faktiskt rör sig om policyöverföring i det senare fallet, måste vi kunna bevisa att importlandet har dragit lärdomar från exportlandets dåliga erfarenheter (ibid:257). Den totala bredden av policyöverföring kan alltså variera från att helt duplicera från en annan stat, till att endast använda andra staters policies som en källa för inspiration i utformandet av egna policies (ibid:258).
Det teoretiska ramverket om policyöverföring innehåller även delar som kan förklara varför policyöverföring lyckas eller misslyckas. Då min studie inte tittar på hur policyöverföringen faktiskt implementeras i den offentliga förvaltningen, har jag valt att inte redogöra för den delen av teorin.
5.0 Analys
Detta kapitel innehåller resultatet av min analys. Inledningsvis presenterar jag min analys av direktiv (EU) 2016/1148. Denna analys är indelad i de tre kategorierna; presenterade problem, presenterade lösningar och tystnader, vilka sedan följs av en sammanfattning. Därefter
presenterar jag min analys av regeringens skrivelse 2016/17:213. Även denna analys är indelad enligt samma kategorier som den tidigare, vilka följs av en sammanfattning. Slutligen presenterar jag min analys av hur problemrepresentationen har förändrats i överföringen från europeisk till svensk nationell kontext.
5.1 Analys av Europaparlamentet och Rådets direktiv 2016/1148
5.1.1 Presenterade problem
Den första punkten av de angivna skälen i Europaparlamentet och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen lyder: ”Nätverks- och informationssystem och nätverks- och informationstjänster spelar en viktig roll i samhället. Deras tillförlitlighet och säkerhet är grundläggande för ekonomisk och samhällelig verksamhet och i synnerhet för den inre marknadens funktion.” (Direktiv (EU) 2016/1148:1). I direktivets inledning blir vi alltså varse
19 att den europeiska marknaden är hotad. Direktivet utvecklar sedan detta genom att förklara att säkerhetsincidenter blir allt vanligare och mer omfattande vilket utgör ett allvarligt hot mot nätverks- och informationssystemens funktion (ibid). Enligt direktivet kan dessa incidenter vara oavsiktliga eller utgöras av avsiktligt sabotage. Ytterligare två passager på direktivets förstasida understryker att det i första hand är marknaden och unionens ekonomi som är hotad (ibid). Detta hot understryks ytterligare i formuleringen av direktivets syfte ”I detta direktiv fastställs åtgärder för att uppnå en hög gemensam nivå på säkerhet i nätverks- och informationssystem inom unionen, i syfte att förbättra den inre marknadens funktion.” (ibid:11). Vidare anges i direktivet att problemet beror på en bristande kapacitet inom unionen för att säkerställa en hög nivå på säkerheten i nätverks- och informationssystem (ibid:2). Staternas tillvägagångssätt och beredskapsnivåer skiljer sig åt vilket resulterar i olika skyddsnivåer för konsumenter och företag inom unionen. Dessa skillnader anges undergräva den allmänna nivån på säkerheten i nätverks- och informationssystem (ibid).
Den presenterade problembeskrivningen i direktivet tycks alltså utgöras av att skillnader i beredskap och tillvägagångsätt mellan medlemsstaterna orsakar avvikelser i säkerheten i nätverks- och informationssystem inom unionen. Dessa avvikelser utgör en risk för incidenter. Direktivet beskriver att incidenterna kan uppstå oavsiktligt eller orsakas av avsiktligt sabotage. Denna formulering tyder på en tudelning av problemet. Begreppet oavsiktlig antyder att incidenter som orsakar felfunktion i nätverks- och informationssystemen kan orsakas av det som vanligtvis brukar kallas ”den mänskliga faktorn”, det vill säga att en brukare av systemen på grund av till exempel slarv, oaktsamhet eller bristande kompetens handlar på ett sätt som gör att incidenten uppstår. Begreppet oavsiktligt kan även innebära att problemet uppstår på grund av brister högre upp i organisationshierarkin när dåligt genomtänkt styrning misslyckas att reglera brukandet av systemen på ett tillräckligt adekvat sätt för att förhindra att incidenterna uppstår. Begreppet avsiktligt sabotage antyder förekomsten av antagonistiska hot. Dessa hot lämnas synnerligen odefinierade i direktivets problembeskrivning. Vem eller vad som utgör en motståndare med avsikt att sabotera systemen lämnas därför öppet för tolkning för direktivets mottagare. Tolkningen och analysen av vem som utgör denna motståndare kan därför variera mellan medlemsländerna, vilket i sig antagligen reflekterar verkligheten på ett rättvist sätt. Samtliga av EU:s medlemsstater har troligen inte i alla lägen samma antagonistiska hotbild. Det är dessutom anmärkningsvärt att problembeskrivningen av avsiktliga hot begränsas till sabotage vilket då utesluter andra typer av antagonistiska intrång i systemen som till exempel
20 spioneri, bedrägeri och identitetskapningar. Ytterst orsakar dessa problem brister i skyddet av konsumenter och företag vilket hotar att sätta EU:s inre marknad ur spel.
