• No results found

Cyberattacker i gråzonen: Om Säkerhetspolisens och Försvarsmaktens brottsbekämpande ansvar för främmande staters cyberattacker mot samhällsviktiga IT-system

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "Cyberattacker i gråzonen: Om Säkerhetspolisens och Försvarsmaktens brottsbekämpande ansvar för främmande staters cyberattacker mot samhällsviktiga IT-system"

Copied!
75
0
0

Loading.... (view fulltext now)

Download now ( 75 Page )

Full text

(1)

Juridiska institutionen Vårterminen 2020

Examensarbete i offentlig rätt, särskilt polisrätt 30 högskolepoäng

Cyberattacker i gråzonen

Om Säkerhetspolisens och Försvarsmaktens brottsbekämpande ansvar för främmande staters cyberattacker mot samhällsviktiga IT-system

Cyber Attacks in the Gray Zone

The Swedish Security Service and Swedish Armed Forces Law enforcement against Cyber Attacks targeting Information systems important to society

Författare: Louise Gunnarsson

Handledare: Docent Ingrid Helmius

(2)
(3)

Förkortningslista

BrB Brottsbalk (1962:700)

EU Europeiska unionen

FMV Försvarets materielverk

FOI Totalförsvarets forskningsinstitut

FRA Försvarets Radioanstalt

LTH Lag (1992:1403) om totalförsvar och höjd

beredskap

ISDT Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster

IT-system Informationssystem

Krisberedskapsförordningen Förordning (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap

Militärpolisförordningen Förordning (1980:123) med reglemente för militärpolisen

MSB Myndigheten för samhällsskydd och beredskap

Prop. Proposition

PL Polislag (1984:387)

PTS Post- och telestyrelsen

(4)

RF Kungörelse (1974:152) om beslutad ny regeringsform

SAMFI Samverkansgruppen för informationssäkerhet Stödförordningen Förordningen (2002:375) om Försvarsmaktens

stöd till civil verksamhet SOU Statens offentliga utredningar

SvJT Svensk juristtidning

Säkerhetsskyddsförordningen Säkerhetsskyddsförordning (2018:658)

Säkerhetsskyddslagen Säkerhetsskyddslag (2018:585)

Säpo-förordningen Förordning (2014:1103) med instruktion för Säkerhetspolisen

(5)
(6)

Innehållsförteckning

1 Om uppsatsen... 1

1.1 Inledning ... 1

1.2 Syfte ... 2

1.3 Avgränsning ... 3

1.4 Metod och material ... 4

1.5 Disposition ... 5

2 Säkerhetspolitisk utgångspunkt ... 7

2.1 Inledning ... 7

2.2 En ny form av säkerhetspolitiska hot ... 7

2.3 Främmande staters cyberattacker mot Sverige ... 8

2.3.1 Cyberattacker som hotar Sveriges säkerhet ... 8

2.3.2 Sveriges arbete med informations- och cybersäkerhet ... 9

2.4 Arbetet i freds-, kris- och krigstider ... 12

2.4.1 Inledning ... 12

2.4.2 Den svenska krisberedskapen ... 12

2.4.3 Det svenska totalförsvaret ... 13

3 Cyberattacker mot samhällsviktiga informationssystem... 15

3.1 Inledning ... 15

3.2 Begreppet cyberattack ... 16

3.2.1 Inledning ... 16

3.2.2 Kriminaliseringen av cyberattacker... 17

3.3 Begreppet samhällsviktiga informationssystem ... 19

3.3.1 Inledning ... 19

3.3.2 Gränsdragningen mellan samhällsviktiga och särskilt skyddsvärda IT-system ... 20

3.3.3 Verksamhetsutövarnas skyldigheter enligt säkerhetsskyddslagen ... 23

3.3.4 Säkerhetspolisens och Försvarsmaktens tillsynsansvar enligt säkerhetsskyddslagen 25 3.4 Kriminaliseringen av främmande staters cyberattacker som hotar Sveriges säkerhet .. 26

3.4.1 Inledning ... 26

4 Säkerhetspolisens respektive Försvarsmaktens verksamheter ... 31

4.1 Inledning ... 31

(7)

