Cybersäkerhet och tillit genom EU:s CSIRT-network?
En jämförelse av tre förtroendemodeller för informationsdelning
mellan IT-incidenthanteringsteam
Axel Stjärnkvist
Självständigt arbete, 15 hpStatsvetenskap med inriktning krishantering och säkerhet Påbyggnadskurs
HT 2019
Handledare: Magnus Ekengren Antal ord: 12870
Inledning ... 3
Forskningsproblem ... 3
Syfte och frågeställning ... 4
Tidigare forskning ... 5
Att studera cybersäkerhet och krishantering i Europa ... 5
Att studera nätverk - styrning globalt och regionalt ... 7
CSIRT-enheter och underrättelsesamarbete ... 8
Teori ... 10
En global världsordning och regional integration: top-down eller bottom-up? ... 10
Governance – vad är ett nätverk? ... 13
Samarbetsdesign och förtroende ... 14
Metod och material ... 16
Operationalisering ... 18
Analys ... 19
Den vidöppna metoden - First och TF-CSIRT ... 19
Samarbetsdesign ... 21
Förtroendeskapande ... 23
Den snäva metoden – European Governmental CERTs (EGC) och Nordic Cert Cooperation (NCC) ... 24
Samarbetsdesign ... 25
Den ålagda gemenskapen - EU:s CSIRT-network (CNW) ... 26
Samarbetsdesign ... 29
Förtroendeskapande ... 29
Slutsatser och diskussion ... 31
Funktion ... 31
Medlemskap ... 31
Struktur ... 32
Autonomi ... 32
Integrationsperspektivet – EU kontra icke-EU ... 32
Metodologisk kritik ... 33
Referenslista ... 34
Inledning
Den första nätmasken, eller dataviruset, släpptes lös av misstag av en 23-årig student på Cornell University i USA 1988. Den så kallade Morrismasken spred sig mellan datorer på universitetet och skrev över lagringsminnet. Efter incidenten granskade den amerikanska militärens forskningsinstitut DARPA händelsen och rekommenderade en koordinerande krisfunktion. Den första IT-incidenthanteringsteamet eller Computer Emergency Response Team (CERT) var fött (Bradshaw 2015:5f).
Informations- och cybersäkerhet är idag en högaktuell fråga för myndigheter, företag och regeringar. När kritisk infrastruktur är uppkopplad mot nätet är den sårbar för intrång och sabotage. Med överbelastningsattacker kan regeringshemsidor eller
bankverksamhet över nätet stängas ned, vilket det estniska samhället fick utstå 2007. 2017 drabbades hela världen av dataviruset Wannacry som spred sig snabbt och krypterade datorer för en lösensumma med stora konsekvenser för bland annat sjukvården i
Storbritannien och telekomindustrin i Spanien (BBC 2017). I Sverige drabbades bland Timrå kommun i Västernorrland och administrativ personal fick avbryta arbetet (SVT 2017).
Forskningsproblem
Ända sen internets födelse har skadlig kod varit ett problem för användare. När de första datavirusen dök upp på amerikanska forskningsnätverk har IT- och säkerhetsexperter insett behovet av att jobba tillsammans. Olika expertnätverk av IT-incidenthanteringstema har vuxit fram internationellt och regionalt sedan 90-talet (Bradshaw 2015, Enisa 2006). På senare tid har stater och regeringar insett samma sak. Vi medborgare har vant oss med ord som
”cyberattacker”, och världens militärer har erkänt cyberrymden som en militär arena. De senaste decennierna har EU tagit en större roll när det gäller européers säkerhet och staters krishantering (Boin et al 2006, Rinhard & Boin 2009), specifikt
gränsöverskridande kriser som bränder eller översvämningar (Boin et al 2014). Ett europeiskt policyområde och framväxande krishanteringsområde är cybersäkerhet. EU lanserade en cybersäkerhetsstrategi 2013 där breda definitioner gavs som konceptualiserade arbetet i tre led: nätverk- och informationssäkerhet (NIS), cyberbrott och cyberförsvar (Christou 2016). Samtidigt la kommissionen förslag på ett direktiv för medlemsstaters nätverks- och
informationssäkerhet (NIS-direktivet) vilket blev verklighet 2016.
Dessutom har det vuxit fram ett antal nationsöverskridande nätverk på
tjänstemannanivå inom EU, inte minst på området krishantering. Det har sporrat teoretiska debatter kring inflytande genom styrningsformat och gränsen mellan mellanstatligt och
överstatligt samarbete (Hollis 2010). Olika teoretiska skolor har debatterat den eviga frågan om europisk sammanslutning. Byggs det bättre ”bottom-up”, som en säkerhetsgemenskap av handel, utbyte och gemensam identitet eller ”top-down”, med institutionsbyggen kring gemensamma funktionella, politikområden (Ekengren 2018)?
Tidigare forskning har visat att policy när det gäller NIS och cyberbrott är
fragmenterad på EU-nivå, när det gäller institutionell koordinering och delad förståelse av hot och problem (Krzysztof 2014, Carrapico & Barrinha 2017). EU-lagstiftning på området nätverks- och informationssäkerhet har kartlagt och visat olika inneboende logiker (Fahley 2014) och skiftande implementeringsresultat (Porchedda 2018). Olika hotförståelser och definitioner kan få negativa konsekvenser för en gemensam politisk förståelse av en cyberincident. Samtidigt är cyberområdet i sig en gråzonsproblematik där traditionellt förstådda jurisdiktioner och policygränser suddas ut (Boin 2019, Odermatt 2018).
Med andra ord är EU en relativ nykomling när det gäller arbetet för
cybersäkerhet (Odermatt 2018) jämfört med de internationella expertnätverk som funnits sen 90-talet. Samtidigt är EU en aktiv spelare, när det gäller strategier, initiativ och lagstiftning. Det finns alltså ett tryck på medlemsstater att harmonisera lagstiftning på området och att arbeta mer lika för att samarbeta bättre över nationsgränser.
Vad kan styrning från EU-lagstiftning förväntas åstadkomma för medlemsstaters cybersäkerhet, och på vilket sätt skiljer det sig från redan existerande gränsöverskridande expertnätverk? Genom att intervju praktikerna som rör sig i detta policyfält berikas denna teoretiska debatt om internationell integration och jämför samtidigt förutsättningarna för en god cyberkrishantering.
Syfte och frågeställning
Syfte och frågeställning
Syftet är att förklara samarbetet på cybersäkerhetsområdet inom Europa mellan
IT-krishanteringsteam från ett integrationsperspektiv. Det har sedan en tid tillbaka funnits olika internationella och regionala nätverk för att uppnå förtroende och samarbete på området. Nu har ett EU-nätverk av IT-incidenthanteringsteam startats upp genom ett direktiv med samma syfte. Hur påverkar ett samarbetes former förutsättningarna för krisoperatörers tillit till varandra? Vilken modell, bygga förtroende uppifrån (top-down) eller nedifrån (bottom-up) som är bäst lämpad att skapa tillit mellan cyberexperter i Europa?
Detta operationaliseras med begreppen samarbetsdesign och strategisk tillit, uttryckt i benägenheten att dela information mellan parter. Skillnader i samarbetsdesign kommer att uppmärksammas och hur det påverkar benägenheten att dela information med nätverket. Jämförelsen tillåter en diskussion om integration i ett EU-sammanhang jämfört med icke-EU sammanhang. Indikatorer på förtroende tas fram genom intervjumaterialet och att studera karaktäristiken av de tillgängliga nätverken. Genom att kategorisera och visa på skillnader mellan dessa olika nätverk kan kostnader och tillgångar för cyberkrishantering fångas upp.
Tidigare forskning
Att studera cybersäkerhet och krishantering i Europa
Europeiska unionen har länge involverat sig själv i politik för ett säkrare internet, men är en relativ nykomling när det gäller cybersäkerhet. En vanlig karakterisering av EU:s agerande i området är att den är reaktiv och fragmenterad (Odermatt 2018:355). Det har påpekats att medlemsstaterna har olika juridiska definitioner på centrala begrepp och konceptualiserar politikområdet olika (Krzysztof 2014). EU lanserade en cybersäkerhetsstrategi 2013 där breda definitioner gavs som konceptualiserade arbetet i tre led: nätverk- och informationssäkerhet, cyberbrott och cyberförsvar (Christou 2016). Olika förståelser riskerar att leda till olika svar på cyberhot enligt Jed Odermatt (2018:358f): ska en ”cyberattack” förstås som en militär eller polisiär angelägenhet och hur påverkas ansvarsfördelningen mellan medlemsstater och till EU centralt? EU applicerar en “multi-stakeholder approach” som även nämns i
cybersäkerhetsstrategin från 2013, där företag, organisationer och stater ska mötas. Därför har EU:s arbete fokuserat på att stärka institutioner och koordinera samarbeten på nationell och global nivå (Odermatt 2018:359f).
