Hotet inifrån
- En studie om det politiska efterspelet i ljuset av
It-haveriet på Transportstyrelsen gällande utformandet av
svensk cybersäkerhet
Sophie Lidström
Examensarbete, 15 hp
Statsvetenskap, inriktning krishantering och säkerhet HT 2019
Handledare: Ronnie Hjorth Examinator: Håkan Edström
Innehållsförteckning
Terminologi och förkortningar 1
Inledning 2 Introduktion 2 Forskningsproblem 3 Syfte 4 Frågeställningar 5 Disposition 5 Bakgrund 5
Forsknings- och teorianknytning 7
Tidigare forskning 7
Teori 11
Säkerhetisering 12
Speech act 13
Den mänskliga faktorn 14
Tillvägagångssätt 15 Metod 15 Analysverktyg 16 Operationalisering 17 Avgränsning 18 Material 19 Analys 20 Vad är problemet? 21 Vad är hotet? 24
Vad är lösningen på problemet? 27
Avslutning 32 Slutsatser 32 Vidare forskning 35 Källförteckning 36 Avhandlingar 36 Elektroniska källor 37 Offentligt tryck 38 Tryckta källor 39
1
Terminologi och förkortningar
Ds Departementsserien
Ds 2018:6 Granskning av Transportstyrelsens upphandling av it-drift FOI Totalförsvarets forskningsinstitut
FRA Försvarets radioanstalt
GDPR Dataskyddsförordningen
LOU Lagen (2016:1145) om offentlig upphandling
LUFS Lagen (2011:1 029) om upphandling på försvars- och säkerhetsområdet
MSB Myndigheten för samhällsskydd och beredskap MUST Militära underrättelse- och säkerhetstjänsten
NIS-direktivet Direktivet om säkerhet i nätverk och informationssystem
NISU-utredningen Informationssäkerhetsutredningen där förslag om nationell strategi för statens informations- och cybersäkerhet beaktas
2
Inledning
Introduktion
1996 presenterade den dåvarande socialdemokratiska regeringen propositionen Beredskapen
mot svåra påfrestningar på samhället i fred där det konstaterades att synen på säkerhet utifrån
ett militärt perspektiv är förlegat. Därmed skulle den politiska styrningen utgå från ett
utvidgat säkerhetsbegrepp, där allt som kan skada den nationella säkerheten betraktas som hot vilket ska bemötas med beredskap som även inkluderar det civila försvaret (1996/97:11). Dock skulle det dröja tills 2011 när våra folkvalda politiker började diskutera specifikt cybersäkerhet i riksdagen. I riksdagsmotionen Försvar och samhällets krisberedskap (2011/12: Fö228) så uppmärksammades att digitaliseringen och utvecklingen av
informationsteknik är en säkerhetspolitisk utmaning. I motionen gjordes liknelsen av att dagens missiler är kapade datorer och samtidens svar på biologiska stridsmedel är datavirus. Förslag som betraktades kunna stärka den nationella säkerheten på sakområdet var dels samverkan mellan aktörer men även att lagstiftningen behövde utvecklas för att kunna skydda strategiska samhällsfunktioner.
Lars Nicander har forskat kring hur Sverige står sig vid en eventuell cyberattack. Ryssland har pekats ut som en frekvent avsändare när det kommer till gråzonkrigföring i form av
påverkansoperationer, hybridoperationer och cyberattacker. Genom att utföra dessa typer av aktiviteter så menar Nicander att Ryssland har som motiv att påverka svenskt beslutsfattande vid frågor som handlar om säkerhets- och försvarspolitik. Det har funnits sedan 1997 sex utredningar där samtliga har pekat på att en bättre samverkan och att en tydligare
ansvarsfördelning behövs när det kommer till myndigheter och Regeringskansliet. Dessutom har NISU-utredningen understrukit att vi behöver ta krafttag för ett bättre
incidentrapporteringssystem. Nicander anser att det juridiska måste harmonisera bättre med det tekniska för att de digitala hoten ska kunna stävjas (Veckans Affärer 2015).
Regeringen utvecklade 2017 en nationell strategi för säkerhet där det har listats ett antal reella hot mot vårt land. Stort utrymme gavs för cybersäkerhet och vilka digitala hot som Sverige kan utsättas för. Vad som specificeras som cyberhot är antagonistiska hot vilket inkluderar dataintrång, spionage och sabotage som sker elektroniskt mot skyddsvärd information. Vidare betraktas dessa digitala hot som ett möjligt förstadium till en väpnad konflikt (Nationell säkerhetsstrategi 2017:18). Regeringen överlämnade 2017 en skrivelse till riksdagen
3 angående en nationell strategi för samhällets informations- och cybersäkerhet. Där framkom följande (Skr. 2016/17:213):
”Digitaliseringen är ett globalt fenomen och påverkar i stort sett alla delar av vårt samhälle. Det medföljder stora möjligheter, men också risker. Hur vi hanterar riskerna som följer av digitaliseringen har stor betydelse för vår förmåga att upprätthålla och stärka både vårt välstånd och vår säkerhet.” (Regeringen 2017).
Det är den 14 juli 2017 när Dagens Nyheter är först med att gå ut med nyheten att
Transportstyrelsen har läckt sekretessbelagda uppgifter. Transportstyrelsen hade gjort avsteg från dels säkerhetsskyddslagen när it-tekniker inte hade säkerhetsprövats och fått tillgång till känslig information. Dessa uppgifter inkluderar körkortsuppgifter, polisens hemliga nätverk, militära fordon, hemliga agenters identiteter samt infrastruktur såsom broar och skyddsrum. I samband med händelseförloppet startades ett massivt mediedrev samtidigt som oppositionen öppet gick till hårt angrepp när de kritiserade regeringen och ville väcka
misstroendeförklaring. Den turbulenta samhällsdebatten gjorde så allmänheten hade svårt att hänga med. Hur och varför kunde en it-upphandling leda till ett säkerhetshaveri? När den intensiva samhällsdebatten började lägga sig så kom den politiska diskussionen igång med riksdagsdebatter där cybersäkerhet började diskuteras. Nu har frågorna ändrats till hur kan vi undgå att liknande misstag begås igen och kan hotet komma från oss själva? (HD 2017). Därmed är det av intresse att studera vad politiker vill göra för att höja cybersäkerheten så att ett liknande säkerhetshaveri inte ska kunna inträffa igen.
Forskningsproblem
Sverige är ett informationssamhälle och ligger i framkant när det kommer till digitalisering och informationsteknik. Dock så har staten inte sett över hotbilden när det kommer till kritisk infrastruktur och Sverige är inte tillräckligt motståndskraftiga för att skydda rikets intressen mot cyberattacker anser Lars Nicander (Veckans Affärer 2015). Enligt Försvarets radioanstalt är en svag cybersäkerhet ett samhällsproblem (SVT Nyheter 2020).
För att uppnå en bättre cybersäkerhet så handlar det inte om att tekniken ska bli bättre, utan att beslut och förändring behöver ske på den politiska nivån. Lewis menar att de länder som tar fram effektiva arbetsmodeller för den politiska styrningen kommer klara av digitala
4 september 2001 blev ett faktum så skedde ett förändringsarbete för att hindra framtida
terrorattacker. Dock menar Henry och Brantly att ett liknande förändringsarbete för att bemöta kommande cyberattacker har varit frånvarande. Detta till trots att politiska
maktcentrum och myndigheter har en hotbild över sig från främmande makt i form av digitala intrång och cyberattacker (Henry & Brantly 2018:50–51). Därav är det av intresse att studera om det har skett en säkerhetisering av svensk cybersäkerhet utifrån Transportstyrelsens it-haveri. Genom att studera hur politiker konstruerar och presenterar hot, vilket behöver bemötas av extraordinära åtgärder, så går det att tolka hur svensk cybersäkerhet kommer utvecklas utifrån teorin om säkerhetisering (Buzan, Waever & de Wilde 1998:23–25). Forskarna Bowen, Stolfo och Devarajan har i sin forskning uppmärksammat den mänskliga faktorn som ett säkerhetshot, då den påverkar hur människor handlar vilket kan leda till omfattande sårbarheter för cybersäkerheten. Dock så ser forskarna att problemet inte har fått tillräckligt stor uppmärksamhet då cybersäkerhet har fokuserat på den tekniska aspekten (Bowen, Stolfo & Devarajan 2012). Alavi, Islam och Mouratidis redogör i sin forskning hur den mänskliga faktorn är ett existentiellt säkerhetshot inom cybersäkerhet och vad som kan göras för att begränsa dess möjlighet att utgöra en fara (Alavi, Islam & Mouratidis 2014). De teoretiska perspektiven om säkerhetisering och den mänskliga faktorn utgör tillsammans en intressant infallsvinkel att studera det empiriska fallet med.