4.1.1 Något om begreppet fredstid ... 32

4.2 Säkerhetspolisens verksamhet i fredstid ... 32

4.2.1 Inledning ... 32

4.2.2 Säkerhetspolisens brottsutredande verksamhet ... 33

4.2.3 Säkerhetspolisens brottsförebyggande arbete ... 36

4.3 Försvarsmaktens verksamhet i fredstid ... 38

4.3.1 Inledning ... 38

4.3.2 Försvarsmaktens brottsutredande verksamhet ... 38

4.3.3 Försvarsmaktens brottsförebyggande verksamhet ... 39

4.4 Ansvarsfördelning och samverkan i fredstid ... 42

4.4.1 Inledning ... 42

4.4.2 Det brottsförebyggande arbetet ... 42

4.4.3 Det brottsutredande arbetet ... 44

4.5 Den rättsliga regleringen i krig och vid krigfara ... 45

4.5.1 Inledning ... 45

4.5.2 Krigstillstånd ... 50

4.5.3 Ansvarsfördelning och samverkan i krigstid... 52

5 Gråzonsproblematiken ... 54

5.1 Inledning ... 54

5.1.1 Problemidentifikation ... 54

5.1.2 Presentation av begreppet gråzon... 55

5.2 Rättsliga problem till följd av gråzonsproblematiken ... 56

5.2.1 Gränserna mellan polisiär och militär brottsutredande verksamhet i gråzonen ... 56

5.2.2 Rättssäkerhetsproblem ... 59

5.2.3 En kort framtidsutblick ... 61

6 Avslutande kommentarer och slutsatser ... 62

7 Källförteckning ... 64

7.1 Svenskt offentligt tryck... 64

7.2 Utländskt offentligt tryck ... 66

7.3 Litteratur och tidskrifter... 66

7.4 Internetkällor ... 67

7.5 Övriga källor ... 67

(8)
(9)

1

1 Om uppsatsen

1.1 Inledning

Digitaliseringen av samhället innebär nya möjligheter, men också en hel del utmaningar. Cyberattacker illustrerar ett exempel på situationer där samhällets sårbarhet är direkt knutet till digitaliseringen. Den snabba tekniska utvecklingen i kombination med att allt mer skyddsvärd information finns tillgänglig i digitala informationssystem innebär ett ökat hot mot det svenska samhället.1 Att åstadkomma ett intrång i ett IT-system är sällan svårt. Allt som är kopplat till internet kan hackas av en kvalificerad förmåga. Sverige utsätts ständigt för olika former av cyberattacker, och i Försvarets Radioanstalts (FRA) årsrapport från 2019 framgår att kvalificerade cyberattacker som utförs av främmande stater ökar i omfattning.2 Den nya informations- och cybersäkerhetsstrategin3 fastställer att stater och statsunderstödda aktörer utgör det allvarligaste cybersäkerhetshotet mot Sverige, och att de mest kvalificerade cyberattackerna riktas mot samhällsviktiga informationssystem.4 Cyberattacker mot dessa informationssystem kan få förödande konsekvenser för samhällets funktionalitet och ytterst innebära att Sveriges säkerhet hotas. Under de senaste åren har det skett flera cyberattacker med tydliga säkerhetspolitiska implikationer som har uppmärksammats i media. I Sverige har främmande staters cyberattacker mot svenska samhällsviktiga informationssystem uppmärksammats i media bl.a. genom den cyberattack som i media benämnts ”Cloud Hopper” och som genomfördes 2017. FRA konstaterade att attacken företogs av en främmande stat,

1 Ds 2017:66 s. 115 f.

2 FRA:s årsrapport för 2019 s. 7.

3 Skr. 2016/17:213.

4 Skr. 2016/17:213 s. 7.

(10)

2

men vilken stat det rörde sig om är ännu inte offentligt. Cyberattacken var omfattande och riktade sig mot ett stort antal svenska företag och industrier.

För att kunna stå emot hoten som kommer från främmande staters cyber- attacker krävs ett omfattande arbete som omfattar hela samhället i såväl freds-, kris- och krigstid. Såväl Säkerhetspolisen som Försvarsmaktens respektive verksamheter syftar primärt till att skydda Sveriges säkerhet och utgör därmed en nyckelroll i arbetet i det svenska informations- och cybersäkerhetsarbetet. De mest kvalificerade cyberattackerna är ett i högsta grad aktuellt säkerhetspolitiskt ämne, och utgör ett relativt nytt säkerhetshot. Ämnets aktualitet märks inte minst genom det omfattande pågående arbetet för att stärka Sveriges informations- och cybersäkerhet. Vad som karaktäriserar de mest kvalificerade formerna av cyberattacker som genomförs av främmande stater är att de kan leda till att politiska mål uppnås utan att attacken uppfattas som krigföring.5 Dessa former av attacker företas i en s.k. gråzon som avser mellanläget mellan fred och väpnad konflikt. Den vapenteknologiska utvecklingen som kommer av den ökade digitaliseringen i samhället har inneburit att det har vuxit fram en ny form av krigföring som inte kräver konventionella militära styrkor. Till följd av att cyberattacker är ett relativt nytt hot finns det inga tydliga rättsliga regler för brottsbekämpningen av sådana cyberattacker som företas i gråzonen. Det oklara rättsläget leder ytterst till frågan om när och hur Sverige ska kunna använda militära medel vid främmande staters cyberattacker mot svenska samhällsviktiga informationssystem som företas i gråzonen.

1.2 Syfte

Det övergripande syftet med uppsatsen är att redogöra för Säkerhetspolisens och Försvarsmaktens respektive rättsliga ansvar vid brottsbekämpningen av främmande staters cyberattacker mot svenska samhällsviktiga informationssystem. Uppsatsen

5 Jonsson s. 3.

(11)

3

syftar vidare till att särskilt beröra Säkerhetspolisens och Försvarsmaktens bekämpning av sådana cyberattacker som genomförs i den s.k. gråzonen, dvs. i mellanläget mellan fred och väpnad konflikt.

