"It was a massive bombing of all our systems" : en studie av John A. Wardens femringsmodell och NotPetya

Självständigt arbete (15 hp)

Författare Program/Kurs

Hugo Hedén OP SA 17–20

Handledare Antal ord: 11 995

Jacob Westberg Beteckning Kurskod

1OP415

”IT WAS A MASSIVE BOMBING OF ALL OUR SYSTEMS”

En studie av John A. Wardens femringsmodell och NotPetya ABSTRACT:

According to NATO Review, in 2013 it was estimated that over 97% of the world's

telecommunications were transmitted via the internet and that this was a growing trend. This

essentiality for communication means that information systems have become a natural target and point of attack in military actions and planning.

This thesis aims to test the possibility to apply the theory of The enemy as a system and the concentric

five-ring model developed by air force theorist Jon A. Warden III, to the cyber arena. To achieve this

aim, the thesis presents a qualitative text analysis of seven different sources describing NotPetya. The targets and effects of the cyber attack are evaluated based upon the concentric five-ring model and the concept of parallel attack. The results of the analysis shows that Warden's theory is highly applicable to the case of NotPetya. This in turn could point to the theory’s applicability to the cyber domain and to strategic operations in cyberspace. However no major conclusions of generalizability can be drawn.

Nyckelord:

Warden, The Enemy as a System, Cyberrymden, Cyberattack, NotPetya, Strategi, Center of Gravity, CoG, Kritiska sårbarheter.

Innehållsförteckning

1. INLEDNING ... - 3 -

1.1 BAKGRUND OCH PROBLEMOMRÅDE ... - 5 -

1.2 FORSKNINGSÖVERSIKT ... - 6 -

1.3 SYFTE OCH FRÅGESTÄLLNING ... - 8 -

1.4 AVGRÄNSNINGAR ... - 9 -

1.5 DISPOSITION ... - 9 -

2. TEORI ... - 10 -

2.1 BEGREPPSDEFINITION ... - 10 -

2.2 FIENDEN SOM ETT SYSTEM OCH FEMRINGSMODELLEN ... - 11 -

2.3 SAMMANFATTNING TEORI ... - 15 - 2.4 OPERATIONALISERING ... - 15 - 3. METOD ... - 19 - 3.1 FORSKNINGSDESIGN ... - 19 - 3.2 BEHANDLING AV EMPIRI ... - 20 - 3.2.1 Val av NotPetya ... - 21 - 3.3 MATERIAL ... - 23 - 3.3.1 Äkthet ... - 23 - 3.3.2 Samtidighet ... - 24 -

3.3.3 Oberoende och Tendens ... - 24 -

3.4 FORSKNINGSETIK ... - 25 -

4 ANALYS... - 27 -

4.1 OFFER OCH GÄRNINGSMAN ... - 27 -

4.2 KONSEKVENSANALYS AV NOTPETYA ... - 28 - 4.2.1 Ledning ... - 28 - 4.2.2 Organiska basresurser ... - 29 - 4.2.3 Infrastruktur ... - 30 - 4.2.4 Population ... - 32 - 4.2.5 Militära förband ... - 32 - 4.2.6 Parallell attack ... - 33 - 4.3 RESULTAT ... - 34 - 5 AVSLUTNING ... - 37 -

5.1 ÅTERKOPPLING TILL FORSKNINGSFRÅGAN ... - 37 -

5.2 SAMMANFATTNING ... - 37 -

5.3 DISKUSSION OCH SLUTSATS ... - 38 -

5.3.1 Slutsats... - 38 -

5.3.2 Metoden och resultatet ... - 38 -

5.3.3 Relevans för yrkesutövningen ... - 39 -

5.4 FORTSATT FORSKNING... - 39 -

Sida 3 av 44

1. Inledning

Uppsatsens första kapitel syftar till att introducera läsaren genom en inledning och bakgrund till studiens undersökning. Detta följs av forskningsöversikten med sammanfattning,

presentation av studiens syfte och frågeställning. Kapitlet avslutas med avgränsningar samt uppsatsens disposition.

Cyberdomänen är idag ett väsentligt element i samhället, länders ledning och militära förmågor. Enligt NATO Review beräknades 2013 att över 97% av världens

telekommunikation fördes via internet och att det var en växande trend.1 Denna väsentlighet för kommunikation har medfört att informationssystem blivit ett naturligt mål och

angreppspunkt vid militära aktioner och planering. Cyber framstår allt mer och mer som en väsentlig del av dagens krigföring och cyberförmågor kan ses fått en roll som liknar den luftstridskrafter spelade under 1900-talets militära planering och operationer. Dominans inom cyberrymden och cyberöverlägsenhet blir likt luftöverlägsenhet under 1900-talet mer och mer relevant och avgörande för strategisk framgång. Exempel på konflikter där cyberarenan varit ett av de huvudsakliga operationsområdena är 2007 Estland-Ryssland, 2008

Georgien-Ryssland, 2010 Stuxnet USA-Iran, 2016 USA-ISIS samt 2017 NotPetya som av vissa anses

vara ett ryskt cyberangrepp mot Ukraina.2

Försvarsmakten uppmärksammardetta hot när det i Militärstrategisk doktrin – MSD 16, beskriver det hybrida hotet som en blandning av reguljär-, irreguljär krigföring, kriminalitet, terrorism, sexuellt våld, modern teknik och krigföring via cyberrymden. Vidare påtalas att konsekvensen av denna nya blandning utgör ett hot även för Sverige. Begreppet överraskning och dess avgörande roll i krigföring påtalas och hur traditionellt osannolika handlingar skapar nya oförutsägbara angreppssätt.3 Hur kan då påverkan inom och via cyberrymden påverka nationer och deras försvar? Sveriges luftförsvar och flygvapen är tillexempel beroende av dessa information- och kommunikationssystem för stridsledning och luftbevakning. Vilka är det direkta och indirekta konsekvenserna och hur kan cyberkrig utföras i en modern konflikt?

1 NATO 2013a

2 NATO 2013b; Sanger 2016; The Guardian 2016; McGuinness 2017; Whitehouse 2018. 3 Försvarsmakten 2016 s. 36

Sida 4 av 44 John Warden III introducerade i sin koncentriska modell och teori, motståndaren som ett

system och The Five Ring Model beståendes av fem koncentriska ringar. Den yttersta ringen

består av militära förband och den innersta består av ledning.4 Teoribildningen visar att genom att slå så centralt som möjligt i denna modell kan man kringgå de militära förbanden i den yttersta ringen och på så vis vinna kriget på ett så effektivt sett som möjligt. Warden nyttjade detta sätt för att ange mål under Gulfkriget under 90-talet, då han var med och planerade delar av luftkampanjen mot Irak.5 John A. Wardens teoribildning har sedan dess introduktion nyttjats och prövats mot ett antal olika kontexter utanför luftmaktsanvändning.6

Det exakta datumet för när NotPetya spreds skiljer beroende på vem man frågar. Oavsett är konsensus att denna kryptomask uppdagades i slutet av juni 2017 i samband med dess aktivering. Vad som då upptäcktes såg ut att vara ett nytt utbrott av gisslanprogramvaran Petya. I ett senare skede visade det sig dock att kryptomasken var ett nytt fenomen tillhörande Petya-familjen, och döptes NotPetya. De många likheterna mellan dessa maskar är slående, dock är det skillnaden som är av intresse. NotPetya kunde sprida sig själv mellan system med hjälp av sårbarheten EternalBlue.7 EternalBlue är i sin tur ett penetreringsverktyg utvecklat av NSA, National Security Agency, vilket tidigare samma år läckt från den amerikanska

nationella säkerhetsorganisationen.8

Genom att samla in inloggningsuppgifter på ett infekterat nätverk kunde kryptomasken sprida sig vidare till andra anslutna system. Typiskt för så kallade gisslanprogram är att avkräva offret en lösensumma. De system som infekterats av NotPetya kunde dock oavsett betalning inte dekrypteras. Där av skiljer sig NotPetya från andra tidigare gisslanprogram. Flertalet källor pekar idag på att syftet med kryptomaskens spridning och kryptering av enheter inte hade finansiella motiv utan istället syftade till att förstöra tillgång till det infekterade systemet eller förstöra data i systemet.9

4 Warden III, 1995b s. 108 5 Warden III, 1995a s.43, 49, 51

6 Warden III. 1989[1988]; Warden III 1995a 7 Svensson, Magnusson, Zouave 2019 s.12 8 Greenberg, 2019 [2019] s.4

Sida 5 av 44

1.1

P

I forskningsöversikten presenteras två saker. Ett; forskningsläget kring cyberrymden där det råder vissa åsiktsskillnader i hur cyber definieras samt vilken roll cyber och cyberkrig spelar i dagens och framtidens krigföring. Det andra som presenteras är forskningsläget som råder kring Wardens teoribildnings generaliserbarhet. Warden anser att teoribildningen och dess sätt att analysera fienden som ett system kan beskriva de flesta organismer som system och således appliceras på de flesta fall, i olika kontexter.10 Något som forskningsöversikten till viss del stödjer. Vidare anser Försvarsmakten att krigföring via cyberrymden är ett reellt angreppssätt som ingår i det hybrida hotet. Något som kan anses återspeglas i de sex tidigare nämnda fallen.