5.1.2 Presenterade lösningar
För att hantera det beskrivna problemet presenterar direktivet fem övergripande lösningar:
a) Det fastställer skyldigheter för alla medlemsstater att anta en nationell strategi för säkerhet i nätverks och informationssystem.
b) Det inrättar en samarbetsgrupp i syfte att stödja och underlätta strategiskt samarbete och utbyte av information mellan medlemsstaterna och att utveckla förtroende och tillit mellan dem.
c) Det inrättar ett nätverk för enheter för hantering av it-säkerhetsincidenter (nedan kallat
CSIRT-nätverk) i syfte att bidra till utvecklingen av förtroende och tillit mellan medlemsstaterna och främja ett snabbt och effektivt operativt samarbete.
d) Det fastställer säkerhets- och rapporteringskrav för leverantörer av samhällsviktiga tjänster och för leverantörer av digitala tjänster.
e) Det fastställer skyldigheter för medlemsstaterna att utse nationella behöriga myndigheter, gemensamma kontaktpunkter och CSIRT-enheter med uppgifter som har anknytning till säkerheten i nätverks- och informationssystem.
(Direktiv (EU) 2016/1148:11–12)
Åtgärden i punkt a innefattar att alla medlemsstater ska anta en nationell strategi för säkerhet i nätverks- och informationssystem (Direktiv (EU) 2016/1148:15–16). Strategin ska fastställa strategiska målsättningar samt lämpliga politiska åtgärder och lagstiftningsåtgärder som syftar till att uppnå och kunna bibehålla en hög nivå på säkerheten i nätverks- och informationssystem. Strategin ska åtminstone täcka de sektorer och de tjänster som avses i direktivets bilaga II och III (Se avsnitt 3.2), det vill säga det som i direktivet definieras som samhällsviktiga tjänster och digitala tjänster. Vidare anges att den nationella strategin ska omfatta målsättningar och prioriteringar samt en styrningsram för hur dessa ska uppnås. Medlemsstaterna uppmanas att identifiera beredskaps-, svars- och återhämtningsåtgärder vilket ska inkludera ett samarbete mellan offentlig och privat sektor (ibid).
Problemrepresentationen inneboende i lösningen som presenteras i punkt a antyder att det finns brister i omfattning och lämplighet i medlemsstaternas nationella styrning gällande samhällsviktiga och digitala tjänster. Dessutom antyder lösningen att problemet ska ha uppstått på grund utav ett bristande samarbete mellan offentlig och privat sektor.
Åtgärden i punkt b innebär upprättandet av en samarbetsgrupp. Samarbetsgruppen ska bestå av företrädare från respektive medlemsstat, kommissionen och Enisa (Europeiska unionens byrå för nät- och informationssäkerhet). Samarbetsgruppen tillskrivs en 13 punkter lång lista med
21 uppgifter som i huvudsak innebär att skapa en plattform för diskussion av säkerhetsarbetet samt utbyte av information och praxis mellan medlemsstaterna. Till samarbetsgruppens syfte tillskrivs även att skapa förtroende och tillit mellan medlemsstaterna (ibid:17–18).
Även lösningen som presenteras i punkt b antyder alltså att problemet uppstått på grund av bristande samarbete. I denna lösning utgörs problemrepresentationen av brister i samarbete inbördes mellan medlemsstaterna samt mellan medlemsstaterna och EU. Dessutom tillskrivs brister i tillit och förtroende mellan staterna som orsak till problemet.
