Sida 1 av 70
Självständigt arbete (30 hp)
Författare Program/Kurs
Johan Nyström HOP
Handledare Antal ord: 20 000
Fil.dr. Linda Johansson Beteckning Kurskod
Självständigt arbete mastersuppsats, krigsvetenskap
2HO013
HUR KAN SVENSK STRATEGI FÖR CYBERSÄKERHET ANALYSERAS? - EN JÄMFÖRELSE MELLAN TVÅ OLIKA CYBERTEORIER.
Sammanfattning:
Forskningen inom cyberområdet är ett relativt nytt område och det finns en brist på cyberteorier som prövats på olika fall. Genom att jämföra de teorier som Bebber och Matania et al. har publicerat, hur en stats strategi avseende cybersäkerhet kan analyseras, kan bristen som identifierats kompletteras. Resultatet visar att både Bebber och Matania et al. kan användas i detta syfte och ger en god överblick över den svenska strategin avseende cybersäkerhet men med lite olika resultat. Resultatet är likväl samstämmigt avseende att den svenska strategin för cybersäkerhet utgår från ett passivt och robust cyberförsvar med en hög resiliens. Ett antal åtgärder har genomförts under 2019 och pågår fortfarande för att stärka den nationella cybersäkerheten. Inom Försvarsmakten finns det emellertid ett arbete att genomföra gällande att doktriner, planeringsmetoder och organisationsutveckling möter de framtida uppgifterna som ställs på cyberförsvaret.
Nyckelord:
Sida 2 av 70
Innehållsförteckning
1. INLEDNING ... 4 1.1. PROBLEMFORMULERING ... 5 1.2. SYFTE ... 5 1.3. FORSKNINGSFRÅGA ... 6 1.4. AVGRÄNSNING ... 6 1.5. CENTRALA BEGREPP ... 7 1.6. TIDIGARE FORSKNING ... 8 1.7. FORSKNINGSLUCKA ... 15 1.8. DISPOSITION ... 16 2. TEORI ... 17 2.1. RAMVERK 1, BEBBER ... 17 2.2. RAMVERK 2, MATANIA ET AL. ... 19 2.3. SAMMANFATTNING TEORI ... 22 2.4. KRITIK MOT TEORI ... 23 3. METOD OCH MATERIAL ... 24 3.1. METODANSATS. ... 24 3.2. METOD FÖR DATAINSAMLING ... 25 3.3. GENOMFÖRANDE ... 25 3.4. JÄMFÖRELSE MELLAN DE TEORETISKA RAMVERKEN ... 26 3.5. METODDISKUSSION ... 26 3.6. KÄLLMATERIAL ... 27 3.7. KÄLLKRITIK ... 28 3.8. FORSKNINGSETISKA ÖVERVÄGANDEN ... 29 3.9. OPERATIONALISERING ... 30 3.10. RELIABILITET, VALIDITET ... 33 4. ANALYS AV EMPIRI ... 34 4.1. BEBBER ... 34 4.2. MATANIA ET AL. ... 44 5. RESULTAT ... 535.1. HUR HAR SVERIGE HANTERAT STRATEGIN FÖR CYBERSÄKERHET ENLIGT BEBBERS RAMVERK? ... 54
5.2. HUR HAR SVERIGE HANTERAT STRATEGIN FÖR CYBERSÄKERHET ENLIGT MATANIA ET AL. RAMVERK? ... 56
5.3. VILKA SKILLNADER OCH LIKHETER FINNS MELLAN DE TVÅ TEORETISKA RAMVERKEN? ... 58
5.4. HUR KAN BEBBERS OCH MATANIA ET AL. OLIKA TEORETISKA RAMVERK FÖRKLARA SVERIGES STRATEGI KOPPLAT TILL CYBERSÄKERHET? ... 60
Sida 3 av 70 6. DISKUSSION ... 62 6.1. DISKUSSION ... 62 6.1. REFLEKTION ... 64 6.2. FÖRSLAG PÅ VIDARE FORSKNING ... 65 7. REFERENSER ... 66
Figurförteckning
FIGUR 1BEBBERS FÖRKLARINGSMODELL AVSEENDE CYBERMAKT ... 18FIGUR 2MATANIA ET AL. FÖRKLARINGSMODELL (FÖRFATTARENS EGEN TOLKNING) ... 22
FIGUR 3BEBBERS FÖRKLARINGSMODELL AVSEENDE CYBERMAKT ... 54
Sida 4 av 70
1. Inledning
Den moderna krigföringens utveckling går mer och mer från det storskaliga kriget till begränsade konflikter, där användandet av alternativ metod till exempel såsom krigföring genom ombud blir mer vanligt. Hybridkrigföring i en gråzon, där angrepp med militära maktmedel kombineras med påverkansoperationer och cyberangrepp, är återkommande och något som vi sett nyttjas av Ryssland bland annat i Estland (2007), Georgien (2008) och Ukraina (2013).1 Att ha en genomtänkt strategi avseende cybersäkerhet, där det är
omhändertaget hur hotet ska mötas, kan komma att spela en stor roll för att Sverige ska kunna hantera ett cyberhot från olika antagonistiska aktörer. Björn Lyrvall, generaldirektör på Försvarets Radioanstalt (FRA), säger i en intervju med TT att ”Sverige utsätts för aggressiva
cyberattacker varje dag och i den bemärkelsen befinner vi oss i ett slags gråzon redan nu”2.
Den bilden kompletteras med att SÄPO menar att främmande makt utnyttjar Coronakrisen för sin verksamhet. ”Sårbarheten ökar i samband med alla internetuppkopplingar när många
jobbar hemma,”3 säger Säpochefen Klas Friberg. En omfattande nationell strategi för
cybersäkerhet är nödvändig för att bygga upp och vidmakthålla en kompetent militär kapacitet inom cyberrymden. I denna strategi måste även samarbetet mellan berörda myndigheter regleras och tas hänsyn till. I den svenska kontexten fattade Regeringen 2017 ett beslut om en
Nationell strategi för samhällets informations och cybersäkerhet4. Denna nationella strategi
mynnar ut i ett uppdrag till Försvarsmakten, Försvarets Radioanstalt (FRA), Försvarets Materielverk (FMV), Post och Telestyrelsen (PTS), Polisen, Säkerhetspolisen och Myndigheten för samhällsskydd och beredskap (MSB) att ta fram en handlingsplan som ska omfatta åren 2019–2022.5
1 Michael Connell och Sarah Vogler, Russia’s Approach to Cyber Warfare (Arlington: CNA Analysis & Solutions, 2017).
2 Anja Haglund, ”FRA: Dagliga cyberattacker mot Sverige”, Svenska Dagbladet, 19 februari 2020, avs. Sverige, https://www.svd.se/fra-dagliga-cyberattacker-mot-sverige.
3 Ny teknik, ”Säpo varnar: Främmande makt drar nytta av coronakrisen”, Ny Teknik, åtkomstdatum 04 maj 2020, https://www.nyteknik.se/sakerhet/sapo-varnar-frammande-makt-drar-nytta-av-coronakrisen-6991927. 4 Justitiedepartementet, ”Nationell strategi för samhällets informations- och cybersäkerhet”, Skr. 2016/17:213 Regeringens skrivelse § (2017).
5 Justitiedepartementet, ”Uppdrag om en samlad informations- och cybersäkerhetshandlingsplan för åren 2019– 2022”, Ju2018/03737/SSK Regeringsbeslut § (2018).
Sida 5 av 70
1.1. Problemformulering
Sverige är ett av världens mest digitaliserade länder och det är av stor betydelse att Sverige vidtar åtgärder på informations- och cybersäkerhetsområdet för att skydda sig, samt utvecklar förmågan att agera defensivt och offensivt i cyberdomänen.6 Angrepp via cyber är en realitet
idag inom hela skalan från fred till krig och måste kunna hanteras därefter.7 Cyber är till stor
del icke kinetiskt och kan du som angripare agera dolt eller inte bli identifierad finns stora möjligheter att nå en framgång. För att omhänderta detta hot har Regeringen givit ett uppdrag att ta fram en nationell handlingsplan för informations- och cybersäkerhet under perioden 2019–2022.8 Syftet med denna plan är att höja cybersäkerheten i hela samhället. Genom att
använda Bebbers och Matania et al. olika teorier, som kan analysera en stats strategi för cybersäkerhet, kan den svenska strategin för cybersäkerhet förklaras. Detta innebär även Bebbers och Matania et al. olika teorier inbördes kan jämföras så att teoriernas förklaringsvärde jämförs med varandra. Detta kan öka förståelsen för dessa två teorier och kommer att generera kunskap om valda teorier är lämpliga att användas för denna typ av analyser. Dessutom kommer kunskap erhållas hur den svenska strategin för cybersäkerhet ser ut, vilket ej har kunnat identifierats genomförts i denna kontext tidigare.