Idag är forskningen bristande kring cyberrymden och cyberkrig. Även Wardens teoribildnings vilket nått inflytande över militär planering och strategisk krigföring bör prövas mot andra kontexter. Detta skapar en forskningslucka och frågan i vilken utsträckning teorin är överförbar till strategiska operationer i cyberrymden och cyberangrepp. Ett hot som försvarsmakten identifierat och vars konsekvenser kan vara långtgående för de delar av försvarsmakten som är beroende av informationssystem.

Sida 6 av 44

1.2

F

Detta kapitlet redogöra forskningsöversikt kring Wardens teoribildning, cyberrymden och cyberkrig. Även teoribildnings överförbarhet till områden utanför kontexten luftmakt. Först presenteras cyberrymden och cyberkrig därefter forskning av teorins generaliserbarhet.

Cyberrymden och Cyberkrig

Mike Chapple och David Seidl menar att det i dagsläget ibland militära planerare inte råder konsensus om hur cyberkrig bör definieras. De själva definierar cyberkrig som något som inkluderar en vid skara aktiviteter vilka nyttjar informationssystem som ett vapen mot en motståndares krafter. Cyberkrig är kombinationen av aktiviteter designade att delta i

cyberattacker och cyberspionage. De menar att det heller inte råder någon konsensus huruvida cyberkrig kommer att inträffa. Deras bedömning hänvisar istället till USA:s regerings

hotbedömning för storskaliga katastrofala cyberattacker, vilket i sin tur bedöms var låg inom den närmsta framtiden. Anledningen till detta är att antalet länder med sådan kapacitet är begränsad till främst USA, Ryssland, Israel, Kina. Slutsatsen de drar är att storskaliga cyberkrig ligger bortom den överskådliga framtiden. Samtidigt är det naivt att tro att

cyberattacker aldrig kommer ske. Referenser dras sedan till fallet med Edward Snowden och det cyberspionage som uppdagades rörande NSA:s verksamhet och hur aktörer skilda från nationalstater s.k non-state actors, idag saknar förmåga till cyberkrig men har resurser och motivation att genomföra hotfulla aktioner inom cyberdomänen.11

Ett krig som utkämpas helt inom cyberarenan med cybervapen som ersatt konventionella vapen är enligt Thomas Rid och Howard Schmidt något som varken har eller någonsin kommer att inträffa. De menar istället att cyberkrig eller cybervapen kommer att fungera som ett komplement i form av så kallad force multiplier. Detta baseras på att tidigare cyberattacker varit sabotage, spionage eller subversion.12

I artikeln Cyber wars A Paradigm Shift from Means to Ends av Amit Sharma publicerad beskrivs cyberkrig som en helt ny era av krigföring. Sharma står i skarp kontrast till Rid och Schmidt och menar att cyberkrig kommer att vara den huvudsakliga krigföringen där

11 Chapple & Seidl, 2015 s. 5–7

Sida 7 av 44 traditionella medel kommer agera force multiplier. Sharma menar att informationskrig har felanalyserats och fallit inom ramen för taktisk nivå. Det vi ser är enligt Sharma ett

paradigmskifte. Informationskrigföring är strategisk krigföring som åberopar principer från Sun Tzu och Clausewitz; Det är en typ av krigföring som är kapabel till att kuva fienden till lydnad genom strategisk paralys och för att nå ett så kallat end state, utan att fysiskt våld appliceras.13

Gällande forskning utförd på femringsmodellens generaliserbarhet kan vi se till Georg G. Chappel, major i amerikanska försvarsmakten som i sin rapport genomför en undersökning för att ta reda på huruvida Wardens teoribildning kan bidra till att skapa en korrekt

uppskattning av en terrororganisations vitala punkter s.k. centers of gravity. Slutsatsen i undersökningen visar på att det systematiska sätt som Warden lägger fram erbjuder en god strategisk planritning även för en icke konventionell fiende.14 Även Arwood, Mills och Raines påtalar i sin artikel Operational art and Strategy in Cyberspace användbarheten och

flexibiliteten i Wardens teoris förmåga att analysera och bryta ned komplexa system för att identifiera kritiska sårbarheter, för att nå strategisk vinst i cyberkontext.15

Den kritik som riktats mot Wardens teoribildning kommer främst från Robert A. Pape. Pape tillhör själv den så kallade ”Ground Power School”16 vilket anser att enda sättet att vinna krig på är genom att ta och hålla geografiska territorier. Detta kräver enligt Pape marktrupper. Således är marktrupper den mest kraftfulla försvarsgrenen och luftstridskrafter nyttjas som stöttande instrument.17 Pape är i motsats till Wardens strategiska nyttjande av luftstridskrafter en förespråkare av taktiskt nyttjande av luftmakt. Vidare anser Pape att teoribildningens idé gällande strategisk bombning aldrig visat sig fungera och hänvisar i artikeln The limits of

precision‐guided air power att strategisk bombning aldrig kommer nå den effektivitetsgrad

som behövs, då bristen ligger i underrättelseinhämtning och beredning (se 1.4 avgränsningar).18 Ett flertal konflikter så som wwII, Vietnamkriget, Koreakriget och Gulfkriget presenteras som argument mot strategisk användning av coercive airpower då resultatet historiskt varit ineffektivt.19 I stora drag anser Pape att de som förespråkar strategisk

13 Czosseck & Geers, (red.) 2009 s. 3–16; Sharma 2010, 34:1, 62–73 14 Chappel, 2002 s. 18

15 Arwood, Mills, and Raines, 2010 16 Robert Pape 1997 s. 94

17 Ibid s. 93–93 18 Robert Pape 1997 19 Ibid s. 98–101,

Sida 8 av 44 luftmakt har en korrekt sakuppfattning om teknologins utveckling, men en felaktig logik när de förespråkar precisionsstyrda vapen.20 Wardens replik till Papes kritik är att hans modellen och teorin, bygger på en förståelse av skillnaden mellan fysisk skada och upphörandet av en viss funktion. Alltså att dagens krig syftar till att hindra vissa funktioners output och att detta går att nå utan att åsamka fysisk skada likt tidigare.21

De finns forskning som idag stödjer teorins generaliserbarhet till cyberrymden. Bland dessa finner man Chappel, Arwood, Mills och Raines. Vad gäller cyberrymden och cyberkrig råder det relativt stora meningsskiljaktigheter. Sharma anser ett paradigmskifte är på väg att ske, om det inte redan skett och har likt Warden ett strategiskt perspektiv på krigföring och

cyberkrigets operationella nivå.22 I andra änden står Rid och Schmidt, vars perspektiv går mer i Papes riktning.23 Gemensamt för samtliga är uppfattningen att cyberrymden och cyberkrig är ett nytt fenomen vars utveckling bör beaktas. Den största skillnaden mellan uppfattningar är inte begreppsdefinitionen utan hur fenomen skall vägas i förhållande till andra arenor och teknikutveckling.

1.3

S

Wardens teori har idag en stark ställning och kan anses vara en av de mest framgångsrika luftmaktsteorierna. Det som gör teori intressant i kontexten cyberrymden är dess anspråk på överförbarhet. Alltså att teorin och modellen har en förmåga att beskriva de flesta system med acceptabel korrekthet.24 Forskningsöversikten indikerar delvis på att applicerbarhet även på icke konventionella motståndare och till del inom cyber.25

Uppsatsen syftar till att pröva teoribildningen fienden som ett system och den koncentriska femringsmodellen genom att undersöka dess applicerbarhet på cyberattacken NotPetya.

Genom att pröva teori mot fallet NotPetya är avsikten att till del fylla den forskningslucka som identifierats. Om Wardens koncentriska femringsmodell och det systembaserade

20 Ibid s. 98–101, 113–114 21 Warden III 1997 s. 179 22 Czosseck & Geers, (red.) 2009

23 Giacomello & Giacomello, 2016[2014] s. 170–171 24 Warden III 1995a s. 44

Sida 9 av 44 tillvägagångssättet för analys av motståndaren går att applicera även på strategiska

operationer i cyberrymden. Med utgångspunkt i syftet avser undersökningen svara på forskningsfrågan;

Till vilken grad kan Warden’s teori om fienden som ett system appliceras på cyberattacken NotPetya?