Syfte
Syftet med denna uppsats är att undersöka om det har skett en säkerhetisering av
cybersäkerhet sedan Transportstyrelsens it-haveri och om den mänskliga faktorn ses som ett reellt säkerhetshot. Detta genom att studera den politiska diskussionen i form av
riksdagsdebatter där studien ämnar förklara med hjälp av de teoretiska utgångspunkterna om säkerhetisering och den mänskliga faktorn vad politiker vill ändra och utveckla med dagens cybersäkerhet. Då svag cybersäkerhet är förenat med ett samhällsproblem och att de digitala hoten ökar lavinartat så utgör studien ett relevant forskningsproblem. Därmed ämnar studien belysa vad våra folkvalda politiker vill göra med svensk säkerhetspolitik inriktning
cybersäkerhet med ambition att ett liknande säkerhetshaveri inte ska inträffa igen inom statlig förvaltning.
5
Frågeställningar
Utifrån studiens problemformulering och syfte formuleras följande frågeställningar:
Har det skett en säkerhetisering av cybersäkerhet sedan Transportstyrelsens säkerhetshaveri? Ses den mänskliga faktorn som ett reellt säkerhetshot?
Disposition
Inledningsvis presenteras tidigare forskning för att beskriva det forskningsfält som studien har beaktat vilket följer upp med ett teoriavsnitt. Därefter följer ett metodavsnitt där
undersökningens tillvägagångssätt beskrivs, följt av en genomgång av analysverktyget där preciserade frågor ställs till undersökningsmaterialet. Vidare följer en operationalisering av de teoretiska utgångspunkterna för att klarlägga hur analysverktygets frågor ska vägleda det empiriska undersökningsmaterialet. I analysen ställs de preciserade frågorna som
underrubriker vilka ska undersöka riksdagsdebatterna och avslutningsvis redogörs de slutsatser som har framkommit samt förslag till vidare forskning ges.
Bakgrund
I januari 2011 presenterar Riksrevisionen en utredning där det framkom att det ses som fördelaktigt att statliga myndigheter ska sköta sin it-drift mer externt och uppmanade till outsourcing. Detta höll även den dåvarande statsministern Fredrik Reinfeldt och regeringen med om och ansåg det som eftersträvbart att underlätta statens it-drift genom att outsourca den. Ett skäl till varför Riksrevisionen ansåg det önskvärt att outsourca var att kostnaden för statens it-drift skulle minska från den årliga notan på 20-25 miljarder kronor.
2015 inträffade en av Sveriges mest omfattande affärsuppgörelse som en statlig myndighet hade upphandlat, med ett värde på på nästan 800 miljoner kronor. Transportstyrelsen hade outsourcat sin it-drift bestående av datahallar, servrar och support. I Transportstyrelsens databas finns information om bland annat körkortsinnevarares personuppgifter, hemliga agenter, Polismyndighetens och Försvarsmaktens fordonsregister samt företagshemligheter. Den dåvarande generaldirektören Maria Ågren beslutade i maj 2015 att göra avsteg från gällande lagstiftning som har till syfte att skydda uppgifter av känslig karaktär. De specifika lagarna var personuppgiftslagen, lagen om offentlighet och sekretess samt
6 säkerhetsskyddslagen. Ågrens beslut ifrågasattes av Transportstyrelsens internrevisor. I juni 2015 granskar Säkerhetspolisen it-driften som hade utkontrakterats till IBM:s
underleverantörer i Tjeckien, Ukraina och Serbien, vilka hade tillgång till sekretesskyddade uppgifter. I november 2015 vill Säkerhetspolisen att outsourcingen stoppas omedelbart. Dock fortsätter outsourcingen trots Säkerhetspolisens rekommendationer. I januari 2016 påbörjas en förundersökning där Ågren delgivs misstanke om vårdslöshet med hemlig uppgift. Ett år senare i januari 2017 avskedas Maria Ågren med omedelbar verkan. Den 6 juli 2017
framkommer det uppgifter om att Ågren har röjt sekretessbelagda uppgifter, vilket kan skada rikets säkerhet enligt Riksenheten för säkerhetsmål. I sin roll som generaldirektör hade Maria Ågren gjort avsteg från gällande lagstiftning när de östeuropeiska it-teknikerna inte hade säkerhetsprövats. Därmed hade varken Transportstyrelsen eller Säkerhetspolisen kontroll över vilka det var som hanterade it-driften (SVT Nyheter 2017).
Säkerhetsskyddschefen för organisationen Netnod Patrik Fältström anser att det är
oroväckande att Transportstyrelsen brister i sin hantering av säkerhetsskydd, då de har blivit tilldelade av Säkerhetspolisen att hantera hemliga uppgifter. Transportstyrelsen ska besitta specialkompetens om säkerhetsskydd och it-säkerhet, vilket de även ska vägleda andra aktörer med (SVT Nyheter 2017, Sveriges Radio 2017).
Justitierådet Thomas Bull har varit delaktig i att ta fram utredningen (Ds 2018:6) om vad som gick fel på Transportstyrelsen och har kommit fram till tre punkter där det har fallerat när det kommer till säkerhetsarbetet. För det första fanns det bristande kunskap angående hanteringen av känslig information. För det andra hade Transportstyrelsen en tidsplan som var orealistisk då man stod inför flera upphandlingar samtidigt. För det tredje fanns det stora brister gällande kommunikation, dels inom myndigheten men även till andra aktörer såsom Säkerhetspolisen, Utrikesdepartementet och regeringen. Enligt Bull är det Transportstyrelsens generaldirektörer och styrelse vilka ses som ansvariga för säkerhetsbristerna. Dessutom menar Bull att
Transportstyrelsen som myndighet kom till 2009 och uppmanades då av regeringen att
fokusera på effektivitet. Transportstyrelsen var pressad till att hålla budgeten. Effektivitet fick gå före säkerhet när myndigheten skulle omfattas av en stor del digitalisering (Ds 2018:6). Åsa Schwarz är säkerhetskonsult på Knowit och menar att det inte bara är ett problem för Transportstyrelsen med bristande cybersäkerhet, det är ett omfattande problem för hela den offentliga sektorn. Marcus Murray är säkerhetsexpert vid it-säkerhetsföretaget Truesec och framhåller vikten av att myndighetsdata stannar inom Sveriges gränser. Om svensk
7 myndighetsdata som innehåller hemlighetsstämplade uppgifter kommer till utländska företag, så förloras kontrollen då de kan hamna i händerna på utländsk underrättelsestjänst. Detta kan leda till omfattande konsekvenser och ett underläge för Sverige. Både Schwarz och Murray hävdar att it-skandalen på Transportstyrelsen inte orsakades utav själva outsourcingen, utan det handlade om andra brister där myndigheten gjorde avsteg från gällande lagstiftning och hade ignorerat Säkerhetspolisens rekommendationer. Säkerhetschefen på Internetstiftelsen Anne-Marie Eklund Löwinder ser den bristande styrningen på Transportstyrelsen som det främsta problemet vilket orsakade it-skandalen. Det är inte ovanligt att det kan inträffa avvikelser i samband med säkerhetsrutinerna vid en upphandlingsprocess. Dock brukar det inte resultera i avsteg från gällande lagstiftning. Vidare menar Eklund Löwinder att
cybersäkerhet inte ska hamna på it-avdelningen då de har som målsättning att fokusera på effektivitet och kostnad, vilket kan leda till säkerhetsskyddet förbises. MSB presenterade 2015 en rapport där det framkom att 42 % av Sveriges myndigheter inte har kunskap om när en säkerhetsanalys ska utföras. Detta talar för att ett it-haveri kan hända igen.
Säkerhetsexperterna menar att den viktiga uppståndelsen kring cybersäkerhet som har väckts i samband med it-skandalen är bra om den får ett gehör och att åtgärder genomförs (Computer Sweden 2017). Hur säkerhetshaveriet på Transportstyrelsen har påverkat det politiska
efterspelet i form av hur svensk cybersäkerhet ska hanteras i framtiden ska klargöras i analysen.