1.3 Avgränsning

Uppsatsen är avgränsad till att endast beröra en viss form av cyberattacker, då dessa kan företas av olika anledningar och med olika syften. Cyberattacker kan ske oavsiktligt som en följd av t.ex. inkompetens, slarv eller oförutsedda händelser i övrigt, eller uppsåtligt med ett tydligt bakomliggande motiv. Inom ramen för den här uppsatsen kommer endast uppsåtliga cyberattacker att utredas. Även de aktörer som genomför dessa uppsåtliga cyberattacker kan skilja sig åt. Det kan vara allt från enskilda aktörer till kriminella grupperingar eller statsunderstödda aktörer. Den här uppsatsen avser att redogöra för uppsåtliga cyberattacker som genomförs av främmande stater. Vidare kan dessa former av cyberattacker rikta sig mot olika mål.

Denna uppsats avser att redogöra för de mest kvalificerade formerna av cyberattacker som kan leda till allvarliga konsekvenser för Sveriges säkerhet. Uppsatsen är därmed avgränsad till att endast beröra sådana cyberattacker som företas av främmande stater mot sådana IT-system som enligt den svenska regleringen utgör s.k. samhällsviktiga informationssystem.

Det finns ingen legaldefinition av begreppet cyberattack. I uppsatsen angriper jag frågan genom att sortera in de mest kvalificerade cyberattackerna som sådana former av brottsliga handlingar som faller inom bestämmelserna i 19 kap. Brottsbalk (1962:700) som utgör brott mot Sveriges säkerhet.

Uppsatsen är skriven utifrån ett offentligrättsligt perspektiv. Vissa frågor som uppkommer i besvarandet av uppsatsens syften är av straffrättslig eller folkrättslig karaktär. Inom ramen för den här uppsatsen kommer straffrättsliga eller folkrättsliga frågor inte att behandlas mer än översiktligt.

(12)

4 1.4 Metod och material

Framställningen är huvudsakligen rättsdogmatisk. Den rättsdogmatiska metoden syftar primärt till att tolka och kartlägga gällande rätt.6 Kartläggningen av gällande rätt företas enligt den rättsdogmatiska metoden genom de allmänt accepterade rättskällorna; lagstiftning, förarbeten, rättspraxis och doktrin.7 Det finns ingen legaldefinition av begreppet cyberattack. Det finns däremot flera närbesläktade begrepp som avser liknande förhållanden. Till följd av att framställningen rör omtvistade definitioner och förhållanden mellan olika begrepp kommer en utredning de lege lata att föras särskilt i avsnitten som rör definitionerna av begreppen.

Avsaknaden av en rättslig definition av begreppet cyberattack innebär att jag i uppsatsen kommer att utgå ifrån mina egna rättsliga preferenser i utredningen avseende handlingar som jag bedömer omfattas av begreppet cyberattack.

Eftersom att cyberattacker mot samhällsviktiga informationssystem utöver legala spörsmål aktualiserar flertalet säkerhetspolitiska aspekter kommer uppsatsen även att behandla källor som inte är rättsdogmatiska. I uppsatsen används statistik från Brottsförebyggande rådet och rapporter från Totalförsvarets forskningsinstitut (FOI) och Myndigheten för samhällsskydd och beredskap (MSB). Icke-rättsliga källor används i uppsatsen av i huvudsak två anledningar. Frågan om främmande staters cyberattacker mot svenska mål har en tydlig säkerhetspolitisk dimension. För att få en djupare förståelse för den rättsliga aspekten av frågan har jag valt att utreda frågan i en bredare, säkerhetspolitisk, kontext. Dessutom innebär det faktum att ämnet är relativt nytt att antalet rättsliga källor på området är begränsat. Material som inte är av juridisk karaktär används således i sådan utsträckning som behövs för att förstå ämnet på ett övergripande plan där rättsliga källor saknas.

6 Jareborg s. 4.

7 Kleineman s. 18.

(13)

5

I de senare delarna av uppsatsen kommer en rättsanalytisk diskussion att vara mer framträdande i syfte att utforska potentiella lösningar på problematiken kring de etablerade begreppen. Rättsläget är oklart avseende brottsbekämpningen av de cyberattacker som företas i gråzonen. En anledning till att det inte finns någon tydlig reglering kring brottsbekämpningen i den situationen är att frågan aldrig har ställts på sin spets. Överhuvudtaget har inga skarpa konflikter förekommit mellan Sverige och främmande stat tidigare, varför regleringen i kris- och krigstid inte har prövats rent praktiskt. I uppsatsen kommer gråzonsproblematiken de le lege ferenda att analyseras för att redogöra för de rättsliga problem som är förenade med det oklara rättsläget.