1.2. Syfte
Syfte med studien är att jämföra de två olika cyberteorierna som är framtagna av Bebber respektive Matania et al. Genom att använda de olika teorierna som beskriver en stats strategi avseende cybersäkerhet kan två olika bilder skapas över hur Sverige har agerat gällande den nationella strategin avseende cybersäkerhet. Dessa två bilder kan i sin tur jämföras och på så sätt kan teorierna ställas mot varandra, vilket innebär att Bebber och Matania et al förklaringskraft kan jämföras mot varandra.
6 Försvarsdepartementet, ”Värnkraft - Inriktningen av säkerhetspolitiken och utformningen av det militära försvaret 2021-2025”, 14 maj 2019, 254.
7 Jonas Olsson, ”FRA: Cyberangrepp mot Sverige ökar”, SVT Nyheter, 05 januari 2019, https://www.svt.se/nyheter/fra-cyberangreppen-mot-sverige-okar.
8 Justitiedepartementet, Uppdrag om en samlad informations- och cybersäkerhetshandlingsplan för åren 2019– 2022.
Sida 6 av 70
1.3. Forskningsfråga
Givet studiens problemformulering och syfte har följande övergripande forskningsfråga formulerats:
Hur kan Bebbers och Matania et al. olika teoretiska ramverk förklara Sveriges strategi kopplat till cybersäkerhet?
Utifrån den övergripande forskningsfrågan har följande specifika forskningsfrågor formulerats:
1. Hur har Sverige hanterat strategin för cybersäkerhet enligt Bebbers ramverk?
2. Hur har Sverige hanterat strategin för cybersäkerhet enligt Matania et al. ramverk?
3. Vilka skillnader och likheter finns mellan de två teoretiska ramverken?
1.4. Avgränsning
Studien avgränsas till att omfatta de myndigheter som av regeringen fick i uppdrag att ta fram en nationell Samlad informations- och cybersäkerhetshandlingsplan för åren 2019–20229.
Dessa myndigheter är följande: Försvarsmakten, Försvarets Radioanstalt (FRA), Försvarets Materielverk (FMV), Post och Telestyrelsen (PTS), Polisen, Säkerhetspolisen och Myndigheten för samhällsskydd och beredskap (MSB). Anledningen till urvalet av myndigheter är att dessa har en central roll i strategin för cyberområdet ur ett nationellt perspektiv och därigenom utgör därigenom en bra grund för empiri.
Studien avgränsas till officiella dokument som berör ovanstående myndigheter, Materialet ska vara giltigt 2019 samt omfattar även det som publicerats fram till och med kvartal 1 2020. Anledning till avgränsning i tid är att 2019 är det år som handlingsplanen, gällande den nationella strategin för cybersäkerhet, ska börja gälla från. Studien avgränsas till att endast omfatta offentliga dokument och således kommer ingen hemlig information att behandlas.
Sida 7 av 70
1.5. Centrala begrepp
Inom cyberområdet finns det väldigt få enhälliga definitioner av begrepp. Nedanstående är de definitioner som denna studie kommer att förhålla sig till och är de mellan Försvarsmakten och FRA överenskomna definitionerna.
Cyber
”Cyber är ett samlingsbegrepp och framför allt ett prefix.”10
Cyberrymd
”Cyberrymden är den del av informationsmiljön som består av de sammanlänkade och av varandra beroende IT-infrastrukturer med tillhörande data och information. Den inkluderar internet, intranät, telekommunikationssystem, datorsystem samt inbyggda processorer och
styrenheter. Likställs med cyberspace, cybermiljön, cyberarenan och cyberrymden.”11
Cybersäkerhet
”Cybersäkerhet är den samling säkerhetsåtgärder som, riskhaneringsmetoder och tekniker som kan användas i syfte att bevara konfidentialitet, riktighet, spårbarhet och tillgänglighet i
cyberrymden.”12
Cyberförsvar
”Cyberförsvar definieras som en nations eller annan aktörs samlade förmågor och åtgärder, såväl offensiva som defensiva, till skydd för dess kritiska samhällsfunktioner samt förmågan att
försvara sig mot kvalificerade angrepp.” 13
10 Försvarsmakten, ”Begrepp avseende cyberområdet, bil 1”, 23 maj 2016, 1. 11 Ibid.
12 Ibid., 2. 13 Ibid.
Sida 8 av 70
Cyberoperation
”Verksamhet för offensiva och defensiva aktiviteter i cyberrymden. Syftet är att skydda och
försvara egen verksamhet samt försvåra eller förhindra motståndarens verksamhet.”14
Cyberattack
”Olaglig handling specifikt riktad mot en nation, organisation eller annan aktör, med avsikten att förstöra, inaktivera, förändra eller ta kontrollen över ett IT-system i aktörens
cyberinfrastruktur”15
1.6. Tidigare forskning
Inledningsvis kommer en översikt inom den tidigare forskning gällande cybersäkerhet och cyberförsvar att presenteras för att avslutningsvis övergå till att presentera olika cyberteorier som kan användas för att analysera området.
Myriam Dunn Cavelty beskriver i sin artikel Cyber-Terror—Looming Threat or Phantom
Menace att till exempel cyberhot inte kan definieras på ett tydligt och klart sätt. Hon menar att
den debatt som förs inom cybersäkerhet präglas av dramatisk retorik och alarmistiska varningar. Detta på grund av att den nya tekniken är svår att överblicka och förstå. Det finns inga tydliga konceptuella ramar, utan det är snarare att ordet cyber sätts framför något annat ord som ett prefix och genast uppstår ett antal nya uttryck som flitigt används utan att dessa har definierats. Detta har gett resultatet att inom området cyber får mångtydigheten av begreppen konsekvensen att de kan betyda i stort sätt vad som helst, det vill säga allt eller inget.16
Samuel Visner argumenterar liknande Cavelty i artikeln Cyber Security´s next agenda. Visner hävdar att det finns en utmaning kopplat till den asymmetri som råder mellan USA och utländska uppfattningar om vad cybersäkerhet. Vissa länder, framför allt Ryssland och Kina, ser cybersäkerhet som ett instrument som kan projicera makt och att cyberrymden är det egna suveräna territoriet inom vilket man kan genomföra operationer. Det finns dock en medvetenhet
14 Ibid. 15 Ibid., 3.
16 Myriam Dunn Cavelty, ”Terror—Looming Threat or Phantom Menace? The Framing of the US Cyber-Threat Debate”, Journal of Information Technology & Politics 4 (01 april 2008): 19–21.
Sida 9 av 70 hos dessa länder att genom cyberrymden kan intrång göras på andra länder suveräna territorium. Detta ställs i kontrast med det västliga perspektivet att cybersäkerhet primärt utgörs av att skydda information, informationssystem och den infrastruktur som är beroende av informationsteknologi.17 Visner menar att USA kan och ska genomföra ett arbete med att
definiera cybersäkerhets standarder och utveckla en nationell, och eventuellt en internationell, cybersäkerhets informationshantering och informations arkitektur. Detta för att kunna öka interoperabilitet mellan olika myndigheter, organisationer, privata sektorn och stater.18
I artikeln Uncertain Security Community: Building Western Cyber-Security Order menar Agne Tumkevic att de flesta nationer idag formulerar sina olika cybersäkerhets strategier men att prioriteringarna i dessa skiljer sig åt mellan olika nationer. De flesta ländernas strategier byggde på att genom hög sekretess skulle en avskräckande effekt uppnås. Osäkerheten om vilken förmåga som fanns skulle hindra en motståndare att agera inom cyber. Detta förändrades 2016 då NATO erkände cyber som en egen fristående militär domän. Detta har medfört att länder som till exempel USA, Storbritannien, Tyskland och Frankrike har ökat sin förmåga att genomföra offensivt cyberförsvar men har olika syn på hur detta ska användas.19 Trots
skillnaderna mellan de fyra länderna så finns det en konsensus om värderingar och huvudprinciper. Cybersäkerhet syftar till att säkerställa rätten till att fritt söka, ta emot, överföra, producera och sprida information på ett lagligt sätt. Detta samförstånd innebär att skydda denna rätt med dess ingående kritiska komponenter är viktigt.20 När det gäller synen på den offensiva
förmågan har Storbritannien och USA tydligt deklarerat att de kommer att använda sig av offensiva cyberförmågor i proaktivt syfte för att verka avskräckande. Tyskland strategiska inriktning är att verka genom ett förstärkt fortifierat cyberförsvar. Tyskland fokuserar därför mest på preventiva åtgärder än pro-aktivt agerande. Frankrike har inte nått samma nivå som de övriga i sin strategi för cybersäkerhet och cyberförsvar. Frankrike fokuserar på att öka medvetenheten, ökad utbildning och ett förstärkt cyberförsvar som är specifikt för Frankrike,
17 Samuel Visner, ”Cyber Security’s Next Agenda”, Georgetown Journal of International Affairs; Washington, 2013, 89.
18 Ibid., 98.
19 A. Tumkevič, ”Uncertain Security Community: Building Western Cyber-Security Order”, Journal of Information Warfare; Yorktown 17, nr 1 (2018): 74.