Samtidigt har lagstiftning skett, främst inom nätverks och informationssäkerhet. NIS-direktivet har sin juridiska grund i artikel 114 TFEU1, den inre marknaden, eftersom
rörelsen av handel och tjänster idag är uppkopplat på nätet. Intressant nog sorteras även skydd mot kritisk infrastruktur in under detta mandat (Odermatt 2018:363). Politik inom det rättsliga området, som barnpornografi eller identitetsstöld via nätet kan formuleras via artikel 82(2) och 83(1) TFEU. Dessa initiativ syftar främst till att harmonisera och standardisera
medlemsstaters arbete. Inom cyberförsvar har Kommissionen mindre att säga till om, men
mellanstatliga format, till exempel inom PESCO, förekommer genom EU (Odermatt
2018:360f). Som Odermatt (2018:372) påpekar innebär cyberhotet en gråzonsproblematik där gränser policygränser blir allt suddigare, vilket är ett problem för en traditionellt förstådd regelstyrd gemenskap, som EU.
De juridiska (Porcedda 2018) och politiska instrumenten (Carrapico & Barrinha 2017) inom EU:s cybersäkerhet har kartlagts och analyserats. EU har minst 11 direktiv inom cybersäkerhet, varav fem inom Inrikes och rättsliga området och sex inom den Inre
marknaden. De sex baserade på artikel 114 TFEU har konceptualiserats av Maria Garcia Porcedda (2018:10) i två led: som skydd från intrång av personlig data, uttryckt som ”data breach”, och säkerhetsskydd av kritisk infrastruktur. Dessa uttrycks lite olika juridiskt i instrumenten: ”incidents”, ”breach of security”, “loss of integrity” or “security incidents”, men hon tolkar att dessa konvergerar i en sammantagen EU-rättslig förståelse som hon kallar ”cyber security breaches” (Porcedda 2018:5). NIS-direktivet definierar incident som en
faktiskt negativ påverkan på ett informationssystem eller nätverk. Säkerhet definieras i som en ”tillförlitlighetsnivå [att] motstå åtgärder som undergräver tillgängligheten, riktigheten,
integriteten eller konfidentialiteten” (art. 4(2)), vilket är ett klassiskt sätt att förstå nätverks- och informationssäkerhet enligt Porcedda (2018:8) genom att hänvisa till Internationella teleunionens begripliggörande (ITU 2015).
Porcedda (2018:10) menar alltså att även om det finns flera olika direktiv så sammanstrålar de i ett gemensamt syfte med nätverks- och informationssäkerhet, som alla ålägger rapporteringsmekanismer inom privat eller offentliga verksamheter till olika grad. I NIS-direktivet beror rapporteringsskyldigheten på hur allvarlig störningen är som orsakats av incidenten, vilket specificeras närmare beroende kritisk sektor, till exempel energi eller sjukvårdssektorn. Rapportören behöver även specificera om störningen kan ha effekter på andra medlemsländer, och i vissa fall behöver ansvarig myndighet meddela det vidare till landet. Direktivet införde nya, mer allmänna rapporteringsskyldigheter till leverantörer av digitala tjänster och/eller samhällsviktiga tjänster eftersom rapportering och
informationsdelning genom de tidigare direktiven inte skedd i den utsträckning man ville. (Porcedda 2018:14f, Tofan, Moulinos and Karsberg (2015)).
EU:s förmåga att realisera cybersäkerhetspolicy har beskrivits som fragmenterat och icke-koherent, när Helena Carrapico & André Barrinha (2017) har tittat på institutionella koordination och delade förståelser av säkerhet mellan EU-institutioner, EU:s medlemsstater och den privata sektorn fram till 2016. Ett gemensamt koherent arbete är ett mål enligt EU-kommissionen, cybersäkerhet som politikområde har tagit mer plats på EU:s agenda och
mellan EU-institutionerna har det vuxit fram en ”cybersecurity community”. Specifikt mellan utrikestjänsten EEAS, Europols cybergrupp och EU:s byrå för cybersäkerhet Enisa (Carrapico & Barrinha 2017:1264). Samtidigt är arbetet mellan medlemsländerna fragmenterat. Till exempel startade 2014 de fem centraleuropeiska länder2 ett reginonalt
IT-incidenthanteringsnätverk för att arbeta mer integrerat. Informationsdelning och olika
känslighetsgrader av cybersäkerhet pekas ut som problem, och det finns skillnader i kapacitet och operativa rutiner. I deras intervjumaterial framkommer att telekomindustrin är ovillig att samarbeta med kommissionen jämfört med banksektorn som har mer erfarenhet av
incidenthantering (Carrapico & Barrinha 2017:1265).
Att studera nätverk - styrning globalt och regionalt
Framväxten av transnationella samarbetsnätverk globalt har definierats som nätverk vars medlemmar är ”specialized governmental sub-units” av Kehone och Nye (1974) som interagerar med andra liknande enheter i andra länder. Det gäller alltså praktiker, inte
ministrar eller regeringschefer. Liknande nätverk inom EU har studerats av Hollis (2010) och vilka implikationer det har för europeisk integrationsteori. Enligt Hollis (2010:313f) har till exempel Kirchner and Sperlings (2007) teori kring security governance förstått nya
samarbetsformer som potentiellt destruktivt kraft för staters nationella suveränitet. Samtidigt sker mer mellanstatligt samarbete inom krishantering trots att ett växande mandat för unionen inte skett i samma takt, en gåta för en neofunktionalist vars hypotes förutspår centralisering av auktoritet som spill-over effekt av närmare samarbete (Hollis 2010:313). Istället bör staters suveränitet förstås som en katalysator, istället för en barriär, för gränsöverskridande samarbete enligt Hollis (2010:316), vilket exemplifieras i transgovernmental networks (TGNs).
Samtidigt, menar Hollis, att perfekta nätverk sällan uppstsår: icke-statliga organisationer och akademiska aktörer kan även ingå om dessa är en minoritet. Vikten av nätverkets medlemmar och nätverkets i sig kan mätas i den frekvens en medlem deltar och hur ofta ett nätverk träffas (Hollis 2010:317). Utmärkande för TGNs är att de allra flesta beslut är icke-bindande och tas i konsensus. Interaktionen är mer informell och horisontell, kontakt kan ske på mer voluntärbasis via gemensamma nätplatformar. Nätverket bygger på tillit och god samarbetsvillighet. I verkligheten kan TGNs vara en hybrid av centraliserad och
decentraliserad struktur, men ändå relativt jämn distribution av inflytande bland medlemmarna (Hollis 2010:318).
Ett annat utmärkande drag är självstyre, eller autonomi från regeringar även om någon grad av nationellt inflytande finns, vilket är ett centralt problem att skilja mellan transgovernmentalitet och intragovernmentalism. Nätverken påverkas även av internationella organsiationer, som EU, vilket kan ge nätverket finansiellt stöd eller legitimitet. Graden av autonomi påverkar nätverkets andra drag mest, enligt Hollis (2010:318). Ju mer självstyre kan nätverket påverka sitt medlemskap, struktur och funktion.
Enligt Robert Kehone & Joseph Nye (1976) kan TGNs antigen vara policy-koordinerade, där saker kan regulariseras eller harmoniseras, eller policyskapande, där koalitioner kan byggas för att influera andra nätverksmedlemmar (Hollis 2010:319). Sandra Lavenex and Nicole Wichmann (2009:86) identifierar tre typer av TNGs "informative, implementation and regulatory networks”. Det informativa nätverket fokuserar på informationsutbyte och best practices som agerar genom att ”diffuse policy-relevant
knowledge and ideas” bland medlemmar. Här spelar expertis och professionellt rykte stor roll. Implementeringsnätverk övervakar att överenskommen policy sätts i verket ordentligt och försöker uppmuntra samarbete mellan medlemmar. De komplimenterar mer hierarkiska former av implementering. Oftast sysslar de även med kapacitetsbyggande övningar och teknisk assistans. Regulatory networks har ett explicit mandat att komma överens om policyutveckling. Genom kategorisering kan indirekt kontroll av nätverk på den politiska agendan och policyutveckling mätas (Hollis 2010:319).
Hollis studie av existerande EU-nätverk kommer fram till att perfekta transgovernmental eller intragovernmental nätverk inte finns, utan behöver blandas. Han menar även att traditionella förståelser av nationens inflytande eller begränsande av nätverken behöver nyanseras med andra nätverk, internationella organisationer och EU:s inflytande. Till exempel kan TNGs vara ett mjukt verktyg för EU att utöva inflytande utan att uppröra
nationella regeringar. Samtidigt är det också, för praktiker och deltagare ett effektivare sätt att sprida information. Huruvida detta påverkar europeisk krishantering är osäkert. Att bygga en känsla och tillit och ”vi-känsla” kräver regelbunden kontakt i nätverken, som till viss del kan underlättas med gemensamma kommunikationsplattformar (Hollis 2010:323f).