1.5 Disposition

Uppsatsen inleds med att avsnitt (avsnitt 2) som jag har valt att kalla för säkerhetspolitisk utgångspunkt. Detta avsnitt syftar till att placera uppsatsämnet i en vidare kontext då ämnet har en tydlig säkerhetspolitisk koppling. I detta avsnitt redogörs dessutom för samhällets krisberedskap och totalförsvaret, då dessa just nu vidareutvecklas till följd av det ökade säkerhetshotet som är en konsekvens av den vapenteknologiska utvecklingen. I avsnitt 3 presenteras därefter begreppen

”cyberattack” och ”samhällsviktiga informationssystem” och en rättslig redogörelse för dessa begrepp redovisas. De två efterföljande kapitlen redogör för Säkerhetspolisens och Försvarsmaktens respektive brottsbekämpande verksamhet och arbete mot cyberattacker mot samhällsviktiga informationssystem. Såväl de rättsliga ramarna för myndigheternas brottsförebyggande som brottsutredande arbete utreds. I början av avsnitt 4 kommer det redogöras för Säkerhetspolisens och Försvarsmaktens rättsliga brottsbekämpande ansvar i fredstid, och i slutet av avsnitt 4 kommer en redogörelse för myndigheternas respektive ansvar vid krig och krigfara.

I avsnitt 5 redogörs för gråzonsproblematiken som uppstår då cyberattacker mot samhällsviktiga informationssystem företas på ett sådant sätt att handlingarna anses genomföras i ett läge då Sverige befinner sig under normal beredskap samtidigt som

(14)

6

Sverige är under angrepp. Det avslutande kapitel 6 innehåller en sammanfattning av uppsatsens huvudsakliga innehåll.

(15)

7

2 Säkerhetspolitisk utgångspunkt

2.1 Inledning

Vi lever i ett samhälle som präglas av digitalisering och som är beroende av informationsteknik. Detta innebär att samhället är sårbart för angrepp som riktar sig mot tekniken. Sårbarheten som kommer av det digitaliserade samhället kan användas i icke-legitima syften. Under de senaste åren har den tekniska utvecklingen använts för att utveckla metoder för angrepp i cybermiljön. Även stater utnyttjar den tekniska utvecklingen till att utveckla nya metoder för att uppnå sina politiska mål i säkerhetspolitiken. Under de senaste åren har vi sett exempel på när främmande stater attackerar andra staters IT-system med tydliga bakomliggande säkerhetspolitiska motiv. Ett uppmärksammat exempel är Ukrainakonflikten där Ryssland utsatt ukrainska IT-system för omfattande cyberattacker sedan 2015.8 Sedan det ryska agerandet mot Ukraina har cyberattacker som en del i hybridkrig förts fram som en

”ny typ av krigföring”.9 2000-talets främsta säkerhetspolitiska hot verkar inte längre vara atomvapen, utan cyberattacker.

2.2 En ny form av säkerhetspolitiska hot

Sveriges säkerhetspolitik syftar primärt till att värna vårt lands fred och självständighet.10 De säkerhetspolitiska mål som Sverige uppställer grundar sig i ett gemensamt mål om att värna Sveriges säkerhet.11 Cyberattacker kan ta sig uttryck på olika sätt, där den allvarligaste formen av cyberattacker företas av främmande stater.12

8 Jonsson s. 23.

9 Jonsson s. 18.

10 Prop. 2001/02:10 s. 36.

11 Skr. 2016/17:213 s. 29.

12 Ds 2017:66 s. 251.

(16)

8

Med statliga aktörer avses staters säkerhetstjänster, underrättelsetjänster och försvarsmakter.13 Eftersom samhällets samtliga sektorer är beroende av en fungerande teknik kan angrepp mot samhällets mest vitala informationssystem hota samhällets funktionalitet. Cyberattacker som främmande stater företar mot dessa särskilt samhällsviktiga informationssystem kan ytterst hota Sveriges säkerhet.14 Säkerhetspolitiken är i ständig förändring, och bör justeras enligt den rådande omvärldsutvecklingen.15 Hotet mot Sveriges säkerhet är inte längre främst militära hot. Främmande staters underrättelseverksamhet har istället de senaste decennierna breddats mot forskning och utveckling inom civila områden samt mot politiska frågor och information som rör samhällsviktiga informationssystem.16 Historiskt sett har militära väpnade angrepp varit det största säkerhetspolitiska hotet mot en stat.17 Hotet var helt enkelt en invasion av landets territorium eller konventionella väpnade konflikter. De senaste årens informationstekniska utveckling har inneburit att det säkerhetspolitiska läget har förändrats. Den digitaliserade utvecklingen innebär att samhället är sårbart för angrepp mot vitala informationssystem. Cyberattacker mot vitala informationssystem kan exempelvis påverka landets el-, och vattenförsörjning, betalningssystem, massmedier och hälso- och sjukvård.

