• No results found

Avskräckning ur ett cyberperspektiv

N/A
N/A
Info
Download
Protected

Academic year: 2021

Share "Avskräckning ur ett cyberperspektiv"

Copied!
43
0
0

Loading.... (view fulltext now)

Download now ( 43 Page )

Full text

(1)

Sida 1 av 43

Självständigt arbete (15 hp)

Författare Program/Kurs

Jenika Hedman OP SA 18-21

Handledare Antal ord:11547

Prof. Jerker Widén Beteckning Kurskod

SA 1OP415

Avskräckning ur ett cyberperspektiv

ABSTRACT:

The theory of deterrence has not changed much over time but the strategy of using it has. There are two types of deterrence: Deterrence by punishment and Deterrence by denial. The first is a more offensive kind of deterrence and the second a more defensive one. The Cold War set the perimeter for deterrence strategy and how it was used and has been the overall used strategy since. The same strategy however cannot be implemented in the cyber domain and therefore requires a suitable cyber deterrence strategy. This study aims to determine whether the Swedish cyber strategy is built on the components that are required for successful cyber deterrence.

The study will conduct a theory consuming method to establish the components required for suc-cessful and effective cyber deterrence, and then undertake a text analysis on Swedish strategy for cybersecurity using those components. The results show that Sweden is focused mainly on the de-fensive side of deterrence with better systems and protocols. According to the components in the theory both offensive and defensive methods are required for deterrence to work. This may therefore explain why the Swedish cyber deterrence strategy is not as effective as it could be.

Nyckelord:

(2)

Sida 2 av 43

Innehållsförteckning

1. INLEDNING ... 3 1.1PROBLEMFORMULERING ... 4 1.2FORSKNINGSÖVERSIKT ... 6 1.2.1 Summering forskningsöversikt ... 9

1.3SYFTE OCH FRÅGESTÄLLNING ... 10

1.4AVGRÄNSNING ... 10

1.5DISPOSITION ... 11

2. TEORI ... 12

2.1MOTIVERING TILL VALD CYBERAVSKRÄCKNINGSTEORI ... 12

2.2CYBERAVSKRÄCKNING ... 12

2.2.1 Avskräckning genom bestraffning ... 13

2.2.2 Avskräckning genom nekande ... 16

2.3KRITIK MOT TEORI ... 17

3. METOD ... 18

3.1FORSKNINGSDESIGN –TEORIKONSUMERANDE FALLSTUDIE ... 18

3.2METODDISKUSSION ... 18 3.3VAL AV FALL ... 20 3.4MATERIALDISKUSSION ... 20 3.5KÄLLKRITIK ... 21 3.6OPERATIONALISERING ... 22 3.6.1 Indikatorer ... 23 3.6.2 Analysverktyg ... 25 4. ANALYS ... 26 4.1KOMMUNIKATION: ... 26 4.2SIGNALERING: ... 27 4.3IDENTIFIERING ... 28 4.4PROPORTIONALITET ... 29 4.5OFFENSIVA ATTACKER. ... 30 4.6ÖVERLÄGSENHET: ... 31 4.7DEFENSIVA MEDEL: ... 32 4.8SAMMANFATTNING RESULTAT ... 34 5. AVSLUTNING ... 35

5.1SAMMANFATTNING OCH FRÅGESTÄLLNING ... 35

5.2RESULTATDISKUSSION ... 35

5.3TEORI- OCH METODDISKUSSION ... 37

5.4VIDARE FORSKNING ... 37

5.5RELEVANS FÖR YRKESUTÖVNING ... 38

LITTERATUR OCH REFERENSFÖRTECKNING ... 39

BÖCKER/DOKTRINER ... 39

ARTIKLAR ... 40

(3)

Sida 3 av 43

1. Inledning

Den vedertagna förståelsen för avskräckning innebär att förändra eller hindra ageranden hos motståndaren. Detta görs genom att utsätta en motståndare för rädsla för konsekvenserna ett agerande hade inneburit och därmed hindra agerandet från att hända i första början.1

En av de tidigaste teorierna om avskräckning publicerades 1966 av Thomas C. Schelling. Han menade att avskräckning handlar om intentioner, inte enbart genom att estimera en motstån-dares intentioner utan att även influera dem. Det som är utmanande är att kunna visa och tyd-ligt signalera sina egna intentioner i syfte att avskräcka.2 Boken Contemporary Military

The-ory (CMT) förklarar att avskräckning är en mer dold maktutövning vars syfte är att förmå nå-gon att avstå från något denne annars önskat göra.3

Avskräckning fick sitt stora genombrott och uppmärksamhet under kalla kriget där rädslan för kärnvapenkrig var överhängande. Strategin för avskräckning, som idag ses som den tradition-ella, är därför influerad av den skapad under kalla kriget. Avskräckning erkändes då som ett strategiskt alternativ som skiljde sig från den traditionella synen på försvar för att skydda ett oförändrat läge mellan stater. 4 Avskräckningen var tvunget att vara absolut, det vill säga att ingen attack skedde, samt fungera hela tiden, varje dag för att hindra konflikten från att för-vandlas till ett totalt krig.5

Idag existerar inte hotet om kärnvapen på samma sätt, utan det stora hotet har svängt över till en mer virtuell arena inom cyberdomänen. Cyber ses som ett adjektiv som hänvisar till ett ob-jekts digitala natur. Cyberdomänen blir därmed ett område där digital- eller cyberteknologi fungerar.6 Tider förändras och krig i sin traditionella utformning syns mer och mer sällan.7 Stater har börjat attackera sina fienders trovärdighet genom cyberoperationer samtidigt som

1 Schelling, Thomas C., Arms and influence, New Haven, London, Yale University. Press, 1966, s.71. 2 Ibid., s.35.

3Ångström, Jan & Widén, Jerker, Contemporary military theory: the dynamics of war, Routledge, Milton Park, Abingdon,

Oxon, 2015, s.11.

4Erik Gartzke & Jon R. Lindsay, Weaving Tangled Webs: Offense, Defense, and Deception in Cyberspace, Security Studies,

2015, 24:2, 316-348, s.317.

5 Morgan, Patrick M., Deterrence now, Cambridge University Press, Cambridge, 2003, s.9.

6 Lindsay, Jon R. & Gartzke, Erik (red.), Cross-domain deterrence: strategy in an era of complexity, 1st edition., Oxford

Uni-versity Press, New York, NY, 2019, s.97.

7 Crandall, Russell, America's dirty wars: irregular warfare from 1776 to the War on Terror, Cambridge University Press,

(4)

Sida 4 av 43 propaganda sprids i kommentarsfält, sociala medier och nyhetssändningar.8 I Sverige är läget

inte annorlunda. Försvarets radioanstalt (FRA) skriver i sin årsrapport att flera incidenter har uppmärksammat senaste året där data från företag och sjukvårdsinstitutioner stulits och spri-dits, eller använts i utpressningssyfte.9 Myndigheten för samhällsskydd och beredskap (MSB) rapporterade att ett säkerhetsföretag utsattes för cyberangrepp som resulterade i att känslig in-formation om andra organisationers fysiska säkerhet publicerades på internet.10

För att hantera detta mest effektivt utan direkt användande av kinetiskt våld är att utföra av-skräckning inom cyberdomänen, vilket är fokuset för denna undersökning.

1.1 Problemformulering

De typer av metod som främst förknippas med avskräckning är avskräckning genom bestraff-ning/vedergällning och avskräckning genom nekande. Avskräckning genom bestraffning inne-bär hot om kostsamma åtgärder vid eventuell attack, ”om du slår mig slår jag tillbaka”. Syftet med Avskräckning genom nekande(denial) är att visa för motståndaren att det inte är tillräckligt gynnsamt eller alldeles för svårt att attackera från första början. Det vill säga att bestraffningen ökar kostnaderna med anfallet medan nekande minskar belöningen av det.11

Cyberkrigföring är huvudsakligen påverkansoperationer och åtgärder vars mål är att ändra in-formationsbalansen samt hantera eskaleringen av långvariga interaktioner i konflikter.12 Detta sätt att påverka en motståndare och utföra operationer går emot den traditionella förståelsen för krigföring, vilket innebär ytterligare ett hinder i hur sådana hot skall hanteras och skyddas mot.

Likheterna mellan cyber och nukleär krigföring är flera. Båda går att hitta på samtliga krigfö-ringsnivåer; strategiska, operativa och taktiska samt kan påverka allt från små till stora popu-lationer. Båda har kapaciteten att skapa storskalade destruktiva effekter. De kan genomföras mellan stater, men också mellan statliga och icke statliga aktörer. De kan även genomföras i

8 Valeriano, Brandon, Jensen, Benjamin M. & Maness, Ryan C., Cyber strategy: the evolving character of power and

coercion, Oxford University Press, New York, NY, 2018, s.2.

9 Försvarets radioanstalt (FRA), Årsrapport 2020 Blicken på en omvärld i förändring, Stockholm, 2020, s.9.

10 MSB, Statliga myndigheters it-incidentrapportering 2020: Utmaningar för en säker och robust informationshantering,

2020, s.12.