1.4

A

Wardens teoribildning är omfattande och i hög grad utförligt beskrivande av

luftmaktsanvändande och luftherraväldets roll för det. Då uppsatsen nyttjar Wardens

teoribildning som teoretisk utgångspunkt för att undersöka cyberattacken NotPetya, kommer delar av teoribildningen som berör luftarenan och bedöms vara irrelevanta att avgränsas. Då undersökningen gäller cyberrymden kommer fokus att ligga på teorins och femringsmodellens förmåga att analysera komplexa system. Detta innebär att kritik som riktats mot delar

specifika för luftoperationer avgänsats, vilket inkluderar Papes kritik mot användandet av precisionsstyrda vapen. Även konceptet center of gravity är relevant för undersökningen. Begreppet som används i denna studie utgår från Wardens definition där vitala punkter återfinns inom respektive ring och inte är begränsade i antal. Detta står i kontrast till Carl von Clausewitz Schwerpunkt vilket åsyftar en avgörande kritisk sårbarhet.26

Då fallet NotPetya inträffade året 2017 är det avgränsat till material publicerat åren 2017– 2019. Enbart öppna källor att nyttjas för att besvara forskningsfrågan. Slutligen är empirin som i analysen av västerländskt ursprung. Det baseras på att inga första- och andrahandskällor av NotPetya med rysk eller annan icke västerländsk härkomst varit tillgänglig.

1.5

D

Uppsatsen består av fem kapitel. Kapitel två beskriver teoribildningen som nyttjas och prövas. I kapitel tre klargörs uppsatsens metodologiska struktur, material, design och metod. I kapitel fyra presenteras fallet i detalj samt analysen och dess resultat. I kapitel fem sammanfattas uppsatsen, forskningsfrågan besvaras, slutsatsen och bidraget till yrkesutövningen

presenteras.

Sida 10 av 44

2. Teori

Kapitel definiera teoribildningen som nyttjas i arbetet och dess analys. Centrala begrepp nödvändiga för att tillgodogöra sig uppsatsens innehåll definieras. Först presenteras begreppsdefinitionen sedan presenteras teoribildningen.

2.1

B

Nedan definieras de teoretiska begreppen. Detta görs för att de skall stämma överens med de indikatorer som nyttjas i det operationaliserade analysverktyget.27

Cyberrymden

Definitionen är citerad från militärstrategiskdoktrin MSD-16 och nyttjas som definition;

Cyberrymden är den del av informationsmiljön som består av de sammanlänkade och av varandra beroende IT-infrastrukturer med tillhörande data och information. Den inkluderar internet, intranät, telekommunikationssystem, datorsystem samt inbyggda processorer och styrenheter.28

Cyberkrig

Då militärstrategisk doktrin inte definierar detta har begreppen som följer definierats i enlighet med Chapple och Seidl; Cyberkrigföring inkluderar en vid skara av aktiviteter som använder informationssystem som ett vapen mot sin motståndare.29

Cyberattack

Cyberattacker definieras som icke-kinetiska offensiva operationer vars syfte är att

åstadkomma fysisk eller elektronisk skada. Cyberattacker varierar mellan skadlig kod som är designad för att exempelvis störa ut kontrollsystem, till obemannade farkoster till intrång i motståndarens informationssystem i syfte att påverka den militära beslutsprocessen.30 För denna studie inkluderar begreppet cyberattack även icke-militära beslutsprocesser.

27 Johannessen, Asbjørn & Tufte 2003 s. 47–48 28 Försvarsmakten 2016 s. 30

29 Chapple & Seidl 2015 s. 24 30 Chapple & Seidl, 2015 s. 5

Sida 11 av 44 Cyberspionage

Cyberspionage åsyftar intrång i datorsystem och nätverk vars mål är att komma åt känslig information vilket kan användas för att nå militärt, politisk eller ekonomisk vinst.31

2.2

F

F

I förorden till boken The Air Campaign står det att under luftkrigföringens korta historia har ingen nation med överlägset flygvapen förlorat ett krig.32 Luftöverlägsenhet är enligt Warden inte längre en självklar garant för att vinna ett krig. Boken är en av de första som analyserar konsten att planera operationer i luftarenan och undersöker det komplicerade sambandet mellan luftöverlägsenhet och vinsten i krig. Warden visar att det är på strategisk nivå framtidens krig vinns. Vidare förklarar boken hur luftstridskrafter används effektivt i avseenden som numerär, koncentration och stridsekonomi. Detta tar sin utgångspunkt i historiska skeenden och Wardens planläggning av delar i luftkampanjen mot Irak under Gulfkriget.33 Warden utvecklade sin teoribildning och 1995 publicerade han sin artikel ”The enemy as a system” i amerikanska flygvapnets Airpower Journal.34 I avhandlingen

presenteras ett analytiskt sätt att bedöma motståndaren och systematiskt identifiera hans kritiska sårbarheter, centers of gravity.35

Utgångspunkten för det teoretiska ramverket är att betrakta fienden som ett system av system. Systematiseringen sker kring en hypotetisk fiende vilket delas in i flera av varandra beroende system som reagerar och påverkas indirekt och direkt av motståndarens.36 Vidare menar Warden att detta system skall betraktas ur en strategisk helhetssyn då det är avgörande för detaljplanering. Detta strategiska perspektiv har sin utgångpunkt i Wardens tanke att det är genom strategisk påverkan motståndarens existensfundament påverkas. Dessa är

grundantaganden vid formuleringen av femringsmodellen; en koncentrisk modell med fallande hierarki från centrum utåt (se Figur 1) som nyttjas för att analysera motståndaren.

31 Ibid s. 5

32 Warden III. 1989[1988] s. 13 33 Ibid

34 Warden III 1995a

35 Warden III 1995a s. 41–47 36 Ibid s. 42–44, 49

Sida 12 av 44 En aktion mot en motståndare syftar främst till att

påverka dennes innersta ring, Ledning, och är där den största ansträngningen skall riktas. Systempåverkan sker direkt eller indirekt. Indirekt påverkan nås genom att modellens yttre ringar attackeras, vilket resulterar i att eftergifterna blir då så pass stor att Ledningen tvingas acceptera anfallarens strategiska slutmål. Det direkta förfarandet sker genom riktade angrepp mot modellens centrum, ledningen. 37 Det är genom påverkan av ringen Ledning som en effekt

kan nås. Strategiska mål uppnås genom att skapa sådan fysisk förändring till motståndarens system att den anammar den offensiva partens vilja genom att motståndaren är inkapabel till fysiskt motstånd. Detta benämns ”strategic paralysis” eller strategisk paralys.

Femringsmodellen gör enligt Warden goda approximationer av de flesta system.38

Center of Gravity

För att påverkan skall få så stor effekt på fiendens system som möjligt krävs det att insatserna riktas rätt. Dessa påverkansmål består av fiendens subsystem och systemet som helhet. Namnet som används för dessa mål är centers of gravity.39 Dessa CoGs är vitala delar för motståndaren och det är där en attack har störst sannolikhet att generera avgörande

konsekvenser. CoGs återfinns dels inom varje ring men existerar även i gränslandet mellan dessa. Stater, likt individer, är alla unika vilket resulterar i att dess system, respektive undersystem har sina individuella CoGs, dock återfinns vissa generella kritiska sårbarheter. Ett exempel är elförsörjning vilket en stat i frånvaro av ofta får problem med civil/ militär produktion, distribution och kommunikation. Vidare menar Warden att de moraliska aspekterna inte längre spelar samma roll som tidigare, detta då soldaten i sig fått en mindre betydande roll till teknologins framträdande. Det svåra i att förutse mänskligt agerande gör att de aktioner som genomförs bör riktas mot kvantifierbar fysiska delar vars utfall kan

37 Warden III 1995a s. 49 38 Ibid s. 44

39 Warden III. 1989[1988] s. 7–9

Figur 1 Femringsmodellen Warden, ”The Enemy as a System” (1995).

Sida 13 av 44 predikteras.40 Centers of gravity är alltså det vad som blir målpunkt för en attack och kan benämns kritiska sårbarheter.