Sida 10 av 70 men har mindre gemensamt med den proaktiva strategin som Storbritannien och USA representerar.21
I artikeln EU and NATO cybersecurity strategies and national cyber security strategies: a
comparative analysis som publicerades 2016 har samtliga EU-länders och NATO-länders
nationella cybersäkerhets strategier analyserats. Artikeln presenterar att 11 länder inte hade någon nationell strategi för cybersäkerhet, Sverige är dock inte med de 11 länderna som räknas upp. 18 länder har separata målsättningar med den nationella strategin. Vissa länder har endast tre målsättningar men det finns länder som har upp till 13. Bland dessa 18 länder finns det inget land där de nationella målsättningarna helt överstämmor med de som EU och NATO har kommit fram till gällande cybersäkerhet. De största olikheterna gällande målsättningar finns i de länder som är medlem i NATO men står utanför EU.22 Det som är de mest frekventa
målsättningarna som förekommer i de 18 nationerna är inom dessa ämnen: proportionalitet, internationellt samarbete, tydliga lagar och ansvarsfördelning, ansvar, grundläggande rättigheter och friheter, riskhantering och integrering inom staten.23 Dock råder det en stor
oenighet hur dess målsättningar omhänder tas och presenteras. Artikeln nämner Estland, Italien, Lettland, Spanien, Storbritannien och USA som länder där den nationella strategin för cybersäkerhet är mest utvecklad.24 Artikeln kompletterar den bild som Tumkevic presenterar
att flesta nationer idag formulerar sina olika cybersäkerhets strategier men att prioriteringarna i dessa skiljer sig åt mellan olika nationer.
Gällande cyberförsvar så är huvuddelen av den identifierade forsningen inriktad på hur USA och NATO har valt att förhållas sig till cyberdomänen. Denna forskningen inom cyber kan delas in i två olika läger enligt Cilluffo och Clark. Den ena sidan argumenterar att genom cyberteknologin kan avgörande strategiska fördelar uppnås. Cyber som område kommer att förändra det synsätt som vi har på krigföring. Den andra sidan hävdar att inga strategiska fördelar finns eller kommer att finnas som enbart beror på cyber. Cyber förändrar inget gällande
21 Ibid., 84.
22 Darius Štitilis, Paulius Pakutinskas, och Inga Malinauskaitė, ”EU and NATO Cybersecurity Strategies and National Cyber Security Strategies: A Comparative Analysis”, Security Journal; London 30, nr 4 (oktober 2017): 1159,1166.
23 Ibid., 1163. 24 Ibid., 1166.
Sida 11 av 70 synsättet på krigföringen.25 För att komma bort från denna debatt argumenterar författarna att
det måste det tas fram ett konceptuellt ramverk som innehåller de tre gemensamma punkterna som båda lägren argumenterar inom. Dessa tre punkter är strategisk teori, den politiska viljan och medvetenhet om den operativa kontexten. Författarna menar att cyber i den operativa kontexten är väldigt lik den marina domänen.26
Cilluffo och Cardash argumenterar för även om cyber anses vara en egen domän är det en lång väg kvar att utveckla doktriner, policys mm för att omhänderta den komplexa verklighet oms detta innebär. Författarna trycker på vikten av internationellt samarbete för att kunna nå effekt. USA kan inte göra detta ensamma. Internet innebär en stor möjlighet för USA:s motståndare att skaffa sig fördelar gällande tex rekrytering, doktrinerna, radikalisera, skapa influenser, kommunicera mm. Det finns tre element som utgör kärnan i cyberdomänen: teknik, politik och människor.27
Libicki däremot skriver i sin artikel att cyber inte är att anse som en egen domän. Han menar på att i begynnelsen existerade bara land men efter att upptäckten av båtar tillfördes sjö. För ett århundrade sedan tillfördes luft till listan och rymden tillkom efter ytterligare en tid. De senaste 25 åren har givit upphov till att det utvecklats ytterligare en domän: cyber, detta då den explosion som skett inom digitalisering och ständigt uppkopplade nätverk behövde omhändertas. Cyber har enligt den allmänna uppfattningen blivit den domän som binder övriga samman och är den främsta domänen ”the one domain to rule them all and in the ether bind
them”28. Libicki argumenterar för detta påstående inte stämmer. Han menar att cyber är ett
formbart medium som är tillverkat av mänskan och kan därför inte anses vara en fysisk domän. Det finns inget manöverutrymme i cyber, utan cyber består av en multipel miljö som existerar samtidigt. Den multipla miljön kan delas in i din egen, motståndarens och alla andras (publika miljön). Cyberoperationer som genomförs är beroende av att använda den publika miljön för
25 F. J. Cilluffo och J. R. Clark, ”Building a Conceptual Framework for Cyber’s Effect on National Security”, Journal of Information Warfare; Yorktown 15, nr 2 (2016): 1.
26 Ibid., 3.
27 Frank Cilluffo och Sharon Cardash, ”Cyber Domain Conflict in the 21st Century”, The Whitehead Journal of Diplomacy and International Relations 14, nr 1 (2013): 41.47.
28 Martin C. Libicki, ”Cyberspace Is Not a Warfighting Domain”, I/S: A Journal of Law and Policy for the Information Society 8 (2013 2012): 322.
Sida 12 av 70 att nå motståndaren och miljön förändras över tiden så att nyttja Internet för militära operationer har ett begränsat värde. Det spelar ingen roll hur duktiga hackers är, om ett nät är helt avskilt från omvärlden.29
Whyte och Mazanec tar i sin bok Understanding Cyber Warfare upp en farhåga att västliga länder låser fast vid cyber som en domän och blir begränsade i sitt sätt att tänka. Icke västliga länder har istället utvecklat koncept för att hantera cyber i en konflikt utan att skapa parallella organisationer som tex USA har gjort med US Cyber Command. Författarna beskriver de utmaningar som USA, Storbritannien och NATO har ställts inför gällande införandet av cyber som egen domän.30
Colin S. Gray skriver i sin rapport Making Strategic Sense of Cyber Power: Why the Sky is Not
Falling att cyberrymden numera är en erkänd domän, men teorin som kan förklara det ur en
strategisk synvinkel saknas till stor del. Gray försöker att svara på frågan ”So what” och menar på att cyberrymden är en viktig möjliggörare i gemensamma operationer och att cyberrymden som konstruerad miljö blir vad vi gör den till.31 Fyra breda slutsatser är enligt Gray övertygande
för närvarande. Ett, cybermakt kommer att visa sig mest användbar eller farliga för oss som en möjliggörare i gemensamma militära operationer. Skräckscenarier av fristående så kallade ”strategiska” cyberattacker är inte sannolika att de inträffar. Två, om offensiva cyberförmågor används för att nå framgång, är det osannolik att dessa kommer innebära att den skada som dessa gör innebär en dödlig utgång. Cyber är ett engångsvapen som inte kan återanvändas då cyberförsvaret borde visa sig tillräckligt bra. Tre, det gäller att komma ihåg att cyber är endast information och det finns mycket mer att ta hänsyn i konflikter och krigföring. Information i sig är inte något som leder till strategisk framgång eller misslyckande men kan vara en viktigt del. Fyra, det råder en brist på genomtänkta strategiska tankar inom cyberområdet och trots att ”Cybergeddon” i form av katastrofscenarier som framställas av media är det fullständigt klart att himlen inte kommer att ramla ned på grund av cyberhotet. När väl vördnaden för denna tekniska nyhet har släppt kommer det inses att detta är som vilken som helt av de strategiska
29 Ibid., 322–24.
30 Christopher Whyte, Understanding Cyber Warfare: Politics, Policy and Strategy / Christopher Whyte and Brian Mazanec. (London ; New York: Routledge, 2019).