11 Wilner, Alex, Cyber deterrence and critical-infrastructure protection: Expectation, application, and limitation,

Compara-tive Strategy, 2017, 36:4, 309-318, s.310.

(5)

Sida 5 av 43 hybrid krigföring, som innebär ett samarbete mellan statliga och icke statliga aktörer mot ett gemensamt hot. Båda skulle kunna skapa ett avgörande slag som motverkar behovet till ett fullskaligt konventionellt krig. De kan även avsiktligt eller oavsiktligt skapa kaskadeffekter som påverkar en tredje part som inte var målet för initiala attacken.13

Trots alla dessa gemensamma delar finns det för många olikheter för att kunna applicera även en del av den nukleära avskräckningsstrategin. Olikheternas omfång inkluderar allt från mängden aktörer, skillnaderna i vapenstyrka och dubbla användningen av verktygen själva.14 Några av de viktigaste olikheterna är:

- Stater, eller någon annan aktör, erkänner inte normalt inblandningen i fientliga at-tacker i cyberdomänen, vilket skapar ett problem med att identifiera atat-tackeraren för eventuella framtida åtgärder.

- Det har inte skett någon stor attack med långvariga efterföljder som visat cyberdomä-nens fulla potential.

- Till skillnad från det strikt kontrollerade utvecklingen av nukleära vapen finns det inget motsvarande för vapen inom cyberdomänen, vilket gör att utvecklingen inte kan övervakas och transparens mellan stater är obefintligt. 15

Lägger man till inblandningen av proxy-/ombudsgrupper och medverkan av tredje part, den gränslösa och expanderande operationella miljön och osäkerheten i om aktörer kan av-skräckas i huvud taget, blir det tydligt att samma grundläggande parametrar som har gjort kärnvapenavskräckningen effektiv, inte har samma tillämplighet i cyberdomänen. Därmed skapasett behov av avskräckningsstrategi som är anpassad för cyberdomänen.

Faktum är att cyberangrepp sker kontinuerligt. 16 Det visar på behovet av ett fungerande cy-berförsvar. Vad som visas i forskningsöversikten, pekar på att avskräckningsstrategin inom cyberdomänen skiljer sig från den traditionella förståelsen för avskräckningsstrategi samt bristen av forskning på Sveriges cyberstrategi. Därför finns ett behov av att undersöka om och hur mycket Sveriges cyberförsvar är anpassat för avskräckning enligt cyberavskräckningste-ori.

13 Iasiello, Emilio, Is Cyber Deterrence an Illusory Course of Action?, Journal of Strategic Security 7, no. 1 (2013): 54-67.

S.60.

14 Ibid., s.61. 15 Ibid., s.61.

16 FRA FRA, Årsrapport 2020 Blicken på en omvärld i förändring, s.9

(6)

Sida 6 av 43

1.2 Forskningsöversikt

Patrick Morgan förklarar att ett problem med avskräckning är att teorierna inte hinner utveck-las i den takt som taktiker och strategier behöver utveckutveck-las. 17 Vilket förklarar de olika skill-nader i cyberstrategierna presenterade nedan.

Uri Tor skriver att kriteriet för att bedöma effektiviteten av kärnvapenavskräckning var av ka-raktären allt eller inget, det vill säga absolut avskräckning.18 Det innebar att ingen vågade at-tackera den avskräckande staten, hände det fallerade avskräckningen med katastrofala följder. Tor hävdar att absolut avskräckning inte fungerar i cyberdomänen, för attacker går ej helt för-hindra. I stället menar han att avskräckning existerar i medvetandet hos motståndaren och på-verkas av dennes kostnads-nytta-beräkning.19Det vill säga motståndarens övervägande i huruvida ett anfall är värt kostnaden och ”belöningen” den ger.

Därför anser Tor att cyberavskräckningsstrategi inte går att bygga ut från den avskräcknings-strategin som uppkom under kalla kriget utan borde ersättas med enligt honom en mer pas-sade avskräckning byggd på begränsande kumulativt avskräckande paradigm. Efter konstate-randet av brist på forskning inom cyberavskräckning genomförs en jämförande studie mellan USA och Israel innan Tor presenterar ett eget ramverk för effektiv avskräckning i cyberdomä-nen. Ramverket består av 4 komponenter som tillsammans skapar en stege av avskräckning, i stället total närvaro eller frånvaro som den traditionella avskräckningen. Ramverket kommer vara en del av teorin för denna undersökning.

Erik Gartzke & Jon R. Lindsay håller med om behovet av en förnyad strategi för cyberdomä-nen. De skriver att de gamla strategierna inte är tillräckliga för att möta förutsättningarna i cy-berkrigföring.20 Problemet de identifierar som störst är svårigheten och det tidskrävande i att identifiera aktören bakom en attack. En missil kommer med en returadress, ett datavirus gör vanligtvis inte det. Det medför problem med att genomföra avskräckning genom bestraffning. Om offret för attacken inte kan identifiera angriparen, förlorar hot om straff trovärdighet. Gi-vet dessa förutsättningar identifierar Gartzke och Lindsay försvar och avskräckning genom

17 Morgan, Patrick M., Deterrence now, s.8.

18 Uri Tor, Cumulative Deterrence’ as a New Paradigm for Cyber Deterrenc, Journal of Strategic Studies, 2017, 40:1-2,

92-117, s.101.

19 Ibid., s.101-102.

(7)

Sida 7 av 43 nekande som ett av de bättre alternativen.21 De menar sedan att om det är ineffektivt att neka,

avskräcka eller försvara sig mot aggression på internet, borde strategin se till att de oundvik-liga attackerna blir fruktlösa eller till och med skadoundvik-liga för den attackerande parten. Vilseled-ning (Deception) är en sådan strategi, som redan har börjat visa sig vara kritisk i informations-åldern. Gartzke och Lindsay menar att bedrägeri är motsvarigheten till avskräckningen under kärnvapnets tid, en växande och av nödvändigheten utvecklande strategi. De visar på att cy-berdomänen domineras av offensiva operationer på grund av att det är det bästa försvaret, samma princip som kan ses i många sportsammanhang ”A good defence requires a good of-fence”. Vilseledning är enligt Gartzke och Lindsay viktigt för cyberattacker eftersom motstån-daren måste övertalas att hålla dörren öppen eller distraheras från att stänga den. Det vill säga, tro att allt är bra och behovet av ett bättre försvar är lågt. 22

Lilli skrev en artikel 2021 där han beskriver två olika uppfattningar om cyberavskräckning.23 Ena sidan hävdar att på grund av många anledningar, speciellt av karaktären hos cyberdomä-nen, är en strategi för avskräckning inom cyber till begränsat eller inget värde. På andra sidan har anhängare av konceptet utvecklat variationer av avskräckning, vilket en del kan återses i denna forskningsöversikt. Artikel hör till den senare kategorin med utvecklandet av en egen version av cyberavskräckning. Lilli döper sin version till RCDC avskräckning, vilket samti-digt är restriktiv (Restrictive), omfattande (Comprehensive), dynamiskt (Dynamic) och kom-pletterande (Complemental). Restriktiv i att strategin ska syfta till att begränsa den totala fre-kvensen och skadligheten i motståndarens aktivitet mer än att avskräcka alla attacker från att inträffa. Omfattande i den form att en kombination av avskräckningsmedel skall användas för effektivitet. Dynamisk för att svara på den tekniska utvecklingen genom att ständigt övervaka system och nätverk, uppdatera försvar, förbättra delning av information, åtgärda sårbarheter och förnya beredskapsplaner. Till sist, kompletterande för avskräckning har alltid fungerat bättre om den ses som ett komplement till andra former av strategisk interaktion.24

I boken Cyber strategies: The Evolving Character of power and Coercion presenteras samma problem identifierad av Gartzke och Lindsay. Där skrivs att cyberoperationer skapar tillräck-ligt med tvetydighet för att begränsa ett strategiskt svar. Nyttan av avskräckning genom hot

21 Ibid., s.321. 22 Ibid., s.346.

23 Eugenio Lilli, Redefining deterrence in cyberspace: Private sector contribution to national strategies of cyber deterrence,

Contemporary Security Policy, 2021, 42:2, 163-188, s.164.