1. Ledning

Centrum av modellen är dess mest kritiska punkt. Ledning eller befälsstruktur är det organ som fattar komplexa beslut nödvändiga för att hålla ett land på en viss bana eller agera i krig. Att slå ut specifika individer i denna cirkel har i modern tid enligt Warden blivit allt svårare. Samtidigt har kommunikationsutrustning och nätverk blivit mer komplexa och mycket mer sårbara. Då det inte går att slå ut det enskilda ledningsorganet bör anfallsmålet vara

kommunikationssystem som nyttjas av ledningen. Warden menar att det är en eftersträvad förändring av befälsstruktur och ledning som varit grundorsaken till att krig historiskt sett utkämpats. Då Ledning inte kan påverkas direkt, sker det indirekt genom att sätta simultant tryck på CoGs i andra ringar. Alla aktioner mot en fiende syftar i slutändan att påverka ledningen.41

2. Organiska basresurser

Det mest kritiska faciliteter och resurser som staten behöver för att upprätthålla sig själv, så kallad nyckelproduktion. Antalet organiska basresurser är oftast relativt få i antal; för

industrialiserade stater kan tillexempel olja och eltillförsel räknas som organiska basresurser. Vid skada av dessa organiska resurser uppstår systemkollaps, vilket leder till svårigheter eller fysisk omöjlighet att upprätthålla en viss policy eller strategi. Detta kan leda till interna politiska och ekonomiska konsekvenser som är allt för kostsamma fienden.42

3. Infrastruktur

För både civila och militära mål är det avgörande att gods, information och service kan förflyttas mellan punkt A och B. Om denna rörlighet avbryts eller försvåras kommer

motståndarens systems effektivitet att sjunka, vilket resulterar i att denne är mindre kapabel till att motstå attacker. Skillnaden mellan infrastruktur och organiska basresurser ligger i dess goda redundans då de kritiska delarna är fler till antal. Infrastruktur består av järnvägar, motorvägar, hamnar och andra liknande transport- och informationsspridningssystem. Även

40 Warden III 1995a s. 43, 49 41 Ibid s. 49

Sida 14 av 44 industri som inte är av nyckelvärde. Det krävs därför större ansträngning och

resursförbrukning för att nå samma mål då antalet är större.43

4. Population

Direkta attacker mot civilbefolkningen är enligt Warden något som har pågått länge under den mänskliga historien. Fall som talar både för och emot detta lyfts, tillexempel andra

världskriget strategiska bombning av civila mål i syfte att bryta ner befolkningens stridsmoral, något som inte lyckades. Under Vietnamkriget valde Nord Vietnam att indirekt påverka den amerikanska opinionen och dess policy i kriget genom att öka militära förluster över vad amerikanska befolkningen kunde tolerera. Det största problemet som identifieras är den mänskliga faktorn. Människan är av naturen oförutsägbar vilket leder till att resultatet av att slå mot denna ring inte går att förutspå.44

5. Militära förband

Den yttersta och lägst prioriterade ringen är fiendens militära förband. Detta utmanar den uppfattningen att stridskrafter är den centrala delen av krigföringen, de fyller nämligen endast två funktioner; att hota fiendens inre ringar samt skydda sina inre ringar. Det finna inget självändamål i att slå mot fiendens stridskrafter. Warden förtydligar att detta är en relativt ny idé, mycket tack vare den teknologiska utveckling som skett. Vikten av att slå ett slag mot en ring i modellen syftar inte till att uppnå det direkta resultatet av attacken, exempelvis förstöra en järnvägsbro eller slå ut ett elkraftverk. Syftet är främst att påverka motståndarens system, ledning och psykologi vilket stridskrafter kan skydda.45

Parallell attack

Det som tidigare beskrivits kan ses som manualen för vad som skall göras. Det som benämns

parallell attack bör således ses som hur detta skall genomföras. Parallell attack står i kontrast

till en traditionell seriell attack där anfall genomförs i mindre skala mot färre mål över en längre tidsperiod. Det erbjuder fienden möjlighet att återta vissa förlorade resurser, strategiska förmågor samt planera motdrag, något som parallell attack hindrar. Ofta är antalet CoGs för industrialiserade och tekniskt utvecklade länder relativt få. Antalet i kombination med teknik möjliggör att simultant slå mot flertalet av fiendens CoGs inom olika delar av systemets

43 Warden III 1995a s. 50 44 Ibid s. 50

Sida 15 av 44 nivåer. Att simultant slå mot så många av dessa kritiska sårbarheter som möjligt syftar till att orsaka strategisk paralys vilket gör motståndare oförmögen att handla. Tidsaspekten är kritisk för att parallella attacker skall lyckas.46

2.3

S

Genom att finna universella principer som är vitala för fiendens system går det att bryta ner krigsföringskonsten och planeringen i mindre delar. Kritiska sårbarheter kan identifieras, mål upptäckas, prioriteras, taktiska handgrepp formuleras och parallell attack genomföras. Warden erbjuder femringsmodellen som verktyg för en sådan analys och parallell attack som

tillvägagångssätt. Sammanfattat visar det på att den strategiska krigföringen har sin

utgångspunkt i att få fienden att acceptera anfallarens mål som sitt eget, bataljen har inget eget värde.47

2.4

O

Avsnittet syftar till att påvisa de åtgärder som tagits för att operationalisera forskningsfrågan och koppla den till teori och empiri i studiens analys.48 Operationaliseringen har sin

utgångspunkt i fienden som system, representerat av begreppen femringsmodellen och

parallella attacker. De fem ringarna och dess meningsinnehåll har konkretiserats, samt härlets till teorin tilldelar genom exempel av påverkan i kontext cyberrymden. För att uppnå så god validitet som möjligt ligger dessa så nära Wardens definition som möjligt. Nedan följer de exempel som tagits fram för påverkan av respektive ring i modellen genom cyberrymden. Femringsmodellen

Teori bygger på att förstå fienden som ett system. Med antagandet att den känsligaste punkten för systemet återfinns i mitten. De kritiska sårbarheterna återfinns inom respektive ring och prioritetsordningen är fallande från modellens centrum.49

1. Ledning

Ledning är traditionellt den del som fattar komplexa och nödvändiga beslut för att styra ett land. Påverkan av Ledning är därför avgörande för vinst. Direkt påverkan är riktad mot

46 Warden III 1995a s.43, 54–55 47 Ibid s. 55

48 Johannessen, Asbjørn & Tufte 2003 s. 44 49 Warden III 1995a s. 53

Sida 16 av 44 ledningen och indirekt påverkan syftar till att generera eftergifter för ledningen genom

påverkan av yttre ringar, ofta simultant.50

Exempel på påverkan: Cyberattacken påverkar ledningen direkt genom neutralisering av dess

individer eller kommunikationssystem. Indirekt påverkan begränsar eller isolerar ledningens individer och eller dess kommunikation genom påverkan av CoG’s i övriga ringar.

2. Organiska basresurser

Resurser som staten utan tillförsel eller tillgång ej kan upprätthålla grundläggande behov eller politisk ståndpunkt. Exempelvis energikällor så som elproduktion, drivmedel, ekonomiska system samt annan nyckelproduktion.

Exempel på påverkan: Cyberattacken påverka produktion och/ eller leverans av energi så som

el eller drivmedel och eller påverkar landets ekonomiska system. 3. Infrastruktur

Infrastruktur är avgörande för ett lands logistisk. Består av transport och kommunikationsnät som för fiendens system är nödvändigt för att information och service skall kunna förflyttas mellan punkt A och punkt B. Generellt har infrastruktur fler kritiska punkter än organiska basresurser vilket ger bättre redundans. Industri som inte är nyckelproduktion placeras under infrastruktur.51

Exempel på påverkan: Cyberattacken orsakar infrastrukturella störningar av tåg-/ flygtrafik

och/ eller informationsflödet över telefoni/GSM samt internet.

4. Population

Populationen kan påverkas fysiskt eller psykiskt. Människan är av naturen oförutsägbara vilket leder till att resultatet av att slå mot denna ring är svår att kalkylera. Målet är att vända opinion mot ledningsfunktionen.52

50 Ibid s. 49, 53

51 Warden III 1995a s. 50 52 Ibid s. 50

Sida 17 av 44 Exempel på påverkan: cyberattack påverkar den interna opinionen mot ledningen eller dess

politiska inriktning genom att sprida falsk information Och/eller påverka civilbefolkningens digitala kommunikationsmedel.

5. Militära förband

Den yttersta och lägst prioriterade ringen är fiendens militära förband och stödsystem. Dess funktion är att hota fiendens inre ringar eller att skydda dess egna inre ringar.53

Exempel på påverkan; cyberattack som negativt påverkar ett lands försvarsmakt att agera

militärt offensivt eller defensivt. Exempelvis genom att påverka landets militära kommunikationssystem och/ eller dess mobiliseringsprocess.

Parallell attack

Med stor slagkraft under kort tid slå parallellt mot fiendens CoGs syftar parallell attack till att nå så stor effekt som möjligt och orsaka strategisk paralys. Om Ledning inte går att påverka direkt kan parallell attack av andra ringar generera tillräckligt stora eftergifter för att

ledningen skall kapitulera.54

Exempel på Parallell attack; cyberattack som direkt eller indirekt påverkar fler än en av

fiendens centers of gravity inom en eller flera ringar. Exempelvis genom att skadlig mjukvara avsiktlig eller oavsiktlig sprids och påverkar flera CoGs inom ett begränsat tidförlopp.

53 Ibid s. 51

Sida 18 av 44 Analysverktyg

Teoretiskt begrepp Indikatorer för påverkan inom definierat begrepp

1. Ledning

Påverkades ledningen direkt och/eller indirekt genom neutralisering, begränsning eller isolering av dess kommunikationssystem eller individer? 2. Organiska basresurser

Påverkades nyckelproduktion eller leverans av energi så som el eller drivmedel Och/eller påverkar landets ekonomiska system? 3. Infrastruktur

Orsakade cyberattacken infrastrukturella störningar av trafik Och/eller informationsflödet över telefoni/ GSM samt internet?