31 Colin S. Gray, ”Making Strategic Sense of Cyber Power: Why the Sky Is Not Falling” (Carlisle, PA: Army War College Carlisle Barracks PA Strategic Studies Institute, 2013), iii.
Sida 13 av 70 utmaningarna som möts tidigare. Hela den strategiska historian talar om för oss att: Visa respekt för teknisk utveckling, men få inte panik.32 Gray argumenterar för att cyber är något som många
strateger, med en bristande teknisk bakgrund, väljer att distansera sig från. Strategisk teori av hög kvalitet om cyber finns helt enkelt inte i litteraturen under 1990-talet och i de flesta fall inte heller i den som är skriven på 2000-talet. Men anledning av denna brist så är huvuddelen av den publicerade litteraturen av teknisk karaktär och taktiska bedömningar i stället för strategiska överväganden.33 Gray menar att förståelsen för cyber är hög på teknisk och taktisk
nivå, men den förblir tydligt rudimentär när man går upp på abstraktionstrappan via operationer till de mer sällsynta höjderna i strategi och politik. Cyber behöver omhändertas i en kontext och därefter förstås på strategisk nivå.34
Robert Ghanea-Hercock argumenterar i sin artikel Why Cyber Security is hard att det finns en brist på förståelse för cybersäkerhet som bygger bland annat på ett tidigare nativt tänk. Ghanea-Hercock menar att offensiven alltid har en fördel mot defensiven i cyberrymden genom cyberrymdens geografi. Det behövs bara att det finns ett enstaka fel i ett nätverk eller att en process misslyckas så kan en framgångsrik attack genomföras. Det finns inte längre någon av och på knapp när det gäller cyberrymden. För att förstå cybersäkerhet skulle ett angreppsätt vara att använda sig av en spel-teoretisk approach motsvarande det som tagits fram som ett strategiskt verktyg för att förstå kalla krigets kärnvapenproblematik. Studier med spel-teori som grund är ett mycket bra sätt att förstå ett uppträdande som bygger på fördelar och nackdelar när det kommer till beslut fattade av individer. Det som nu finns i cyberdomänen är ett antal goda och illvilliga aktörer och det finns flera vägar för att kunna genomföra en attack än att det finns sätt att försvara sig på. Detta innebär att det sker en samtida utveckling där varje försvarsstrategi följs upp med motsvarande strategier för attacker. Genom att nyttja sig av spel-teori kan dessa användas till att prioritera aktiviteter inom cyberförsvaret. Det finns dock en modelleringsrisk att ta hänsyn till motsvarande den svarta svanen eftersom det kan finnas faktorer som har extrem påverkan eller är mycket svåra att bedöma när det gäller historik, forskning, ekonomi och
32 Ibid., 12–14. 33 Ibid., 6–8. 34 Ibid., 52.
Sida 14 av 70 teknologi. Oaktat detta så kan spel-teori användas för att strategisk utveckling av cyberförsvar.35
Robert Bebber har i sin artikel Cyber power and cyber effectiveness: An analytic framework utarbetat ett eget koncept för att kunna förklara vilken strategi en stat har valt gällande cybersäkerhet. Bebber bygger sin cyberteori på litteratur från bland annat Murray som avhandlar militärmakt och militäreffektivitet. Det framtagna teoretiska ramverket behandlar hur en värdering och jämförelse kan ske gällande cybermakt och den effektivitet som cyber har. Bebber har i sitt ramverk tagit fram fem olika variabler som påverkar en stats potentiella cybermakt. Dessa variabler är Government, Society & Culture, Economy, Military och International. Genom att använda sig av ovanstående variabler så kan en stats cybermakt förklaras som är ett sätt att påvisa den gällande strategin för cybersäkerhet.36
Matania et al. har i sin artikel A Three-Layer Framework for a Comprehensive National
Cybersecurity Strategy tagit fram cyberteori som genom ett tre-lagers ramverk kan analysera
en stats strategi på cybersäkerhet. Författarna menar att det finns ett problem med den nuvarande systematiken som används för att analysera cyber. De menar att cyber till största del analyserats ur ett hotperspektiv med tekniken i centrum och ett fokus på organisation. Teorin bygger på egna erfarenheter och insikter som kommit fram i Israels egen utveckling inom cyberområdet samt de senaste tre årens nationella cyberstrategier hos ledande länder.37
Sammanfattning av tidigare forskning
Den tidigare forskningen påvisar att det finns en polariserad bild över både området cybersäkerhet och den ingående delen cyberförsvar. Bilden som Cavelty presenterar, att det saknas tydliga konceptuella ramar och att definitioner inom cyber inte är tydligt fastställda, stödjs av Štitilis, Pakutinskas, och Malinauskaitė artikel med att 11 länder av de som ingår i
35 Robert Ghanea-Hercock, ”Why Cyber Security Is Hard”, Georgetown Journal of International Affairs; Washington, 2012, 81–83.
36 Robert Bebber, ”Cyber Power and Cyber Effectiveness: An Analytic Framework”, Comparative Strategy; New York 36, nr 5 (oktober 2017): 426.
37 Eviatar Matania, Lior Yoffe, och Michael Mashkautsan, ”A Three-Layer Framework for a Comprehensive National Cybersecurity Strategy”, Georgetown Journal of International Affairs; Washington 17, nr 3 (Fall 2016): 77–78.
Sida 15 av 70 NATO eller EU saknar en strategi för cybersäkerhet och att ingen av länderna har målsättningarna som helt överstämmor med EU och NATO. Även Visners artikel, där det enligt honom råder en asymmetri mellan Väst och Öst gällande uppfattning om cybersäkerhet, och det som Whyte och Mazanec tar upp, det vill säga att väst låser vid cyber som en domän, bidrar till att starka uppfattningen om att bilden är polariserad och inte enstämmig. Gray menar att det finns en lucka i den befintliga teorin som kan förklara cyber ur ett strategiskt perspektiv. Det finns inte tillräckligt med litteratur som är av hög kvalitet skriven på 1900- samt 2000-talet och den litteratur som finns är ofta av teknisk karaktär eller taktiska bedömningar istället för på strategisk nivå. Förståelsen för cyber är tydligt rudimentär när man går upp på abstraktionstrappan via operationer till de mer sällsynta höjderna i strategi och politik. Cyber behöver omhändertas i en kontext och därefter förstås på strategisk nivå. Ghanea-Hercock försöker ta höjd för den brist på teori som finns enligt Gray genom att återanvända spel-teori som nyttjats i forskning gällande kalla kriget och kärnvapen kan dessa användas för att förstå cybersäkerhet. Det finns dock en modelleringsrisk med detta då det kan finnas faktorer som har en extrem hög påverkan eller som är mycket svåra att bedöma som gör att utfallet blir missledande. Vid litteratursökningen under den tidigare forskningen identifierades två olika cyberteorier som avhandlar hur en stats strategi för cybersäkerhet kan analyseras. Bebber har utarbetat ett koncept som bygger i grunden på studier avseende militärmakt och militäreffektivitet. Det framtagna teoretisk ramverket behandlar hur en värdering kan ske gällande cybermakt och den effektivitet som cyber har. Bebber har i sitt ramverk tagit fram fem olika variabler som påverkar en stats potentiella cybermakt. Matania et al. tagit fram ett teoretiskt ramverk som innefattar en tre-lagers modell som kan analysera en stats strategi på cybersäkerhet. De menar att cyber till största del analyserats ur ett hotperspektiv med tekniken i centrum och ett fokus på organisation och Matania et al. modell angriper problemet på ett annat sätt. Dessa två olika teorier bidrar till att minska den lucka som Gray menar finns gällande cyberteori.
1.7. Forskningslucka
Det finns en polariserad bild inom den nuvarande forskningen hur cyber och cybersäkerhet ska förstås. En lucka som identifierats är brist på förklaringsmodeller som kan användas för att analysera en stats strategi för cybersäkerhet. I forskningsöversikten har tre olika modeller identifierats. Ghanea-Hercock som föreslår att återanvända spel-teori från kalla krigets analyser av kärnvapennationer samt Bebber och Matania et al. som
Sida 16 av 70 har presenterat nya teorier hur en analys av en stats strategi av cybersäkerhet kan genomföras. Bebber och Matania et al. har vissa likheter men är olika till sitt sätt. Bebber gör ett försök att genom ett antal olika variabler påvisa en stats potentiella cybermakt medan Matania et al. har i sin modell valt att se på cybersäkerhet ur ett systematiskt synsätt med tre lager som kommer i turordning och testas därefter. Genom att jämföra dessa två teorier kan förklaringsvärdet hos dessa teorierna prövas. Teoriernas likheter och skillnader kan belysas genom en jämförelse. Vilken teori kan förklara en stats strategi gällande cybersäkerhet på bästa sätt? En sådan jämförelse har ej kunnat identifierats och studien bidrar till en ökad förståelse för olika teoriers förklaringskraft inom området cybersäkerhet.