(8)

Sida 8 av 43 om bestraffning begränsas. Hot om vedergällning är mindre troligt att vara effektiv i cyberdo-mänen där den attackerandes identitet är osäker. Det finns många okända motståndare och att veta vilka tillgångar som kan ligga i risk och hur länge är omöjligt att veta. Ges tillräckligt med tid kan identiteten på den som inledde attacken hittas, den riktiga svårigheten är att veta varför den skedde från första början.25

Alex S. Wilner skriver om utvecklingen av USA:s cyberavskräckningsstrategi i sin artikel. Efter en redovisning av akademisk litteratur om avskräckningsteori undersöker Wilner histo-rien om avskräckning i USA för att visa insikterna om hur cyberavskräckningsteorin kan när-mas, bli bättre och förfinas. Till skillnad från Tor menar Wilner att USA har ändrat sin stra-tegi till en mer handfast sådan.26 En blandning mellan ny teknologi, samarbeten mellan olika organisationer och internationella partnerskap har skiftat strategin från fokuset på försvar och avskräckning genom nekande (denial), till en straffbaserad strategi. Wilner trycker även på vikten för USA med samarbetet mellan olika myndigheter för att lyckas med heltäckande cy-beravskräckning som inkluderar både nekande och bestraffande.27

I en annan bok av Erik Gartzke och Jon Lindsay trycker de ytterligare på att det finns en vik-tig skillnad mellan cyber och kärnvapenavskräckningsstrategi som gör avskräckning genom nekande till ett mer genomförbart alternativ än vad det var under kalla kriget.28 Ett kärnvapen

är svårt att bygga upp ett fungerande nekande försvar mot medan i cyberdomänen kan tek-nologin komma långt i form av nekande åtgärder. Vidare skriver de att försvar inte kräver identifiering och kan därför generaliseras för en mängd olika hot och aktörer. Det gör att av-skräckning genom nekade är en logisk rekommendation för alla stater som vill använda sig av avskräckande åtgärder i cyberdomänen.29 De skriver också att stater inte kan förlita sig på ef-fektiviteten av vedergällande avskräckningsstrategier eller ömsesidig säkerställd sårbarhet i avskräckningssyfte i cyberdomänen. De rekommenderar strategier som är strategiskt tvetyd-liga, inriktade på försvar och motståndskraft och som investerar i identifieringsteknologi, inte de strategierna byggda på vedergällning, på grund av cyberdomänens unika kvaliteter.30 Slut-ligen skriver de att avskräckning genom nekande kan förstärkas med innehavet av kapacitet

25 Valeriano, Brandon et al., Cyber strategy: the evolving character of power and coercion s.6.

26 Wilner, Alex S., US cyber deterrence: Practice guiding theory, Journal of Strategic Studies, 2020, 43:2, 245-280, s.270. 27 Ibid., s.271.

28 Lindsay, Jon R. & Gartzke, Erik (red.), Cross-domain deterrence: strategy in an era of complexity, s.112. 29 Ibid., s.112.

(9)

Sida 9 av 43 över flera domäner. Som exempel kapaciteten att skydda den fysiska infrastrukturen av både civila och militära nätverk, genom antingen diplomatiska, ekonomiska eller konventionella militära medel. 31

David J. Lonsdale anser till skillnad på de andra att många lärdomar kan dras av kärnvapen-strategin och implementeras på en mer aggressiv typ av avskräckning i cyberdomänen. Han anser att ifall en stat rustar upp och är redo för krig, är det den mest effektiva avskräckningen som existerar oavsett i vilken domän som avskräckningen ska fungera. Han hävdar att även om cyberhotens natur föreslår att defensivt nekande är bäst fungerande, fungerar offensiva operationer i en blandning av domäner mycket bättre. 32

1.2.1 Summering forskningsöversikt

Forskningen visar komplexiteten i avskräckning i en domän som cyber. Flertalet gånger har forskningen också påpekat den icke överförbara strategin kärnvapenavskräckning och kompli-kationer som uppstår vid ett eventuellt försök till nyttjande av samma strategi i cyberdomä-nen. Då strategin för kärnvapenavskräckning ligger som grund till den vedertagna avskräck-ningsstrategin finns en risk att den har direkt överförts som en grund till avskräckning inom de andra domänerna. Forskningsöversikten visar att överföringen mellan kärnvapen och cyber varken är rekommenderat eller ens möjligt. Detta visar behovet av en anpassad strategi för cyberavskräckning. Översikten visar även bristen på forskning gällande svensk cyberstrategi inom avskräckning då större delen av forskningens ursprung är från större stater som USA.

31 Ibid., s.113.

32 Lonsdale, David J, Warfighting for Cyber Deterrence: a Strategic and Moral Imperative, Philos, Technol, 2018, 31:409–

(10)

Sida 10 av 43

1.3 Syfte och frågeställning

Då forskningen har identifierat en skillnad mellan strategin för traditionell avskräckningsstra-tegi och cyberavskräckningsstraavskräckningsstra-tegi, blir syftet för denna undersökning att analysera huruvida svensk cyberstrategi är uppbyggd på avskräckning anpassad för cyberdomänen. Detta kom-mer att göras genom utnyttjandet av ett teoretiskt ramverk uppbyggd på komponenter för ef-fektiv och lyckad cyberavskräckning samt en textanalys av det empiriska materialet.

Frågan blir således:

I vilken utsträckning återfinns komponenterna för lyckad cyberavskräckning inom svensk cy-berstrategi?

1.4 Avgränsning

Undersökningen begränsas till att titta på Sveriges nuvarande strategi. Därmed är det bara in-tressant att analysera aktuella styrande dokument och tidningsinslag gjorda senare än 2019. Året valdes med grunden på implementerandet av en handlingsplan för Sveriges nationella cyber- och informationshantering.33 Planen anses som början på Sveriges upprustning inom cyber och var en uppgift från Regeringen. Myndigheterna ansvariga för handlingsplanen kal-las för samverkansgruppen för informationssäkerhet (Samfi-gruppen) och består av Myndig-heten för samhällsskydd och beredskap (MSB), Försvarets radioanstalt (FRA), Försvarets ma-terielverk (FMV), Försvarsmakten (FM), Post- och telestyrelsen (PTS), Polismyndigheten och Säkerhetspolisen (Säpo). 34

Då dessa myndigheter gemensamt ansvarar för Sveriges säkerhet inom cyberdomänen avser undersökning endast behandla material producerade av eller direkt kopplade till dessa myn-digheter. Undantag kommer vara dokument producerade av Regeringen och Totalförsvarets forskningsinstitut (FOI).

Ingen vikt kommer läggas på förklaringskraften i teorin eller vilken teori som är bäst utan undersökningens underlag byggs upp med de gemensamma komponenterna för effektiv

cy-33 Myndigheten för samhällsskydd och beredskap (MSB), Samlad informations- och cybersäkerhetshandlingsplan för åren

2019 - 2022 - redovisning 2020, Stockholm, mars 2020

(11)

Sida 11 av 43 beravskräckning identifierade i forskningen. Då frågan är om hur Sverige har anpassat sin av-skräckning inom cyberdomänen kommer ingen vikt läggas på att förklara grunderna för vare sig traditionell eller kärnvapenavskräckning.

1.5 Disposition

Första kapitlet, Inledning, presenterar undersökningens bakgrund, problemformulering och tidigare forskning. Sedan introduceras syftet och frågeställningen ställs och kapitlet avslutas med avgränsningar för undersökningen. Andra kapitlet, Teori, börjar med en motivering till vald teori och presenterar styrkor samt svagheter. Sedan redovisas teorin som ligger till grund för de komponenterna identifierade nödvändiga för effektiv cyberavskräckning och kapitlet avslutas med kritik mot teorin. I tredje kapitlet, Metod, redogörs studiens forskningsdesign, en metoddiskussion genomförs, motivering till val av fall presenteras och materialet för under-sökningen och källkritik för det valda materialet diskuteras. Kapitlet avslutas med en operat-ionalisering och presentation av analysverktyget för undersökningen. I fjärde kapitlet, Analys, används analysverktyget för att undersöka fallet Sveriges cyberavskräckningsstrategi och av-slutas med en summering av resultatet. Femte och sista kapitlet, Avslutning, återkopplar till undersökningens forskningsproblem och frågeställning under en diskussion om resultatet från analysen. Använd metod och teori diskuteras innan kapitlet avslutas med relevans för yrkesut-övningen som officer och förslag på fortsatt forskning presenteras.

(12)

Sida 12 av 43

2. Teori

2.1 Motivering till vald cyberavskräckningsteori

De cyberavskräckningsstrategier som kommer att användas som teoretiskt ramverk för under-sökningen är de som gemensamt påtalats som vitala inom cyberavskräckningsforskningen. Då det inte finns en gemensam förståelse för vad som krävs för effektiv cyberavskräckning har författaren därför valt att ta hänsyn till många åsikter men framför allt lagt vikt på de åsikter och komponenter som går att hitta i flera olika vetenskapliga bidrag. Komponenterna som presenteras nedan har därför multipelt stöd i forskningen som existerar under tiden för under-sökningens skrivande.

2.2 Cyberavskräckning

Patrick Morgan påstår att teorin för lyckad avskräckning är densamma och i stort oförändrad genom tiderna. Vid alternativa teorier är det mestadels teoretiska fragment, inte fullständiga teorier som läggs fram. Vad som ändras är dock strategin för att uppnå lyckad avskräckning och de ingående komponenterna behöver anpassas till domänen den används till, men be-ståndsdelarna är i grunden samma. En bidragande faktor till detta är att strategierna och takti-ken hinner utvecklas snabbare än teorierna anpassas.35

I de absoluta grunderna för teorin om avskräckning hittas två olika typer. Avskräckning ge-nom bestraffning och avskräckning gege-nom nekande.36 Dessa två kan sedan utföras på olika sätt speciellt om man kollar på de olika domänerna som existerar idag. Det är från dessa som undersökningens teori utgår från och hur de uppnås inom cyberdomänen kommer förklaras för att skapa det teoretiska ramverket. Ur det teoretiska ramverket kommer sedan de kompo-nenterna identifierade för effektiv avskräckning plockas ut och operationaliseras.