4. Population

Spred cyberattacken falsk information och/ eller påverkade civilbefolkningens digitala

kommunikationsmedel? 5. Militära förband

Påverkades den ukrainska försvarsmaktens kommunikationssystem Och/eller dess mobiliseringsprocess?

Parallell attack

Påverkade cyberattacken fler än en av fiendens vitala punkter inom en eller flera ringar, direkt eller indirekt?

Sida 19 av 44

3. Metod

Kapitel beskriver uppsatsens forskningsdesign. Där efter beskrivs behandling av empirin. Sedan presenteras undersökningens fall och motiv till valet. Avslutningsvis granskas materialet källkritiskt där efter presenteras forskningsetiska överväganden.

3.1

F

Denna uppsats utför en i huvudsak teorikonsumerande fallstudie. Fallstudier kännetecknas av två saker: ett tydligt avgränsat fall avseendet vad som inkluderas och exkluderas, samt en ingående beskrivning av fallet. Forskningsdesignen en enkelfallstudie. Med detta menas att undersökningen berör ett enstaka fall, vilket ger förutsättningar att djuploda i fenomenet och dess kontext.55 Huruvida studien är teoriprövande eller teorikonsumerande är en gradfråga och tydliggörs i motivet till studien. Vad som tydliggjorts är att teoribildningen är avgörande för forskningsfrågan. Samtidigt är studiens ambition att bidra till förståelsen och undersöka dess tilltro för inom cyberkontext. Studien är alltså både prövande och konsumerande i sin design. Studien väger dock tyngre på de konsumerande delarna. Studien beskrivs därav som teorikonsumerande med teoriprövande egenskaper då teorins applicerbarhet prövas och inte själva teorin.56

Fallstudie som vald design

Det tydligaste och starkaste argumentet för valet av fallstudie för denna undersökning är det som Kathleen Eisenhardt och Melissa Graebner preciserade; att fallstudier ter sig ytterst lämpade för Hur- och varför-frågor där forskningsområdet är relativt outforskat.57 Även om Robert K. Yin menar att fler fall alltid är bättre än ett, anser Jensen och Sandström att enfallstudier har ett unikt värde i den mån det specifika fallet utmanar en teori, vilket då kan röna specifika upplysningar kring teoribildningen.58 Sista motivet till valet av en fallstudie är kopplat till extern reliabilitet. I detta menas enligt Yin att det är skillnad på empirisk och

analytisk generalisering. Till skillnad från den empiriska generalisering som kan syfta till att

generalisera specifika fenomen numeriskt, syftar en analytisk generalisering till att utröna ett eller flera begrepps förmågor att förstå eller förklara aktiviteter eller processer i olika

55 Johannessen, Asbjørn & Tufte 2003 s. 47, 56–57 56 Esaiasson et al., 2017 s. 41–43

57 Jensen & Sandström, 2016 s. 50 58 Ibid s. 51–52

Sida 20 av 44 sammanhang. Yin menar således att det är analytisk generalisering som är fallstudiens styrka och inte frekvensbeskrivningar.59 Då uppsatsen ämnar pröva Wardens teoris grad av

applicerbarhet på cyberattacken NotPetya och således bidra till att utröna teorins

applicerbarhet i cyberrymden, är enkelfallstudien en lämplig metod. Dock krävs fler studier pröva teorin för att något konkret skall kunna sägas vad gäller generaliserbarheten av teorin.

Kritik mot fallstudier

Kritik mot fallstudier riktats ofta mot dess komplexa och ibland motsägelsefulla natur. Som Jensen och Sandström beskriver i boken fallstudier svårigheten att definiera fallets natur, alltså hur företeelsen definieras och kategoriseras.60 Fallet har i undersökningen tydligt avgränsats till det direkta händelseförloppet och dess konsekvenser, alltså dygnet då attacken inträffade. Analysmaterialet är avgränsat till perioden 2017–2019. Vidare är den

metodologiska sammansättningen av en fallstudie komplex vilket ställer krav på att metod, teori, analys och kommunikation bör vara systematisk för att säkerställa studiens reliabilitet och validitet.61 Jensen och Sandström härleder sin ställning ur Yin som är känd för sin forskning inom området fallstudier. De anser att metoden fallstudier är standardiserade, men att det som ofta brister är genomförandet. Avsteg från en systematisk procedur, tvetydighet och partiskhet visar på bristande stringens som är avsevärt mer påtaglig än för andra

forskningsstrategier. Vidare påverkar antalet fall direkt vilken generaliserbarhet fynden har.62 Denna enfallstudie prövar teorins applicerbarhet mot ett tydligt definierat fall med teoretiskt härledda indikatorer (se kapitel 2.5). Indikatorerna kopplas sedan till empirin genom att analysera fallet och utröna huruvida dessa förekommer i fallet eller inte. Genom att undersöka indikatorernas förekomst samt effekt ämnas teoris anspråk på överförbarhet prövas för fallet och kontexten cyberrymden. Att ett fall undersöks är en begräsning för generalisering vilket har uppmärksammats och kvarstår.

3.2

B

Uppsatsen nyttjar en kvalitativ textanalys som systematisering av empirin inför behandling. Valet av en kvalitativ textanalys grundar sig på ett flertal aspekter. Dels är ämnet relativt outforskat vilket får konsekvensen att empirin är begränsad. Den kvalitativa metoden tillåter

59 Jensen & Sandström, 2016 s. 63–65 60 Ibid

61 Ibid s. 9–11 62 Ibid s. 47

Sida 21 av 44 då forskaren att göra ett urval av texter som bedöms vara relevanta för undersökningen.63 I uppsatsen söks sambandet mellan teorin och cyberattacken NotPetyas mål och konsekvenser genom att pröva teorins gard av applicerbarhet. Johanessen och Tufte anser att kvalitativa och kvantitativa metoder ofta kompletterar varandra, men i fall som detta då kvantifiering är svår att genomföra ger kvalitativa metoder möjlighet till djupare förståelse.64 Slutligen återfinns majoriteten av tillgängliga data i dokumentform. Exempel på risker förknippade med kvalitativa textanalyser är att det stundom krävs personlig värdering av texten. Detta kan i brist på objektivitet åsidosätta studiens reliabilitet och replikerbarhet.65

3.2.1 Val av NotPetya

Då detta är en blandning av en konsumerande och prövande fallstudie, är fallet och teorin av vikt. 66 Då teorins överförbarhet prövas mot fallet valdes ett s.k. most-likley case vilket anses nödvändigt för att uppfylla studiens syfte.67 Exempelvis uttryckte den amerikanska

pressekreteraren följande den 15 februari 2018;

In June 2017, the Russian military launched the most destructive and costly cyber-attack in history. The cyber-attack, dubbed “NotPetya,” quickly spread worldwide, causing billions of dollars in damage across Europe, Asia, and the Americas. It was part of the Kremlin’s ongoing effort to destabilize Ukraine and demonstrates ever more clearly Russia’s involvement in the ongoing conflict.68

Citatet visar på två saker: NotPetya bedöms vara den mest kostsamma hittills i världen. Det andra är att USA anser att attacken nyttjats av rysk militär för destabilisering av ett helt land, Ukraina. Ett annat citat ur rapporten Kryptomaskar och deras konsekvenser författad vid FOI visar på liknande indicier.

Gemensamt för båda kryptomaskarna är att de fick spridning i flera länder och orsakade skador i privat och offentlig verksamhet. Uppskattningsvis infekterades över 300 000 system av WannaCry och NotPetya kan ha orsakat skador till ett värde av en till tio miljarder US dollar. WannaCry hade en opportunistisk spridning, präglad av

63 Boréus & Bergström, (red.) (2018 s. 42–43 64Johannessen, Asbjørn & Tufte 2003 s. 74–75 65 Ibid, 2003 s. 28–29

66 Esaiasson et al., 2017 s. 41–43 67 George & Bennett, 2005 s. 14–17 68 Whitehouse 2018

Sida 22 av 44 ekonomiska incitament. NotPetya förefaller däremot ha varit ett riktat och mer

sofistikerat angrepp mot företag verksamma i Ukraina.”69

Att en cyberattack kan få konsekvenser som påverkar stater, läkemedelsindustri, frakt och livsmedel är nytt och av vissa har det setts som ett elektroniskt Pearl Harbor för Ukraina. Även Thomas Rid som i forskningsöversikten är skeptisk till cybervapen och cyberkrig menar på att NotPetya kan stå i paritet med terrorattentatet 11:e september. NotPetya och dess

effekter är långt gående för landet Ukraina, dess privata sektorn men även för internationella företag. Vad som är intressant är att NotPetya trots sin unika spridning och stora effekter inte bör ses som något nytt och enstaka. Krasznay och Hámornik skriver följande;

NotPetya ransomware is a good example how well-known tools and tactics enable a new strategy. It utilized the same EternalBlue vulnerability like Wannacry did a month before and used the hacker’s favorite Mimikatz tool to extract privileged accounts from the memory. Nothing what we did not see before […] No one expected that the source of a global malware campaign would be a local software’s update, that by definition, has to be installed due to security reasons. Masterminds on the attacker side did their job perfectly as they built on known vulnerabilities, both on the human and technology side and utilized already existing tools and techniques to reach their strategic goals, whatever those might be.70