CSIRT-enheter och underrättelsesamarbete
Internationella försök till styrning på internet har förklarats som ett ”cyber regime complex” (Nye 2014) där Computer Security Incident Response Teams (CSIRT) har uppmärksammats som nyckelaktörer. Den generella uppgiften beskrivs som att hantera IT-incidenter,
information med andra, och förebygga framtida incidenter (Bradshaw 2015:6). Enligt Samantha Bradshaw (2015:7) interagerar CSIRT:s inte bara mellan varandra utan med en växande regim av intressen och policyskapare globalt, vilket intensifierar ett samarbetsbehov och frågan om tillit mellan aktörer över nations- och sektorsgränser.
Att dela information mellan cybersäkerhetsorganisationer har framhållits som ett effektivare gemensamt skydd och ger förbättrat underlag för strategiskt beslutsfattande. Att samla hotinformation över tid ger också förutsättningar för långsiktig analys. En
grundläggande förhoppning med arbetet är att skapa lägesbild – vilket kan ge uppkomst till nya nationella myndighetsbildningar eller gränsöverskridande centra. Oftast görs detta arbete genom CSIRT-enheter. Den stora barriären eller problematiken för informationsdelning är tillit, enligt Florian Skopik (2018:3). Läckt material kan ha stora konsekvenser för
företagskunder eller en leverantör av samhällsviktiga tjänster. Därför är tillit till motpartens intentioner och säkerhetsrutiner grundläggande. Vad informationen ska användas till och hur den ska delas inom organisationen är också grundläggande policy för tillit i ett utbyte. Till sist, enligt Skopik (2018:4), är juridiska ramar en stor problematik för samarbete, framför allt personligt dataskydd, konkurrenslagar eller säkerhetssekretess.
Att träffas regelbundet, personligen eller virtuellt, och kommunicera regelbundet är grundstenen för tillit enligt Skopik (2018:7). Inte bara hotinformation utan även informella sammanhang där trender och bästa praxis kan diskuteras. Även gemensamma åtgärder i kris eller en viss problematik samt att lära upp nyare organisationer. Detta görs generellt genom e-postlistor och fysiska möten. Det informella erfarenhetsutbytet och formella
hotinformationsdelningen behöver komplettera varandra enligt Skopik (ibid). Generellt i cybersäkerhetssamarbete finns en central funktion som kan granska nya deltagare och koordinera aktiviteter, informationspolicy eller krisindikationer i en gemenskap. Frågan är vart denna funktion ska placeras, inom staten, privat företag eller industriförening eller en överstatlig organisation. Den stora fördelen för en stat är att den kan lagstifta, men Skopik (2018:8) framhåller att nationella säkerhetstjänster eller militära organisationer med CSIRT är kontroversiella att samarbeta med, eller för den delen koordineras av i ett samarbete.
Samtidigt har Sergei Boeke (2018) visat att en CSIRT:s association med en säkerhetstjänst tillför mer informationsutbyte av högre kvalité för en enhet med nationellt uppdrag.
Information, eller ”cyber threat intelligence” som delas mellan
cybersäkerhetsorganisationer har delats upp i kategorier. Indikatorer, eller en teknisk fingervisning, på att ett intrång eller incident är pågående. Det kan vara en IP-adress med ovanlig aktivitet som då kan blockeras. TTP:s, eller ”tactics, techniques and procedures”,
alltså observerade beteenden och systematiska metoder för intrång, till exempel fejkad e-post. Hotaktörer, som hackerkollektiv, kriminella organisationer, terrorgrupper eller statssponsrade grupper. Etablerade hotaktörer kallas även APT:er eller ”advanced persistent threat” och kan identifieras genom TTP:er. Sårbarheter, till sist, är upptäckta fel i en viss systemvara som uppmärksammas av ansvarigt företag eller andra CSIRT:s, som kan riskera potentiella intrång (Skopik 2018:5).
Teori
Detta avsnitt kommer att förankra uppsatsen i en bredare statsvetenskapliga disciplin, mer specifikt perspektiv på internationellt samarbete och former för gemensam säkerhet. Från olika idéströmningar kommer några hypoteser att summeras vilka informerar uppsatsens frågeställning. Till sist definieras vad ett nätverk innebär.
En global världsordning och regional integration: top-down eller bottom-up?
Forskare och studenter inom internationella relationer har länge försökt svara på hur politik på internationell nivå styrs och förändras. En central fråga har varit formen för upprätthållandet av fred mellan stater. Den meta-teoretiska skola som betecknas realismen sammanfattar frågan utifrån suveräna staters konkurrens mellan varandra i ett internationellt system av anarki – utan en överstatlig auktoritet. Militär säkerhet och existentiellt egenintresse driver staters agerande. Det resulterar i en världslig maktbalans där krig undviks genom att försäkra denna maktbalans via avskräckning och militära alliansbyggen (Westberg 2008:17f).
Liberalism är en idétradition och meta-berättelse om en världsordning som istället framhäver staters samarbetsvilja för att göra internationella relationer mer
förutsägbara, regelstyrda och gemensamt förmånliga. Internationell rätt och mellanstatliga organisationer minimerar risken för krig, och bygger mellanstatlig gemenskap. Genom dessa forum kan även idéer om demokrati och individuella fri- och rättigheter spridas global, vilket gör världen säkrare (Westberg 2008:18).
En undergren av den liberala idétraditionen är den av integrationsteorier om internationellt samarbete. Det är idag en verklighet att vissa länder i världen uteslutit krig som konfliktlösning inom en region och istället bygger fred och säkerhet tillsammans. Den mest radikala inriktningen, federalismen, förordade en central auktoritet som därmed begränsade staters centrala suveränitet, krigsförklaring till exempel, och därmed eliminera det anarkiska systemet. En annan mer pragmatisk idé – funktionalismen – argumenterade istället för samarbete på substans- eller policybasis, där grupper eller en region av stater såg ett
gemensamt sätt att lösa vissa (funktionellt) avgränsade politiska problem. Detta skulle göra arbetet mer lokalt och legitimt för staternas medborgare (Westberg 2008:24).
En framträdande teoretiker inom funktionalismen var David Mitrany. Grunden för internationell fred och samarbete kan inte endast grundas i folkrättsliga deklarationer eller överstatlig reglering, enligt Mitrany, utan olika politikområdens behov av internationella lösningar. Dessa kan binda samman och genuint förena stater. Även om Mitrany ansåg att staters suveränitet behövdes begränsas genom olika internationella beslutscentra, var han pragmatiskt inför att sådant samarbete inte i onödan ska provocera stater att slå vakt om sin särart – internationellt samarbete bör samtidigt bevara ”nationell frihet”. Därför var han kritiskt mot ett federalt Europaprojekt efter andra världskriget eftersom vissa politikområden kommer onekligen att vara ointressanta för vissa stater att samarbeta kring (Westberg
2008:44f, Mitrany 2003).
Mitranys funktionalism kan sammanfattas i devisen ”form follows function”: en teknokratisk logik där samarbetsformer ska vara specifikt kontextbundet och inte
konstitutionellt, statiskt bundet. Olika politikområden kräver olika samarbete och varierar i territoriell bundenhet (Westberg 2008:47). Dessa olika samarbetsprojekt utifrån medborgarnas vardagliga problem skulle klumpas ihop allt mer och växa till samarbetsregimer med allt större samordningsbehov internationellt. Det avslutande steget för Mitrany var en global topporganisation av politiskt beslutsfattande och insyn, ett sorts internationellt parlament där stater ändå bibehöll ett genomförande ansvar. Denna idé, eller utopi, skulle alltså förverkligas stegvis och byggas funktionellt från grunden. Inte ”ett tomt tempel” av konstitutionell
federalism vilket förutsätter en övergripande politisk organisation i början av processen (Westberg 2008:48f, Mitrany 2003).
Jacob Westberg framhäver det sätt Mitranys funktionalism har kritiserats. Den lojalitetsförändring som förutspås från nationen till internationella
problemlösningsplattformar har i hög grad uteblivit. Medborgare förstår fortfarande politiska vinster genom nationella regeringar och medier. Dessutom är samhällsproblem inte endast tekniska – politiska överväganden och ideologi påverkar lösningsförslagen. Mitrany har för stor tilltro i att teknokratiska, rationella förslag ska ses som universellt legitima bland olika stater och samhällen. Det kan finnas politiska anledningar till att uppenbara effektiviseringar inte genomförs, alltså kan andra överväganden väga tyngre (Westberg 2008:54ff).
Mitranys funktionalism vidareutvecklades av Ernst Haas på 60-talet. Teorin verkade ha viss förklaringskraft på den europeiska kontinenten, när Frankrike, Västtyskland och Benelux-länderna tillsammans bildade kol- och stålgemenskapen 1951. Skapandet av
denna föregångare till dagens Europeiska Union gav upphov till Haas långa studie av
europeisk integration. Hans så kallade neofunktionalistiska skola tog vara på tidigare inslag av överstatlighet inom europeisk federalism (Westberg 2008:70).