1.8. Disposition
Studien är uppdelad i sex kapitel. Inledningsvis i detta kapitel presenteras studiens problemformulering, syfte och frågeställning. Även tidigare forskning och centrala begrepp ingår i detta kapitel. I kapitel 2 redogörs för de valda teorierna som dessutom sammanfattas och kritiseras. Kapitel 3 omfattar en beskrivning av den metod som studien bygger på, vilka överväganden och val som gjorts, samt en operationalisering av teorierna följt av en diskussion avseende validitet och reliabilitet. Därefter analyseras empirin utifrån de olika teorierna i kapitel 4 för att studiens frågeställning besvaras i kapitel 5. Avslutningsvis i kapitel 6 diskuteras studiens resultat och en reflektion genomförs samt förslag på vidare forskning presenteras.
Sida 17 av 70
2. Teori
Syftet med teorikapitlet är att skapa ett teoretiskt verktyg där den insamlade empirin kan analyseras utifrån studiens forskningsfrågor. Det teoretiska verktyget kommer att bygga på två olika teoretiska ramverk som ska förstås var för sig. Det första ramverket omfattar Bebbers teori om att en stats strategi för cybersäkerhet kan förklaras genom att analysera den potentiella cybermakt som kan projiceras utifrån fem olika variabler.38 Det andra ramverket omfattar
Matania et al. om att en stats strategi för cybersäkerhet kan förklaras genom att systematiskt analysera tre olika lager i tur och ordning.39 De två teoretiska ramverken genererar var för sig
analysverktyg med olika perspektiv på hur en stats strategi avseende cybersäkerhet ser ut. Dessa två analysverktyg används senare, efter genomförd operationalisering, i den empiriska undersökningen i denna studie.
2.1. Ramverk 1, Bebber
Bebber har i sin artikel Cyber power and cyber efectiveness: An analytic framework utarbetat ett teoretiskt ramverk för att analysera en stats potentiella cybermakt och vilken grad av effektivitet som en stat kan uppnå gällande cyber. Bebber bygger sin teori på litteratur från Murray med flera som avhandlar militärmakt och militär effektivitet. Han menar att cybermakt är ”förmågan att genomföra något meningsfullt i cyberrymden”40 och definierar potentiell
cybermakt som ”tillgängliga mänskliga och materiella resurser inom en strategisk miljö som
kan användas för att generera effekt i cyberrymden”41. Cybereffektivitet menar Bebber är
förmågan att översätta cybermakt till att omhänderta de nationella målen inom cyberområdet.42
Potentiell cybermakt är sammansatt av ett antal variabler, som i sin tur ligger bakom den strategiska miljön.43 Potentiell cybermakt kan likställas med cybersäkerhet och Bebber listar
ett antal variabler som påverkar en stats potentiella cybermakt. Dessa variabler beskrivs i bilden nedan.
38 Bebber, ”Cyber Power and Cyber Effectiveness”.
39 Matania, Yoffe, och Mashkautsan, ”A Three-Layer Framework for a Comprehensive National Cybersecurity Strategy”.
40 Bebber, ”Cyber Power and Cyber Effectiveness”, 427. 41 Ibid.
42 Ibid. 43 Ibid.
Sida 18 av 70
Figur 1 Bebbers förklaringsmodell avseende cybermakt44
De olika variablernas innebörd förklaras enligt nedan:
Government innebär hur den politiska styrningen sker vid nyttjande av cybermakt. Vilka målsättningar och medel tillhandahålls från politiskt håll samt hur dessa är fördelade mellan olika myndigheter.45
Society & Culture innebär hur en stat ser på tillgänglighet avseende information. Vilken nivå av reglering på tillgänglighet ska finnas. Ideologi och nationella mål spelar en stor roll i synsättet på hur cyber nyttjas i en konflikt. Detta hör ihop med synen på nationell kritisk infrastruktur. Vilken grad av statlig ägd infrastruktur finns samt hur skyddas den. Är det reglerat avseende hur hot ska omhändertas och vilken inbyggd resiliens finns det i systemen? Hur både det passiva och aktiva försvaret av den kritiska infrastrukturen är uppbyggd för att undvika att en katastrof inträffar återfinns i denna variabel.46
Economy avser på vilken nivå en stats inhemska industri har på teknikutvecklingen inom cyber. Finns det egna resurser inom landet eller måste system köpas utomlands med risk för att den efterfrågade tekniken ej är tillgänglig. Styr staten teknikutvecklingen på något sätt? Denna förmåga är kritisk för att en stat kan försörja de egna styrkorna och möjliggöra för cybermakt.47
44 Ibid. 45 Ibid., 428. 46 Ibid., 427–28. 47 Ibid., 428.
Sida 19 av 70 Military omhändertar doktrinutveckling, organisationsstruktur, resursallokering och strategi hos militären. En viktig aspekt på detta är hur ledning och lydnadsförhållanden ser ut på alla nivåer samt i vilken utsträckning som cyberoperationer är omhändertagen i övriga militära operationer. Variabeln indikerar även hur regeringen styr eventuell teknikutveckling i form av statlig finansierade teknikprojekt men även hur nationella utbildningssystem används för att utveckla förmågan inom cyberområdet. Även vilken roll den nationella CERT48, som är den
organisation som stödjer samhället med att hantera och förebygga IT-incidenter, har ingår i denna variabel. 49
International avser hur globala normer, internationell lag och allianser påverkar hur en stat förhåller sig till cyber. Tex globala normer har en påverkan på en stats effektivitet både som en begränsning men även som en möjlighet genom att en stat kan sätta sina egna normer om är till den egna fördelen. Även hur olika partnerskap och allianser som tex NATO är påverkande faktorer som indikerar en stats möjlighet att projicera cybermakt.50
Genom ovanstående olika variabler som förklarar en stats cybermakt kan dessa ytterligare brytas ned så att en analys kan ske ur ett effektivitetsperspektiv, detta för att kunna jämföra två eller flera stater med varandra. Detta kommer ej att genomföras i denna studie då studien avser att jämföra två teorier med varandra. Den nedbrytning som sker i detta steg har inarbetats i de övergripande variablerna ovan.
2.2. Ramverk 2, Matania et al.
Matania et al. har skapat ett ramverk där en stats strategi för cybersäkerhet kan analyseras. Det är ett problem med den nuvarande systematiken som använts för att analysera cyber enligt författarna. Cyber har till största del analyserats ur ett hotperspektiv med fokus på organisation eller nätverk med tekniken i fokus samt så har många utryck setts ur prismat nationell säkerhet
48 Myndigheten för samhällsskydd och beredskap, ”Om CERT-SE − www.cert.se”, åtkomstdatum 07 april 2020, https://www.cert.se/om-cert-se.
49 Bebber, ”Cyber Power and Cyber Effectiveness”, 429–31. 50 Ibid., 429.
Sida 20 av 70 med lånade utryck från militära koncept.51 För att möte behovet av en systematisk approach att
analysera utvecklingen av nationell strategi för cybersäkerhet har Matania et al. tagit fram ett ramverk som bygger på tre års erfarenheter hur bland annat Israel har hanterat detta.
Som en grund till ramverket fastställer författarna tre grundläggande egenskaper som cyber har. Ett, eftersom cyber är tillverkad av människan och består av datorer, nätverk och system finns det inga ingenmansland eller territoriella gränser att ta hänsyn till. Två, cyberhotet tar ingen hänsyn till nationsgränser. En aktör nyttjar de vägar som finns oberoende på hur dessa går rent fysiskt. Det finns idag ingen möjlighet att skilja ”god” och ”ond” kommunikation i cyber när den passerar landsgränser. Allt eftersom cyber expanderar och utvecklas ökar komplexiteten i topologin, vilket innebär att det troligen aldrig kommer att gå ta fram en lösning som kan stoppa ”ond” kommunikation vid en fysisk gräns. Tre, cybersäkerhet kan inte överblickas för en organisation. För att kunna hantera cyber måste det ske samordning och synkronisering mellan alla ingående delar. Ett holistiskt synsätt är väsentligt. Dessa tre egenskaper är vitala att ta hänsyn till vid beslutsfattande som gäller nationell cybersäkerhet. 52
Utifrån detta har Matania et al. tagit fram tre lager som kan användas för att belysa en stats cyberförmåga.