Det råder fortfarande debatt om vem gärningsmannen är. Oavsett cyberattackens mål och syfte visar detta på ett flertal saker. Flera källor pekar på att det verktyg som läckt från NSA var allmänt känt inom cyberkretsar och att Microsoft var väl medvetna om deras

programvaras brister.71 Trots kunskap vidtogs inga förbyggande åtgärder vilka kunde ha minskat spridningen. Idag gåt det inte att utesluta att framtida cyberattacker är avancerade nog för att kringgå liknande åtgärder och att organisationer med god cyberhygien, trots milda symtom, kan agera smittospridare. Därav kan det inte uteslutas att framtida cyberattacker kan generera direkta eller indirekta lavinartade effekter hos samhällsviktiga organisationer/ aktörer. Inte minst om verktyget, till skillnad från NotPetya, är av en ny art (en så kallad zero-day) och är lika väl socialt konstruerat.72 NotPetya följer alltså det som MSD-16 beskriver

69 Svensson, Magnusson, Zouave 2019 s. 7 70 Krasznay & Hámornik, 2018, s.103–104

71 Rid & Buchanan, 2018 s. 12; Thomson 2017, SC Media 2017b, Wilner et al, s. 362–363 72 Svensson, Magnusson, Zouave 2019 s. 12, 45

Sida 23 av 44 som strategisk och operativ överraskning genom att handla utanför det historiska ramverket, på ett för tiden osannolikt, asymmetriskt och innovativt sätt.73

3.3

M

Studien nytjar endast dokumentära källor vars trovärdighet alltid måste fastställas utvärderas vid forskning. Källkritiken som har tillämpats utgår från de källkritiska kriterierna; äkthet,

oberoende, samtidighet och tendens.74 Nedan följer verken som nyttjas därefter följer en källkritisk redovisning enligt reglerna.

• Greenberg. Sandworm: a new era of cyberwar and the hunt for the Kremlin's most dangerous hackers (2019)

• Svensson, Magnusson, Zouave, Kryptomaskar och deras konsekvenser (2019)

• Krasznay, C. & Hámornik, B. Analysis of Cyberattack Patterns by User Behavior Analytics (2018)

• Wilner et al.On the social science of ransomware: Technology, security, and society (2019) • NATO CCD COE. Researchers. Notpetya and wannacry call for a joint response from

international community (2017)

• Nicole Perlroth, Mark Scott and Sheera Frenkel, Cyberattack Hits Ukraine Then Spreads Internationally (2017)

• SC Media. Reboot’17, Ransomware never dies, 2017 top new threats. (2017)

3.3.1 Äkthet

Äkthet berör verkens tillförlitlighet, att de är vad de utger sig för att vara och inte är planterade eller förfalskade. Ett första steg för att utröna äkthet är att studera verk som är hämtade från öppna källor och är publicerade av erkända förlag och tidskrifter. Materialet består av tre vetenskapliga artiklar vilket alla har referensgranskats innan publicering. De tre nyhetsartiklar som nyttjas är från; NATO CCD COE, New York Times samt SC Media. NATO CCD COE är en NATO ackrediterad organisation med tvärvetenskaplig expertis inom området cyberförsvar. SC Media är ett mediabolag med målet att leverera opartisk

expertinformation kring cyberfrågor och har erkännande inom industrin. Vidare har boken

Sandworm nyttjats som en av huvudkällorna. För att pröva äktheten har texterna relevanta för

denna uppsats ställts mot varandra. Vid jämförelse av texternas beskrivningar av

73 Försvarsmakten 2016 s. 36 74 Esaiasson et al., 2017 s. 288–299

Sida 24 av 44 cyberattackens händelseförlopp råder det vissa skillnader i detaljrikedom. Exempelvis

kryptomaskens ursprung, syfte och kostnad. Hur händelseförloppet beskrivs är dock samstämmigt genom de olika källorna. Författaren Andy Greenberg är senior skribent hos WIRED där han skriver om säkerhet, integritet, informationsfrihet och hackerkultur. I Sandworm återges händelseförloppet av NotPetya tillsammans med en redogörelse för dess konsekvenser och redovisar samtliga källor löpande i texten eller i bokens källförteckning vilket styrker dess kvalité som källa. En källkritisk brist är att det som återges från intervjuer endast är axplock av citat och meningar ur fulla intervjuer utan att redovisa för transskript. De generella beskrivningarna av förloppet överensstämmer dock i de olika källorna. Även

information som delges från företag och ukrainska myndigheter kan vara förvrängd i

bemärkelsen att NotPetyas påverkan underskattas eller underrepresenteras. Detta kan vara ett medvetet val för att minimera potentiella förluster inom den privata sektorn och för att inte blotta svagheter hos Staten. Inga tydliga tecken på dataförvanskning har dock lyckats upptäckas. Vidare betyder detta att studier längre fram i tiden kan komma att ha tillträde till tidigare sekretessbelagda data, vilket kan ge bättre upplösning av händelseförlopp och konsekvenser. Den utvärdering som gjorts av materialet visar på god äkthet.

3.3.2 Samtidighet

Då NotPetya inträffade sommaren 2017 är samtliga källor publicerade i relativ närhet till händelsen, 2017–2019. Detta innebär att beskrivningar av händelseförloppen troligtvis inte har förvrängts alltför drastiskt på grund av tidens förlopp och minimerat risken för efterhands rationalisering.75 Med undantag från Greenberg, som genomfört många intervjuer har

möjlighet funnits att granska individers mediala uttalanden för att kontrollera hur dessa återgetts. Materialet anses således ha god samtidighet.

3.3.3 Oberoende och Tendens

Då det inom ramen för denna uppsats endast varit möjligt att använda andrahandskällor på svenska eller engelska kommer materialet huvudsakligen från västvärlden. En begränsning som påtalas under 1. 6 Avgränsningar och tyvärr inte lyckats undvikas. Sett till tendensfrihet och oberoende finns det fler aspekter som är av vikt och har tagits i beaktande. För att

undvika vanliga fallgropar så som att överdriva eller tillrättalägga sanningar vid tradering har flertalet olika källor nyttjats för att bekräfta beskrivningar av händelseförlopp, framförallt

Sida 25 av 44 gällande referenser till intervjuer. Källorna som nyttjas är sekundära och för att behandla en eventuell brist på centralitet har därför källor av olika karaktär nyttjats och jämförts mot varandra. Vidare bidrar källor av olika karaktär till att identifiera eventuella tendenser. Det går att argumentera att bristen på icke-västerländska källor resulterar i en tendens att måla ut Ryssland som förövaren bakom NotPetya. Exempelvis kan Greenbergs boktitel Sandworm, A

new era of cyberwar and the hunt for Kremlins most dangerous hackers tolkas som viss

tendens. För att eventuell tendens inte skall påverka resultatet kombineras olika källor. Vem förövaren var är för studien inte relevant men kan tyda på generell grad av tendens.

Nyhetsartiklarnas ursprung har redan belysts och samtliga artiklar förhåller sig sakligt till cyberattacken. Dock bör all medial rapportering granskas då sensationalism skulle kunna påverka karaktären av vad som återges i artiklarna. Författarna är antingen professionella journalister eller forskare och där med kan graden av sensationalism i materialet anses vara låg. Vidare är två av tre forskningsartiklar peer reviewd och den tredje publicerad av

Totalförsvarets forskningsinstitut (FOI), vilket har till uppgift att leverera korrekt information som kan antas vara oberoende och tendensfri, har granskats mot dessa och övriga källor. Källgranskningen visar på oberoende och tendensfrihet av händelseförlopp och

konsekvenser.76

De sju verk som presenterats ovan utgör basen för undersökningens material. Samtliga texter ger insikt i hur cyberattacken påverkade Ukraina med viss skillnad i detaljrikedom. Fokus ligger i stort på att återberätta händelsen med resultat och till viss grad diskutera syfte och gärningsman. Oberoende och tendens anses vara källmaterialets svagaste punkter. Detta har i möjligaste mån motverkas genom de åtgärder som beskrivits i kapitlet.För att komplettera dessa källor och indirekt kontrollera materialets tendens och äkthet kan ett flertal andra källkritiskt granskade artiklar komma att nyttjas.