“Cyber deterrence is a strategy by which a defending state seeks to maintain the status quo by signaling its intentions to deter hostile cyber activity by targeting and influencing an adver-sary’s decision making apparatus to avoid engaging in destructive cyber activity for fear of a greater reprisal by the initial aggressor.”37

35 Morgan, Patrick M., Deterrence now, s.8.

36 Lindsay, Jon R. & Gartzke, Erik (red.), Cross-domain deterrence: strategy in an era of complexity, s.112. 37 Iasiello, Emilio, Is Cyber Deterrence an Illusory Course of Action?, s.55.

(13)

Sida 13 av 43 I grund och botten är cyberavskräckning vad Emilio Iasiello skriver i citatet ovan, vilket stäm-mer väl överens med definitionerna för de två typerna av avskräckning. Problematiken ligger i hur man lyckas med detta i cyberdomänen som består av hot om virtuellt, inte kinetiskt, våld.

2.2.1 Avskräckning genom bestraffning

Avskräckning genom bestraffning är uppbyggt på principen om att hota en motståndare om vedergällning ifall en attack genomförs. I traditionell förståelse kan vedergällning ske genom specifika åtgärder som kinetiskt våld eller diplomatiska medel med ekonomiska sanktioner. Ett exempel på detta var under kalla kriget när hotet om att använda nukleära vapen stoppade motståndaren från att använda ett liknande vapen.

Om samma principer appliceras i cyberdomänen kan avskräckning genom straff visas med di-gitala vedergällande cyberattacker. Alternativt kan en förebyggande cyberattack användas för att avskräcka en motståndares attack innan den sker. Även om en motståndares initiala at-tacken sker i cyberdomänen kan straffet återigen ges genom kinetiska eller diplomatiska me-del, vilket många menar är det bästa alternativet.38 För att avskräckning ska fungera måste

försvararen definiera oönskat beteende för motståndaren och kommunicera eller signalera en vilja att bestraffa överträdelser.39

Den första komponenten för lyckad cyberavskräckning är kommunikation. Med det menas att det krävs ett tydligt budskap om var gränsen eller tröskeln går och vad som händer om någon går över den.40 Budskapet är det kommer att göra ont om någon över gränsen. Endast

våldshandlingar räcker inte för att skapa normer i en strategisk miljö, det finns ett behov av att beskriva ”spelreglerna” på ett tydligt sätt. För att lyckas med kommunikation krävs en god förståelse för motståndarens strategiska kultur, ett tydligt sätt att skicka avskräckande signaler och en insats för att samla in underrättelser för att bättre bedöma mottagandet av dessa signa-ler.41 I cyberdomänen antar kommunikation en viktig funktion då domänen är genomsyrad av osäkerhet och tvetydighet. Effektiv kommunikation kräver samförstånd för normer för använ-dandet och beteende i cyberdomänen.42 Kommunikation är även beroende av förmågan att

38 Ibid., s.55.

39 Wilner, Alex, Cyber deterrence and critical-infrastructure protection: Expectation, application, and limitation, s.310. 40 Iasiello, Emilio, Is Cyber Deterrence an Illusory Course of Action?, s.56.

Wilner, Alex, Cyber deterrence and critical-infrastructure protection: Expectation, application, and limitation, s.310.

41 Uri Tor, Cumulative Deterrence’ as a New Paradigm for Cyber Deterrenc, s.107. 42 Iasiello, Emilio, Is Cyber Deterrence an Illusory Course of Action?, s.56.

(14)

Sida 14 av 43 agera som utlovat, att straffa eller neka som hotat.Stater måste alltså visa beslutsamheten för att genomföra sina hot 43

Relevanta plattformar för att skicka sådana strategiska meddelanden kan innehålla: internat-ionella medier, formella diplomatiska kanaler, internatinternat-ionella institut och organisationer och hemliga intelligensbaserade bak-kanaler. 44

Signalering är en komponent som handlar om att inneha förmågan och viljan att demonstrera sina intentioner. Signaleringen kan ske öppet eller hemligt både inom cyber, på militär väg el-ler genom diplomatiska och finansiella verktyg.45 Misslyckas en nation med signaleringen är det svårt att genomföra avskräckning genom bestraffning då hoten inte framgår på ett tydligt sätt. Diplomatiska svar, sanktioner och icke-kinetiska hot har visat sig vara effektiva tidigare vilket pekar på att det inte handlar om faktiska militära operationer utan en uppbyggnad i tro-värdighet av kapaciteten till handling.46

Svårigheten med signalering är att den kan lätt misstolkas, ignoreras eller inte ens uppfattas av angriparen, vilket kan leda till eskalering av konflikter eller nya konflikter. Resultatet kan bli att motståndaren inte tror på trovärdighet hos en signalerande stat, eller om den inte bryr sig, är det oväsentligt hur mycket signalering som genomförts. I detta fall kommer motstånda-ren inte att avskräckas av hot om bestraffning.47

Inom domänen cyber är en av de svåraste delarna att identifiera den attackerande aktören. Det är svårt att vara avskräckande genom bestraffning ifall staten inte vet vem som attackerar. Därmed kan inte heller den avskräckande staten utföra den bestraffning som lagts fram. 48 Därför fungerar avskräckning bäst mot en känd motståndare eller misstänkt. I fall där mot-ståndarens identitet är okänd kan hoten lätt förlora syftet. 49

Att lyckas med identifieringen väl är kärnan till praktiskt taget all form av tvång eller av-skräckande, internationellt och nationellt. Att göra det dåligt undergräver en stats trovärdig-het, dess effektivitet och i slutändan dess frihet och säkerhet.50

43 Wilner, Alex, Cyber deterrence and critical-infrastructure protection: Expectation, application, and limitation, s. 310. 44 Uri Tor, Cumulative Deterrence’ as a New Paradigm for Cyber Deterrenc, s.107.

45 Iasiello, Emilio, Is Cyber Deterrence an Illusory Course of Action?, s.57. 46 Uri Tor, Cumulative Deterrence’ as a New Paradigm for Cyber Deterrenc, s108. 47 Iasiello, Emilio, Is Cyber Deterrence an Illusory Course of Action?, s.57. 48 Iasiello, Emilio, Is Cyber Deterrence an Illusory Course of Action?, s.58.

49 Wilner, Alex, Cyber deterrence and critical-infrastructure protection: Expectation, application, and limitation, s.310. 50 Thomas Rid & Ben Buchanan, Attributing Cyber Attacks, Journal of Strategic Studies, 2015, 38:1-2, 4-37, s.4.

(15)

Sida 15 av 43 Problemet är att det finns många sätt att bygga upp sin anonymitet i cyberdomänen då den är en miljö som gynnar dem som vill utföra hemliga skadliga handlingar. Identifiering är viktig oavsett vilken slags avskräckning som ska genomföras eftersom det åligger den försvarande staten att ordentligt identifiera attackeraren innan någon vedergällningsåtgärd kan göras. Framgångsrik identifiering i cybersdomänen kommer idealiskt att sammanföra teknisk, kogni-tiv och beteendeanalys för att bättre identifiera de som attackerar, lika så de influenser som kan hjälpa till att styra deras verksamhet. Teknisk analys räcker inte för identifieringsmålet, med tanke på att många fientliga aktörer implementerar samma taktik, tekniker och förfaran-den, såväl som verktyg, eller deltar i "falsk flagg" -operationer för att bedriva skadlig aktivi-tet. 51 “If hackers can evade detection and disregard threats of retaliation, then deterrence loses its credibility.”52

För att en stat ska lyckas vara trovärdig inom cyberavskräckning måste bestraffningen stå i proportion mot den initiala attacken. Bestraffningen måste vara hård nog att visa för motstån-daren att det blev kostsamt att attackera men inte så kraftfull att den får negativa reaktioner i det globala samfundet. Trovärdigheten inom världssamfundet bygger på att agera som sagts i sina hot om bestraffning. Dessutom måste ett övervägande gällande oavsiktliga konsekvenser även göras inom cyber då till exempel ett virus kan påverka en tredje part som inte var invol-verad i konflikten. Därför måste de vedergällande åtgärderna spegla den initiala skadan mot staten för att minska risken för eskalering. 53

En stat måste inneha möjligheten och viljan att utföra offensiva attacker på motståndaren för att visa konsekvensen av en skadlig cyberattack. Det ska fungera som en varning men även förebyggande till eventuella fientliga attacker. Denna komponent bör användas upprepande gånger i cyberdomänen, men även om det behövs med kinetiska, diplomatiska eller ekono-miska verktyg. Till exempel som sanktioner. Detta måste ske under en längre tid för att bygga upp avskräckningens trovärdighet för att visa nationens beslutsamhet att agera.54

51 Iasiello, Emilio, Is Cyber Deterrence an Illusory Course of Action?, s.58.

52 Erik Gartzke & Jon R. Lindsay, Weaving Tangled Webs: Offense, Defense, and Deception in Cyberspace s.316. 53 Iasiello, Emilio, Is Cyber Deterrence an Illusory Course of Action?, s.58.