Forsknings- och teorianknytning
Tidigare forskning
Forskarna Lene Hansen och Helen Nissenbaum har studerat cybersäkerhet ur en
säkerhetspolitisk kontext. Till en början sågs inte cybersäkerhet som ett säkerhetspolitiskt problem, utan det var sammankopplat till området för informationsteknik då cybersäkerhet sågs som en teknisk fråga. Dock presenterades det en rapport från forskningsinstitutet CSTB 1991, där man lyfte fram sin oro över att morgondagens terrorist ansågs göra större skada med ett tangentbord än en bomb. Vidare menar forskarna Hansen och Nissenbaum att när
it-säkerhet började diskuteras under 1990-talet så sågs riskerna drabba näringslivet såsom bank och finans. Det fanns ingen större förståelse för att sårbarheter även inkluderades för
8 myndigheter och politiskt maktcentrum, då det handlade om en militär angelägenhet vilket ämnar hantera denna typ av säkerhet. Efter terrorattentaten den 11 september 2001 så väcktes intresset för cybersäkerhet. Sakkunniga på området såg kopplingen mellan säkerhet och sårbarheter inom it-system, digital infrastruktur och elektronisk övervakning då terrorister hade hackat sig in på olika nätverksplattformer (Hansen & Nissenbaum 2009:1156–1159). 2007 drabbades Estland av omfattande cyberattacker. Bakgrundorsaken var att Estland ville förflytta en bronsstaty som föreställde en rysk soldat. Belastningsattackerna riktades mot mål såsom premiärministern, parlamentet, medier, banker och företag. NATO beskrev
cyberattackerna som det första cyberkriget och proklamerade vikten av att skydda informationssystem. Ett år senare i maj 2008 så hade NATO skapat ett centrum för cyberförsvar utanför Tallin. Cyberattackerna i Estland anses vara startpunkten för en ny kännedom om cybersäkerhet. Hansen och Nissenbaum har vidare forskat om det har skett en säkerhetisering av cybersäkerhet. Säkerhetsdiskursen om it-säkerhet har pågått länge. Dock finns det en distinkt skillnad mellan it-säkerhet och cybersäkerhet då it-säkerhet handlar exempelvis om att förebygga virus och kraschade hårddiskar. Cybersäkerhet är mer
omfattande genom sin komplexa natur och handlar om nationell säkerhet. Finns det hotbilder som kan skada den nationella säkerheten så är det en fråga om cybersäkerhet. Genom att koppla säkerheten kring it-system till nationell säkerhet så har många länder sett behovet av en ny diskurs om säkerhetisering. I den politiska diskursen om cybersäkerhet så tenderar sakkunniga och politiker att måla upp scenarior för digitala katastrofer likt ett digitalt Pearl Harbor som en historisk analog med syftet att väcka uppmärksamhet för cybersäkerhet. Säkerhetsarbetet efter den 11 september ledde till omfattande övervakning vilket skulle borga för människors säkerhet. Ett liknande verktyg vill även policyskaparna ha för att höja
cybersäkerheten. Därmed menar Hansen och Nissenbaum att länders utveckling av cybersäkerhet grundar sig på att it-säkerheten har blivit säkerhetiserad (Hansen & Nissenbaum 2009:1160–1163). Även om intresset för cybersäkerhet har ökat så är den
explicita debatten om hur länder ska hantera cybersäkerhet de facto otillräcklig menar Hansen och Nissenbaum. Brister det i staters hantering av cybersäkerhet så kan det leda till digitala katastrofer (Hansen & Nissenbaum 2009:1164–1165).
I samband med cyberattackerna i Estland 2007 så upprättades omgående en nationell säkerhetsstrategi som verkställdes 2008. I strategin finns det fem punkter vilket understryks som viktiga för säkerhetsarbetet vilket handlar om att skydda samhällsviktiga
9 hantera hot samt utveckla samverkan mellan verksamheter från olika sektorer (Herzog 2017: 70). Dessa målsättningar ses som viktiga i kampen mot cyberhot och för att höja den
nationella cybersäkerheten. Vidare i säkerhetsarbetet så har det varit betydelsefullt att departement, myndigheter och företag från olika områden har deltagit aktivt i diskussioner och samverkat med varandra. I strategin så är fokus på att skydda kritisk infrastruktur i krissituationer. Idag ses Estland som ett föregångsland när det kommer till cybersäkerhet, vilket kan härledas till politiskt beslutfattande och strategiska åtgärder enligt Stephen Herzog (Herzog 2017:72).
Enligt Henry och Brantly så finns det händelser som har påverkat säkerhetspolitiken i form av attityder och förändringar. Ett exempel är terrordådet mot Word Trade Center den 11
september 2001. Efter att terrorattentatet blev ett faktum så skedde ett förändringsarbete omgående där myndigheter aktivt tränade på hur de skulle agera vid en terrorattack. Dock har ett liknande förändringsarbete för att bemöta kommande cyberattacker varit frånvarande. Detta till trots att politiska maktcentrum och myndigheter har en hotbild över sig från främmande makt i form av digitala intrång. Henry och Brantly understryker att ett
säkerhetshot som terrorattentat onekligen ger förödande konsekvenser, men när det kommer till cyberattacker så är dess omfattning och spridningskraft mer storskalig. Därför väcker Henry och Brantly frågan varför den politiska styrningen inte gör mer för att förebygga cyberhot (Henry & Brantly 2018:50–51). På grund av cyberrymdens komplexa natur och samhällets beroende av att vara digitalt uppkopplad så menar Henry och Brantly att en förståelse för det digitala ekosystemet är betydelsefullt för att utveckla säkerhetsarbetet (Henry & Brantly 2018:52).
När det kommer till att hindra antagonistiska hot i form av cyberattacker och att bygga ett starkt cyberförsvar så handlar det inte om att tekniken ska bli bättre. Det handlar snarare enligt Levis om att förändringsarbetet ska ske på den politiska nivån där politiker behöver ta fram strategier och fatta beslut. Det är de länder som tar fram effektiva arbetsmodeller gällande cybersäkerhet för den politiska makten som kommer kunna hantera säkerhetshoten mest fördelaktigt (Lewis 2018: 35). Vad som är förödande med cyberoperationer enligt Lewis är att det hamnar i en gråzon mellan krig och fred. Det handlar dock om en fientlig handling men det går inte placera det i termer för traditionell krigföring. Därför uppstår det svårigheter när det kommer till att bemöta digital fientlighet med vedergällning (Lewis 2018: 36).
10 Enligt Samuel Visner så finns det länder såsom Ryssland och Kina vilka ser cybersäkerhet och cyberrymden som ett verktyg att operera i och göra avsiktliga digitala intrång i andra statsmakters it-system. Dock råder det stora skillnader på hur stater ser på cybersäkerhet då vissa länder har upptäckt sakområdet, medans andra länder är i full gång med agendasättande och implementering av strategier (Visner 2013-14: 89-90). Eftersom cybersäkerhet och cyberrymden inkluderar ett område som är gränslöst så menar Visner att den politiska styrningen behöver ha förståelse för andra statsmakters intressen. Att stärka den nationella cybersäkerheten och bygga ett cyberförsvar är nödvändigt för att klara av hoten från främmande makt. Visner menar att cyberrymden bör ses som en domän där stater utmanar varandras suveränitet på (Visner 2013-14: 93-94, 96). Cybersäkerhet handlar idag om en maktfaktor när länder kapprustar sig i strävan att bygga ett cyberförsvar, vilket Ryssland och Kina gör. Cyberrymden har geopolitiskt ändrat dynamiken för staters relationer till andra länder (Visner 2016:92). Även om det råder fredstider så sker det cyberattacker och digitala intrång som är statsunderstödda. Antagonistiska hot såsom cyberattacker utgör ett viktigt redskap vid hybridkrigföringsoperationer. Dessa handlingar hamnar i en gråzon som varken inkluderar krig eller fred, dock tillåter det för stater att testa varandras gränser, samtidigt som länder kan upprätthåller diplomatiska och ekonomiska relationer (Visner 2016: 92-94). Forskaren Kevin Newmeyer har studerat cybersäkerhet utifrån politiska beslut och menar att det finns starka fördelar med att ha ett centraliserat ledarskap då avgörande beslut behöver ske på en överordnad nivå (Newmeyer 2012:118). För att kunna upprätthålla en god
cybersäkerhet så behöver det finnas en centraliserat politiskt ledarskap med insyn i verksamheten. Dessutom behöver det finnas en centraliserad makt som upprätthåller en samstämmig koordination mellan aktörer då det är svårt att tillgodose samverkan på egen hand (Newmeyer 2012:122–123). Denna syn delar även Guinchard då det är den politiska ledningen som ska leda förändringsarbetet och samverkan mellan aktörer (Guinchard 2011:84, 88).
Forskarna Bowen, Devarajan och Stolfo har forskat kring hur den mänskliga faktorn kan vara det som utgör förödande konsekvenser för organisationer när det kommer till cybersäkerhet. De anser att cybersäkerhet inte enbart handlar om den tekniska aspekten och dess system. Det handlar likaväl om det mänskliga beteendet som kan sätta säkerheten på spel och där
främmande makt utnyttjar denna sårbarhet vilket kan ge förödande konsekvenser. Vidare menar Bowen, Stolfo och Devarajan att det är departementet för inrikesfrågor som har det huvudsakliga ansvaret för att skydda nationens digitala infrastruktur för offentliga och privata
11 aktörer. Denna målsättning handlar således inte om att höja säkerheten för det tekniska, utan att se över omständigheterna för det arbete som utförs av människor. Det är det mänskliga agerandet som styr och påverkar organisationen som helhet (Bowen, Stolfo & Devarajan 2011).