2.3 Främmande staters cyberattacker mot Sverige

2.3.1 Cyberattacker som hotar Sveriges säkerhet

Sverige utsätts kontinuerligt för olika former av cyberattacker.18 Detta vittnar om att hotet mot svenska vitala informationssystem inte är potentiellt, utan reellt. Av

13 Ds 2017:66 s. 251.

14 Skr. 2016/17:213 s. 6.

15 Prop. 2001/02:10 s. 36.

16 Prop. 2017/18:89 s. 33.

17 Prop. 2001/02:10 s. 11.

18 Ds 2019:8 s. 251.

(17)

9

regeringens proposition med försvarspolitisk inriktning för perioden 2016-2020 framgår det att de säkerhetspolitiska målen som ska uppfyllas grundar sig i det grundläggande målet att skydda Sveriges säkerhet mot utomstående hot.19 Sveriges säkerhet ska uppnås genom målen att värna befolkningens liv och hälsa, värna samhällets funktionalitet och att värna vår förmåga att upprätthålla de grundläggande värdena som demokrati, rättssäkerhet och mänskliga fri- och rättigheter.20 Av den aktuella försvarspolitiska planen framgår det att sårbarheterna i Sveriges vitala informationssystem och det ökade hotet från cyberattacker är en av Sveriges mest komplexa utmaningar.21 Hot- och riskskalan på cyberområdet är bred och omfattar såväl risker för den enskilde medborgaren, som för vitala delar i samhällets funktionalitet.22 Cyberattacker mot vitala informationssystem kan ytterst hota Sveriges säkerhet.23

2.3.2 Sveriges arbete med informations- och cybersäkerhet

Av den försvarspolitiska inriktningen för den aktuella perioden framgår det att det finns ett framträdande hot i cybermiljön. I syfte att skydda Sverige mot det aktuella identifierade säkerhetshotet pågår ett omfattande arbete för att stärka Sveriges informations- och cybersäkerhet. Säkerhetshotets dignitet och vikten av att skapa ett robust informations- och cybersäkerhetsarbete som kan motverka cyberattacker som hotar Sveriges säkerhet syns inte minst genom antalet utredningar och samverkansgrupper som har skapats på området. En nationell cybersäkerhetsstrategi har tagits fram som grundar sig i regeringens prioriteringar och som syftar till att förbättra Sveriges informations- och cybersäkerhet.24 Informations- och

19 Prop. 2014/15:109 s. 46.

20 A. Prop. s. 47.

21 Prop. 2014/15:109 s. 11.

22 Ds. 2014/20 s. 30.

23 Skr. 2016/17:213 s. 6.

24 Skr. 2016/17:213 s. 1.

(18)

10

cybersäkerhetsarbete definieras i cybersäkerhetsstrategin som ”en uppsättning säkerhetsåtgärder för bevarande av konfidentialitet, riktighet och tillgänglighet hos information”.25 I den nationella strategin beskrivs konfidentialitet innebära att obehöriga inte ska kunna ta del av informationen. Riktighet innebär att informationen inte ska kunna förändras, manipuleras eller förstöras på ett obehörigt sätt.

Tillgänglighet innebär att behöriga ska ha tillgång till informationen på det sätt och vid den tidpunkt som tjänsterna erbjuder.26 Ett stärkt informations- och cybersäkerhetsarbete har som mål att skydda Sveriges säkerhet och grundläggande värden som demokrati, mänskliga fri- och rättigheter och samhällets funktionalitet.27 Regeringen har i den nationella strategin uttryckt sex olika övergripande strategiska prioriteringar som bör ingå i arbetet med informations- och cybersäkerhet för att Sveriges säkerhet ska kunna främjas;28

1. ”Säkerställa en systematisk och samlad ansats i arbetet med informations- och cybersäkerhet.

2. Öka säkerheten i nätverk, produkter och system.

3. Stärka förmågan att förebygga, upptäcka och hantera cyberattacker och andra IT- incidenter.

4. Öka möjligheten att förebygga och bekämpa IT-relaterad brottslighet.

5. Öka kunskapen och främja kompetensutvecklingen.

6. Stärka det internationella samarbetet.”

Av de sex olika prioriteringarna i den nationella strategin framgår det att arbetet för en ökad informations- och cybersäkerhet är omfattande. Arbetet innefattar bl.a. ett arbete med att öka säkerheten i IT-system i syfte att minska sårbarheterna i IT- systemen och därmed försvåra angrepp mot dessa.

25 Skr. 2016/17:213 s. 4.

26 Skr. 2016/17:213 s. 4.

27 Skr. 2016/17:213 s. 3.

28 Skr. 2016/17:213 s. 8.

(19)

11

Arbetet för att säkra Sveriges informations- och cybersäkerhet är omfattande och kräver samverkan mellan flera aktörer. I juli 2018 gav regeringen ett antal myndigheter med ett särskilt ansvar inom informations- och cybersäkerhet i uppdrag att ta fram en samlad informations- och cybersäkerhetsplan för perioden 2019-2022.29 Samverkansgruppen för informationssäkerhet (SAMFI) består av Försvarets radioanstalt (FRA), Försvarets materielverk (FMV), Försvarsmakten. Myndigheten för samhällsskydd och beredskap (MSB), Post- och telestyrelsen (PTS), Polismyndigheten och Säkerhetspolisen.30 Handlingsplanen som SAMFI-gruppen har skapat innehåller åtgärder som samtliga ansluter till någon av de sex strategiska prioriteringar som regeringen uttryckt i den nationella strategin för informations- och cybersäkerhet.31