Åtgärderna i punkt c, d och e är tätt sammanlänkade. För att kunna presentera dem på ett mer logiskt sätt och lättare skapa förståelse för hur de bygger på varandra kommer jag att redogöra för dem i ordningen e, d, c.
Åtgärden i punkt e uppmanar medlemsstaterna att utse en eller flera nationella behöriga (ska förstås som ansvariga) myndigheter för säkerheten i nätverks- och informationssystem (ibid:16). De ansvariga myndigheterna ska övervaka tillämpningen av direktivet inom medlemsstaterna. Dessutom ska medlemsstaterna utse en för de ansvariga myndigheterna gemensam kontaktpunkt. Den gemensamma kontaktpunktens uppgift är att säkerställa ett gränsöverskridande samarbete mellan de nationella myndigheterna, myndigheter i andra medlemsstater samt den ovan nämnda samarbetsgruppen. De ansvariga myndigheterna och kontaktpunkten uppmanas dessutom att samråda och samarbeta med nationella rättsvårdande myndigheter och dataskyddsmyndigheter. Vidare innebär åtgärden i punkt e att medlemsstaterna ska utse en eller flera CSIRT-enheter (Computer Security Incident Response Teams) (ibid:17). CSIRT-enheternas uppgifter ska fastställas på nationell nivå men ska minst innefatta nationell övervakning av och åtgärder vid incidenter, risk- och incidentanalys, larma och varna relevanta aktörer vid en identifierad risk samt ingå i CSIRT-nätverket (ibid:26). I de fall medlemsstatens ansvariga myndighet, kontaktpunkt och CSIRT-enhet inte utgörs av samma enhet, uppmanas dessa enheter att samarbeta (ibid:17).
Problemrepresentationen i punkt e pekar på att det har rått oklarheter i ansvarsförhållanden inom medlemsstaternas offentliga förvaltningar gällande vem som bär ansvaret för att säkerheten i nätverks- och informationssystem upprätthålls. Dessutom pekas återigen samarbete ut som en orsak till problemet. Den här gången berör det samarbete och samverkan mellan olika delar av den offentliga förvaltningen.
Åtgärden i punkt d infattar dels ett ramverk som ska hjälpa medlemsstaterna att identifiera leverantörer av samhällsviktiga tjänster som är etablerade på deras territorium, dels
22 bestämmelser om säkerhetskrav och incidentrapportering för leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster. En leverantör av samhällsviktig tjänst är en enhet som tillhandahåller en tjänst tillhörande någon av de sektorer som beskrivs i direktivets bilaga II (se avsnitt 3.2), tjänsten betraktas som viktig för att upprätthålla kritisk samhällelig och/eller ekonomisk verksamhet och där en incident i leverantörens nätverks- och informationssystem skulle innebära en betydande störning vid tillhandahållandet av tjänsten (ibid:14). En leverantör av en digital tjänst är en aktör som tillhandahåller någon av de tjänster som beskrivs i direktivets bilaga III (se avsnitt 3.2). Medlemsstaterna ska säkerställa att leverantörer av både samhällsviktiga och digitala tjänster vidtar både tekniska och organisatoriska åtgärder för att kunna hantera risker i verksamhetens nätverks- och informationssystem (ibid:20–22). Medlemsstaterna ska säkerställa att leverantörerna vidtar åtgärder som kan förebygga och minimera verkningarna av en eventuell incident. Medlemsstaterna ska dessutom säkerställa att leverantörerna, i händelse av en incident med betydande inverkan på tillhandahållandet av tjänsten, utan onödigt dröjsmål rapporterar om incidenten till den ansvariga myndigheten eller CSIRT-enheten. I de fall då det finns ett beroendeförhållande mellan en leverantör av en samhällsviktig tjänst och en leverantör av en digital tjänst uppmanas även dessa att sinsemellan rapportera i händelse av en incident (ibid).
Lösningen som presenteras i punkt d antyder att det inom medlemsstaterna saknats en tydlig inventering och kategorisering av vilka tjänster och aktörer som är essentiella för samhällets funktion. Det antyds även i denna punkt att problemet representeras av brister i samverkan mellan aktörer.