Carl Colwill har undersökt hur hotet kan vara internt och då orsakat av den mänskliga faktorn. Detta då de personer som arbetar vid en organisation har den interna informationen om
integritetskänsliga uppgifter som det är svårt att få reda på om man kommer utifrån. Vidare beskriver Colwill om de risker som finns med outsourcing då organisationen för vidare känslig information till tredje part som ges tillgång, detta då säkerheten både splittras och försvagas. Genom att outsourca till tredje part i ett annat land så blir informationen lättare för främmande makt att utnyttja (Colwill 2009:28–31).
Tidigare forskning visar på att det är den politiska styrningen som har möjlighet att ändra och utveckla den nationella cybersäkerheten. Även om cyberattackerna mot Estland 2007
medförde ett framgångsrikt förändringsarbete, så finns det svårigheter att likställa en
cyberattack med ett terrordåd då det i regel inte inkluderar att människoliv utplånas. Detta kan ha bidragit till att utformandet av cybersäkerhet inte har prioriterats, då området ses som komplext och att det är svårt att mäta de faktiska skadorna från en cyberattack. Därav är det av intresse att studera om det har skett en säkerhetisering i syfte att tolka vad folkvalda politiker vill utveckla med nuvarande cybersäkerhet. Detta genom beakta politikers talhandling med bakgrund i Transportstyrelsens säkerhetshaveri.
Vidare har forskningen om cybersäkerhet fokuserat på att tekniken ska bli bättre, vilket har förbisett det mänskliga agerandets brister som kan leda till att sårbarheter uppstår. Genom att applicera teorin om den mänskliga faktorn och studera om den ses som ett reellt säkerhetshot så ämnar studien att belysa huruvida politiker vill åtgärda den mänskliga faktorn för att förbättra cybersäkerheten. Således ämnar studien ge ett kumulativt bidrag till den befintliga forskningen om cybersäkerhet utifrån en säkerhetspolitisk kontext.
Teori
Målet med denna uppsats är att undersöka hur det politiska efterspelet från
Transportstyrelsens it-haveri i form av riksdagsdebatter har kommit till uttryck. Detta genom att studera om det har skett en säkerhetisering av cybersäkerhet. För att undersöka detta syfte
12 ska riksdagsdebatter analyseras där betoningen är på det så kallade speech act. Vidare i
uppsatsen så ska det undersökas huruvida politiker ramar in var hoten finns. Här i termer om det är externt från främmande makt eller om det kan vara internt. Detta betyder att det är vår okunskap och våra misstag som kan utgöra det yttersta hotet i form av den mänskliga faktorn.
Säkerhetisering
Teorin om säkerhetisering grundades av Köpenhamnsskolan och dess frontfigurer Barry Buzan, Ole Waever och Jaap de Wilde. Deras gemensamma bok Security – a new framework
for analysis har varit ett bidrag till den statsvetenskapliga forskningen som har varit till hjälp
att studera och förstå säkerhet mer än bara ur en militär kontext. Bakgrunden till
säkerhetisering vilar på socialkonstruktivismen, där säkerhet ses som en social konvention. Det vill säga säkerhet skapas då vi diskuterar om det. För att förstå säkerhetisering som process så krävs det förståelse för begreppet säkerhet och vilka värdeladdningar som finns bakom. Säkerhet handlar om överlevnad. När vår säkerhet hotas så är extraordinära åtgärder rättfärdigat i en sådan situation. Genom att använda säkerhet som begrepp så legitimeras våld och andra vidtaganden för att hantera dessa hot (Buzan, Waever & de Wilde 1998:21). För demokratier så är säkerhet inte bara förknippat med den militära förmågan utan det finns betydligt fler parametrar att ta hänsyn till när det kommer till vad som omfattar säkerhet (Buzan, Waever & de Wilde 1998:22). Buzan, Waever och de Wilde beskriver hur säkerhet skiljer sig från den sedvanliga politiken då det handlar om brådskande åtgärder som behöver vidtas. Därmed kan säkerhetisering ses som en mer extrem version av politisering. En politisering av en sakfråga betyder att det finns ett problem som är en del av det politiska innehållet vilket behöver politiskt beslutfattande för att komma vidare. En säkerhetisering grundar sig på ett reellt problem och har belyst som ett existentiellt hot vilket kräver utifrån den kritiska situationen att åtgärder vidtas som är beräknat till att vara utöver det som annars anses normalt. Problemet argumenteras som mer viktigt än andra problem och ska tas på största allvar för annars kan konsekvenserna bli omfattande. Dock så behöver det inte finnas ett existentiellt hot, utan det är ett problem vilket har konstruerats och presenterats som ett hot (Buzan, Waever & de Wilde 1998:23–24).
Professor Didier Bigo från Parisskolan menar att teorin om säkerhetisering skiljer sig från de mer klassiska teorierna om säkerhet, då säkerhetisering avser att en fråga har lyfts till den nivån att ändringen av lagen behöver göras. Genom lagändring och utveckling av gällande
13 regelverk kan ny garanti skapas vilket borgar en bättre säkerhet för allmänheten och nationen (Bigo 2008:122). Vidare menar Bigo att det huvudsakliga syftet med säkerhetisering av en fråga är att skapa förtroende och trygghet hos medborgarna, genom exempelvis rättsliga åtgärder vilket kan ses som en del av lösningen på problemet. Råder det en avsaknad av en rättslig garant som ska borga för struktur och skyddsnät så kommer allmänheten uppleva situationen som både orolig och osäker (Bigo 2008:122–123).
Speech act
Det som särskiljer säkerhetisering som process är att det råder en specifik retorisk och
semiotisk struktur. Det handlar om överlevnad och vilka åtgärder som ska prioriteras. Genom att använda den här typen av retorik så blir det ett verktyg för att kunna identifiera olika aktörer inom säkerhet och fenomen i sektorer som inte är av det militära slaget. Ett forskningsproblem som Buzan, Waever och de Wilde ställer är om det kan finnas
säkerhetshot som inte är av det militära slaget. För att kunna kringgå den här traditionella synen på säkerhet, där den synkroniseras med just militära frågor, så behövs det en tydlig idé om vad som är säkerhet i generell bemärkelse. Det kan handla om att ta ett aktuellt problem och lyfta frågan över den sedvanliga politiken. Genom att benämna något som säkerhet så gör vi även anspråk att det finns ett behov och vi har rätten att hantera detta problem med
extraordinära åtgärder. Den här processen av säkerhetisering går under språkteorins
benämning som speech act och diskursiv process. Buzan, Waever och de Wilde menar att det är som att avtala något. Genom ordet så blir även handlingen till (Buzan, Waever & de Wilde 1998:26).
Vad som är utmärkande för säkerhet som begrepp är att det är praktiskt betingat. Detta härleder från att det är i praktiken som ett problem blir till ett säkerhetsproblem, inte
nödvändigtvis för att ett verkligt hot existerar utan för att det har blivit presenterat som ett hot. Vidare så menar Buzan, Waever och de Wilde att säkerhetisering definieras utifrån kriterier att ett problem argumenteras retoriskt och semiotiskt som något högprioriterat och brådskande (Buzan, Waever & de Wilde 1998:25). Det är av stor vikt att sakfrågan har väckts och fått en plattform där det är möjligt att få legitimitet att utföra åtgärder när det brådskar. Just denna acceptans bland åhörare är av betydelse för att en fråga ska bli säkerhetiserad. Dock påpekar Buzan, Waever och de Wilde att det inte räcker att proklamera för en säkerhetisering, utan det
14 är upp till audiensen att acceptera om det förekommer ett existentiellt hot (Buzan, Waever & de Wilde 1998:31).