I september 2019 uppdrog regeringen åt FRA, Försvarsmakten, MSB och Säkerhetspolisen att lämna ett förslag om att ett nationellt cybersäkerhetscenter ska kunna inrättas under 2020.32 De berörda myndigheterna svarade att cybersäkerhetscentret planeras att utgöra en fördjupad samverkan mellan dessa myndigheter. Samverkan ska utgå från myndigheternas respektive roller i övrigt och ska bedrivas inom ramen för de författningar som gäller för respektive myndighet.33 Cybersäkerhetscentret ska ha som målsättning att stärka de ingående myndigheternas samlade förmåga att förebygga, upptäcka och hantera cyberattacker.34

29 Samlad informations- och cybersäkerhetshandlingsplan 2019-2022 s. 7.

30 Skr. 2016/17:213 s. 11.

31 Samlad informations- och cybersäkerhetshandlingsplan 2019-2022 s. 7.

32 Regeringsbeslut Fö2019/01000/SUND.

33 Svar på uppdrag (Fö2019/01000/SUND) s. 4.

34 Svar på uppdrag (Fö2019/01000/SUND) s. 6.

(20)

12 2.4 Arbetet i freds-, kris- och krigstider

2.4.1 Inledning

Det faktum att cyberattacker mot samhällsviktiga informationssystem kan företas med olika intensitet och i det längsta direkt hota Sveriges säkerhet förutsätter ett brottsbekämpande arbete i såväl freds-, som kris- och krigstider. Cyberattackers säkerhetspolitiska aktualitet syns genom det omfattande arbetet med att upprätta en förmåga att möta hoten genom ett robust informations- och cybersäkerhetsarbete.

Såväl den svenska krisberedskapen som totalförsvaret är under pågående utveckling till följd av det nya säkerhetshotet som kommit till följd av den vapenteknologiska utvecklingen. Både krisberedskapen och totalförsvaret förutsätter en samlad förmåga där hela samhället samverkar med varandra. Arbetet i krisberedskapen och totalförsvaret företas i olika faser där krisberedskapen huvudsakligen aktiveras vid uppkommen kris i fredstid, medan totalförsvarets arbete aktiveras först i en senare fas. Arbetet för informations- och cybersäkerhet innefattar hela samhällets samlade förmåga i såväl fredstid som kristid.

2.4.2 Den svenska krisberedskapen

Krisberedskapen innefattar hela det svenska samhället där aktörer som har en del i arbetet är allt från regering, statliga myndigheter, landsting, kommuner, organisationer och företag.35 Det finns ingen enhetlig lagsamling som reglerar samhällets beredskap för olika krissituationer i fredstid. Utformningen av ansvarsförhållandena inom samhällets krisberedskap återspeglar i hög grad utformningen och ansvarsförhållandena inom det normala läget i fredstid. Det finns med andra ord ingen centraliserad samhällelig krisberedskap som anförs av en särskild krisledande myndighet som tar över ansvaret från andra myndigheter vid en kris. Begreppet kris kan definieras som en händelse som drabbar många människor och stora delar av

35 Prop. 2007/08:92 s. 8.

(21)

13

samhället och som hotar grundläggande värden och funktioner.36 Kriser kan utlösas av olika anledningar, exempelvis pga. terrorism, organiserad brottslighet, tekniska kollapser i samhällsviktiga el-, tele- och IT-system, naturkatastrofer eller pandemier.37 Den mest allvarliga formen av kris är när landet befinner sig i krig eller krigfara.38 Det svenska samhällets krisberedskap syftar till att skydda samhället mot oväntade hot mot samhällets säkerhet.39 Med krisberedskap avses förmågan att möta hot såväl före, under och efter en kris. Utgångspunkten för Sveriges krisberedskapssystem är med andra ord ett arbete i fredstid. De aktuella målen för Sveriges krisberedskap är följande;40

- ”Minska risken för olyckor och kriser som hotar vår säkerhet, samt - Värna människors liv och hälsa samt grundläggande värden som demokrati,

rättssäkerhet och mänskliga fri- och rättigheter genom att upprätthålla samhällsviktig verksamhet och hindra eller begränsa skador på egendom och miljö då olyckor och krissituationer inträffar”.

2.4.3 Det svenska totalförsvaret

Det svenska totalförsvaret skapades efter andra världskriget och har sedan dess genomgått flera olika reformer. En anledning till att totalförsvarets verksamhet har skiftat karaktär genom åren grundar sig i den aktuella säkerhetspolitiken. Det säkerhetspolitiska begreppet är föränderligt och har därför haft skilda innebörder genom åren.41 I fjol konstaterades det i kommittén för förbättrat skydd för totalförsvarsverksamhet att totalförsvaret står inför en ny och mer komplex hotbild än tidigare. Den nya komplexiteten i de aktuella säkerhetshoten ansågs grunda sig i

36 Skr. 2009/10:124 s. 8.

37 SOU 2008:61 s. 21.

38SOU 2008:61 s. 21.

39 Prop. 2007/08:92 s. 7.

40 Prop. 2015/16:1 utg. omr. 6 s. 77.

41 Prop. 1995/96:12 s. 62.

(22)

14

det sårbara digitaliserade samhället och den vapenteknologiska utvecklingen.42 Det förändrade säkerhetspolitiska läget var en av anledningarna till att beslut fattades 2015 om en upprustning av totalförsvaret.43 Att ett pågående arbete genomförs för att återuppbygga totalförsvaret efter att ha varit nedlagt under flera år beror delvis på de ökade säkerhetshoten i cybermiljön.