De första stegen mot europeisk integration kom med Monnetplanen. Att samarbeta överstatligt angående kol, stål och kärnenergi var i grunden funktionella uppdrag, men de kritiserades av Mitrany för att vara ett federalistiskt, europeiskt projekt och därmed exkluderande. Med Ernst Haas vidareutveckling av teorin, känd som neofunktionalismen, släpptes det normativa studiet av en global säkerhetsordning och fokuserade på just europeisk integration, inklusive dess federalistiska inslag (Zwolski 2018:102). Samtidigt var Haas neofunktionalism en ny teori, ett annat sätt att begripliggöra värden mer positivistiskt, förklarande istället för normativt, utvecklande enligt Kamil Zwolski (2018:106).
Det federala, eller överstatliga, inslagen i neofunktionalismen framhäver ett nytt europeiskt beslutcentrum där politiska eliter och intressegrupper behöver presentera
europeiska lösningar. Detta ska underlätta framväxten av lojalitetsförskjutningar när dessa eliter rutinmässigt, gemensamt utformar pragmatiska nyttoeffekter, eller ”multipla lojaliteter” där europeiska intressen kan växa fram utöver nationella intressen. Tillsammans med
framväxande överstatliga institutioner förutspås lojalitetsförskjutningen ge krav på konformitet bland europeisk politik. Det här är Haas definition av integration, som
överbetonade eliters rationella samhällsplanering och underbetonade medborgerlig förankring (Westberg 2008:72f). Centralt i neofunktionalismen är integrationsprocessens dynamiker – spridningseffekter eller ”spillover”. Antigen som funktionell spillover, där mindre
kontroversiella samarbetsområden kräver öppnandet av nya närliggande områden för att fortsätta vara effektiva. Eller framodlad spillover där paketlösningar presenteras med ett politiskt motiv där kontroversiella samarbetslösningar måste accepteras i en kohandel mellan nationella beslutsfattare och en europeiska kommissionen (Westberg 2008:76f).
Framodlade spridningseffekter har visat sig svårare att lyckas med och en aktivistisk kommission har ifrågasatts som ofruktbart perspektiv. De förutspådda
lojalitetsförändringarna bland politiker och tjänstemän, eller politisk spillover, har också kritiserats. Socialiseringen mellan dessa förutspås skapa en ”vi-känsla” bland deltagare inom ett identitetsprojekt inom EU. Medborgarna i de deltagande nationerna och gräsrötterna i de intresseorganisationer som samlades i det europeiska projektet förmodades även de inspireras att förflytta sina lojaliteter. Som Westberg (2008:83) påpekar påminner det om Mitranys övertygelse att medborgares förståelse av nyttoaspekterna i samarbetet skulle ge en gemenskap, jämfört med endast pragmatiska egenintressen.
I relation till undersökningen tolkas ovanstående teorier om integration i form av lojalitetsförskjutningar eller gemenskap som olika perspektiv på förtroendebyggande mellan både stater, eliter eller praktiker. CSIRT-nätverken som vuxit fram globalt sen 90-talet är exempel på funktionellt avgränsade organisationer, främst bland forskningsnätverk och företag. Detta koncept har genom åren fått en mer nationell karaktär, där rent mellanstatliga nätverk skapats, och nu senast en koordinerande karaktär genom EU:s NIS-direktiv.
Berättelsen om IT-krishantering kan alltså begripliggöras som framväxten av parallella lösningsformat för cybersäkerhet. Berättelsen innehåller försök på professionell, icke-politisk nivå söka gemensamma verktyg och förståelser av IT-incidenthantering. Den innehåller nationella regeringars försök att samarbete multilateralt i säkerhetsnätverk. Samtidigt har medlemsstaterna i EU och EU-parlamentet ålagt ett direktiv att samarbeta mellan IT-incidenthanteringsfunktioner med ansvar för kritisk infrastruktur.
Governance – vad är ett nätverk?
Ett governance-perspektiv handlar om att studera former för politisk interaktion och huruvida det påverkar politiska beslut. Det innehåller även implikationer för studiet av maktutövning, inflytande och förståelser av statlig suveränitet. Inom europeiska studier har former för politisk interaktion betonat en förvandling av staters auktoritet och inflytande (Bossong & Lavenex 2016:86f). Begreppet har även fungerat som ett sätt att förstå en global
världsordning eller politisk kultur, i avsaknaden av en världsregering. Att studera styrning och inflytande på europeisk nivå tar sin utgångspunkt i vad som kallats ”intensive
transgovernmentalism”, alltså vikten av gränsöverskridande samarbetsnätverk av lägre tjänstemän (Bossong & Lavenex 2016:87f, Wallace 2010:100)
Det har varit ett sätt att förklara beslutsformer som inte passar in i rent mellanstatliga (eller intergovernmental) och överstatliga (eller supranational) format. Till exempel på rättsliga och inrikesfrågor (JHA) har interaktion mellan nationella beslutsfattare på lägre nivå vuxit fram utan större inbladning av EU-institutioner. Även om medlemsstater därmed behåller suverän kontroll styrs inte en sådan politisk process av regeringschefer utan ministrar eller statstjänstemän (Bossong & Lavenex 2016:91f, Wallace 2010:100).
Governance fångar in olika former att styrning och beslut, ofta i icke-hierarkiska grupperingar (Bevir 2012:3). Kontrasterat med ordet government, som refererar till politiska institutioner, hänvisar governance till en styrningsprocess där statliga, privata, supranationella eller ideella organisationer kan ingå. Det refererar också till hybrida eller policyöverskridande nätverk. Begreppet vill belysa dagens framväxande förändring- och styrningsprocesser som
utövas på fler administrativa nivåer, oftast över fler sektorer och institutioner samt fler intressenter, eller ”stakeholders” (Bevir 2012:5).
Begreppet innehåller vissa normativa och epistemologiska implikationer. Enligt Bevir (2012:12) framkallar governance idéer om pluralitet och kompexitet, medan
government hellre ser och studerar en enhetlig samling aktörer och mer direkt maktutövning.
Ordet förknippas även med normativa idéer om marknadsstyrning av statliga myndigheter och verksamheter (Bevir 2012:15). Centralt i governance är idén om nätverket, vilket kan förstås mot den offentliga, byråkratiska hierarkin och den privata, konkurrensdrivna marknaden (Bevir 2012:17). Nätverket som organiseringsform har presenterats som ett alternativ till den traditionella uppdelningen i offentligt och privat. Ett nätverk innehåller flera formellt skilja deltagare som är beroende av varandra och därför bygger långsiktiga relationer för att säkra utdelningen av resurser. Den har oftast ingen central auktoritet, och skiljer sig från marknaden genom sin långvariga förhandling istället för kortsiktiga vinstsökande (Bevir 2012:26f). Samtidigt kan en totalitet av alla tre idealstyrningsformer ingå i ett försök att skapa policy av en politisk aktör (Bossong & Lavenex 2016:89)
Ett nätverk bygger sakta upp tillit mellan deltagare, och en enskild aktör ser nätverkets existens som mer värt än sin egen vinning. Nätverket är en plattare organisation, som
karakteriseras av samarbete och informationsutbyte, när byråkratiska hinder eller marknadsintressen är frånvarande. Däremot kan vissa deltagare vara mer beroende av varandra i nätverket, och en aktör kan sitta på fler resurser och potentiellt få ut mer av ett nätverk jämfört med mindre resursstarka aktörer (Bevir 2012:27f).
I ett nätverk med mindre insyn eller hierarkisk kontroll kan nätverksdeltagare känna sig mer fira att experimentera och tackla problem som traditionella strukturer har svårt för. Samtidigt är ett nätverk svårare att koordinera, granska resultat och utkräva ansvar från. Avsaknad av central koordination eller komplexa relationer kan leda till ett fragmenterad arbete. Nätverk kan vara instabila och lätt omkullkastas om en deltagare ändrar inställning eller agerar opportunistiskt (Bevir 2012:29f).
Samarbetsdesign och förtroende
Undersökningens syfte kräver en närmare definition av förtroende och informationsutbyte mellan stater generellt. I sin avhandling om internationellt underrättelsesamarbete tar Björn Fägersten (2010) fram en förklaringsmodell för ökat eller minskat samarbete mellan stater. Mekanismen för stater är en kalkyl mellan tillgångar och kostnader, som i sin tur påverkas av ett antal drivande eller hindrande variabler. Han antar att stater drivs av vinstsökande och
bevarandet av sin suveränitet. Potentiella underrättelsetillgångar i ett underrättelsesamarbete är ny information från en partners källor eller verifieringen av egen information. Det kan effektivisera ett underrättelsearbete om en stat kan vila på andra parters specialisering. Stater kan också motiveras av policytillgångar i underrättelsesamarbeten: att stärka allianser eller skadade relationer multi- och bilateralt, därmed bygga inflytande och legitimitet. Stater väger dessa tillgångar gentemot kostnader, förstådd som förlust av autonomi och makt. Till exempel förlora kontroll över underrättelsearbetes form eller insatser, och inte är i linje med statens strategiska intressen (Fägersten 2010:84-86).