3.4

F

För denna studie har inga intervjuer eller enkäter nyttjats för datainsamling. Det forskningsetiska överväganden som gjorts i denna studie är indirekt kopplat till

analysmaterialet samt dess källor. Vissa källor, bland annat i boken Sandworm samt rapporten Kryptomaskar och deras konsekvenser, nyttjar eller refereras till intervjuer med individer som vid cyberattacken besuttit ämbeten inom ukrainska regeringen eller högre företagsposter. Det

Sida 26 av 44 är viktigt att som forskare ta ansvar för och erkänna eventuella negativa effekter dessa

individer kan erfara på grund av deras medverkande. Likaså eventuella felciteringar eller icke nämnda deltagare som inte får ett erkännande. Dessa individers uttalanden refereras även till del som underlag i denna studie. Övervägningen som gjorts resulterar dock i att information som dessa individer delgett sedan tidigare är allmänt känd, samt att de individer som citeras bedöms vara väl medvetna om att deras uttalande publicerats för allmänheten i form av artiklar eller böcker. Oavsett är detta dock något som behöver tas i beaktande vid forskningen.77

Sverige har stort intresse av att värna folkrätten.78 Detta innebär att Wardens teori kan stå i direkt motsats till försvarsmaktens användning av väpnad makt. Teorins syftar till att kringgå motståndarens militära förband och istället slå ut Ledning, Organiska basresurser,

Infrastruktur eller till och med Civilbefolkning innan väpnad makt riktas mot militära förband. Att då nyttja denna teori i forskning kräver noggrant övervägande. En viktig aspekt som framhålls i undersökningen och fallet för cyberattacker är avsaknaden av traditionella kinetiska vapen. I fallet NotPetya har inga fysisk skada förutom till elektronik lyckats kopplas till attacken. Huruvida detta är avsiktligt eller tur är svårt att säga. Det kan gå att argumentera för att avsaknaden av den kinetiska aspekten hos cyberattacker möjliggör ett nyttjande av teorin på ett sådant sätt att folkrätten och krigets lagar värnas. För studien blir det oavsett viktigt att tydliggöra detta etiska dilemma och belysa risken som finns med nyttjandet av teoribildningen.

77 Johannessen, Asbjørn & Tufte 2003 s. 59–61; Esaiasson et al., 2017 s. 354 78 Försvarsmakten, 2016 s. 50

Sida 27 av 44

4 Analys

Följande kapitel kommer att redovisa studiens analys. Inledningsvis sker en skildring av cyberattacken NotPetya, dess huvudsakliga funktion och vilka konsekvenser som följde. Där efter presenteras analysen av cyberattackens konsekvenser kopplat till teoribildningen med hjälp av det framtagna analysverktyget och avslutningsvis presenteras undersökningens resultat.

4.1

O

Själva spridningen av NotPetya skedde via det Ukrainska It-företaget M.E.Doc:s

redovisningsmjukvara. Närmare 90% av Ukrainas näringsliv nyttjade vid tillfället denna mjukvaran. Vid en uppdatering av programvaran öppnades en så kallad bakdörr vilket gav gärningsmannen legitim tillgång till programmets IT-miljö och kommunikationsvägar. Detta innebar att systeminformation enkelt kunde återmatas till gärningsmannen utan att det sågs som illegitim kommunikation av systemet vilket också underlättade vidare infektion och spridning. Bakdörren tillät även gärningsmannen möjlighet att skicka ytterligare skadlig kod och styrkommandon, vilket enligt IT-säkerhetsföretaget ESET tyder på att verktyget kan ha nyttjats för cyberspionage och cybersabotage, samt varit latent under en längre period.79

När NotPetya brutit ut i Ukraina spred sig viruset mycket fort till ett flertal länder via olika företags långdistansnätverk. Bland annat drabbades Sverige, Nederländerna, Indien, USA och Ryssland.80 Teorier kring cyberattackens syfte varierar. Vissa menar att det var en typ av förundersökning i syfte att testa effektiviteten och utfallet av den typspecifika kryptomasken. Andra menar att det var ett test av sjöfatens motståndskraft mot just cyberattacker.

Spekulationer om förarbete och underrättelseinhämtning inför kommande cyberattacker och eller destabilisering av Ukraina förekommer också. Ukrainas säkerhetstjänst SBU och Amerikanska CIA menar att angreppet härstammar ur ryska militära hackergrupper vilket till viss del skulle kunna stärka de teorier som berör destabilisering.81

79 Svensson, Magnusson, Zouave 2019 s. 13 80 Svensson, Magnusson, Zouave 2019 s. 29–30

Sida 28 av 44

4.2

K

N

P

Följande del redovisar analysen av NotPetya med utgångspunkt i Wardens femringsmodell samt parallell attack. I analysen presenteras varje ring i fallande ordning. Analysen är även avgränsad till att undersöka konsekvenserna av cyberattacken inom Ukraina. Detta då majoriteten av de företag och organisationer som drabbades återfinns i Ukraina. Vissa

uppskattar att ca 60–70 procent av virusets globala spridning utgjordes av aktörer verksamma i Ukraina.82 Vidare återfinns det stöd för att NotPetya var en riktad operation mot Ukraina genomförd av rysk militär.83

4.2.1 Ledning

Det finns flera utmaningar med att mäta direkt och indirekt ledningspåverkan i Ukraina. Den tydligaste problematiken är relaterad till sekretess. Då varken officiella dokument eller uttalande varit tillgängliga vid analysen som tydligt visar vilka system som påverkats,

numerärt eller till vilken grad, är det svårt att göra en kvantitativ uppskattning av exempelvis hur många procent av ledningsförmågan som påverkades. Individer ur Ukrainas politiska ledning uttryckte, på bland annat sociala medier, att regeringens nätverk låg nere samt att detta fick lamslagande effekt på regeringen. Rent tekniskt stängde NotPetya ned ett flertal offentliga webbsidor, bland annat för ministerrådet, inrikesministeriet, kulturministeriet, nationella polisen, energiministeriet och finansministeriet. Förutom att det inte finns officiella dokument som beskrivit eller analyserat konsekvenserna av attacken på Ukrainas ledning, finns heller inte något dokument av förövaren som påvisar vilken effekt cyberattacken hade. Sammantaget visar studiens underlag på att Ukrainas ledning påverkats dels direkt. Genom att kryptomasken riktats mot kommunikationssystem som nyttjas av ledningen, exempelvis websidor och kommunikationssystem, dels indirekt genom att påverka den mänskliga faktorn (population) inom ringen ledning genom påverkan av offentliga personer så som politiker. 84

82 Svensson, Magnusson, Zouave 2019 s. 34 83 Rid & Buchanan, 2018 s. 12

84 Wilner et al.2019 s. 362; Svensson, Magnusson, Zouave 2019 s. 33; NATO CCD COE Researchers 2017;

Sida 29 av 44 4.2.2 Organiska basresurser

Warden påtalar att påverkan på dessa organiska basresurser kan generera sådana politiska eller ekonomiska kostnader att de orsakar systemkollaps. Källorna som analyserats visar på att cyberattacken orsakat globala ekonomiska förluster eller skador på en helt ny nivå jämfört med tidigare cyberattacker.85 Både för finanssektorn och infrastrukturen. Ett problem i uppskattningen av kostnaden för Ukraina har här varit bristen på officiella dokument.

Materialet Kryptomaskar och deras konsekvenser samt On the social science of ransomware:

Technology, security, and society, indikerar till viss del att kostnaderna bör varit höga, inte

bra globalt utan även för Ukraina. FOI:s rapport sammanfattar det enligt följande; ”En senior ukrainsk regeringstjänsteman uppskattade att 10 procent av alla datorer i landet förstördes av NotPetya.”86 Den andra källa som nämns ovan indikerar på liknande resultat;

”On the first day of the attack, Microsoft estimated that 12,500 computers in Ukraine had been infected. However there seems to be a lack of available information about the number of infected devices beyond this figure. This may be due to the Ukrainian government’s desire to downplay the impact the attack had on the country.”87

Dessa citat ger en indikation på att de ukrainska kostnaderna bör vara anmärkningsvärda dock saknas exakta siffror från tillförlitliga källor. För att få en uppskattning kan vi jämföra med den totala globala kostnaden. Globalt uppskattas kostnaden var på ca 10 miljarder USD. Flertalet globala företag påverkades kraftigt och den mest uppmärksammade, danska Maersk, som enskilt beräknar deras utgifter till 300 miljoner USD som direkt orsakade av NotPetya. Även det amerikanska läkemedelsföretaget Merck beräknar sin totala kostnad till runt 870 miljoner USD. (se 4.2.3 Infrastruktur).88

Totalt påverkades sex ukrainska elproducenter var av en, Ukrenergo, var statlig. De exakta effekterna är även här inte helt kartlagda. Det materialet visar på är att det främst var administrativa system som slogs ut hos dessa elproducenter och att elförsörjningen inte påverkades negativt utan kunde fortlöpa enligt rutin. Flera datorer var dock tvungna att

85 Greenberg, 2019 [2019] s.

86 Svensson, Magnusson, Zouave 2019 s. 33 87 Wilner et al. 2019 s.362

Sida 30 av 44 kopplas bort från infekterade nätverk och system. Ingen information har hittats gällande specifik påverkan av exempelvis oljeraffinaderier eller annan känslig nyckelindustri och produktion.89

Resultatet av analysen av de organiska basresurserna indikerar för att påverkan har skett, dock inte till den grad att funktionen eller dess leverans slagits ut. Detta baseras på att det inte funnits tillräckligt med information som indikerar på att attacken skulle påverkat elförsörjning eller gett ekonomiska konsekvenser av den magnitud som förväntas inom ramen

systemkollaps. Påverkan av infrastruktur vid hamnar skulle kunna ses som en indirekt

påverkan av organiska basresurser om konsekvenserna påverkar exempelvis import av vitala basresurser. Materialet inom detta område har dock bristande information vilket gör att den slutsatsen inte kan dras.