Rapporterna Motståndskraft44 och Värnkraft45 utgör Försvarsberedningens slutrapporter om förlag till inriktning av totalförsvaret, samt utformningen av det civila försvaret, för den kommande perioden 2021-2025. I rapporten Värnkraft fastställer försvarsberedningen att ett informations- och cybersäkerhetsarbete är avgörande för uppbyggnaden av totalförsvaret.46 I rapporten Motståndskraft konstaterar Försvarsberedningen vidare att de mest kvalificerade formerna av cyberattacker kan innebära lika förödande konsekvenser för samhällets funktion som ett konventionellt väpnat angrepp. Av detta följer att Försvarsmaktens verksamhet innefattar ett arbete mot säkerhetshot som företas i cybermiljön.47 En del i arbetet för att återuppbygga totalförsvarsverksamheten är därför att upprätta en robust cyberförsvarsförmåga. Försvarsmaktens cyberförsvarsförmåga ska innefatta en förmåga att upptäcka olika former av pågående cyberattacker, en hotande cyberoperation, eller att fastställa vilken aktör som genomför cyberoperationen.48

42 SOU 2019:34 s. 74.

43 SOU 2019:34 s. 69.

44 Ds 2017:66.

45 Ds 2019:8.

46 Ds 2019:8 s. 116.

47 Ds 2017:66 s. 119.

48 Ds 2017:66 s. 119.

(23)

15

3 Cyberattacker mot samhällsviktiga informationssystem

3.1 Inledning

I avsnitt 2 ovan redogjordes för den säkerhetspolitiska dimensionen av främmande staters cyberattacker mot samhällsviktiga informationssystem. Detta avsnitt avser att redogöra för den rättsliga innebörden av begreppen cyberattacker och samhällsviktiga informationssystem.

En svårighet i utredningen av Säkerhetspolisens och Försvarsmaktens brottsbekämpning av främmande staters cyberattacker mot samhällsviktiga informationssystem är avsaknaden av en legaldefinition av begreppet cyberattack. Inte heller finns rättspraxis eller ett överflöd av andra rättskällor på området att söka svar i. Det faktum att cyberattacker är ett relativt nytt fenomen, samt att cyberattacker kan genomföras anonymt är troligtvis två orsaker till att främmande staters cyberattacker mot svenska grundläggande värden inte har lagförts tidigare i svensk rätt. I brist på rättskällor på området kommer jag att utgå ifrån mina egna rättsliga preferenser i redogörelsen av kriminaliseringen av cyberattacker.

Inom ramen för den här uppsatsen behandlas de mest kvalificerade formerna av cyberattacker som företas av främmande stater och som ytterst kan innebära ett hot mot Sveriges säkerhet. I svensk rätt sker en uppdelning mellan verksamheter som anses utgöra samhällsviktig verksamhet och särskilt skyddsvärd verksamhet. Detta kapitel avser att tydliggöra i vilka fall cyberattacker mot dessa verksamheter utgör brott mot Sveriges säkerhet. Denna redogörelse avser att ligga till grund för den kommande analysen i kapitel 4 om Säkerhetspolisens och Försvarsmaktens respektive brottsutredande ansvar av främmande staters cyberattacker mot samhällsviktiga informationssystem.

(24)

16 3.2 Begreppet cyberattack

3.2.1 Inledning

I såväl rättskällor som i samhällsdebatten kring angrepp som företas på cyberdomänen förekommer inte sällan flera olika begrepp som tycks användas synonymt med varandra. Begrepp såsom ”internetbrottslighet”, ”databrottslighet”, ”högteknologisk brottslighet” eller ”IT-relaterad brottslighet” och ”cyberattack” används synonymt med varandra. Inom ramen för den här uppsatsen används begreppet cyberattack.

Detta avsnitt syftar till att redogöra för innebörden av begreppet cyberattack. Genom att studera begreppsanvändningen i rättskällorna framgår det att begreppet IT- relaterad brottslighet är vanligast förekommande. I de svenska översättningarna av unionsrättsliga dokument på området översätts det engelska begreppet cybercrime kontinuerligt till IT-relaterad brottslighet.49 Varken i de unionsrättsliga eller svenska rättskällorna finns dock en enhetlig definition av IT-relaterad brottslighet. Begreppet används snarare som ett samlingsbegrepp för ett stort antal former av brottsliga handlingar som sker i cybermiljön. Som framgår av användningen av begreppet IT- relaterad brottslighet i den nationella strategin för samhällets informations- och cybersäkerhet50 innefattas allt från exempelvis bedrägerier, barnpornografi, hets mot folkgrupp, till intrång eller överbelastningsattacker i begreppet.51 Avsaknaden av en tydlig definition av begreppet cyberattack torde vara en konsekvens av att cyberattacker är ett relativt nytt fenomen.