Olika former av underrättelsesamarbeten för med sig olika stora kostnader och tillgångar, men de kan även associeras med ett antal risker för alla inblandande. Fägersten (2010:87f) sammanfattar dessa som informationsasymmetri, free-riding och
manipulationsrisk. En stat har omöjligen all information om ett problem och kan dessutom inte veta helt vilken information andra sitter på. Det medför extra kostnader i from av att följa sina samarbetspartners underrättelsearbete. Free-riding refererar till problemet att mindre deltagande aktörer kan dra nytta av en pool av information utan att bidra till den. Till sist kan en aktör manipulera samarbeten genom att bidra med information som driver en
policyagenda.
Fägerstens, menar att den ovanstående grundkalkylen påverkas av ett antal pådrivande variabler, som sen möter barriärer och enablers. Jag kommer att välja ut de som är mest relevant för studien baserad på teoriavsnittet. Han skiljer på ett antal rationellt-aktörsdrivande variabler och en å andra sidan där samarbetsprocessen i sig är pådrivande, eller cooperative
momentum, i en neofunktionalistisk förståelse (Fägersten 2010:93f).
När det kommer till barriärer presenterar han två huvudvariabler: byråkratiskt motstånd och institutionell seghet (intstitutional resilience), som skiljer sig på grad av politisk, individuell opportunism och organisationers förmåga att påverka processen. Den andra är mer relevant, eftersom den fångar upp förändringskrav i regler och rutiner, specifikt lagstiftning kring informationsdelning. Dessa juridiska krav eskalerar och olika mandat kan omöjliggöra eller sakta ned utbyte av information (Fägersten 2010:98f).
Undersökningen drar mest nytta av Fägerstens (2010:100f) enablers, som förmildrar de inneboende riskerna av samarbete, vilka är tillit (trust) och cooperative design. Tillit är, enligt Fägerström, en utvärdering baserad på kunskap om en aktörs preferenser och
kapaciteter samt kunskap om en aktörs tidigare beteenden, eller ”strategic trust”. Vidare är tillitsbyggnad en process där det framgångsrika risktaganden åt andra ger informationsutbyte.
Tillit höjer den nivån av risk en grupp aktörer är villig att acceptera i ett samarbete, och det sänker kostnader för övervakandet av motparternas intressen.
Med samarbetets design menar Fägersten (2010:102) relationen mellan
aktörerna samt det arrangemang som etableras av aktörerna, alltså maktfördelningen mellan dem samt graden av autonomi som organisationen ges. En hierarki mellan medlemmar kan vara en förutsättning för att vissa stora stater ska delta eller ta en större arbetsbörda.
Organisationens autonomi innebär kompetenser som delegeras till en icke-statlig instans och vilket inflytande icke-statliga institutionella aktörer har tillgång till. Detta inflytande styrs enligt Fägersten (2010:103) av staters grundläggande konstandskalkyl, men också av behovet av att minska inneboende kostnader av samarbetet som hänvisats till tidigare. Till exempel effektivisera arbetet genom att övervaka parters informationsspecialisering för, eller rapportera på parters arbetsbörda och efterlevnad i samarbetet för att undvika free-riders.
Fägersten menar att skillnader i maktställning mellan aktörerna påverkar hur organisationens är designad: ju mer en institution reflekterar maktfördelningen mellan aktörer desto mer sannolikt att den ges mer autonomi, och arbetar på ett mer löst juridiskt mandat. Medan institutioner där maktfördelningen skiljer sig antas institutioner vara mer specificerade mandat (Fägersten 2010:104).
Metod och material
Eftersom syftet med undersökningen är att studera hur tillit mellan IT-incidentteam påverkas av formen för ett samarbetsnätverk är det passande att intervjua de involverade personerna.
Ingången till ett intervjumaterial skiljer sig mellan två huvudsakliga
frågemetoder: informantundersökning och respondentundersökning. Vid den första behandlas intervjuobjekten som ”sanningssägare” eller ”vittnen” till en viss process eller organisation. Olika informanter kan bidra med olika bitar av pusslet, varför det inte är ovanligt att
intervjufrågorna kan skilja sig mellan varandra. Intervjumaterialet blir i hög grad källmaterial och behandlas därför också efter källkritiska principer. Intervjuerna kompletteras ofta med dokumentstudier (Esaiasson et al. 2017:235f).
Vid en respondentundersökning är intervjuobjektens egna tankar och åsikter som är studien fokus. Därför läggs vikt vid att ställa samma, strukturerade frågor för att kunna se mönster eller teman. En variant, frågeundersökning, kan liknas vid en muntlig enkät, medan en samtalsundersökning innebär ett interaktivt samtal mellan forskare och
intervjuperson. Här finns i förväg bestämda frågor men med en lägre grad av standardisering, alltså tillåts intervjupersonen utveckla sina svar och forskaren följa upp dessa under intervjun
(Esaiasson et al. 2017:236). Enligt Jan Trost (2010:41f) används ibland beteckningen ”semi-strukturerad” för att berätta att en intervjuundersökning tillåter frågor med öppna svar, men ordet struktur kan även betyda ämnesfokus vilket förvirrar. Enklast, enligt Trost, är att förstå en kvalitativ intervjustudie som högt strukturerad (fokuserad på ett område eller
frågeställning) och att frågorna är utan svarsalternativ.
Min intervjustudie ska förstås mot dessa två metodinriktningar. Med tanke på antalet intervjuer undersökningen genomför blir det omöjligt att uppnå en frågeundersökning i stil med: hur många på MSB anser att gränsöverskridande CSIRT-nätverk påverkar deras arbete? En obekväm sanning är att intervjustudien avgränsas av de tillfrågades vilja att delta och tiden det tar i beslag. Anledningen att jag har kontaktat CSIRT-team och nätverk är att de till viss mån är ”vittnen” till den process av cybersäkerhet undersökningen studerar. Samtidigt är deras tankar och inställning till mina frågeställningar om inflytande och hotbild ett centralt, kvalitativt bidrag utöver andra faktaupplysningar. De är med andra ord ”berörda” personer (Esaiasson et al 2017:269), som deltar och kan ge kvalificerade erfarenheter från det som studeras. Därmed kommer intervjumaterialet främst förstås som informanter som belägger eller undergräver hypoteser från tidigare forskning.
En intervjuguide (Bilaga 1) har tagits fram för att styra intervjutillfällena. Frågor kring tillit och informationsdelning har tagits upp vid alla tillfällen. Med tanke på olikheter i kompetens och uppdrag har intervjupersonerna tillåtits berätta om mer djupgående som sina erfarenheter och åsikter kring samarbete och kris. Därmed bidragit med ”pusselbitar” av fältet som en informantstudie.
Under arbetets gång har utredningar och myndighetsrapporter från Sverige och EU-byråer gett en faktagrund att stå på. Inför undersökningen skickades mail ut till flera IT-krisincidentteam i Sverige, samt ett antal globala och regionala nätverk. Svarsbenägenheten var låg. Intervjuer genomfördes därefter med fyra personer med relevant bakgrund i ämnet. Två personer vid MSB, den ena med ett strategiskt och utvecklade uppdrag, den andra ett operativt uppdrag och deltar som representant i flera av MSB:s utländska nätverk. En person från Försvarsmaktens CERT-enhet och en högt uppsatt representant från det globala IT-incidentforumet FIRST.
Den sistnämnda informanten sticker ut eftersom denna inte arbetar vid en nationell IT-krisfunktion utan ett internationellt nätverk. Det intervjumaterialet har därför av naturliga skäl ett internationellt fokus, och frågor om nationella krishanteringserfarenheter är inte aktuella. Försvarsmaktens och MSB:s IT-incidentteam skiljer sig även åt. Båda
än FM-CERT. FM-CERT ingår inte i något annat nätverk, och omfattas inte heller av NIS-direktivet eftersom verksamheten rör skydd av rikets säkerhet, vilket undantas i EU-NIS-direktivet. Informanten från försvarsmakten ger ändå insikt kring förtroende och arbetet i en CSIRT-enhet.
Operationalisering
I analysavsnittet kommer läsaren att ges en bakgrund till respektive samarbete/nätverk. Dessa kommer sedan jämföras efter de variabler som uppmärksammats av Fägersten (2010) - tillit och samarbetsdesign. Hollis (2010) diskussion och utvecklig av systematik
nätverkssamarbete kommer komplettera Fägerstens variabel samarbetsdesign. Dessa tidigare undersökningar kommer med andra ord plockas isär för att passa undersökningens syfte och teoretiska anknytning.
Samarbetsdesign kommer att analyseras följande, efter adaption av av Hollis (2010:317-319) Den vidareutvecklingen av tidigare har fokuserat på fyra variabler: medlemskap, struktur, autonomi och funktion. När det gäller funktion som variabel är den väldigt beroende på det ursprungliga syftet med nätverket när det skapades. Denna variabel fångas upp när bakgrunden till nätverket beskrivit. Sen bestäms om samarbetet är frivilligt för de deltagande. När Hollis studerar transgovernmental networks (TNGs) är frivillighet ett krav, men det är inte självklart i denna undersökning. Därefter undersöks variabeln medlemskap: är antalet medlemmar högt eller lågt? Hur homogen eller heterogen är medlemmarna? Hur ofta träffas medlemmarna? Även om Hollis systematik inte utesluter icke-statliga deltagare anser han ändå att dessa ska vara en minoritet, vilket undersökningen kommer att bortse ifrån.