4.2.3 Infrastruktur

NotPetya påverkade nästa alla nivåer av den ukrainska infrastrukturen. I nordöstra Ukraina påverkades de system som mäter radioaktiviteten vid Tjernobyl till den grad att det

automatiska systemet fick kopplas ur det infekterade nätverket. Mätinstrument fungerade men kommunikation med omvärlden försvann. Sociala medieplattformar så som Facebook och Telegram, en ukrainsk medieplattform, krypterades delvis och kommunikationsföretaget Ukrtelecom skall ha påverkats. Flertalet federala myndigheters nätverk infekterades och de system som inte infekterats och stängts ned på grund av NotPetya kopplades ur manuellt av personal inom dessa myndigheter för att minska spridning. Vidare slog cyberattacken ut ukrainas statliga järnvägsbolags biljettsystem, samt så Kievs tunnelbanas biljett- och

betalsystem. Två flygplatser påverkades där informationsskärmar vid bland annat terminaler slogs ut. Ukrainska postens huvudkontor och dess servrar attackerades. Dess system ansvarar för brev, monetära transaktioner, nyhetsprenumerationer, utbetalning av pension samt

avsändningssystem för posttransporter. När infektion upptäcktes stängdes postens nätverk ned manuellt i syfte att minska infektionsspridningen. Trots åtgärden uppskattas total runt 70% av datorerna som varit sammankopplade i nätverket infekterats.90

89 Greenberg, 2019 [2019] s.188–189; Svensson, Magnusson, Zouave 2019 s. 33, 35; Wilner et al.2019 s. 362;

SC Media 2017, 12; Perlroth 2017.

90 Greenberg, 2019 [2019] s. 184–189; Krasznay & Hámornik, 2018 s. 103–104, 106; Svensson, Magnusson,

Zouave 2019 s. 33–35; Wilner et al.2019 s. 362; NATO CCD COE Researchers 2017; SC Media 2017; Perlroth 2017.

Sida 31 av 44 Betalsystem vid bensinstationer och dagligvaruhandel infekterades och sattes ur funktion tillsammans med bankomater. Företags betaltjänster online stängdes också ned. Sjukhus som nyttjade Windows system påverkades. Detta inkluderade GPS-spårning av ambulanser, patientjournaler och administrativa tjänster. Utrustning som nyttjade andra operativsystem så som Linux påverkades minimalt.91

Cyberattacken påverkade sammantaget fyra sjukhus i Kiev, sex elleverantörer, två flygplatser, ett tjugotal ukrainska banker, bankomater, kortbetalsystem, större delen av de federala

regeringens servrar, nätverk och IT-system samt runt 300 företag. Av de privata företagen syntes påverkan tydligt inom sjöfartsindustrin bland annat Maersks hamnterminaler i Odessa slogs ut.92 Globalt påverkades flertalet företags produktionsmöjlighet. Tidigare nämnda Mercks produktion av läkemedel minskade markant.93

Textmaterialet visar på att infrastruktur påverkats i mycket hög utsträckning. Det som inte gått att utröna ur textmaterialet är i vilken utsträckning GSM och mobilkommunikation påverkats. Inte heller har effekten på ukrainsk industriell produktion gått att analysera utifrån materialet. Den fysiska skada som uppstått har begränsat till datorer och servrar.

Sammanfattningsvis påverkades banksektorn, hälso- sjukvårdssektorn, energisektorn, transportsektorn samt offentlig sektor direkt i mycket stor skala.

91 Greenberg, 2019 [2019] s. 184–189; Krasznay & Hámornik, 2018 s. 103–104, 106; Svensson, Magnusson,

Zouave 2019 s. 33–35; Wilner et al.2019 s. 362; NATO CCD COE Researchers 2017; SC Media 2017; Perlroth 2017.

92 Ibid 93 Ibid

Sida 32 av 44 4.2.4 Population

Att slå mot en stats befolkning i syfte att förändra opinionen i ett land är enligt Warden mycket svårt och resultatet går sällan att förutspå. Ett angrepp skulle kunna leda till

motståndarens favör t.ex. genom uppror. I materialet går det att utröna påverkan av sociala medier som Facebook, Telegram och telekommunikationsbolaget Ukrtelecom. Inget material gör någon uppskattning av denna påverkan. Inte heller finns det någon indikation på spridning av falsk information. Det kan argumenteras för att attackens inverkan på infrastruktur så som betalsystem för varudaglighandel, bensinstationer och sjukhus till del påverkar ringen

population genom att begränsa befolkningen rörelsefrihet eller handel. Textmaterialet visar

dock inte på några förändringar i opinion eller uppfattning om ledningens legitimitet. Detta kan bero på att ingen fysiskt skadades som en konsekvens av angreppet.94 Enligt

operationaliseringen visar detta att påverkan har skett, dock bara begränsad till påverkan av civilbefolkningens digitala kommunikationsmedel.

4.2.5 Militära förband

Warden hävdar att även om ett angrepp på fientliga militära förband aldrig har ett egenvärde i sig, kan det vara en pusselbit i påverkan på andra ringar där militära förband fungerar som skydd för CoGs. Det finns uppenbar problematik i analysen av NotPetyas påverkan på de militära förband. Inget i materialet visar på påverkan av ukrainska försvarsmakten. Materialet visar på att regeringen påverkades kraftigt. Volodymyr Omelyan, Ukrainas

infrastrukturminister uttryckte följande; ”The government was dead” och ”It was a massive bombing of all our systems.”95 I egenskap av infrastrukturminister är det rimligt att anta att han hänvisade till attackens generella påverkan av infrastruktur. Det som skulle kunna påverka den ukrainska försvarsmakten är om de, likt övriga myndigheter och federala organ, nyttjade administrativa system med Microsoft Windows som operativsystem och att dessa infekterats och krypterats. Om så är fallet skulle troligtvis påverkan på dessa system vara i relativ paritet med övriga samhället, eventuellt med en något lägre smittspridning på grund av cyberhygieniska åtgärder och rutiner. Vidare skulle påverkan av ledning, organiska

basresurser, infrastruktur och population simultant kunna ge eftergifter även inom militära

94 Greenberg, 2019 [2019] s. 186–189; Krasznay, & Hámornik, 2018 s. 103; Perlroth 2017. 95 Greenberg, 2019 [2019] s. 186, 189

Sida 33 av 44 förband. Sammantaget går det inte att finna några fasta indikationer på påverkan av militära förband. Det som funnits är en källa vilket skulle kunna ses som ett motbevis. National

Security and Defence Council of Ukrain skrev i ett uttalande den 27:e juni 2017 följande;

Due to the powerful cyberattack on broad-ranging information systems, the National Coordination Center for Cybersecurity operates under quick response protocol. This was announced by Secretary of the National Security and Defense Council of Ukraine Oleksandr Turchynov. According to him, all state institutions that followed the recommendations of the National Coordination Center for Cybersecurity and were included in the protected circuit (protected Internet access) have not been affected.96

Bristen på källor med andra bevis saknas, därav görs bedömningen att nödvändiga

kommunikationssystem skyddats samt att försvarsmakten påverkats minimalt. Detta kan vid bekräftad påverkan av ledning.

4.2.6 Parallell attack

Parallell attack bör ses som receptet för hur Warden menar att teoribildningen och fienden

som system bör nyttjas. Då det generellt finns ett begränsat antal CoGs på strategisk nivå

skapas en naturlig förutsättning för parallella attackers framgång. Ett simultant angrepp inom loppet av en mycket begränsad tid kan förmå sätt fienden i strategisk paralys och nå så stor effekt som möjligt.97

NotPetya har påverkat flera CoGs inom flera av de strategiska ringarna. Denna simultana påverkan skedde även inom en mycket begränsad tidsperiod, bedömt inom loppet av timmar. Vad som är svårt att definiera är huruvida kryptomasken var direkt riktad mot Ledning, organiska basresurser, infrastruktur och population eller om påverkan av någon ring orsakats av opportunistisk spridning. Det som talar för att det var en mer riktad attack är nyttjandet av tidigare kända metoder och tekniker. Vilket Krasznay och Hámornik skriver;

NotPetya ransomware is a good example how well-known tools and tactics enable a new strategy. [5] Based on experts’ opinion, the motivation behind this malware was to influence Ukraine’s normal daily operation and to test the resistance of maritime

96 Oleksandr Turchynov 2017 97 Warden III 1995a s. 43