Åtgärden i punkt c innefattar inrättandet av ett mellanstatligt nätverk för de ovan beskrivna CSIRT-enheterna. Nätverket ska bestå av företrädare för medlemsstaternas CSIRT-enheter samt CERT-EU (The Computer Emergency Response Team for the EU Institutions) och syftar till att bidra till att utveckla förtroende och tillit mellan medlemsstaterna (ibid:19). Nätverket är likt samarbetsgruppen beskriven ovan en plattform för diskussion och utbyte av information gällande risker och incidenter. Informationsutbytet inom nätverket omfattas dock av stor frivillighet dels då CSIRT-enheten från en medlemsstat har rätt att neka att bidra till diskussionen om det finns en risk att försvåra utredningen av en incident, dels då icke-konfidentiella uppgifter om incidenter uttryckligen endast behöver utbytas på frivillig grund. Dessutom ska nätverket stödja medlemsstaterna vid hanteringen av gränsöverskridande incidenter förutsatt att stödet baseras ur en frivillighet från de berörda parterna (ibid).
23 Problemrepresentationen i punkt c antyder återigen att bristande samverkan, tillit och förtroende mellan medlemsstaterna givit upphov till problemet.
5.1.3 Tystnader
Problembeskrivningen som återfinns i direktivet samt den problemrepresentation som återfinns i direktivets lösningsram erbjuder en ganska tydlig avgränsning av vilka aktörer styrningen omfattar. Direktivet omfattar EU institutioner, medlemsstaterna och dess offentliga förvaltning, leverantörer av samhällsviktiga tjänster samt leverantörer av digitala tjänster. En leverantör av samhällsviktiga tjänster definieras i direktivet som: ”en offentlig eller privat enhet av en typ som avses i bilaga II vilken uppfyller kriterierna i artikel 5.2,” (Direktiv (EU) 2016/1148:13). Artikel 5.2 förklarar att enheten ska tillhandahålla en tjänst som är viktig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet, att verksamheten är beroende av nätverks- och informationssystem samt att en incident i dessa system skulle kunna orsaka en betydande störning i tillhandahållandet av tjänsten (ibid:14). Bland de skäl som anges för direktivets antagande förklaras att ”Detta direktiv är tillämpligt endast på offentliga förvaltningar vilka identifieras som leverantörer av samhällsviktiga tjänster. Det är därför medlemsstaternas ansvar att säkerställa säkerheten i nätverks- och informationssystem som används av offentliga förvaltningar som inte omfattas av detta direktiv.” (ibid:7). Även då stycket hävdar att direktivet bara omfattar de delar av den offentliga förvaltningen som också är leverantörer av samhällsviktiga tjänster, innefattar ändå styckets andra mening en uppmaning till medlemsstaterna att säkerställa att övriga förvaltningsdelar inte lämnas oskyddade. Någon liknande uppmaning gällande den privata sektorn återfinns inte i direktivet.
Denna avsaknad blir anmärkningsvärd när vi betänker direktivets syfte ”…att uppnå en hög gemensam nivå på säkerhet i nätverks- och informationssystem inom unionen, i syfte att förbättra den inre marknadens funktion.” (ibid:11). Om avsikten med direktivet är att säkerställa funktionen på den inre marknaden ter det sig märkligt att inte alla marknadens aktörer omfattas. Konkreta styrningsåtgärder som avser att stärka skyddet av nätverks- och informationssystem hos konsumenter och företag, vilka inte är leverantörer av samhällsviktiga eller digitala tjänster, lyser i direktivet med sin frånvaro. Allmänheten och företag omnämns visserligen vid några passager i direktivet men det avser då om och när dessa bör informeras vid redan inträffade incidenter (ibid:7,9,10,20,22). En cyberattack som till exempel sker genom spridandet av ett datorvirus tar inte hänsyn till nationsgränser. Datorvirus kan drabba alla uppkopplade nätverks- och informationssystem som saknar adekvat skydd, oavsett vem det tillhör; hög som låg, fattig som rik, offentlig som privat. Omfattande och sofistikerade virusattacker kan därför spridas
24 från ett privat system till ett offentligt och vice versa. Dessutom kan stulna affärshemligheter från, eller sabotage av, europeiska företag potentiellt snedvrida eller störa den inre marknaden. Att skyddet av privata nätverks- och informationssystem inte på något sätt regleras eller ens diskuteras i direktivet förefaller därför att vara en uppenbar tystnad.