När det gäller struktur antas nätverk ha en informell karaktär och vara
konsensusdrivande, men Hollis (2010:318) menar att en gradskillnad i formalitet kan variera. Det utgås även från att en relativ horisontell maktfördelning mellan medlemmar existerar, men som Fägerströms mellanstatliga perspektiv framhåller så kan samarbetsnätverk antigen ligga nära eller långt ifrån staters maktbalans på global skala. Alltså: hur informell kontra regelstyrd är nätverket? Är medlemmarnas inflytande över nätverket jämt eller ojämnt fördelat?
Hollis systematik utgår ifrån att nätverken har en viss autonomi från nationella regeringar, däremot påverkas ett nätverk av stater och internationella organisationer till exempel via att ge legitimitet eller finansiellt stöd. Graden av autonomi påverkar även ett nätverks förmåga att bestämma över vilka medlemmar som ska ingå och hur informell
strukturen är. Som Fägersten (2010:104) påpekat ges underrättelsesamarbeten mer autonomi ju högre chansen antas vara att den ska reflektera rådande maktställning mellan stater.
Analys
Undersökningen kommer att ägna sig åt ett antal uppgifter som tidigare operationalisering kräver. Tre olika metoder för samarbetsdesign kommer att presenteras.
Den vidöppna metoden - First och TF-CSIRT
Eftersom syftet med uppsatsen är att studera integration och förtroendebyggande i Europa kommer detta kapitel ta upp två snarlika nätverk - ett globalt och ett regionalt forum.
FIRST (Forum on Incident Response and Security Teams) är ett internationellt forum av IT-incidentteam. Det startades upp 1990 av den amerikanska teamet CERT-CC och elva andra team. Idén kom från ett framgångsrikt samarbete och informationsspridning vid en tidigare incident, den så kallande WANK-masken i oktober 1989, där den amerikanska energimyndigheten och NASA samverkade. Målet har från början varit att dela kunskap mellan IT-incidentteam och assistera vid stora incidenter. Detta genom att utveckla metoder, verktyg och bästa praxis samt främja utvecklingen av nya IT-incidentteam i andra länder (Enisa 2006:32f).
First arbetar även för att sprida ett gemensamt språk för IT-incidenthantering för att förhindra missförstånd och förbättra samarbete eftersom kulturella förståelser kan innebära ett globalt hinder. Intervjupersonen (Intervju 4) berättar även att First vill vidareutvecklas till en mötesplats för tekniker och policyansvariga, specifikt med att anordna övningar
tillsammans, eftersom man upplever en saknad av den kopplingen. Dels att politiker har svårt att förstå de tekniska delarna och tekniker har svårt att acceptera att allt fler regler avgränsar deras arbete.
Organisationen består av en styrelse (Board of Directors) som leder organisationen. Under den finns två permanenta kommittéer – den ena avhandlar nya medlemmar, den andra planerar de årliga konferenserna (First 2016). Styrelsen kan även ta initativ att skapa ad-hoc kommittéer för till exempel utbildning av nya CSIRT:s (Enisa 2006:35). Mest aktivitet sker i de undergrupper, Special Interest Groups (SIGs) som ett antal medlemmar kan starta upp och söka pengar till.
Sedan 90-talet har det funnits flera incidentteam utspridda i Europa. Den första incidenthanteringsteamet i Europa bildades 1990 i Frankrike. Bakgrunden var NASA:s Space Physics Analysis Network (SPAN) som kopplade samman amerikanska och europeiska rymdforskare genom det amerikanska DECnet. Det var över detta nätverk som en av den
första datavirusen spreds, den så kallade WANK-masken 1989 som spred ett anti-kärnvapenbudskap. Detta ihopkopplade forskningssamarbete genom NASA, samt några uppmärksammade datavirus, uppmärksammade nätsäkerhetsfrågan. Flera europeiska
forskarnoder anammade idén: 1992-1993 skapades ett nederländskt SURFnet CERT och det tyska DFN-CERT, båda forsknings- och utbildningsnätverk (Enisa 2006:22).
TF-CSIRT bildades då flera CSIRT:ar i Europa tyckte det var ett för stort Nordamerikanskt fokus och att det behövdes skapas ett europeiskt forum. Från början var det en sammanslutning av akademiska IT-indicentenheter vid europeiska universitet, men idag deltar många nationella enheter (Intervju 3). Tidigt insåg experter i Europa ett behov att samarbeta internationellt. De första stegen att samordna detta kom genom det EU-finansierade forskningsnätverket TERENA3 genom ett projekt 1993-1994. I början av nätverkets arbete
förslogs ett centraliserat europeiskt CSIRT-funktion, med en koordinerad ”top-down approach”. Dock fick idén inget inflytande eftersom det ansågs för dyrt och inkräktande på individuella incidentteam. Istället möttes dessa grupper genom den internationella FIRST, där man kom överens att mer samarbete bland europeiska team, inklusive icke-medlemmar i FIRST, krävdes. Mellan 1993 och 1995 möttes representanter från fler incidentgrupper på konferenser i ett antal europeiska huvudstäder (Enisa 2006:22f).
Ur dessa diskussioner upprepades behovet av koordinering. En arbetsgrupp, eller task force (TK-CSIRT), vid TERENA presenterade ett koncept för koordinering – Security Incident Response Coordination for Europe (SIRCE). Detta pilotprojekt drog igång 1997 och döptes sedermera till EuroCERT. Tanken var att ge ett dygnet runt koordinering kring incidenter, samla och dela information mellan incidentteam real-time, samt bygga relationer med brottsbekämpande organ inom och utanför Europa. EuroCERT skulle inte vara ett incitenthanteringsteam i sig. Alla deltagande incidentteam var forsknings- och
utbildningsnätverk, så kallade NRENs4, men man hoppades på att kommersiella
internetleverantörer skulle ansluta sig vilket inte hände (Enisa 2006:23)
Projektet avslutades i förtid 1999 när intresset och finansieringen tog slut. EuroCERT drogs med problem: det visade sig svårt att koordinera incidentteam med olika uppdrag och serviceutbud samt tjäna ett behovs utan att inskränka på individuella team. En
3 Trans European Research and Education Networking Association. Det bildades 1994 vid sammanslutningen av
Réseaux Associés pour la Recherche Européenne (RARE) och European Academic and Research Network (EARN) (Enisa 2006:17). Idag heter forsknings- och utbildningsnätverket GÉANT och förvaltar bland annat eduroam.
central funktion ansågs även stävja personliga nätverkskontakter på nationell nivå och onödigt komplext. Det blev inte den koordineringsfunktion projektet skulle bli, istället fortsatte
europeiska team samarbeta som vanligt (Enisa 2006:23f). När flera incidentorganisationer samlades i Amsterdam 1999 (TERENA 1999) för att diskutera projektet drogs slutsatsen att ett permanent, europeiskt CERT-koordinering inte var aktuellt framåt, främst på grund av för stora skillnader i behov och intressen hos organisationerna (Enisa 2006:25).
Under dessa år återgick samarbetet till att innefatta mailkontakt och årliga konferenser, tills 2000 i Wien då bestämde att återuppliva task force-formatet (TF-CSIRT) och samarbeta kring vissa frågor (TERENA 2000a). Det ledd till slut fram till Trusted Introducer som är nätverkets viktigaste funktion idag. Det är en ”trust broker” för europeiska CSIRT:s, vilket fungerar som ett ackrediteringssystem som visar att teamet har uppnått en hög nivå av kompetens och säkerhetsrutin (Enisa 2006:15). Team kan börja som ”listed” för att senare bli ackrediterade och till sist certifierade (TI 2019) Ju högre ranking desto mer
möjlighet får en IT-incidenthanteringsteam att delta på stängda task-force möten med känslig information CSIRT 2019a). Nätverket träffas i konferensform tre gånger per år (TF-CSIRT 2019b) vilket är vanligt för liknande nätverk (Intervju 3).
TF-CSIRT bakgrund som ett försök till central CSIRT-funktion vid 2000-talets början utvecklades med andra ord inte till den koordinerande krisfunktion några såg framför sig. Istället delar den karakteristik med det globala nätverket First.