(16)

Sida 16 av 43

2.2.2 Avskräckning genom nekande

En inte lika konfliktdriven del av avskräckning är avskräckning genom nekande. Denna typ av avskräckning handlar i stället om att försöka övertyga motståndaren om att deras försök till attack inte kommer lyckas, eller kommer ge en mindre effekt än vad som önskas. Fördelen med strategin är att den kan baseras på defensiva åtgärder och därmed inte bara vara ett sätt att hindra fienden från att agera utan också ge en lösning om utmanaren beslutar att agera.

Vad detta innebär i cyberdomänen är robusta, proaktiva och kostsamma försvar. Det kräver ett stort, fokuserat åtagande från regeringen att säkra system och nätverk under

dess kontroll, tillsammans med det fullständiga samarbetet mellan privata ägare av

infrastruktur. Kostnaden ökar därmed avsevärt med tanke på alla ingående delar som cyberdo-mänen innebär, som exempel, användning av avancerade säkerhetsmetoder, pålitlig hårdvara och programvarukomponenter. 55

Något som kan vara lätt att säga men svårt att utföra är att övertala en motståndare att vinna inte är ett realistiskt alternativ på grund av den överlägsenhet som den avskräckande staten har i cyberrymden. För att uppnå det måste den avskräckande staten både ha kvalitativt över-tag i både underrättelse och offensiva kapaciteter.56

Den sista komponenten handlar om användandet av defensiva medel för att göra det så svårt och så dyrt som möjligt för motståndaren att attackera och krävs för att avskräckning genom nekande ska fungera. Det uppnås med att bygga upp en mer robust och säker cyberinfrastruk-tur genom ständig utveckling av teknik och skyddsmetoder. 57 Utmaningen blir att göra för-svaret tillräckligt hållbart att när en attack genomförs, misslyckas den oavsett attackens styrka och verktyg. 58 Resultatet blir att för motståndaren blir attacker svårare att genomföra och po-tentiellt blir deras val att inte attackera alls. 59

55 Iasiello, Emilio, Is Cyber Deterrence an Illusory Course of Action?, s.55.

56 Uri Tor, Cumulative Deterrence’ as a New Paradigm for Cyber Deterrence, s.108. 57 Uri Tor, Cumulative Deterrence’ as a New Paradigm for Cyber Deterrence, s.108.

58 Erik Gartzke & Jon R. Lindsay, Weaving Tangled Webs: Offense, Defense, and Deception in Cyberspace, s.321. 59 Wilner, Alex, Cyber deterrence and critical-infrastructure protection: Expectation, application, and limitation, s. 310.

(17)

Sida 17 av 43

2.3 Kritik mot teori

Teorin är normativ, det vill säga att den talar om hur man bör göra för att effektivt avskräcka i cyberdomänen.60 Som visats i forskningsöversikten är meningarna delade om hur effektivite-ten skall uppnås, vilket gör det svårt att med full säkerhet säga att just dessa komponenter är de som är vitala. Det medför även risken till att viktiga komponenter misstolkas eller på grund av avgränsningar inte tas med. Resultatet av hur Sveriges cyberavskräckningsförmåga be-döms kan därför påverkas. Som skrivet i motiveringen till teorin ovan finns det ingen vederta-gen och bestämd teori för cyberavskräckning, men då komponenterna som utgör teorin i denna undersökning är beskriva av flera forskare som primära för effektiv cyberavskräckning anses ändå teorin i undersökningen vara valid. Teorin anses även vara av en väldigt generell natur vilket kommer kräva en noga övervägd operationalisering för att på ett korrekt sätt kunna undersöka empirin.61

Vissa av komponenterna är snarlika och överlappande vilket kan leda till argumentet att några av dem är redundanta. Till exempel komponenterna kommunikation och signalering. Båda handlar om att förmedla ett budskap utåt. De går dock särskilja i det specifika i vad de vill förmedla och vissa delar av dem blir viktiga senare i analysen. Betydelsen av begreppsvalidi-tet blir dock högre och ett behov av tydlig precision under operationaliseringen blir viktigt.

60 Eriksson, Lars Torsten, Kritiskt tänkande, Tredje upplagan, Liber, Stockholm, 2018, s.88.

61 Esaiasson, Peter, Gilljam, Mikael, Oscarsson, Henrik, Towns, Ann E. & Wängnerud, Lena, Metodpraktikan: konsten att

(18)

Sida 18 av 43

3. Metod

3.1 Forskningsdesign – Teorikonsumerande fallstudie

Designen för undersökningen kommer att utgöras av en teorikonsumerande fallstudie där fal-let utgörs av Sveriges cyberförsvar och det som studeras är cyberförsvarets avskräckningsför-måga. Teorikonsumerande studier som denna fokuserar på fallet och sätter det i centrum och använder teorin som förklaringskraft till uppgifterna i fallet.62 Undersökningen kategoriseras

som en enfallsstudie då det är Sveriges cyberavskräckningsförmåga som ska bedömas. Teorin i undersökningen redovisar hur framgångsrik cyberavskräckning kan uppnås och visar därmed på fenomen som måste uppfyllas för att lyckas med detta. För att undersöka fallet ska teorin operationaliseras i syfte att urskilja de indikationer som ska användas. Dessa operationella in-dikationer kommer utgöra ett analytiskt ramverk för undersökningen.63 Analysverktyget an-vänds därefter till analysen av det empiriska materialet för att svara på undersökningens fråga. Då syftet med en teorikonsumerande studie inte är att generalisera resultatet till fler fall, strä-var denna undersökning efter att i stället uppnå en hög intern validitet. 64 Detta är motsatsen mot en extern validitet där ambitionen om resultaten är att de ska kunna generaliseras. Alter-nativet att i stället göra en teoriprövande studie hade kunnat genomföras om forskningspro-blemet ligger i teorins förklaringskraft. Då det i denna undersökning är fallet som utgör forsk-ningsproblemet anses en teorikonsumerande forskningsdesign vara lämpligast. 65

Med ämnet i fokus hade det varit intressant att göra en jämförande studie för att jämföra för-klaringskraften i två olika teorier, speciellt med tanke på den limiterade forskningen om cy-beravskräckning men detta anses inte lämpligt för denna undersökning.

3.2 Metoddiskussion

Undersökningen genomförs med kvalitativ textanalys. Motivering till att göra en kvalitativ textanalys är att undersökningen kräver tolkning av text och dess förståelse i sin helhet, i syfte att kunna lyfta fram de delar som är av vikt för att förklara fallet. För undersökningen krävs en noga läsning av empirin om Sveriges cyberavskräckningsteori för att hitta komponenter identifierade i teorin för cyberavskräckning. En kvalitativ textanalys är också användbar för denna undersökning då den medger att analysera dolda budskap i textinnehållet. Det vill säga komponenter kommer inte kunna hittas genom att översiktligt läsa texter utan en tolkning om

62 Esaiasson et al., Metodpraktikan: konsten att studera samhälle, individ och marknad, s.42. 63 Ibid., s.56.

64 Ibid., s.89. 65 Ibid., s.89-90.

(19)

Sida 19 av 43 det bakomliggande kommer behöva göras, vilket en textanalys medger. Hade en kvantitativ metod, att i stället räkna förekomsten av fenomen i texten, använts hade dessa dolda budskap inte kunnat analyserats.66 Syftet för undersökning är att hitta och förstå meningen, eller kon-statera avsaknaden, av indikatorerna identifierade i teorin. Indikatorerna kan vara svåra att hitta och bara en större förståelse med hjälp av en grundlig inläsning av materialet krävs för att kunna genomföra undersökningen. En kvantitativ metod baserar sig på likvärda och där-med jämförbara uppgifter för att skapa analysenheter som resulterar i numeriska värden vilket inte lämpar sig till att svara på den ställda frågan i undersökning.67

Alltid vad gällande dokument finns det etiska frågor att ställa och besvaras. Ett stort problem kan vara samtycke. I detta fall bygger studien på officiella dokument, artiklar och tidningsartiklar som finns tillgängliga för alla att ta del av så problematiken med samtycke kan bortses från. Det finns heller ingen risk att enskilda personer kan ta skada av materialet då ingen insamling av information om människor kommer att ske.68 Med tanke på att varken in-formanter, respondenter eller försökspersoner används anser författaren att de forskningse-tiska övervägningarna utgör en mindre betydelse i undersökningen.

De övervägningar som ändå kommer att göras är redogörelser för hur de operationaliserade indikatorerna avses tolkas för att skapa en transparent i tolkningsprocessen. De operationella indikatorerna kommer att användas för att identifiera fenomen i texten som syftar till att för-klara fallet och svara på forskningsfrågan. För att vara transparent i undersökningen när feno-men förekommer i texten som stämmer överens med de operationella indikatorerna används citat för att möjliggöra för läsaren att oberoende tolka materialet.69 Nyttjandet av citat används också för att underbygga centrala resonemang under analysens gång för fortsatt transparens.70 Allt detta kommer att hjälpa öka reliabiliteten även om kravet inte är lika högt på det i en kva-litativ undersökning som i en kvantitativ.71

66 Ibid., s.211. 67 Ibid., s.198.

68 Johannessen, Asbjørn, Tufte, Per Arne & Christoffersen, Line, Introduktion till samhällsvetenskaplig metod, Upplaga 2,

Liber, Stockholm, 2020, s.74.