Den mänskliga faktorn
Forskarna Alavi, Islam och Mouratidis har undersökt kopplingen mellan den mänskliga faktorn och hur den kan påverka cybersäkerhet. De menar att det inte spelar någon större roll hur avancerad den tekniska utrustningen är för att skydda information och känsliga uppgifter då det inte finns några garantier för total cybersäkerhet. Det hänseende som är talande här är den mänskliga faktorn som ytterst kan påverka förvaltningen och driften av cybersäkerhet i en organisation, trots en god säkerhet för it-driften. Även om det går analysera och kontrollera aspekterna kring den mänskliga faktorn så är det svårt på grund av den subjektivitet och oförutsägbarhet som den avger. Detta beror på att individer tenderar ha olika ställningar när det kommer till social och personlig status (Alavi, Islam & Mouratidis 2014:297). Den mänskliga faktorn grundar sig på ett irrationellt beteende och handlande som gagnar en personligen vilket kan påverka säkerhetssystemets funktioner negativt. Därför är det betydelsefullt att peka ut de brister som den mänskliga faktorn kan utgöra på ett så tidigt stadium som möjligt. Vad forskarna Alavi, Islam och Mouratidis har saknat inom forskningen för cybersäkerhet är just att den har fokuserat på direkta effekter av it-säkerhet, men mindre på de säkerhetshot som orsakas av den mänskliga faktorn. Detta problem utgör en relevant forskningslucka som bör göras något åt. Här menar Alavi, Islam och Mouratidis att genom ha en tydlig specificering om vilka krav som ska gälla kan utgöra ett verktyg för att hjälpa ledande befattningshavare med beslutfattande och därmed hantera säkerhetshot på ett mer effektivt sätt. Idag saknas medvetenhet om hur det går att åstadkomma bättre cybersäkerhet genom att se över den mänskliga faktorn (Alavi, Islam & Mouratidis 2014:298).
Ett steg som kan öka säkerhetsmedvetenhet handlar om att informera sina anställda angående vilken policy om cybersäkerhet som gäller. Det handlar om att kontinuerligt föra dialog angående vilka säkerhetshot som finns och hur det går att höja säkerheten. Aktörer har fokuserat på att stärka it-säkerheten kring den tekniska aspekten och därmed förbisett ett säkerhetshot som den mänskliga faktorn. De risker som kan utgöra en fara handlar således om vilken kultur som finns inom organisationen. För att organisationer ska kunna uppnå målet om säkerhetsmedvetenhet så behöver fyra faktorer vara tillgodosedda. Det första handlar om
15 fram om riktlinjer. Det andra handlar om engagemang. Försäkra sig om att alla intressenter på området är inkluderade i varje del av processen. Det tredje handlar om individuella uppgifter. Detta handlar om att förse varje aktör med en tydlig roll där alla är medvetna om vilka
uppgifter man ska förfoga över. Det fjärde och sista steget handlar om träning. Att ge all information och grundläggande kunskap om cybersäkerhet vilket aktörer behöver i sitt arbete (Alavi, Islam & Mouratidis 2014:300).
Vidare har Alavi, Islam och Mouratidis uppmärksammat hur den mänskliga faktorn kan begränsas genom kommunikation. Den kommunikation som förekommer i organisationer handlar om det utbyte som sker med idéer och meddelanden mellan människor både internt och utanför organisationen. Effekten av kommunikationen påverkar alla medarbetare oavsett hierarki. De faktorer som berör kommunikation är följande, Autenticitet: att upprätthålla en tillförlitlig och nödvändig information mellan aktörerna som säkerställer att det
informationsutbyte som sker hanteras konfidentiellt. Dokumentation: framkallar en redovisning i kommunikationsprocessen bland intressenterna i syfte av kontinuitet och överrensstämmelse. Samverkan: att åstadkomma en sammanhållen och tillförlitlig kommunikation mellan aktörer för att främja en ömsesidig förståelse mellan parterna.
Överrensstämmelse: nå fram till organisationers objektivitet genom aktörernas regelbundna
kommunikation sinsemellan (Alavi, Islam & Mouratidis 2014:300).
Tillvägagångssätt
Metod
Syftet med denna uppsats är att undersöka om det har skett en säkerhetisering av
cybersäkerhet sedan it-haveriet på Transportstyrelsen och om den mänskliga faktorn ses som ett reellt säkerhetshot. Detta genom att studera det politiska efterspelet i form av
riksdagsdebatter. För att uppnå syftet så krävs det en metod som möjliggör att tolka
kommunikation. Badersten och Gustavsson menar att språket som används i en politisk debatt påverkar hur medborgare uppfattar och tänker om verkligheten (Badersten & Gustavsson 2015:118). Att använda en diskursanalys som metod möjliggör att tolka muntliga såväl som skriftliga uttalanden. En diskurs handlar om begrepp, problemställningar, infallsvinklar och sätt att resonera vilket ger mening till den verklighet som är konstruerat utifrån en social
16 kontext. Enligt Badersten och Gustavsson vilar diskursanalysen på en vetenskapsteoretisk stadga om hur vi uppfattar verkligheten vilket konstruerats utifrån det språk som har använts för att beskriva den. När det kommer till att förstå det politiska budskapet så räcker det inte med att enbart förstå det explicita budskapet, utan det handlar till stor del om den kontext som omger budskapet. Det politiska budskapet går därmed inte att förstå sig på utifrån vad som explicit är uttryckt då språket som sådant är djupt värdeladdat. Texter och budskap måste förankra sig i en större kontext. Detta går att göra genom att ställa frågor som vad
representerar texten? Vilka ordval gjordes? Vad är det för underliggande budskap som framträder mellan raderna? Vilka känslor vill man spela på när man framför budskapet? Därmed har diskursanalysen ett holistiskt perspektiv då helhetsförståelsen är betydelsefull. Genom att använda en diskursanalys som metod för denna studie så finns möjligheten att belysa och synliggöra den subtila makten och maktutövning genom kommunikation (Badersten & Gustavsson 2015:119–120).
Enligt Alan Bryman är kommunikation ett redskap för människor att uppnå sina mål med. Därför är diskursanalysen ett verktyg för att föra fram strategier och genom talet, skriftligt eller muntligt, få det till att bli handlingsinriktat (Bryman 2018:641). Genom att använda en diskursanalys så går det undersöka det material som avser för studien grundligt. En kvantitativ metod skulle kunna vara gångbar då man kan räkna antalet gånger ett ord används för att mäta frekvens och därmed genomslagskraft hur ordet kommer upp på dagordningen. Dock är syftet med studien att beskriva och tolka det politiska budskapet i ordets mening och därför passar en kvalitativ metod såsom diskursanalys bättre. Den kritik som finns mot en kvalitativ metod är att det kan vara svårt att generalisera resultatet utifrån population till andra miljöer
(Bryman 2018:484–485). Dock är syftet med uppsatsen att öka förståelsen och bidra till diskursen om cybersäkerhet och hur den mänskliga faktorn spelar roll när det kommer till att förebygga risker och förbättra säkerheten. Resultatet ämnar således generalisera till tidigare forskning och därmed bringa teoretiska slutsatser.
Analysverktyg
Målet med studien är att undersöka det politiska efterspelet i form av riksdagsdebatter. För att kunna bearbeta detta material så behövs det ett analysverktyg som ställer preciserade frågor och därmed gör det möjligt att analysera och tolka språkbruket och argumentationens implicita innebörd. Esaiasson et al. beskriver vikten av att ha ett analytiskt redskap och
17 utforma centrala analytiska begrepp vilket ska vägleda hanteringen av textmaterialet som ska undersökas (Esaiasson et al. 2017:216). Ett verktyg som används när frågor ställs till ett material är så kallade frames och framing. Det går ut på att rama in ett problem eller ett fenomen. Ett samhällsfenomen är inte självklart, utan det som påverkar uppfattningen av ett sådant är hur det ramas in och representeras som ett problem. Det kan handla om hur politiker väljer att rama in ett problem och detta i sin tur ger en genomslagskraft på grund av den retoriska framställningen som sker vid yttrandet. Detta handlar i mångt och mycket om strategi, vilket politiker är medvetna om (Esaiasson et al. 2017:218). De preciserade frågor som ska användas när materialet ska tolkas och analyseras är följande:
- Vad är problemet? - Vad är hotet?
- Vad är lösningen på problemet? - Hur kan cybersäkerheten höjas?
Dessa preciserade frågor ämnar strukturera undersökningen av textmaterialet och besvaras genom att beläggas med referat och citat för att empiriskt styrka påståendenas resonemang (Esaiasson et al. 2017:228, 233).
Operationalisering
Utifrån studiens teoretiska utgångspunkt så har det i analysverktyget tagit fram preciserade frågor vilket ska ställas mot undersökningsmaterialet och därmed undersöka det teorierna avser. Nedan ska de teoreitska definitionerna tilldelas operationella indikatorer vilket ämnar vägleda analysverktygets preciserade frågor och därmed kunna besvara uppsatsens
frågeställningar.
Analysverktygets första fråga vad är problemet? ämnar belysa vad politiker ser som
problematiskt men ändå inte vara ett hot som kan utgöra en direkt fara för rikets säkerhet. Ett problem kan framstå som bekymmersamt utan att utgöra ett adekvat hot för nationens
säkerhet. Varför denna fråga tas med i undersökningen är att den kan svara på en
underliggande fara som kan leda till ett existentiellt hot om problemet får fortsätta. Därför är det av intresse att uppmärksamma ett småskaligt problem för att kunna analysera storskaligt hot. Hade undersökningen förkastat frågan vad som är problemet och istället besvarat frågan om vad som är hotet så hade risken varit att subtila men viktiga detaljer förbisetts.