Ytterligare en av direktivets tydliga tystnader, är avsaknad att behandla problematiken kring informationspåverkan och spridning av desinformation. Direktivets kategorisering av de samhällsviktiga tjänsterna inkluderar inte mediernas roll i samhället, vare sig traditionella nyhetsmedier eller sociala medier. Det kan tyckas vara en rättvis bedömning att utesluta dessa då samhällets grundläggande funktioner inte står och faller i direkt relation till mediernas funktion. Men medierna har en annan roll i samhället, nämligen att vara opinionsbildande. Spridning av desinformation genom nyhetsmedier eller sociala medier kan förskjuta samhällets grundläggande värderingar och demokratiska värden vilket kan påverka allmänna val. Denna typ av påverkan kan störa relationer såväl inom som mellan medlemsstaterna vilket kan få negativa konsekvenser för funktionen på den inre marknaden.
5.1.4 Sammanfattning
Analysen av Direktiv (EU) 2016/1148 visar olika aspekter av brister som bygger upp problemrepresentationen. Bristande tillit och förtroende mellan EU:s medlemsstater tillsammans med brister i samarbete och samverkan såväl inom som mellan medlemsstaterna tycks ha skapat en sårbarhet för EU:s inre marknad. Denna sårbarhet har ytterligare förvärrats av bristande nationell styrning, i form av nationella strategier gällande hanteringen av säkerheten i nätverks- och informationssystem samt lagstiftningsåtgärder, och bristande översyn av samhällsviktiga aktörer. Bristerna har lämnat marknaden sårbar genom att möjliggöra att incidenter i unionens nätverks- och informationssystem kan skapa betydande störningar i tillhandahållandet av samhällsviktiga tjänster. Analysen visar även att direktivet framhåller leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster som de avgörande aktörerna för att säkerställa funktionen på den inre marknaden medan privata aktörer, som inte är att betraktas som samhällsviktiga, utesluts.
5.2 Analys av Regeringens skrivelse 2016/17:213
5.2.1 Presenterade problem
De inledande passagerna i den nationella strategin för samhällets informations- och cybersäkerhet förklarar att digitaliseringen medför stora möjligheter men också risker. Ny teknik och innovationer gör att hot mot samhällets informationsinfrastrukturer blir mer
25 svårbedömda, svåra att upptäcka och beroenden svårare att överblicka (Skr. 2016/17:213:5). Dessa påståenden förtydligas senare i texten med meningen ”Beroenden och kopplingar mellan olika tekniska system är en sårbarhetsfaktor i sig genom att störningar kan få konsekvenser som är svåra att förutse och hantera.” (ibid:8). Texten utvecklar detta och förklarar att ”Internet är så väsentligt att ett angrepp mot eller andra incidenter inom denna infrastruktur kan leda till allvarliga konsekvenser för Sveriges säkerhet och nationella intressen.” (ibid). Nyttjandet av tekniken i sig tycks alltså utgöra del av problemet.
Utöver Sveriges säkerhet förtydligas i texten mer noggrant vad som hotas. I texten förklaras att viss information i samhället är känslig och att denna information måste skyddas från att förloras, stjälas, manipuleras eller spridas till obehöriga. Som exempel på typer av känslig information anges information som berör brottsbekämpning, tekniska produkter, affärsförhållanden, totalförsvaret och förhållanden som gäller andra stater (ibid). Det anges att individer enkelt måste beredas tillgång till riktig information för att kunna utöva sina fri- och rättigheter. Ytterst anges det som hotas vara samhällets demokratiska värden, mänskliga fri- och rättigheter, Sveriges frihet, säkerhet, rätt till självbestämmande samt tillväxt och ekonomisk stabilitet (ibid). Strategin anges omfatta hela samhället det vill säga såväl myndigheter, kommuner och regioner som företag, organisationer och privatpersoner (ibid:6).