69 Ekengren, Ann-Marie & Hinnfors, Jonas, Uppsatshandbok: [hur du lyckas med din uppsats], 2., [rev.] uppl.,

Studentlitte-ratur, Lund, 2012, s.108.

70 Esaiasson et al., Metodpraktikan: konsten att studera samhälle, individ och marknad, s.25-26. 71 Johannessen et al., Introduktion till samhällsvetenskaplig metod, s.220.

(20)

Sida 20 av 43

3.3 Val av fall

Forskningsöversikten visar en tydlig överrepresentation på studier som enbart behandlar USA:s cybersförsvar och dess avskräckningsförmåga. Även om inte studien fokuserar på en mindre stats perspektiv bidrar den indirekt till den forskningen då Sverige förhållandevis klas-sas som en mindre stat. Utvecklingen av nya styrande dokument för strategi inom cyber har även utvecklats i Sverige de senaste åren vilket skapar intresset till att undersöka dem. Med de nya dokumenten skapas även en stor tillgång till empiriskt material vilket möjliggör en korrekt representation av Sveriges cyberavskräckningsstrategi.

3.4 Materialdiskussion

Endast öppna och för allmänheten tillgängliga dokument kommer att behandlas av sekre-tesskäl under analysen. Dokumenten kommer även att vara i dagsläget aktuella dokument då tidigare åtgärder och förmågor inom cyberavskräckning inte är av intresse för undersök-ningen. På grund av bortfallet av hemligt material kan validiteten minskas då eventuell viktig information inte kan tas med i analysen.

Avgränsningen att endast behandla svenska källor motiveras med att undersökningen inte äm-nar analysera hur Sverige uppfattas av andra aktörer utan vad Sverige själv har bestämt och förmedlar inom området cyber. Materialet har däremot valts utifrån att det representerar en övergripande bild av det önskade området och således kan förhoppningsvis en korrekt bild byggas i analysen. Materialet har hittats genom sökande på hemsidor tillhörande regeringen, riksdagen och de olika myndigheternas involverade i Samfi-gruppen. Det finns en risk att det missats material som är viktigt för studien då tillgången på relevanta dokument är stor.

(21)

Sida 21 av 43

3.5 Källkritik

För att i så stor utsträckning som möjligt komma fram till hållbara slutsatser krävs en gransk-ning av källmaterialet i form av källkritik.72

Merparten av källorna, som beskrivet i föregående punkt, är utgivna av svenska myndigheter och kan därmed klassas som primärkällor.73 Därmed kan de granskas enligt de fyra källkri-tiska reglerna: äkthet, oberoende, samtidighet och tendens.74

Källorna anses uppnå kriterierna äkthet och samtidighet. Bedömningen för äkthet stöds för sannolikheten att materialet antingen har förvanskats eller förfalskats bedöms som låg då myndigheterna själva har publicerat källorna på deras egna respektive sidor.75 Samtidighet uppnås för bedömningen är att ingen tid har förflutit mellan händelsen, i detta fall skulle det kunna vara ett beslut eller order om uppgift, och nedteckningen av underlaget.76

Kriterierna oberoende och tendens är svårbedömda då de dels går in i varandra och dels för att i de källor som kommer att användas kan de vara svåra att granska. Båda kriterierna handlar om att innehållet verkligen stämmer. Oberoende handlar om att behandla källor som är olika och oberoende varandra men rapporterar samma sak, att det handlar om primärkällor och att författaren av källan inte är beroende av yttre omständigheter.77 Även om det är konstaterat primärkällor som hanteras i undersökningen kan deras oberoende ifrågasättas. Eftersom myn-digheterna samarbetar i Sveriges cyberförsvar är de inte oberoende varandra utan kan påver-kas av varandras skildringar av sanningen. Vad som sänker oberoendet är dock de dokument som myndigheterna skriver på sina egna hemsidor som bara skildrar de egna insatserna gjorda för cyberförsvaret. Myndigheterna kan dock fortfarande vilja skildra en bättre, eller kanske sämre, bild än vad som är sanning på grund av beroendet av de högre instanser, till exempel regeringen, som handhar budgeteringen till myndigheterna.

Tendens är liknande då den handlar om att återge en avsiktligt snedvriden bild av verklig-heten.78

72 Johannessen et al., Introduktion till samhällsvetenskaplig metod, s.89. 73 Ibid., s.85.

74 Esaiasson et al., Metodpraktikan: konsten att studera samhälle, individ och marknad, s.288. 75 Ibid., s.291.

76 Ibid., s.294. 77 Ibid., s.292-293. 78 Ibid., s.295.

(22)

Sida 22 av 43

3.6 Operationalisering

En operationalisering kommer att göras genom att använda teorin för att analysera de empi-riska texterna. Det finns inga självklara operationaliseringar av teoretiska begrepp, inga up-penbara sätt att mäta eller samla in empiriska observationer av samhälleliga fenomen. Därför kan också de operationella indikatorerna som väljs alltid bli föremål för kritik. 79

För att begränsa felanvändning av teorin eftersträvas hög begreppsvaliditet. Det vill säga att den generella förståelsen för begreppet ska överföras till operationaliseringen. 80 Den gene-rella förståelsen har tidigare byggts upp med det teoretiska underlaget och därmed blir ut-gångspunkten att definiera konkreta indikatorer från teorin som är grunden till undersökning-ens fenomen.81

Komponenterna för effektiv cyberavskräckning specificerade i teorin utgör indikatorerna för undersökningen. För att indikatorerna skall kunna identifieras i de empiriska texterna behöver varje indikator specificeras med frågor som formulerats kring centrala analytiska begrepp.82

Dessa kommer sedan kunna besvaras graderat i syfte att tydliggöra när indikatorfrågan inte finns direkt uttalat i texten, men ändå kan tolkas som en del av strategin.

Graderingen i svarsalternativen är:

Ja- Om indikatorn går att identifieras i texten Implicit – Om indikatorn går att tolkas ur texten Nej – Om indikatorn inte kan hittas i texten

Nedanstående indikationer har identifierats nödvändiga för effektiv cyberavskräckning

79 Ibid., s.56.

80 Johannessen et al., Introduktion till samhällsvetenskaplig metod, s.59. 81 Ibid., s.49.

(23)

Sida 23 av 43

3.6.1 Indikatorer

Under Avskräckning genom bestraffning hittades följande indikationer:

Kommunikation

För lyckad cyberavskräckning är kommunikation väsentligt. Med det menas att det krävs ett tydligt budskap om var gränsen eller tröskeln går och vad som händer om nå-gon går över den.83 84

- Har Sverige kommunicerat tydliga gränser för motståndare inom cyberdomänen? - Kommunicerar Sverige vilka åtgärder som tas vid överstigande av dessa gränser?

Signalering

Signalering handlar om att inneha förmågan och viljan att demonstrera sina intentioner. Signaleringen kan ske öppet eller hemligt både inom cyber, på militär väg eller genom diplomatiska och finansiella verktyg.85

- Signalerar Sverige en vilja till demonstration av uttalade hot om bestraffning? - Signalerar Sverige en förmåga till demonstrationer av sina hot om bestraffning?

Identifiering

Avskräckning fungerar bäst mot en känd motståndare eller misstänkt. I fall där motstån-darens identitet är okänd kan hoten lätt förlora syfte. 8687

- Uttrycker Sverige en förmåga att identifiera en motståndare inom cyberdomänen?

Proportionalitet

För att en stat ska lyckas vara trovärdig inom cyberavskräckning måste bestraffningen stå i proportion mot den initiala attacken. 88

- Förmedlar Sverige en plan för eskalering av bestraffning för att möta eskaleringen av attacker?

83 Iasiello, Emilio, Is Cyber Deterrence an Illusory Course of Action?, s.56.

84 Wilner, Alex, Cyber deterrence and critical-infrastructure protection: Expectation, application, and limitation, s.310. 85 Iasiello, Emilio, Is Cyber Deterrence an Illusory Course of Action?, s.57.

86 Wilner, Alex, Cyber deterrence and critical-infrastructure protection: Expectation, application, and limitation, s.310 87 Iasiello, Emilio, Is Cyber Deterrence an Illusory Course of Action?, s.58

(24)

Sida 24 av 43 Offensiva medel

En stat måste inneha möjligheten och viljan att utföra offensiva attacker på motstånda-ren för att visa konsekvensen av en skadlig cyberattack. 89

- Förmedlar Sverige viljan till offensiva attacker som svar på cyberattacker? - Förmedlar Sverige viljan till offensiva attacker i förebyggande syfte?

Under Avskräckning genom nekande hittades nedanstående indikatorer:

Överlägsenhet

Något som kan vara lätt att säga men svårt att utföra är att övertala en motståndare att vinna inte är ett realistiskt alternativ på grund av den överlägsenhet som den avskräck-ande staten har i cyberrymden. För att uppnå det måste den avskräckavskräck-ande staten både ha kvalitativt övertag i både underrättelse och offensiva kapaciteter.90

- Uppfattas Sveriges förmågor inom cyber överlägsna andra stater?