Samarbetsdesign
Medlemskap i First är frivilligt. Idag har First 510 medlemmar spridda över 94 länder. De flesta medlemmarna finns i USA, Japan, Tyskland och Spanien (First 2019a). Medlemmarna skiljer sig ganska rejält. Det är dels nationella CSIRT:s men idag är medlemskapet främst företag. Forumet träffas som helhet en gång om året, och anordnar även en gemensam konferens med varje år TF-CSIRT (Intervju 3). Mycket av det kontinuerliga arbetet sker genom specialiserade undergrupper, där ett antal likasinnade medlemmar samlas kring en fråga med förhoppningen att producera en gemensam position (Intervju 1). Det samlades även till mindre forum, eller symposium, fyra gånger under 2018-2019 och tekniska seminarium 11 gånger (Schreck 2019:7)
För att bli medlem krävs att två nuvarande medlemmar sponsrar en ansökan, betalar en medlemsavgift och att organisationens styrelse godkänner ansökan. Dessutom ska den nya medlemmen besökas för att lära känna organisationen och att den uppfyller vissa krav. Det kan dock uteslutas om en kvalificerad majoritet av styrelsen och både sponsorer
anser att det är onödigt (First 2005). En intervjuperson (Intervju 1) sammanfattade kraven som säkra kommunikationer, att tillföra gemenskapen diverse kunskap, ha en viss nivå att nåbarhet av andra medlemmar och utpekade huvudmän. Syftet är främst att se till att information som delas inom Frist hanteras på rätt sätt, och att minikraven för att bygga förtroende är på plats (First 2014). Till exempel behöver teamet specificera kontaktpersoner och sin huvudsakliga sektor, eller ”constituency”, som de jobbar mot. Detta uppfylls ofta med en så kallad RFC2350-standard, en informationslista som alla CSIRT-team gör tillgängliga öppet. Medlemmar krävs även ha olika policyrutiner, som informationsklassificering. First har en klassificeringsstandard som kallas Traffic Light Protocol som används mellan CSIRT-enheter (Intervju 1).
Intervjupersonen (Intervju 1) uppmärksammar att det finns kostnader med att samarbeta. Ett medlemskap i First eller TF-CSIRT kostar pengar i medlemsavgift, mycket tid och engagemang när personal behöver resa på konferenser. Hur trevligt sånt utbyte än må vara krävs en värdering av vad organisationen kan få ut av det. För en organisation som FM-CERT behöver operatörerna kontinuerligt vidareutbildas eftersom man utgår ifrån att statssponsrade attacker kommer vara uppdaterade och sofistikerade. Och när medarbetare är ute på konferens kan de inte försvara systemen samtidigt. Det blir en långsiktig investering, att bygga förtroende med andra i hopp om att få ta del av informationsutbyte. I dessa stora forum finns flera sektorer representerade som kan ha andra hotaktörer mot sig än en militär CSIRT. Dock kan samma metoder eller kod användas varför det är lönsamt att samverka kring dessa. Samarbeten i sådana blandande sammanhang karakteriserar intervjupersonen (Intervju 1) som bredare, och samverkan med militära CSIRT-enheter som spetsigare.
När det gäller att själv dela information från den egna organisationen bidrar det till en trovärdighet. Medlemmar förväntas bidra, men informationsutbyte kan vara svårt för en CSIRT inom en militär organisation. När det gäller FM-CERT kan de inte dela med sig av slutsatser från incidenter eller tester som kan röja information om hur systemen är uppbygga eller vilka användarna är. Det stannar till stor del inom försvarsmakten. Istället kan en sådan organisation bidra med generell kunskap, som ett föredrag om den tekniken på en metodnivå. Det finns även en lägre förväntan på militära organisationer eftersom andra medlemmar har förståelse för de lagliga begränsningar de lyder under (Intervju 1).
First som forum har öppnat upp sig mer för kommersiella CSIRT:s och blivit mer globalt sen det startades. Där finns aktörer från länder som en svensk
säkerhetsorganisation i vanliga fall skulle vara misstänksam mot, som Ryssland och Kina. Det innebär att informationen som delas i öppna sammanhang ”urvattnas litegrann” (Intervju 1).
Det politiska mandatet för en organisation som CERT-FM styr även vem man kan tala med, ingå subgrupper med och koppla upp konkreta utbyteskanaler. Informationsdelning kan även ske person till person, tekniker till tekniker över mail, där ett högre förtroende finns (Intervju 1).
När det gäller inflytande och struktur kan man konstatera att de flesta
medlemmarna finns i USA, och den arbetsordning för medlemskapsprocessen är framtagen tillsammans med Carnegie Mellon University, den institution som lanserande Cert-konceptet (First 2014). I september 2019 uteslöts tre kinesiska företags CSIRT-team från First. Beslutet togs som en konsekvens av den amerikanska regeringens exportrestriktioner på kinesiska Huawei (First 2019b) Det blev olagligt för ett företag som gör affärer i USA att interagera med personer från några utpekade företag. Som intervjupersonen (Intervju 4) beskriver, togs beslutet av styrelsen efter att några medlemmar gjort bedömningen att de inte kommer kunna delta i samma utsträckning när dessa sanktionerade parter deltog. Uteslutningen gjordes trots att Huawei inte brutit några regler, utan tolkades istället inte vara i linje med First syften och stadga. Intervjupersonen är tydlig med att dessa portalparagrafer medvetet tolkades bredd och har varit uppriktiga i det mot de uteslutna kinesiska medlemmarna.
Förtroendeskapande
Tre av fyra informanter vittnar om Firsts betydelse för att bygga förtroende mellan CSIRT:s men på grund av samarbetsdesignen är nätverket i sig en omöjlig plattform att uppnå fullt förtroende för. Det framhålls som en bra plattform att lära känna nya kollegor och därmed bygga grunden för ett eventuellt bilateralt tillitsbyggande (Intervju 4). Det är även ett tillfälle att få upp ögonen för andra teams förmågor och därmed en grund för att kunna värdera framtida eventuell information från dem. Genom att träffas får man en förståelse för
trovärdigheten hos en annan medlem och hur tekniskt kunniga de är. (Intervju 1). First är inte samma informationsdelningsplattform som det en gång varit på grund av bredden och
mängden på medlemskapet har vuxit. Operativ information delas inte längre där. Däremot kan eventuella subgrupper av ”like-minded states” (Intervju 4) genom forumet fördjupa sitt utbyte utan att andra medlemmar får insyn.
Intervjupersonen från First (Intervju 4) vill även framhäva en neutral eller humanitär förståelse av sin organisation, en sorts röda korset för internet. Till exempel sysslar inte First med att attribuera en attack till ett land eller grupp. Istället vill intervjupersonen se plattformen som en samling brandsläckare, som kan se till att spridningen av skadlig kod begränsas oavsett var. Forumet ska vara en ”red-phone” funktion, där konkurrerande
stormaktsaktörer fortfarande kan kommunicera och förhoppningsvis deskalera eller samarbeta på andra områden. Alltså är forumets potentiella neutralitet och avskalade tekniska karaktär i sig som ska skapa förtroende. Ett förtroende som förhoppningsvis kan göra skillnad i en framtida större incident. Genom denna inramning kan man även söka undantag från ekonomiska sanktioner, vilket fungerat när det gäller amerikanska sanktioner mot Iran och just nu försöker man få undantag från Huawei-sanktionerna.
Något som informanten (Intervju 4) uppmärksammar att uppfattas som att arbeta med en hemlig agenda är något som har negativa konsekvenser för att bygga förtroende. Den bilden kommer främst från en medlems karaktär som ett CSIRT inom en underrättelsetjänst eller en tillsynsmyndighet (”regulator”). Dels att en annan medlem inte kan vara säkra på att den delar samma explicita syfte med ett samarbete eller dialog gentemot en CSIRT-enhet inom en underrättelsetjänst. På ett större nivå menar intervjupersonen att det automatiskt svårare att lita på en partner som har mer makt än en själv. Alltså ska forumet eftersträva så jämställt samarbete som möjligt. Sen uttrycker intervjupersonen en etisk ståndpunkt att
politiskt mandat inte ska styra inflytande utan den grad av professionalism och mognad hos en medlem. En ståndpunkt som intervjupersonen tycker sammanfattar filosofin bakom First (Intervju 4).
Den snäva metoden – European Governmental CERTs (EGC) och Nordic Cert Cooperation (NCC)
EGC är ett informellt nätverk av tretton stycken västeuropeiska nationella CSIRT-enheter som bildades 2006 (Enisa 2006:36) Än idag är nätverket stängt för nya medlemmar dock är EU-institutionernas egna CSIRT-enhet som skapades 2010 medlem i EGC (2019). Det som menas med nationell CSIRT-enhet i det här fallet är att de förvaltas inom det offentliga, men
ansvaret kan skilja sig beroende på nationell jurisdiktion (Intervju 3)
Nordic Cert Cooperation (NCC) bildades 2011 inom ramen för det nordiska
ministerrådet. Idén lanserades i en rapport författad av den tidigare norske utrikesministern Thorvald Stoltenberg (2009) om fördjupade säkerhetssamarbetsområden mellan de nordiska länderna (Intervju 3). Där föreslås ett kompetensnätverk för digitala hot mot det nordiska området genom att utbyta erfarenheter och bygga kapacitet tillsammans. På sikt skulle detta kunna samordna ett nordiskt försvar mot digitala hot mot samhällets kritiska infrastruktur som el, vatten och kommunikationer från individer, terrorgrupper och stater. Rapporten påpekar att det saknas säkra kommunikationsvägar mellan de nordiska länderna när det gäller digitala hot och efterlyser en lösning för snabb informationsdelning av känslig information i kris. Till
exempel hotbedömningar, attackmetoder sårbarhetsinformation relaterad till kritisk infrastruktur och åtgärder.