18 Analysverktygets andra fråga vad ses som hot? ämnar undersöka vad och hur politiker
konstruerar och argumenterar som ett existentiellt hot. Utifrån teorin om säkerhetisering så vill denna analysfråga studera vad som konkret hotar nationell säkerhet och rikets intresse. Till skillnad från föregående fråga så ämnar om vad ses som hot att uppmärksamma politikers talhandling. Hur hot konstrueras och vad som hotar den nationella säkerheten i form av individer och rikets intresse är av intresse att undersöka.
Den tredje frågan vad ses som lösningen på problemet? tenderar att besvara den första analysfrågan. Utifrån vad politiker presenterar som problem för cybersäkerhet med bakgrund till Transportstyrelsens it-haveri, så ämnar denna fråga besvara vilka åtgärder som bör
genomföras för att begränsa de problem som finns på området. De åtgärder som presenteras som lösningen på problemet är inte extraordinära som går utöver det som annars ses som normalt. Lösningen på problemet kan vara faktorer som tenderar att begränsa den mänskliga faktorn i form av det mänskliga agerandet, vilket kan vara samverkan och kunskapsutveckling enligt forskarna Alavi, Islam och Mouratidis.
Slutligen ska den fjärde frågan hur kan cybersäkerheten höjas? besvaras. Den sista frågan kommer besvara analysverktygets andra fråga. Utifrån vad politiker formulerar och argumenterar som hot, så kommer denna fråga belysa vilka extraordinära åtgärder som behöver vidtas vilket går utöver det som annars ses som normalt. Den teoretiska definitionen är säkerhetisering, vilket belyser de kraftåtgärder som kan leda till en bättre förmåga att hantera säkerhetshoten på. De förslag som Bigo ger på extraordinär åtgärd är lagändring, vilket symboliserar att den rådande situationen måste förändras drastiskt och ordning behöver upprättas. En lagändring är mer omfattande än strategier då processen är omfattande, vilket kan leda till strikta åtgärder som ställer krav på det mänskliga agerandet att anpassa sig och göra rätt. Men det kan även handla om att upprätta en ny myndighet för cybersäkerhet. Då diskursanalys är den metod som kommer användas i studien så ges det tolkningsmöjlighet att analysera det politiska samtalet och underliggande budskap.
Avgränsning
Fokus för denna undersökning är det politiska efterspelet i form av riksdagsdebatter som utgår från it-haveriet på Transporstyrelsen som uppdagades i juli 2017. Mer preciserat handlar det om en säkerhetisering av cybersäkerhet har skett sedan dess och om den mänskliga faktorn ses som ett säkerhetshot. De fem riksdagsdebatterna som har valts ut har koppling till
19 cybersäkerhet sedan it-haveriet blev ett faktum juli 2017. Vissa debatter har en direkt
anslutning till haveriet, medans andra debatter har tillkommit på grund av att cybersäkerhet har fått en ökad uppmärksamhet sedan juli 2017. Att valet blev just dessa riksdagsdebatter beror på att de har en koncentrerad koppling till studiens bakgrund och ämnar besvara syftet och frågeställningar tillfredsställande.
Material
Urvalet av materialet har gjorts om vad som kan vara representativt för aktörernas åsikter angående cybersäkerhet med bakgrund i säkerhetshaveriet på Transportstyrelsen. Fem riksdagsdebatter har valts ut vilket behandlar cybersäkerhet och Transportstyrelsens it-haveri som har framkommit efter juli 2017.
Interpellation 2016/17:588 – It-läckaget på Transportstyrelsen
Mikael Oscarsson (KD) begärde en interpellation till försvarsminister Peter Hultqvist (S) i slutet av juli 2017. I detta skede så hade informationen angående it-skandalen precis läckts ut och blivit till kännedom för allmänheten. Oscarsson vill få svar om det som rör rikets säkerhet och han vill veta vilka åtgärder som försvarsministern har vidtagit samt när
Försvarsdepartementet informerades om läckaget.
Interpellation 2017/18:18 – Säkerhetsbrister hos Transportstyrelsen
Hans Wallmark (M) begärde en interpellation till infrastrukturminister Tomas Eneroth (S) i början av oktober 2017. Interpellationen handlar om vad statsrådet och regeringen gjorde för att informera det svenska folket och oppositionen angående vilka säkerhetsbrister som fanns på Transportstyrelsen. Dessutom vill Wallmark fråga infrastrukturministern hur man ska gå tillväga för att liknande säkerhetsskandaler inte ska kunna upprepas i framtiden.
Interpellation 2017/18:107 – Säkerhetsklassad information på Transportstyrelsen
Jessica Rosencrantz (M) begärde en interpellation till infrastrukturminister Tomas Eneroth. Statsrådet Eneroth är ansvarig för de myndigheter som står under infrastrukturdepartementet vilket Transportstyrelsen gör. Därmed gör Rosencrantz bedömningen att Eneroth var ytterst ansvarig för Transportstyrelsens it-haveri och vill fråga honom om vilka åtgärder som har
20 vidtagits för att förbättra säkerhetsrutinerna inom myndigheten. Dessutom ställs frågorna om vad statsrådet anser om att myndigheten tillsatte en it-direktör som inte var säkerhetsprövad och om att kostnaden för it-skandalen hamnade på närmare 200 miljoner kronor.
Försvarsutskottets betänkande 2017/18: FöU4 – Nationell strategi för samhällets informations- och cybersäkerhet
Den 24 januari 2018 hölls en riksdagsdebatt om lagförslaget angående en ny nationell strategi för samhällets informations- och cybersäkerhet. Försvarsutskottet ser positivt på regeringens strategi och i betänkandet så kommer oppositionen med 15 reservationer. Några punkter som debatteras är myndighetsstyrning gällande cybersäkerhet och att det ska finnas en nationell modell för systematiskt säkerhetsarbete.
Debatt om förslag (JuU21) – Ett modernt och stärkt skydd för Sveriges säkerhet, ny säkerhetsskyddslag
Den 16 maj 2018 hölls det en riksdagsdebatt angående en ny säkerhetsskyddslag som ska införas. Den nya säkerhetsskyddslagen innehåller bestämmelser om vilka åtgärder som ska genomgöras för att skydda rikets intressen och dess känsliga uppgifter. Det gällande regelverket har funnits i över 20 år och digitaliseringen i samhället ställer nya krav på säkerhetsskyddet. Utskottet vill att riksdagen ställer tre riktade frågor till regeringen i denna debatt som bland annat handlar om vilket ansvar och befogenheter som tillsynsmyndigheterna ska ha. Dessutom ska den nya säkerhetsskyddslagen diskuteras om den ska gälla i större utsträckning för regeringskansliet.
Analys
I denna del av uppsatsen kommer analysverktyget appliceras på undersökningsmaterialet bestående av riksdagsdebatter. De fyra analysfrågorna som formulerades i analysverktyget kommer sättas som underrubriker och besvaras var för sig. Svaren som framkommer ämnar besvara uppsatsens huvudfrågor: har det skett en säkerhetisering av cybersäkerhet sedan it-haveriet på Transportstyrelsen och ses den mänskliga faktorn som ett reellt hot.
21
Vad är problemet?
Vem det är som bär ansvaret för de problem som har uppstått ges olika svar från politikerna. En del av svaren benämns Transportstyrelsen vilket inte förde vidare information, medans andra anser att ett stort ansvar låg på stadsråden som inte informerade riksdagen vilket har ett kontrollansvar till att granska den exekutiva makten. Bortsett från ansvarsbördan så ses det som problematiskt att viktig information om säkerhetsläget inte fördes fram till varken statsministern eller riksdagen. Allan Widman kommenterade interpellationen om it-läckaget på Transportstyrelsen följande:
Det är illa att statsrådet inte informerat statsministern eller för den delen Sveriges riksdag. Men min kritik handlar om att statsrådet vetat att brottslig verksamhet mot rikets säkerhet pågått under nästan ett och ett halvt år utan att för den skull agerat för att avbryta denna.
(Allan Widman, L, 2016/17:588).
Två ageranden bedöms av Widman som aktiva handlingar vilket har skapat problem för svensk cybersäkerhet. Att statsråd inte informerade om den rådande situationen på
Transportstyrelsen och att ansvariga ministrar inte agerade för att hindra situationen. Enligt forskarna Alavi, Islam & Mouratidis (2014:300) så har det betydelse hur människor agerar då det är det aktiva handlandet vilket kan orsaka konsekvenser. Detta kan leda till att regelverk och riktlinjer förbises eller att man agerar utifrån okunskap. Faktorer såsom kommunikation och samverkan är områden som direkt påverkar den mänskliga faktorn. För att
kommunikation ska fungera så behöver aktörer kunna samverka med varandra. Förs inte information vidare så är det ett tecken på att kanaler för kommunikation inte fungerar och därmed uppstår svårigheter till att samverka med varandra.