Det ges en ganska bred bild av vad som kan utgöra detta hot. Det allvarligaste hotet anges komma från andra stater, statsunderstödda aktörer eller andra aktörer med liknande förmåga. Dessa anges utgöra en risk för spionage och angrepp, som exempelvis sabotage, mot svenska företag, svensk forskning, svensk försvarsförmåga och planering, Sveriges säkerhetspolitiska intressen, samhällsviktig verksamhet och kritisk infrastruktur samt svenska intressen i utlandet. Incidenter av dessa typer bedöms i strategin kunna få så stora konsekvenser för det svenska samhället att de i vissa fall kan likställas med och betraktas som ett väpnat angrepp (ibid:9). Dessa typer av angrepp anges kunna riktas mot de demokratiska värdena och samhällets funktioner genom spridande av desinformation och påverkanskampanjer. Strategin anger att cyberattacker med syfte att påverka medier förväntas öka, utöver desinformation tillskrivs även här överbelastningsattacker (ibid:10). Cyberområdet har utvecklats till att inneha grundläggande relevans för fred, säkerhet och global utveckling. Hur stater agerar i cybermiljö kan därför få omfattande utrikes- och säkerhetspolitiska konsekvenser (ibid:31). Det antagonistiska hotet anges i strategin även kunna komma från enskilda individer, grupper av individer samt ickestatliga organiserade grupper. Dessa kategorier tillskrivs i huvudsak brott som bedrägerier och identitetsstölder. Strategin hänvisar till en undersökning av
26 Brottsförebyggande rådet (BRÅ) som säger att brottslighet med IT-inslag som tillexempel datorbedrägerier, dataintrång och internetrelaterade barnpornografibrott har ökat med 949% mellan år 2006 och år 2015 (ibid:9).
Utöver det antagonistiska hotet anger strategin den mänskliga faktorn som del av problembeskrivningen, dels som direkt orsak till att incidenter uppstår dels som något som kan utnyttjas vid ett angrepp (ibid:10). Denna inramning av den mänskliga faktorn antyder precis som i EU-direktivet att felfunktioner kan uppstå på grund av faktorer som slarv, oaktsamhet eller bristande kompetens. Strategin lyfter dessutom att det finns skillnader i hanteringen av informationssäkerhetsarbetet mellan samhällets aktörer då dessa utgår från olika behov, stödjer sig på olika regelverk och har delvis olika uppfattningar om hot och risker. Dessa skillnader förklaras kunna ge följdverkningar från en aktör till andra aktörer i samhället: ”Aktörer som har en sämre informationssäkerhet kan äventyra säkerheten för övriga” (ibid:12). Vidare understryks att ekonomiska och organisatoriska skillnader hos operatörer för elektronisk kommunikation ger olika förutsättningar att förebygga och hantera incidenter (ibid:16). Till sist lyfter strategin fokus från människor och inkluderar force majeure i problembeskrivningen. Händelser som bränder, förstörda kablar, översvämningar och solstormar uppmärksammas som problem som kan sätta den digitala infrastrukturen ur spel (ibid:9).
5.2.2 Presenterade lösningar
I detta avsnitt analyserar jag de åtgärder som presenteras i den nationella strategins strategiska prioriteringar. För att ge en tydlig och överblickbar bild av strategin, återger jag benämningen på den strategiska prioriteringen i kursiv text och redovisar därefter de ingående åtgärderna.
Säkerställa en systematisk och samlad ansats i arbetet med informations- och cybersäkerhet. Den första åtgärden i denna prioritering infattar inrättandet av en nationell modell för systematiskt informationssäkerhetsarbete. Modellen syftar till att samla regelverk, metoder verktyg och utbildningar i en gemensam plattform som ska vara lättillgänglig för brukarna (Skr. 2016/17:213:11–12). Modellen bedöms bidra till att förtydliga vem som bär ansvar för informationssäkerhetsarbetet samt att olika aktörer ska kunna gör mer enhetliga bedömningar av hot, risker och åtgärder vilket ska ge en mer likartad skyddsnivå. Modellen ska vara uppbyggd på erkända standarder samt vara flexibel och skalbar, vilket ska göra modellen anpassningsbar efter olika verksamheters förutsättningar och behov (ibid). Modellen är i första hand avsedd för bruk inom myndigheterna men ska utformas på ett sådant sätt att den ska kunna nyttjas även i resten av den offentliga sektorn samt andra organisationer och företag (ibid:13).