Lager 1 Robusthet, används för att påvisa en stats förmåga till att avvisa och innesluta cyberhot. Formellt definieras robusthet som ”förmågan till att agera utan att misslyckas i brett spektrum
av olika förhållanden”53 Eftersom organisationer är de elementära delarna i den nationella
cyberdomänen är robusthet kopplat till en organisations förmåga att självständigt och med kontinuerlig beredskap mildra eller stå emot hot. Robusthet kan delas in i tre olika kategorier, (1) Organisatoriska processer som innehåller bland annat riskbedömning som utgör en bas
för hur resurser ska allokeras, inköp av material, framtagande av policys.
(2) Teknisk utveckling som minskar sannolikheten för en framgångsrik attack eller att väsentlig skada uppstår. Detta genom tex nätverkssegmentering, åtkomstkontroll, datakryptering med mera.
51 Matania, Yoffe, och Mashkautsan, ”A Three-Layer Framework for a Comprehensive National Cybersecurity Strategy”, 77.
52 Ibid., 78. 53 Ibid., 79.
Sida 21 av 70 (3) Procedurer som fokuserar på mänskliga faktorer som kan begränsa att olyckor eller att angrepp sker inifrån. Detta genom medvetenhet och klassificering av anställda samt utbildning av anställda.
Lager 1, robusthet, kan sammanfattas som den systematiska förmågan att avvisa och innesluta hot inom cyberdomänen genom att använda en stats olika organisationer. 54
Lager 2 Resiliens, då den robustheten har sina begränsningar eftersom den bygger på mekanismer och tekniskt förförande som baseras på riskbedömning. Detta kan innebära att den robustheten blir statisk och följaktligen måste ytterligare lager tillföras. Resiliens bygger på att det finns en förmåga att upptäcka hot, förhindra dess spridning eller åtminstone begränsa den samt att se till att det inte händer igen. För att öka nationell resiliens finns det fyra faktorer som bör implementeras:
(1) Skapa en medvetenhet om händelser eller indikationer som möjliggör att fenomen som uppstår kan identifieras och en prioritering av åtgärder kan genomföras.
(2) Skapa en analyskapacitet som möjliggör för djupa analyser och förståelse för händelser som inträffar
(3) Se till att det finns säkra kommunikationsvägar för att dela information och underrättelseprodukter som det går att agera på.
(4) Hantera incidenter genom att agera proaktivt för att förneka attacker eller återhämta sig från en attack tillsammans med andra organisationer eller privata aktörer.
Lager 2 kan sammanfattats som den resiliens som krävs för att motstå de händelsestyrda åtgärder som en stat utsätts för. Detta för att identifiera, mildra och återhämta sig från cyberattacker så att skadorna kan minimeras och den systematiska kontinuiteten kan behållas så länge som möjligt.55
Lager 3 Försvar, om de båda lagren robusthet och resiliens har nyttjats på ett bra sätt så bör de omhänderta de flesta cyberattackerna. Emellertid kan en aktör med avsikt att skada noggrant övervaka sitt mål under lång tid i syfte att kringgå eller överlista. Detta kan innebära att om attacken upptäckts och stoppas så finns det vanligtvis ingen förmåga att slå tillbaka och förneka motståndaren nya försök. Kopplas detta till ihållande cyberattacker, spelar det ingen roll hur
54 Ibid. 55 Ibid., 80–81.
Sida 22 av 70 hög beredskapen är eller hur mycket händelsestyrd kapacitet man har. Det tredje lagret försvar fokuserar på den mänskliga faktorn hos motståndaren genom nationella operativa förmågor som är inriktade på angriparen. Dessa förmågor har stora likheter med övriga områden som berör den nationella säkerheten t. ex system för förvarning, processer, rättsliga ramverk, proaktiva medel för att avskräcka och besegra fientliga angripare och så vidare. Lager 3 Försvar kan sammanfattas som nära kopplat till andra åtgärder, som vidtas av försvars- och underrättelsetjänster, som identifierar cyber som domän som utvecklas inom krigföringen och kräver adekvata vapen, förmåga att samla in underrättelser och avskräckande kapacitet.56
2.3. Sammanfattning teori
De två olika teoretiska ramverken har olika angreppsätt att förklara en stats strategi avseende cybersäkerhet. Bebber gör ett försök att genom ett antal olika variabler påvisa en stats strategi avseende cybersäkerhet. Variablerna påverkar en stats strategi avseende cybersäkerhet genom att variablerna påvisar vilken cybermakt en stat kan projicera. Matania et al. har i sin modell valt att se på cyber ur ett systematiskt synsätt med tre lager som kommer i turordning och testas därefter. Genom att testa dessa lager kan det en stats strategi avseende cybersäkerhet analyseras. Vid en översiktlig jämförelse hur de olika teorierna är uppbyggda så är Bebbers teoretiska ramverk uppbyggd men fem variabler som tillsammans bygger strategin för cybersäkerhet. Matania et al. teoretiska ramverk är uppbyggd på tre lager som i turordning bygger strategin för cybersäkerhet. Genom att i kapitel 3 operationalisera de två olika teoretiska ramverken kan studiens frågeställning besvaras och en jämförelse mellan de olika teoretiska ramverken ske.
56 Ibid., 81. Cyberhot & Cyberangrepp
Lager 3
Försvar
Lager 2
Resiliens
Lager 1
Robusthet
Sida 23 av 70
2.4. Kritik mot teori
Bebbers bygger sitt ramverk på forskning inom militär effektivitet som grund. Han använder sig av kända forskare som bland annat Allan R. Millett och Williamson Murray men väver in delar från Colin S Grey.57 Den teoretiska modellen som är framtagen lämpar sig bäst för
jämförelse mellan två olika stater då dessa kan ställas mot varandra vilket inte kommer att ske i denna studie.58 Detta kommer inte att påverka resultatet i studien då syftet inte är att jämföra
två fall utan att jämföra två olika teorier. Det har dock inte gått att identifiera något tidigare forskning som försöker att nyttja detta ramverk, vilket innebär att denna är att anse som ej prövad.
Matania et al. bygger sitt ramverk mycket utifrån egna erfarenheter och synsätt. Författarna hävdar att det framtagna teoretiska ramverket bygger på omfattande studier inom nationell säkerhetsstrategi kopplat till cyberforskning.59 Detta påstående styrker dock författarna inte i
sin artikel då det finns inga referenser till tidigare forskning. Artikeln innehållande det teoretiska ramverket har dock genomgått peer review och är publicerad i Georgetown Journal
of International Affairs60 som är en ansedd tidskrift inom området. Samma sak gäller för detta
ramverk. Det har dock inte gått att identifiera något tidigare forskning som försöker att nyttja detta ramverk vilket innebär att denna är att anse som ej prövad.
De båda teoriernas fördelar är att de kan användas för att analysera en stats strategi avseende cybersäkerhet. Detta genom att använda ett antal olika variabler eller lager som författarna presenterar. Den negativa sidan med detta är att både teorierna är av generell natur och det kommer krävas en omfattande operationalisering av teorierna för att på ett adekvat sätt kunna undersöka empirin.
57 Bebber, ”Cyber Power and Cyber Effectiveness”, 436. 58 Ibid., 426.
59 Matania, Yoffe, och Mashkautsan, ”A Three-Layer Framework for a Comprehensive National Cybersecurity Strategy”, 78.
60 ”Georgetown Journal of International Affairs - Georgetown Journal of International Affairs”, åtkomstdatum 17 februari 2020, https://gjia.georgetown.edu/.