Kevin Newmeyer betonar i sin forskning vikten av att ha ett centraliserat ledarskap. Vid kritisk infrastruktur är det avgörande att det finns en politisk styrning som har insyn i verksamheten. Vidare menar Newmeyer att de fördelar som finns med en centraliserad politisk styrning är att det underlättar att upprätthålla en samstämmig koordinering mellan aktörer, vilket är fördelaktigt för cybersäkerhet (Newmeyer 2012:122–123). I fallet med Transportstyrelsens säkerhetshaveri så är det flera faktorer som pekar på problematiska vilket handlar om en avsaknad av vilja eller okunskap att föra vidare information. Hade det funnits en politisk styrning som hade delegerat ansvarsfördelning och koordinerat aktörer så hade kommunikationen fungerat bättre, vilket kunde leda till att it-haveriet hade begränsats i dess omfattning.
22 Vidare så är frågan om outsourcing en politisk vattendelare. Bland politiker i
regeringsställning så grundar sig outsourcing på en marknadsekonomisk föreställning, vilket är oförenligt med styrning av offentliga medel då ett vinstintresse inte ska ses som en
utgångspunkt för beslutsfattande. Men det finns även en politisk vilja som hävdar att outsourcingen i sak inte utgör en fara. Snarare så ligger problemet i hur utkontraktering av känslig information hanteras och att gällande regelverk inte efterlevs. I sitt anförande förmedlar Pål Johnson sin åsikt angående avsteg från lagen i debatten om en ny säkerhetsskyddslag:
Det stora problemet skulle vara att det var en utkontraktering, men detta stämmer inte i sak. Problemet vid Transportstyrelsen var att man gjorde avsteg från
säkerhetsskyddsförordningen. Personal på det berörda företaget hade inte säkerhets- eller registerkollats. Det är där cloun och problemet ligger i den specifika affären. (Pål Johnson,
M, JuU21).
Carl Colwill har i sin forskning undersökt om vilka risker som kan uppstå när känslig information outsourcas vidare till tredje part. När information lämnar nationsgränsen och hamnar i ett annat land så finns risken att säkerheten kring hanteringen av datauppgifter försvagas vilket främmande makt kan utnyttja (Colwill 2009). Att Transportstyrelsen gjorde avsteg från säkerhetsskyddslagen där personer inte säkerhetsprövades är problematiskt, då värdefull riskanalys bortprioriterades. Även om handlingen omedelbart inte kan skada oss så skapar det utrymme för främmande makt att komma åt säkerhetskänslig information och därmed utgöra ett större hot enligt Bowen, Stolfo och Devarajan. Det är det mänskliga agerandet som har orsakat ett försämrat säkerhetsläge (Bowen, Stolfo & Devarajan 2009). I debatten försvarsutskottets betänkande gällande nationell strategi för samhällets
informations- och cybersäkerhet så belyser Kalle Olsson de synpunkter som Riksrevisionen har kommit fram till angående offentlig cybersäkerhet.
En återkommande synpunkt har varit att det har saknats ett systematiskt säkerhetsarbete och att man ute på myndigheter inte har tagit det här på tillräckligt stort allvar. Kanske har man inte ens alla gånger förstått vad det är man har i informationsväg som är särskilt viktigt att skydda. Men udden har från Riksrevisionen också riktats mot den politiska nivån, för att denna inte utövar en effektiv styrning. (Kalle Olsson, S, FöU4).
23 Kalle Olsson menar att det saknas systematiskt säkerhetsarbete, förståelse för
säkerhetsskyddade uppgifter och att det råder kunskapsbrist bland myndigheterna. Men bortsett från det ansvar som läggs på myndigheter så riktas det även kritik mot den politiska nivån som inte har utvecklat säkerhetsarbetet kring cybersäkerhet. Även om den enskilda myndigheten bär ett ansvar så verkar det som om att det övergripande och exekutiva ansvaret ska vara på den politiska nivån i enlighet med Guinchard och Lewis forskning. I ett anförande så framkommer det från Kalle Olsson att en företrädare på en myndighet hade i sitt besök hos försvarsutskottet uttalat sig om att Sverige har upparbetat en skuld på området för
cybersäkerhet.
Det innebär att vi har ett digert arbete framför oss med att stärka säkerheten, förbättra samverkan och, inte minst, höja medvetenheten om vad som ligger i begreppet it-säkerhet: från så till synes banala saker som att välja ett svårare lösenord än namnet på sina barn till ledning och styrning, att säkerställa starka skydd kring det mest skyddsvärda och att bygga upp ett aktivt cyberförsvar som kan hantera och bemöta fientliga handlingar i cybermiljön.
(Kalle Olsson, S, FöU4).
Här inramas problemet att samverkan mellan aktörerna inte har fungerat och att kunskap om cybersäkerhet är låg. Dessutom verkar dessa faktorer tyda på att ett cyberförsvar i form av egen myndighet skulle kunna utgöra ett nav med genomgripande ansvar som kan leda till att riktade insatser för exempelvis samverkan och kompetensutveckling, vilket kan bistå andra aktörer med. Sammanfattningsvis så kan denna skuld härleda till att den politiska styrningen inte tagit sig an och verkställt riktlinjer för samverkan och kunskapsutveckling. Samverkan och kunskap kan således härledas till det mänskliga agerandet enligt forskarna Alavi, Islam och Mouratidis. Genom kunskapsutveckling så kan den mänskliga faktorn som ett
säkerhetshot stävjas (Alavi, Islam & Mouratidis 2014). I enlighet med Samuel Visners forskning så verkar det som om Sverige har hamnat efter när det kommer till utvecklingen av cybersäkerhet och medvetenheten om vikten att upprätta ett aktivt cyberförsvar. Länder som Ryssland och Kina befinner sig i bräschen när det kommer till att digitalt kapprusta sig och bygga upp ett cyberförsvar. Varför Sverige inte har kommit längre i sitt säkerhetsarbete kan dels bero på okunskap, men även det faktum att den politiska diskussionen och utbytet av idéer inte har fått genomslagskraft (Buzan, Waever & de Wilde 1998:26). Slutligen för denna analysfråga så kommer ett uttalande som är avvikande i jämförelse med de andra. Detta då det kanske inte ses som ett säkerhetshot, men väl värt att beakta. Problemet som presenteras är förtroendebrist.
24
När hanteringen av viktig information brister riskerar det också att leda till ett försämrat förtroende för etablerade samhällsstrukturer. Vi såg ett tydligt exempel på detta under sommaren 2017 i samband med händelserna på Transportstyrelsen då det avslöjades att skyddsvärda uppgifter hanterats felaktigt inom myndigheten. (Lotta Johnsson Fornarve, V,
FöU4).
Lotta Johnsson Fornarve beskriver att det finns en risk i att förtroendet för den politiska styrningen och statlig förvaltning försämras vid en händelse som it-haveriet på
Transportstyrelsen. Att lyfta fram förtroendeskada i samband med säkerhetshaveriet är som att likna det vid ett demokratiskt haveri vilket är allvarligt för en välutvecklad demokrati som Sverige. På grund utav Transportstyrelsens outsourcing av skyddsvärda uppgifter till icke säkerhetsprövade aktörer så kan handlingen riskera att skada allmänhetens förtroende för det politiska systemet. Det mänskliga agerandet som gjorde avsteg från gällande rätt kan förstöra förtroendet hos medborgarna. Att bryta mot lagen är olagligt, vilket kan sända ut fel signaler till allmänheten. Den mänskliga faktorn orsakade således inte enbart ett säkerhetshaveri, utan riskerar även att leda till en förtroendekris.
Vad är hotet?
Samtliga anföranden av undersökningsmaterialet innehåller resonemang om vad hotet kan vara och främmande makt presenteras övervägande som ett hot. Främmande makt ses som något okontrollerbart vilket gör det svårt att hantera. Men det finns även en djup oro när det handlar om det mänskliga agerandet som gör fel, vilket kan leda till möjligheter för
främmande makt att utnyttja denna sårbarhet. Allan Widman belyser detta i följande anförande:
I går presenterade Transportstyrelsen sin egen utredning om det som statsminister Löfven kallade för "haveriet" under sommaren. Av utredningen framgår att över 80 personer, medborgare i Rumänien, Ungern, Tjeckien och Serbien, från början av 2016 till och med oktober 2017 obehörigen hanterat viktig och skyddsklassad information som gäller Sverige och svenska medborgare. (Allan Widman, L, FöU4).