Defensiva medel

Den sista komponenten handlar om användandet av defensiva medel för att göra det så svårt och så dyrt som möjligt för motståndaren att attackera och krävs för att avskräck-ning genom nekande ska fungera.91

- Uttrycker Sverige ett innehav av defensiva förmågor i cyberdomänen?

- Uttrycker Sverige en pågående utveckling av sina defensiva förmågor inom cyberdo-mänen?

89 Uri Tor, Cumulative Deterrence’ as a New Paradigm for Cyber Deterrence, s108 90 Ibid., s.108

(25)

Sida 25 av 43 3.6.2 Analysverktyg Operationella indikatorer Indikatorfrågor Gradering Ja Implicit Nej Kommunikation

- Har Sverige kommunicerat tydliga gränser för motståndare inom cyberdomänen?

- Kommunicerar Sverige vilka åtgärder som tas vid överstigande av dessa gränser?

Signalering

- Signalerar Sverige en vilja till demonstration av uttalade hot om bestraffning?

- Signalerar Sverige en förmåga till demon-strationer av sina hot om bestraffning?

Identifiering - Uttrycker Sverige en förmåga att identifiera

en motståndare inom cyberdomänen?

Proportionalitet

- Förmedlar Sverige en plan för eskalering av bestraffning för att möta eskaleringen av at-tacker?

Offensiva medel

- Förmedlar Sverige viljan till offensiva at-tacker som svar på cyberatat-tacker? - Förmedlar Sverige viljan till offensiva

at-tacker i förebyggande syfte?

Överlägsenhet - Uppfattas Sveriges förmågor inom cyber

överlägsna andra stater?

Defensiva medel

- Uttrycker Sverige ett innehav av defensiva förmågor i cyberdomänen?

- Uttrycker Sverige en pågående utveckling av sina defensiva förmågor inom cyberdomä-nen?

(26)

Sida 26 av 43

4. Analys

4.1 Kommunikation:

- Har Sverige kommunicerat tydliga gränser för motståndare inom cyberdomänen? Försvarsmakten uttrycker att om en cyberattack ger upphov till fysiska skador på människor eller egendom kan det i sig vara att betrakta som ett väpnat angrepp.92 Väpnade angrepp är

Försvarsmakten väldigt bekanta med och det framgår tydligt ett behov av agerande när fy-siska skador sker. FOI skriver också i en av sina rapporter att Försvarsmakten ska använda våld när kränkningar av den territoriella sker.93

Vad som saknas är en tydlig gräns inom cyberdomänen. Inget direkt skrivet kunde hittas om det och ingenting kunde tolkas från de behandlade texterna. Sverige kan dock inneha gränser i andra dokument som inte är öppna för allmänheten, men det motverkar även syftet med att sätta upp en gräns om ingen vet var den går. Därför anses inte denna indikatorfråga hittad i texten och graderingen blir Nej.

- Kommunicerar Sverige vilka åtgärder som tas vid överstigande av dessa gränser? Eftersom ingen tydlig gräns kunde hittas var det även svårt att hitta åtgärder som insätts vid överstigande av den sagda gräsen. MSB visar dock indirekt vilka åtgärder som kan göras ge-nom att presentera en lista på attacker som kan göras av en motståndare och då även av oss.94

Försvarsmakten uttrycker även en vilja till agerande vid händelse av kränkningar men ingen-ting sägs om hur. 95 I Försvarsberedningen hittas också uttryckt att Sverige måste vara tydlig hur de kommer agera vid ett eventuellt angrepp för att verka avskräckande, men även här skrivs ingenting om hur. 96 Därför graderas frågan, precis som den ovan, också till Nej.

92 Doktrin för gemensamma operationer DGO 20, Försvarsmakten, Stockholm, 2020, s.18.

93 Totalförsvarets forskningsinstitut (FOI), Strategisk verktygslåda mot hybridhot: Ett ramverk för gemensam

problemförstå-else, maj 2020, s.23.

94 MSB, Cybersäkerhet i Sverige – Hot, metoder, brister och beroenden, 2020, s.14–19. 95 Försvarsmakten, Militärstrategisk doktrin – MSD 16, s.55.

96 Försvarsberedningen, Värnkraft - Inriktningen av säkerhetspolitiken och utformningen av det militära försvaret 2021–

(27)

Sida 27 av 43

4.2 Signalering:

- Signalerar Sverige en vilja till demonstration av uttalade hot om bestraffning? Ett uttalande från överbefälhavaren (ÖB) i en intervju med computer Sweden, visar ett tydligt svar på den här frågan.

"Den som attackerar oss ska veta att vi slår tillbaka.”97

Orden är i avskräckande natur men det finns ingen förklaring till hur eller vilken grad Sverige skulle slå tillbaka.

I den militärstrategiska doktrinen uttrycks flera gånger viljan för vedergällning när någon at-tackerar Sverige.

”Målet är att tydliggöra att angrepp på Sverige medför orimliga kostnader för en angripare och därmed verka krigsavhållande.” 98

Detta ska ske genom att bygga upp totalförsvaret tillsammans med det militära försvaret för att utgöra en tröskel skapad av trovärdighet i krigföringsförmågan och dugliga krigsförband samt visa närvaro, förmåga och beslutsamhet att agera för svenska intressen inom och utom Sverige.99 Räknar man in insättandet av cybersoldater juli 2020 visar Sverige på en vilja att

expandera inom cyberdomänen för bättre åtgärder till vedergällande. Förmodligen även för defensivt skydd. 100

Med det anses svaret på frågan hittad i texten och graderingen blir således Ja.

- Signalerar Sverige en förmåga till demonstrationer av sina hot om bestraffning?

I budgetpropositionen för 2020 aviserades att anslagen till det militära försvaret, utöver tidi-gare fattade beslut, ökas med fem miljarder kronor per år från 2022 till och med 2025.101 Det visar på att regeringen satsar på att bygga upp militära förmågor och därmed även dess för-mågor att genomföra sina hot om bestraffning.

97 ComputerSweden, Försvaret rustar för cyberkrig – ska slå tillbaka mot it-attacker, okt 2017. 98 Försvarsmakten, Militärstrategisk doktrin – MSD 16, s.54.

99 Försvarsmakten, Militärstrategisk doktrin – MSD 16, s.54,57.

100 Försvarsmakten, Första kullen cybersoldater redo att rycka in, maj 2020. 101 Regeringen, Det militära försvaret stärks, sep 2020.

(28)

Sida 28 av 43 I den militärstrategiska doktrinen skrivs att Försvarsmakten ska både ha vilja och förmåga att ge militärt stöd för att avskräcka en motståndare. Den lägger vidare fram användandet av ma-növerkrigföring, som är Försvarsmaktens erkända typ av krigföring, ska vara en kombination av fysisk bekämpning, informationsoperationer, rörelse och skydd på samtliga nivåer. 102 Indirekt kan det tolkas som förmågor som ska innehas och därmed som borde finnas i alla fall i anseendet militärt våld.

Vad anser offensiva attacker och bestraffning inom cyberdomäner anser MSB att det råder en brist på kompetens inom cybersäkerhetsområdet. De skriver dock att det finns ett högt tek-niskt kunnande i Sverige men inte i tillräckligt mängd för att möta behovet.103 Det är en stark indikator att förmågan finns, det råder bara brist på personal för genomförande i cyberrym-den.

Precis som nämnts i föregående fråga insattes cybersoldater i syfte till ökandet av förmågor och kompetens i cyberdomänen vilket även det visar på en utvecklande förmåga.

Texter uttrycker inte exakta förmågor till hoten utan måste tolkas från de olika texterna vilket gör graderingen till denna fråga till Implicit.

4.3 Identifiering

- Uttrycker Sverige en förmåga att identifiera en motståndare inom cyberdomänen?

Regeringen tydliggör behovet av en pågående och kompetent försvarsunderrättelseförmåga och visa på vikten för utvecklingen inom krigsorganisationen. De skriver att underrättelse är nödvändigt för att skapa underlag inför kommande hot och är viktig för att ge regeringen chans att fatta beslut i tid.104 Försvarsmakten håller med och anser även underrättelse som ett medel att ge förvarning och medel för identifiering av högvärdiga mål.105

102 Försvarsmakten, Militärstrategisk doktrin – MSD 16, s.56, 62.

103 MSB, Cybersäkerhet i Sverige – Hot, metoder, brister och beroenden, 2020, s.25. 104 Regeringen, Regeringens proposition 2020/21:30: Totalförsvaret 2021–2025, 2020, s.154. 105 Försvarsmakten, Militärstrategisk doktrin – MSD 16, s.57.

(29)

Sida 29 av 43 FRA ansvarar för den största delen av insamlingen av underrättelse. De redovisar i sin årsrap-port många olika sätt dom kan göra det på och syftet är att kartlägga yttre militära hot mot Sverige. Underrättelse gör det då möjligt att vid behov vidta åtgärder för att möta tänkbara hot och avskräcka en möjlig fiende. 106 De skriver att tack vare deras underrättelseverksamhet i kombination med cybersäkerhetsarbetet, har dom förmåga att upptäcka, identifiera och följa de mest avancerade angriparna inom cyberområdet.107

Myndigheterna uttrycker behovet av en bra förmåga till underrättelse vilket indirekt uttrycker att utveckling inom ämnet sker kontinuerligt. FRA:s huvuduppgift är underrättelse och skriver tydligt om deras förmåga till identifiering inom cyberdomänen vilket ligger till grunden för graderingen Ja på denna fråga.