Sida 24 av 70
3. Metod och material
3.1. Metodansats.
Denna fallstudie kommer att jämföra hur Bebbers och Matania et al. olika teoretiska ramverk kan användas och hur väl de kan förklara en statsstrategi avseende cybersäkerhet. Detta kommer att ske på ett fall (Sverige), för att se om hur Sverige valt att hantera strategin avseende cybersäkerhet utifrån de valda teorierna. Ansatsen i denna studie kommer vara teoriprövande för att kunna genomföra en jämförelse, vilket innebär att studien har två olika teorier som prövas på det empiriska materialet.61
Studien kommer att genomföras med en deduktiv ansats. I kontrast till det induktiva kommer studien att först konstruera en teoribaserad karta genom att definiera variabler utifrån de valda teorierna som i sin tur kan appliceras på empirin.62 Givet denna inriktning på studien är det
lämpligt att välja en hypotetisk-deduktiv metod där de två teorierna prövas på det empiriska materialet. Detta sker genom att Bebber och Matania et al. olika teorierna operationaliseras så att ett antal indikatorer tas fram för att användas i den efterföljande analysen. Syftet är att samla in data och analysera resultatet för att kunna jämföra de två olika teorierna.63 Det är de aktuella
teorierna som står i centrum och inte fallet, så slutstenarna kommer i studien bli av karaktären att teoriernas förklaringsvärde kan stärkas eller försvagas när de jämförs med varandra.64
Ett alternativt angreppssätt som skulle kunna nyttjas i denna studie är ett induktivt angreppsätt. Genom ett induktivt angreppsätt studeras fallet utifrån ett antal olika observationer och försöker att förfina, förklara eller förändra det teoretiska ramverket.65 Ett exempel som ofta används är
att påstå att alla svanar är vita efter att ha observerat ett stort antal svanar, dock innebär detta induktiva förhållningssätt ett problem då det finns svarta svanar men dessa är inte observerade.
61 Peter Esaiasson et al., Metodpraktikan: konsten att studera samhälle, individ och marknad., Femte upplagan (Stockholm: Wolters Kluwer, 2017), 41.
62 Alexander L. George och Andrew Bennett, Case Studies and Theory Development in the Social Sciences, BCSIA Studies in International Security (Cambridge, Mass. ; London: MIT, 2005), 244.
63 Matthew David och Carole D. Sutton, Samhällsvetenskaplig metod, 1. uppl. (Lund: Studentlitteratur, 2016), 23.
64 Esaiasson et al., Metodpraktikan, 41.
Sida 25 av 70 Ovanstående exempel utgör ett induktivt moment där vi kan påvisa att det inte stämmer för den provisoriska teorin inte håller. Det vill säga skapandet av teori med empiri som grund misslyckas.66 Den induktiva ansatsen är av teoribyggande karaktär, där teorin utvecklas genom
empirisk forskning, detta i syfte att förstå hur teorin fungerar och kan utvecklas. Av naturliga skäl blir det svårt att använda detta i en teorijämförande ansats. Detta angreppsätt lämpar sig väl om syftet är att förstå och förklara de olika teorierna samt hur dessa kan utvecklas vilket inte är fallet med denna studie.67
3.2. Metod för datainsamling
Studien kommer att genomföras med en kvalitativ metod i form av kvalitativ textanalys av nutida offentliga dokument som kan anses vara representativa för det undersökta fallet. Analys av den valda empirin har skett genom noggrann läsning vilket syftar till att skapa en helhet och förståelse för textens mening och sammanhang.68 Genom detta angreppsätt kan helheten i
texten fångas och det centrala i empirin kan fångas in. Det eftersökta innehållet i en text kan ligga dolt under ytan och kommer tas fram med hjälp av de framtagna analytiska verktygen, som de två teoretiska ramverk representerar.69 De två framtagna analysverktygen har nyttjats
för att avgränsa empirin till att omfatta det som är relevant för studien.
3.3. Genomförande
Studien kommer att genomförs enligt följande. Inledningsvis kommer de valda teorierna operationaliseras för att möjliggöra att två analysverktyg tas fram. Vid en kvalitativ textanalys så är mening och meningsskapande processer intressanta. Att ställa frågor om hur olika aktörer inramar fenomen, frågor och skeenden är ett vanligt tillvägagångssätt.70 I denna studie kommer
de framtagna analysverktygen utgöra grunden för den textanalys som kommer att genomföras.
66 David och Sutton, Samhällsvetenskaplig metod, 104. 67 Ibid., 146.
68 Esaiasson et al., Metodpraktikan, 211. 69 Ibid., 212.
Sida 26 av 70 Detta sker genom aktiv läsning, där frågor framtagna i analysverktygen systematiskt besvaras för undersöka vad texten vill poängtera.71
Därefter kommer empirin att prövas genom analysverktygen för att försöka svara på studiens delfrågor. Empirin utgörs av texter och dokument som bedömts vara relevanta för fallet och möjliggör en teoriprövande ansats. Genom detta kan det väsentliga innehållet tas fram genom att texten olika delar, helhet och i vilken kontext den återfinns i läses noggrant med analysverktygen som grund.72 De två framtagna analysverktygen, sprungna ur de två teorierna,
kommer att stödja i urvalet av empiri för att begränsa detta till en hanterbar mängd. Resultatet av denna analys redovisas i analyskapitlet där de två olika teoriernas resultat presenteras.
Slutligen besvaras studiens frågeställningar i resultatkapitlet för att sedan övergå till en diskussion där slutsatser, egen reflektion samt vidare forskning presteras,
3.4. Jämförelse mellan de teoretiska ramverken
För att testa en teoris hållbarhet är det inte bara viktigt att pröva dessa på ett antal fall utan även att jämföra teorier med varandra. Genom att använda metoden komparation kan teorierna jämföras. Komparation innebär att en viss företeelse jämförs och innebär att i jämförelsen mellan de två olika teorierna kommer skillnader och likheter identifieras. Genom att presentera den undersökta empirin utifrån både Bebbers och Matania et al. olika teoretiska ramverk kommer två olika bilder över den svenska strategin gällande cybersäkerhet att framträda. Genom att jämföra vilka skillnader och likheter som finns både i de teoretiska ramverkens uppbyggnad, men även i det resultat som framtagits ur den analyserade empirin så kan Bebbers och Matania et al. ställas mot varandra och jämföras.73
3.5. Metoddiskussion
Studien är uppbyggd med en teorijämförande ansats och en enfallsdesign som lämpar sig väl för att jämföra olika teorier.74 Den svenska strategin avseende cybersäkerhet utgör det fallet
som ska prövas mot de två teoretiska ramverken framtagna av Bebber och Matania et al.
71 Ibid., 229. 72 Ibid., 211.
73 Rolf Ejvegård, Vetenskaplig metod, 4:e uppl. (Lund: Studentlitteratur, 2009), 44.
Sida 27 av 70 Enfallstudier har kritiserats och värdet av dessa möts av en viss skepticism. Det finns en risk att obestämdhet råder och att det finns flera möjliga förklaringar som kan leda till att felaktiga resultat i studier om bara ett fall studeras. I denna studie kommer enfallsdesignen utgöra grunden för att avgöra hur de två teorierna kan förklara den svenska strategin av cybersäkerhet. Denna förklaring kommer sedan ligga till grund för jämförelsen mellan de två olika teorierna. I denna studie är fallet inte i centrum utan det är jämförandet av två olika teorier som är det centrala och i denna typ av studier är en enfallstudie användbar som metod.75 Utmaningen med
metoden komparation är att det som ska jämföras ska vara jämförbart. Bebber och Matania et al. har olika angreppsätt för att analysera cybersäkerhet genom olika infallsvinklar. En jämförelse måste ske både mellan de två olika teorierna, men även mellan teorierna och fallet. Ejvegård skriver att vid en komparation ska man utgå från jämförbara enheter och detta anser författaren av denna studie är fullt möjligt i Bebbers och Matania et al. olika teorier. Båda teorierna försöker förklara samma sak, det vill säga en stats strategi avseende cybersäkerhet, men med olika angreppsätt.76 Att genomföra motsvarande på flera fall hade varit fullt möjligt
men detta angreppsätt valdes bort på grund av styrningar i omfattning på studien. Det är av vikt att den genomförda operationaliseringen som leder till analysverktygen är noga genomtänkt då de framtagna indikationerna kan påverka resultatet i studien eller hur säkra vi kan vara på resultatet.77
3.6. Källmaterial
För att kunna genomföra en teorijämförande studie avseende cyberteori har material valts som bedömts utgöra en bra grund för att kunna analysera Bebber och Matania et al. olika teoretiska ramverk. Materialet har valts utifrån att de representerar en övergripande bild av området och således kan förhoppningsvis en korrekt bild byggas i analysen. Det material som valts ut är exempelvis regleringsbrev, årsredovisningar, myndighetsuppdrag, försvarspolitiska inriktnings- eller visionsdokument samt styrdokument som alla är giltiga 2019. Även rapporter och återredovisningar som är publicerade till och med kvartal 1 2020 omfattas av det analyserade materialet. Materialet har inhämtats genom sökningar på regeringens, riksdagens samt respektive myndighets hemsida då officiella dokument finns att tillgå denna väg. Det finns en risk att det missats material som är viktig för studien. Då tillgången på material är väldigt
75 George och Bennett, Case Studies and Theory Development in the Social Sciences, 32. 76 Ejvegård, Vetenskaplig metod, 44.