Här presenteras att drygt 80 personer från Tjeckien, Serbien, Ungern och Rumänien, vilka inte hade säkerhetsprövats, hanterade skyddsklassad information angående rikets intressen. Att dessa personer blivit tilldelad uppdraget anses både olämpligt och i strid med gällande rätt.
25 Men den större faran tenderar att handla om att skyddsklassad information har lämnat landet och därmed hamnat i andra staters besittning. Därmed har Sverige förlorat kontrollen av dessa säkerhetsklassade uppgifter. Det primära hotet framstår vara de östeuropeiska it-teknikerna som kan föra vidare information till främmande makt, vilket i sin tur kan utsätta Sverige för en ännu större fara och hota rikets intressen. Carl Colwill har i sin forskning uppmärksammat den faran som kan uppstå i samband med outsourcing till en part i ett annat land. Detta då säkerheten försvagas kring informationshanteringen vilket gör det möjligt för främmande makt att utnyttja dessa uppgifter (Colwill, 2009). Att outsourca sekretessbelagda uppgifter till ett annat land är riskfyllt i den bemärkelsen att kontrollen minskar över hanteringen och vilka förbindelser det andra landet kan ha med främmande makt. Detta underlättar för främmande makt att inhämta underrättelseinformation. Pål Johnsson belyser i ett anförande vilka risker det finns om det saknas samstämd syn gällande cybersäkerhet och att det gynnar främmande makt.
För det andra eftersträvar vi inom säkerhets- och försvarspolitiken alltid breda politiska lösningar. Men med tanke på antalet reservationer som finns i detta relativt korta betänkande måste jag konstatera att det i dag tyvärr saknas en bred parlamentarisk samsyn om hur vi ska hantera cybersäkerhetsfrågorna. Det är allvarligt, och det gagnar ingen annan än
främmande makt som inte har Sveriges bästa för sina ögon. Jag tror att det är viktigt att vi försöker åstadkomma en större och bredare samsyn, men då krävs också att regeringen bättre förankrar sin politik i riksdagen på området. (Pål Johnson, M, FöU4).
Enligt Lewis är det de länder som utövar effektiv politisk styrning vilket är bättre på att hantera cybersäkerhet och därmed hindra cyberhot (Lewis 2018: 35). Därmed krävs det en bred parlamentarisk samsyn som gör att beslut kan förankras och strategier implementeras. Politiska diskussioner över blockgränser och samstämmighet gällande cybersäkerhet är nödvändigt för att Sverige ska kunna utveckla en mer robust cybersäkerhet. Utifrån Buzan, Waever och de Wildes teori om speech act så utgör avsaknaden av en bred parlamentarisk samsyn om cybersäkerhet ett existentiellt hot, då beslutsfattandet stagnerar vilket främmande makt kan ta fördel av. I följande anföranden så beskriver politiker att cyberattacker kommer öka i omfattning och är mer förekommande än vad en väpnad konflikt är.
Även om riskerna för en i traditionell mening väpnad attack mot Sverige bedöms som små är riskerna för att utsättas för cyberattacker desto större. Det är, fru talman, snarare en realitet och en del i vardagen för företag, organisationer, myndigheter och enskilda. Stater,
26
statsunderstödda aktörer, skojare, sabotörer - bakom angreppen och hoten finns olika aktörer med olika agendor. (Kalle Olsson, S, FöU4).
Risken för att Sverige ska drabbas av cyberattacker ses som större än en väpnad attack i traditionell mening. Detta talar för att situationen är brådskande och att utveckling i form av cybersäkerhet är angeläget. Dock är den politiska diskussionen inte utan åsikter om väpnad konflikt och krig. Antagonistiska hot i form av cyberattacker och påverkansoperationer kan ses antingen som ett förstadium eller en del av en väpnad konflikt.
Främmande makt kan genom angrepp ta del av information som flödar i Sveriges it- och kommunikationssystem, vilket kraftigt försämrar Sveriges utsikter att försvara sig i händelse av krig. Vår uppfattning är att om ingenting sker på detta område kan vi se fram emot och frukta en cyberattack av detta slag inom en inte alltför avlägsen framtid. (Mikael Oscarsson,
KD, FöU4).
Forskarna Hansen och Nissenbaum har studerat kring vilka digitala katastrofer som orsakas av att stater har brustit i sin hantering av cybersäkerhet. När cyberattackerna mot Estland 2007 blev ett faktum uttalade sig NATO om vikten av att skydda informationssystem (Hansen & Nissenbaum 2009). Cyberattackerna i Estland har även beskrivits som det första cyberkriget, vilket belyser det nödläge som kan uppstå i samband med cyberattentat. När det kommer till skillnader mellan ett väpnat krig och en cyberattack så behöver det senare inte utesluta ett väpnat angrepp. Vid cyberattacker testas andra staters gränser. Faran med antagonistiska hot är att det råder svårighet att placera handlingen i traditionella termer som traditionell
krigföring. Dock är det en fientlig handling vilket placerar agerandet för gråzonkrigföring (Visner 2016). Detta kräver en politisk styrning med förståelse för cybervärldens komplexa natur och det digitala ekosystemet. Forskarna Visner och Lewis har undersökt betydelsen för stater att bygga upp ett cyberförsvar. Detta i form av en egen myndighet. Vidare menar Visner att ett cyberförsvar är ett steg för stater att kapprusta sig gentemot andra stater. Idag är digitala hot en realitet, vilket utgör ett angeläget behov av en egen myndighet som ombesörjer
cybersäkerhet. Vad politiker anser utgöra hot är främmande makt och när Sverige förlorar kontrollen till andra stater. Dessutom beskrivs antagonistiska hot i form av cyberattacker som en aktiv handling i form av digital krigföring där främmande makt kan komma över känsliga uppgifter vilket ger dem ett strategiskt övertag. Således framställs främmande makt som ett adekvat säkerhetshot. Dock kvarstår det faktum att Sverige saknar nationell parlamentarisk samsyn gällande cybersäkerhet vilket har bidragit till ett stagnerat säkerhetsarbete. Därmed
27 har den politiska styrningen försvårat att uppnå en robust cybersäkerhet, vilket främmande makt kan dra fördel av.
Vad är lösningen på problemet?
När det kommer till att besvara frågan om hur problemet kan lösas så ges det flera förslag. Sammanfattningsvis så byggs det argumentation kring att kritiskt granska it-haveriet på Transportstyrelsen, skärpning av gällande regelverk kring upphandling och outsourcing, ansvarsfördelning samt uppbyggandet utav en enhet som ska ombesörja cybersäkerhet. Det första förslaget argumenteras på följande sätt:
Men det finns också en politisk granskning som måste ske. Den kommer ni att utsättas för inför valet 2018. Det handlar om hur ni hanterat detta säkerhetshaveri samt om vad jag skulle vilja säga är oförmågan att informera svenska folket, riksdagen och oppositionen. (Hans
Wallmark, M, 2017/18:18).
Hans Wallmark argumenterar för vikten av en politisk granskning av säkerhetshaveriet vilket kan leda till lärdomar från fallet så att en liknande situationen inte uppstår igen. När forskaren Herzog (2017) forskade om hur Estland gick vidare från cyberattackerna 2007 så hade landet målinriktat arbetat för att ta fram en nationell strategi där de hade flera områden som
säkerhetsarbetet behövde utvecklas på. Skydda samhällsviktiga informationssystem, utveckla nationellt cyberförsvar och stärka samverkan mellan olika aktörer var några av punkterna som fanns med i Estlands strategi för cybersäkerhet. Idag ses Estland som ett föregångsland när det kommer till cybersäkerhet, vilket talar för att den politiska styrningen i Sverige kan med fördel beakta granskningen av säkerhetshaveriet konstruktivt och ta lärdom. Andra lösningar kräver lagändring av gällande regelverk. Allan Widman lyftet fram att myndigheter bör anpassa upphandlingsförfarandet ifall det handlar om it-tjänster.
Alliansen i försvarsutskottet har pekat på ett viktigt förhållande, nämligen att om det finns möjligheter för statliga myndigheter när de gör sina upphandlingar av it-tjänster att i stället för att använda lagen om offentlig upphandling, som mer fokuserar på pris och kvalitet i generella termer, välja att använda sig av lagen om upphandling på försvars- och
säkerhetsområdet, som mer betonar behovet av skydd och säkerhet för våra it-system, kan viktiga fördelar vinnas. (Allan Widman, L, FöU4).
Didier Bigo har utvecklat ett alternativ till den klassiska Köpenhamnsskolans perspektiv om säkerhetisering. Bigo menar att när det talas om lagändring så är det ett tecken på att den situation som råder i samhället är så allvarlig och för att ändra tillståndet så behöver den