4.4 Proportionalitet

- Förmedlar Sverige en plan för eskalering av bestraffning för att möta olika typer av

cyberattacker?

Sverige uttrycker många gånger att vedergällning ska ske mot hot och attacker gjorda mot Sverige. Det går dock inte att hitta hur eller hur mycket, varken i Försvarsmaktens, Regering-ens eller någon annan myndighets dokument. Ett antagande kan göras om eventuella hemliga dokument som innefattar planer om hantering av olika hot för Sveriges egna intressen, men precis som med indikatorn kommunikation tappas förmågan till avskräckning genom bestraff-ning om inte de olika typerna av bestraffbestraff-ning tydliggörs för motståndaren. Därmed graderas frågan till Nej.

106 FRA, Årsrapport 2020 Blicken på en omvärld i förändring, s.6. 107 Ibid., s.23.

(30)

Sida 30 av 43

4.5 Offensiva attacker.

- Förmedlar Sverige viljan till offensiva attacker som svar på cyberattacker?

Regeringen skriver i sin proposition att Försvarsmakten är ansvarig för Sveriges offensiva cy-berförmåga som då starkt förmedlar att Sverige ska inneha en förmåga till offensiva attacker och viljan att använda dem.108 Som presenterat i kommunikation har även införandet av cy-bersoldater gjorts, vilket stärker uppfattningen om Sveriges vilja till offensiva attacker.109 Tillsammans med ÖB:s ord om vedergällande åtgärder mot en attackerande aktör tydliggörs den viljan.110 Denna indikator var tydlig och graderas därför med Ja.

- Förmedlar Sverige viljan till offensiva attacker i förebyggande syfte?

FOI skriver att landets försvarspolitiska inriktning innebär bland annat utvecklingen av aktiva operationer i cyberdomänen med syftet att vara proaktiv för att hindra upplevda hot från om-världen.111

Eftersom regeringen också specificerat uttalat att Försvarsmakten ansvarar för de offensiva åtgärderna, hittas svaret på frågan främst i Försvarsmaktens dokument och uttalanden. Den militärstrategiska doktrinen tydliggör att Försvarsmaktens agerande skall vara offensivt i syfte att skapa en tröskeleffekt, det vill säga en form av avskräckning, oavsett om det är fred eller krig.112 Detta ska ske genom att växla offensiva och defensiva operationer mot en

motstånda-res högvärdiga mål, både fysiska och icke fysiska. Genom att göra det konsekvent kan en motståndares krigsförmåga och militära ordning brytas isär.113

Då det både går att hitta uttryckt att Sverige ska agera offensivt i cyberdomänen och hur det ska ske från Försvarsmakten anses graderingen bli Ja.

108 Regeringen, Regeringens proposition 2020/21:30: Totalförsvaret 2021–2025, s.152. 109 Försvarsmakten, Första kullen cybersoldater redo att rycka in.

110 ComputerSweden, Försvaret rustar för cyberkrig – ska slå tillbaka mot it-attacker. 111 FOI, Oklart hur stater får agera mot varandra i cyberdomänen, okt 2019. 112 Försvarsmakten, Militärstrategisk doktrin – MSD 16, s.55-56.

(31)

Sida 31 av 43

4.6 Överlägsenhet:

- Uppfattas Sveriges förmågor inom cyber överlägsna andra stater?

Patrik Ahlgren är chef för cyberförsvarssektionen på Högkvarteret och blir citerad på För-svarsmaktens hemsida. ”Sverige står sig starkt internationellt vad gäller förmågan inom cy-berförsvaret. Vi har ingenting att skämmas för. Vi är bra.”114

Internationella cyberförsvarsövningen Locked Shields är den största av sitt slag och genom-fördes i Tallinn 2021. Övningen arrangeras årligen av NATO CCDCOE (Cooperativ Cyber Defence Center of Execellence) och 2021 deltog 30 länder och 22 lag. Av dessa 22 lag vann Blue Team 07 som bestod av svenska seniora representanter från MSB, SÄPO, Polisen.115 Övningen visar tydligt att Sverige har bra förmåga inom cyberdomänen men då inte alla värl-dens länder inte var representerad går det inte uttala sig hur Sverige skulle stå sig mot de er-kända cyberhoten som Kina och Ryssland.

Under cyberförsvarsdagen i december 2020 uttalade Daniel Fäldt från Saab att Sverige ligger på topp fem när det gäller digitalisering och enligt riksdagen och Regeringen ska vi bli bäst. Han bedömer dock vidare vad gällande cyberförsvar att Sverige ligger runt 17:de plats i värl-den.116

Uttalandet gjordes innan cyberförsvarövningen i Tallinn men troligheten av att Sveriges för-måga har ökad radikalt är liten. Därför bedöms inte Sveriges förför-måga överlägsen i cyberdo-mänen och graderingen blir således Nej.

114 Försvarsmakten,Cyberförsvar: Operationer i cyberdomänen till skydd och försvar av svenska intressen, 2020. 115 C.A.G, Sverige kom etta i världens största cyberförsvarsövning, 19 april 2021.

CCDCOE, Sweden Scored Highest at the Cyber Defense Exercise Locked Shields 2021, apr 2021, MSB, Sverige vinnare I

världens största cyberförsvarsövning, 19 april 2021.

(32)

Sida 32 av 43

4.7 Defensiva medel:

- Uttrycker Sverige ett innehav av defensiva förmågor i cyberdomänen?

Försvarsmakten ska skydda infrastruktur och skyddsvärd information i cyberdomänen. Enligt militärstrategiska doktrinen ska det ske genom verkan i cyberdomänen enskilt eller tillsam-mans med andra myndigheter, organisationer och internationella aktörer.117 Under 2019 har säkerhetspolisen, FRA och Försvarsmakten genom samverkan ökat de egna förmågorna att förebygga, upptäcka och hantera cyberattacker från kvalificerade hotaktörer. MSB har till-sammans med Försvarsmakten och Totalförsvarets forskningsinstitut fortsatt utvecklingen av en Nationell Cyber Range (NCR) som ett led i gemensam strategi för NCR.118

Den offentliga sektorn har givits hjälp till ytterligare utveckling av säkrare kommunikation och bättre skydd av känslig information.119

Utvecklandet av TDV (teknisk detekterings- och vapensystem) var ett lyckat steg framåt för Sverige då systemet kan varna för attacker inom cyberdomäner som andra varningssystem inte känner av.120

MSB anser dock att arbetet med cybersäkerhet inte har gått i samma takt som digitaliseringen, vilket över tid har inneburit en ökande risk inom cyberdomänen.121

Trots det anses Sverige inneha både förmåga och kompetens inom den defensiva delen av cy-ber och frågan ges därför graderingen Ja.

117 Försvarsmakten, Militärstrategisk doktrin – MSD 16, s.56-57.

118 MSB, Samlad informations- och cybersäkerhetshandlingsplan för åren 2019 - 2022 - redovisning 2020, s.19. 119 Ibid., s.18.

120 FRA, Årsrapport 2020 Blicken på en omvärld i förändring, s19.

References

Download now ( PDF - 43 Page - 472.76 KB )

Outline

X Uttrycker Sverige en pågående utveckling a

Related documents

Owning Life - IPR in Biomaterials : The Legal Challenge to the Patent Eligibility of Human DNA

The legal requirements needed to be satisfied in order for an invention to be considered new are stated in Article 54 of the European Patent Convention Furthermore, according

Becoming fathers: feasibility, acceptability, and exploratory efficacy of a group intervention

administered surveys at pre-test and post-test to assess for potential efficacy trends in the areas of stress, depressive symptoms, measures of father involvement, mindfulness,

Behavior of LNG vapor clouds: wind-tunnel tests on the modeling of heavy plume dispersion: final report, July 1979-September 1981, The

Combining descriptions of upwind plume extent, lateral plume extent, centerline concentration decay, and lateral concentration variation for each specific gravity

Riskkommunikation generellt exemplifierat genom branden i Halmstad 2012

ha ett expertutbyte mellan kommunen där olyckan skett och de kommuner som kan bli påverkade. Ett gott samarbete mellan de involverade aktörerna kan leda till ett bra samarbete

Best management practices for pesticide and fertilizer storage and handling

Fertilizer and pesticide facilities include: storage buildings and tanks; sites where products are unloaded, handled, and loaded into application equipment or transport equipment;

Sveriges ambassadör skriver okunnigt om afarer

Hit når inte Sidas och Sveriges bi- stånd, annat än indirekt genom stöd till den regionala organisationen IGAD som har ett särskilt program för nomadernas utveckling.. Men de

Balans eller obalans?: Mearsheimers offensiva realism i samtidens multipolära maktordning

Följande uppsats kommer därmed utgå ifrån Mearsheimers offensiva realism och försöka operationalisera och kvantifiera denna gentemot den faktiska risken för ett krig

”Det börjar bli problem att hitta offensiva, kreativa bibliotekarier”

[r]