Sida 28 av 70 stor och omfattande är bedömningen att ovanstående olika typer av källmaterial kommer att tillföra tillräcklig empiri för att kunna genomför en teorijämförelse med godtagbar precision.
3.7. Källkritik
Det primära materialet som empirin bygger på är olika texter och dokument som kan användas för att förklara de två teoretiska ramverken. Det valda materialet är nu gällande officiella dokument samt material som publicerats på officiella hemsidor som kan kopplas mot studien vilket innebär att det är uteslutande primärkällor som kommer att användas. Även om offentliga dokument som utgivits av myndigheter borde anses som trovärdiga och korrekta kommer dessa att vägas mot den källkritiska kriterierna: äkthet, oberoende, samtidighet och tendens som kan nyttjas för att bedöma trovärdigheten i olika påståenden.78
Äktheten hos en källa bedöms genom att en värdering ske om källan är äkta eller på något sätt förvanskad eller förfalskad. Samtliga av de använda källorna i studiens empiri är hämtade från regeringens och olika myndigheters officiella hemsidor vilket innebär att äktheten bedöms vara hög. Sannolikheten att dessa källor förvanskats eller är förfalskade bedöms som låg.79
Oberoende, till skillnad från äkthet, används för att bedöma det faktiska innehållet i materialet.
Kan vi tro på att innehållet stämmer och att påståendena är tillförlitliga. Även gällande detta fall så görs samma bedömning som vid bedömning av äktheten att oberoendet bedöms vara högt och sannolikheten att innehållet inte skulle stämma eller ej vara tillförlitligt är låg.80
Samtidighet innebär att ju längre tid som förflutit mellan en händelse och dess nedtecknade så
ökar sannolikheten att det finns minnesfel. I detta fall så är den valda empirin nutida och av karaktären officiella dokument. Att dessa skulle vara behäftade med minnesfel förefaller osannolikt.81
78 Ibid., 288. 79 Ibid., 291. 80 Ibid., 292. 81 Ibid., 294.
Sida 29 av 70
Tendens bedöms om en källas ursprung har ett intresse av att återge en snedvriden bild avseende
verkligheten. Källan blir i sådana fall en partsbilaga snarare än en korrekt bild över de verkliga händelserna. Samma bedömning görs här som vid de övriga kriterierna att källorna ger en korrekt bild över verkligheten och att det är låg sannolikhet att dessa skulle återge en snedvriden bild.82
Sammantaget innebär detta att det empiriska materialet som framgår i föregående kapitel går att lita på ur ett källkritiskt hänseende. Materialet bedöms vara korrekt och går att lita på sett ur de fyra kriteriernas perspektiv och kan följaktligen användas i den kommande analysen. Det som möjligt kan diskuteras är huruvida enskilda artiklar kan anses vara källkritiskt korrekta. Här finns en risk att kriteriet tendens inte helt uppfylls. Detta då ett publicerat inlägg kan ha skett av en person och att det inte genomgått den fastställande process gällande officiella dokument som finns hos respektive myndighet i övriga fall och den ansvarige personen har fått felaktig information eller inte all information i det aktuella ärendet. Detta problem är dock hanterbart då informationen i sig kommer att användas för att komplettera redan befintligt material snarare än att ensamt utgöra empiri. Sannolikheten att det skulle vara problem med tendens kopplat till enskilda artiklar bedöms som medel till låg men den är hanterbar enligt vad som beskrivits ovan.
3.8. Forskningsetiska överväganden
När det gäller användandet av dokument finns det etiska frågor som bör väckas. Ett stort problem kan vara samtycke. I detta fall så bygger studien på officiella dokument som finns tillgängliga för alla att ta del av så problematiken med samtycke kan vi bortse från. Det finns heller ingen risk att enskilda personer ska ta skada av materialet då ingen insamling av information om människor kommer att ske.83
82 Ibid., 295.
Sida 30 av 70
3.9. Operationalisering
För att kunna indela de teoretiska ramverken i olika indikationer krävs att vi genomför en operationalisering som möjliggör att fallet kan analyseras. Operationalisering innebär att de teoretiska begreppen omvandlas till observerbara enheter och varje teori har en unik operationalisering för att definiera verkligheten. Vilken operationalisering som väljs kommer att påverka resultatet av studien och denna studie utgår från Bebbers och Matania et al. ramverk som operationaliseras var för sig. Operationaliseringen sker genom att de olika variablerna samt lagren analyseras som i sin tur skapar indikatorer. Indikatorerna har tagits fram av författaren genom noggrann läsning av teorierna för att identifiera nyckelord som är representativ för Bebbers variabler samt Matania e al. lager. Utifrån de framtagna nyckelorden har frågor skapats som när de besvaras förklarar innehållet i respektive variabel och lager utifrån empirin som avhandlar den svenska strategin gällande cybersäkerhet. Nedan redovisas de framtagna nyckelorden i kursiv stil samt de framtagna frågorna i tabell som ska besvara dessa.
Operationalisering av Bebber teori
Följande nyckelord har identifierats inom variabeln Government: politisk styrning, mål och
medel. För att besvara dessa nyckelord har följande indikatorer tagits fram:
AA1: Vilka styrningar, målsättningar och resurser har Regeringen givit Försvarsmakten avseende cyber?
AA2: Vilka styrningar, målsättningar och resurser har Regeringen givit MSB avseende cyber? AA3: Vilka styrningar, målsättningar och resurser har Regeringen givit FMV avseende cyber? AA4: Vilka styrningar, målsättningar och resurser har Regeringen givit FRA avseende cyber? AA5: Vilka styrningar, målsättningar och resurser har Regeringen givit SÄPO avseende cyber? AA6: Vilka styrningar, målsättningar och resurser har Regeringen givit Polisen avseende cyber? AA7: Vilka styrningar, målsättningar och resurser har Regeringen givit PTS avseende cyber? AA8: Vilka styrningar avseende samordning har Regeringen givit ovanstående myndigheter?
Följande nyckelord har identifierats inom variabeln Society & Culture: skydd av nationell
kritisk infrastruktur mot hot, passivt och aktivt cyberförsvar. För att besvara dessa nyckelord
har följande indikatorer tagits fram:
AB1: Hur ser regleringen avseende nationell kritisk infrastruktur ut?
AB2: Hur omhändertas hot mot kritiska nationella infrastrukturen avseende cybersäkerhet? AB3: Vilken samordning mellan myndigheter finns det gällande hantering av hot avseende cyber?
Sida 31 av 70
AB4: Hur är det aktiva försvaret avseende kritisk infrastruktur uppbyggd? AB5: Hur är det passiva försvaret avseende kritisk infrastruktur uppbyggd?
Följande nyckelord har identifierats inom variabeln Economy: teknikutveckling inom landet
eller köpas utomlands, statliga styrningar. För att besvara dessa nyckelord har följande
indikatorer tagits fram:
AC1: Vilken nivå har den inhemska industrin gällande teknikområdet cyber? AC2: Vilka styrningar avseende teknikutveckling finns från staten?
AC3: Finns det egna resurser inom landet eller måste teknik köpas utomlands?
Följande nyckelord har identifierats inom variabeln Military: doktrinutveckling,
organisationsstruktur, resursallokering och strategi, cyberoperationer i militära operationer, CERT, nationella utbildningsystem. För att besvara dessa nyckelord har följande indikatorer
tagits fram:
AD1: Finns det någon samordning mellan myndigheter och högskolor ang. utbildning inom cyber? AD2: Hur omhändertar nu gällande doktriner cyberområdet?
AD3: Hur omhändertar nu gällande planeringsmodell cyberområdet? AD4: Vilken roll har CERT.se?
AD5: Vilken roll har militära CERT?
AD6: Vilken organisationsstruktur finns inom Försvarsmakten gällande cyber? AD7: Hur är ledning och lydnadsförhållandena inom Försvarsmakten gällande cyber?
Följande nyckelord har identifierats inom variabeln International: normer, internationell lag,
partnerskap och allianser För att besvara dessa nyckelord har följande indikatorer tagits fram:
AE1: Vilka öppna samarbeten finns mellan andra nationer?
AE2: Vilken ambition har Sverige med sin cyberkapacitet i ett globalt perspektiv? AE3: Finns det några normer och internationell lag som är specifika för cyber?