I en uppföljande rapport (Haugevik et al. 2019:14) konstateras att det funnit starkt politiskt stöd mellan nordiska länder i form av deklarationer på högpolitisk nivå om
cybersäkerhet, samtidigt som samarbete på lägre expertnivå har fördjupats. Störst framgång anser de finnas i samarbetet mellan CSIRT-enheter och till viss del de nordiska
säkerhetstjänster där de nationella IT-incindentteamen ingår. En gemensam
kommunikationsplattform, GovCERT, har blivit ett viktigt instrument i gemensam analys och förvarning av digitala attacker, enligt rapporten. Rapporten påpekar att det är svårt att säga om Stoltenbergs initiativ och toppolitiskt stöd har ledd till dessa framgångar. Istället talar den om ”the bottom-up technical collaberative ventures” (ibid) på mer irreguljär och personlig basis. Skillnader i hur CSIRTs är organiserade i eller utanför säkerhetstjänsten flaggas som ett politiskt hinder för samarbete. Även om det finns politisk enighet har det inte reflekterats i strategiskt och finansiellt stöd. Dessutom menar rapporten att den positiva utvecklingen i större grad styrs av påverkan från Nato och EU än det nordiska samarbetet.
I intervju med en MSB-representant (Intervju 3) menar att politisk styrning i stor grad saknas i det nordiska IT-incidentsamarbetet, vilket informanten ser som positivt. Istället har praktiker getts ett brett politiskt mandat att arbeta och utbyta information med varandra. Informanten nämner specifikt det mandat som finns från regeringen att dela känslig och hemlig information till det nordiska nätverket, något som gör stor skillnad när det gäller incidenter med kritisk infrastruktur inblandat (Intervju 3). Efter regeringens bemyndigande skrev MSB under ett Memorandum of Understanding med Danmark, Island, Finland och Norge om informationsdelning i CSIRT-nätverket 2013. Det avtalet utgick från ett redan existerande avtal om utbyte av hemlig information från 2010 (MSB 2014:36).
Samarbetsdesign
Enligt intervjupersonen (Intervju 3), som deltog som rådgivare till EU-kommissionens arbete inför NIS-direktivet, var den ursprungliga tanken från EU:s cybersäkerhetsbyrå Enisa att ta över kontrollen över EGC. Från kommissionens sida såg man ett välfungerande arbetssätt som man ville expandera med fler EU-medlemmar. Medlemmarna i EGC motsatte sig idén
eftersom det skulle sänka förtroendet till nätverket och därmed förlora sin funktion som plattform för operativ, teknisk och bitvis känslig information. Något som kräver ”fullt
förtroende” (Intervju 3). Samtidigt uppger informanten att nätverket i realiteten enkelt kunnat duplicerats parallellt med ett övertag från Enisa. Det eftersom inget skulle hindra de
ursprungliga medlemmarna att skapa en ny plattform, eller ”e-postlista”, och fortsätta träffas informellt några gånger per år. Med andra ord är EGC både viktigt att försvara men samtidigt informellt konstituerat nog att överleva, enligt informanten.
Intervjupersonen från First (Intervju 4) menar att det slutna medlemskapet i EGC är problematiskt, eftersom det implicerar att andra närliggande länder i Europa inte går att lita på, trots stor teknisk kunskap. Den menar att sådana arrangemang lätt blir bekväma men utdaterade eftersom ny kunskap och perspektiv inte tillåts ingå. Dessutom ställer sig intervjupersonen mot idén att nätverket ska representera ett europeiskt arbetssätt när de inte tillåter nya medlemmar, och blir en ”big boys club” (Intervju 4). Informanten menar att både i kris och långsiktiga utmaningar så lämpar sig inte att utesluta samarbetspartners från början. Dessutom är dennes erfarenhet att i kris skapas ad-hoc grupper med olika nationella och privata aktörer, vilket ifrågasätter den operativa användbarheten i med nätverket.
Fördelen med att samarbeta med alla, som informanten (Intervju 4) beskriver det, är att det gagnar fler användare. Den uppmärksammar att det landet som är mest drabbat av cyberbrott är Ryssland och väldigt många använder Huaweitelefoner globalt, inklusive i USA. Arbetsmodellen beskrivs som samarbete mellan konkurrenter, där behandla sårbarheter inte ska vara ett nollsummespel. Det utesluter medvetet samarbete angående statssponsrade attacker, vilket inte är syftet med nätverket, men förhoppningen är att det undviker onödigt lidande för användare och internet i stort.
Den ålagda gemenskapen - EU:s CSIRT-network (CNW)
I kommissionens förslag för NIS-direktivet (COM (2013) 48) vill man ålägga
medlemsländerna att öka sin beredskap och förbättra sitt samarbete med varandra inom nätverks och informationssäkerhet. Detta för att försäkra den allt mer digitaliserade inre marknaden fungerar smidigt och har medborgarnas förtroende. Man slår fast att frivilliga EU-initiativ på NIS-området och kritisk infrastruktur inte ger ett tillräckligt gemensamt skydd inom unionen. En fragmentering, alltså skillnader i medlemsstaters kapacitet och beredskap, förhindrar uppbyggandet av förtroende, vilket identifieras som ”en förutsättning för samarbete och informationsutbyte” (3). Förslaget pekar på avsaknaden av mekanismer för samarbete, samverkan och informationsutbyte på området, vilket riskerar divergerande standarder, strategier och regleringar. Det medför dåligt skydd och riskerar hindra den inre marknaden.
Förslaget ville sätta upp ett säkert system för informationsutbyte (art. 9) där ”[k]änslig och konfidentiell information” skulle kunna delas. Medlemsstaterna föreslogs åläggas ansvar att skapa ”säker och motståndskraftig kommunikations- och
informationsinfrastruktur på nationell nivå” och nationella incidentorganisationer skulle även vara ”interoperabel med samarbetsnätverket” (art. 9.2(a)). Kommissionen skulle ges
befogenhet att specificera dessa kriterier och dessutom successivt besluta om vilka medlemsländer som skulle kunna ingå i detta ”säkra system”. Kommissionen skull i detta arbeta tillsammans och bistås med en kommitté för nätverks- och informationssäkerhet.
Förslaget innehåll idén om ett system för ”tidig varning” (art. 10), där kommissionen eller nationella myndigheter skulle lämna varningar om en incident var tillräckligt omfattande och snabbt utvecklande, eller översteg nationell kapacitet, eller hade risk att påverka fler än en medlemsstat. Då skulle ”all relevant information” lämnas till
samarbetsnätverket (art 10.2). Det godkända direktivet skiljer sig från kommissionens förslag. Idén om en tidig varning övergavs, likaså det säkra systemet för informationsutbyte. EU-nätverket använder idag en MISP5-lösning, vilket är en vanlig teknisk plattform bland
CSIRT:ar att komma i kontakt med varandra MISP är en open source-plattform som sponsrats av Luxemburgs CISRT-team för den privata sektorn och Connecting Europe facility (CEF) en EU-fond för digitala projekt (Intervju 3).
Det färdiga Nis-direktivet (Europaparlamenten och rådets direktiv (EU) 2016/1148) fastställer några skyldigheter för medlemsstater: att anta en nationell
säkerhetsstrategi för nätverk- och informationssäkerhet, att implementera säkerhets- och rapporteringskrav på leverantörer av samhällsviktiga tjänster och att utse nationella berörda myndigheter. Dessutom inrättas en samarbetsgrupp och ett så kallas CSIRT-nätverk, vilket medlemsstater är skyldiga att utse kontaktpunkter med och delta i (art. 1.2). De nationella kontaktpunkterna ”ska utöva en sambandsfunktion för att säkerställa gränsöverskridande samarbete” (art 8.4). Medlemsstaterna behöver också ha en eller flera CSIRT-enheter som uppfyller direktivets krav på hanteringen av incidenter och risker (art. 9.1), och som kan ingå i ett CSIRT-nätverk (art. 9.3).
Samarbetsgruppen som inrättas syftar till att ge en högre gemensam
säkerhetsnivå inom unionen genom att utbyta information, ”stödja och underlätta strategiskt samarbete” samt ”skapa förtroende och tillit” (art. 11.1). I samarbetsgruppen ska
medlemsstaterna, kommissionen och Enisa ingå (art 11.2). EU:s ordförandeland är gruppens ordförande (Kommissionens genomförandebeslut 2017/179) Uppgifterna är flera: Utbyta information och bästa praxis kring incidentrapportering, kapacitetsuppbyggnad, strategier och metoder för riskanalys, forskning och medvetandespridning. Den ska diskutera