49 Se t.ex.: Meddelande från kommissionen till rådet och Europaparlamentet. Brottsbekämpning i vår digitala tidsålder: inrättande av ett Europeiskt centrum mot it-brottslighet (COM/2012/1040 final) och Strategi för cybersäkerhet i EU: En öppen, säker och skyddad cyberrymd. Europaparlamentets resolution av den 12 september 2013 om EU:s strategi för IT-säkerhet: en öppen, säker och trygg cyberrymd (2013/2606(RSP)) (2016/ C 093/16).

50 Skr. 2016/17:213.

51 Skr. 2016/17:213 s. 21.

(25)

17 3.2.2 Kriminaliseringen av cyberattacker

Begreppet cyberattack är en form av IT-relaterad brottslighet, men avser en mer specificerad form av otillåtna handlingar i cybermiljön. I brist på legaldefinition av begreppet cyberattacker tas hjälp av tolkningen av begreppet i svenska förarbeten för att förstå begreppets innebörd. I den nationella strategin för samhällets informations- och cybersäkerhet konstateras att cyberattacker avser otillåtna intrång i IT-system (informationssystem).52 Sådana intrång i IT-system kan dock ske på många olika sätt.

Information i IT-system kan exempelvis förloras, stjälas, manipuleras eller spridas till obehöriga.53Angreppen kan innebära såväl intrång i systemen som olika slags störningar av systemen eller uppgifterna i desamma. Det finns ett stort antal olika datavirus och sabotageprogram som skadar IT-systemen på olika sätt. En del program (s.k. logisk bomber) kan ligga inaktiva en tid innan de plötsligt aktiveras genom en viss händelse, och då förstöra eller modifiera uppgifter i IT-systemen. Andra program (s.k. trojaner) utlöser angrepp när de öppnas. Ett annat exempel på program (s.k.

datamaskar) innebär att programmet kopierar sig själv i sådan mängd att IT-systemet tillslut översvämmas av kopiorna.54 Andra typer av attacker är s.k.

tillgänglighetsattacker som innebär att IT-systemen blockeras eller att funktionen i systemet på olika sätt kraftigt sätts ned.55

År 2005 skapades EU:s rambeslut om angrepp mot informationssystem56 som innehåller bestämmelser om vilka handlingar som ska vara straffbelagda som angrepp mot informationssystem enligt medlemsstaternas nationella lagstiftning. Anledningen till utförandet av ett rambeslut för kriminalisering av angrepp mot just IT-system beskrevs i skäl 2 i ingressen till rambeslutet. Däri konstaterades att det förekommer

52 Skr. 2016/17:213 s. 7.

53 Prop. 2019/20:15 s. 25.

54 Prop. 2006/07:66 s. 7.

55 A. prop. s. 8.

56 Rådets rambeslut 2005/222/RIF av den 24 februari 2005 om angrepp mot informationssystem.

(26)

18

angrepp mot medlemsstaternas vitala IT-system och att det finns en stigande oro för att sårbarheter ska utnyttjas genom angrepp mot sådana IT-system.

Rambeslutets art. 1 definierar informationssystem som följande;

”En apparat eller grupp av sammankopplade apparater eller apparater som hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av datorbehandlingsbara uppgifter, samt datorbehandlingsbara uppgifter som lagras, behandlas, hämtas eller överförs med hjälp av dessa för att de ska kunna drivas, användas, skyddas och underhållas.”

Rambeslutets art. 2 – 4 kategoriserar därefter tre olika typer av handlingar som medlemsstaterna är skyldiga att kriminalisera som angrepp mot IT-systemen. De handlingar som medlemsstaterna är skyldiga att kriminalisera är olagligt intrång (art. 2), olaglig systemstörning (art. 3), och olaglig datastörning (art. 4). Av art. 2 framgår att det som ska kriminaliseras avseende olagligt intrång i IT-systemen är uppsåtligt orättmätigt intrång i sin helhet. Olaglig systemstörning beskrivs i art. 3 innebära bl.a. allvarlig form inmatning, överföring, tillfogad skada, radering, ändring eller hindrande av flöde eller göra det omöjligt till åtkomst av IT-systemens uppgifter. Olaglig störning beskrivs i art. 4 vara straffbart under samma förutsättningar som enligt art. 3 i övriga fall då handlingarna inte anses ringa.

Ett år efter rambeslutet trädde ett unionsrättsligt direktiv, det s.k. NIS-direktivet57 i kraft. Av skäl i ingressen till direktivet fastställs att direktivet syftar till att fastställa åtgärder för att uppnå en hög gemensam nivå på säkerhet i nätverk och informationssystem inom unionen. I skäl 6 föreskrivs vidare att för att uppnå dessa krav krävs det harmoniserade bestämmelser om säkerhetskrav för leverantörer av samhällsviktiga tjänster i medlemsstaterna. NIS-direktivet implementerades 2018 i

57 Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen.

(27)

19

svensk rätt genom lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster (ISDT). Lagen tillämpas på samhällsviktiga tjänster inom ett antal uppräknade sektorer i lagens 1 §, nämligen; energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten, digital infrastruktur och digitala tjänster. Begreppet samhällsviktig tjänst definieras i lagens 2 § p. 2 som ”en tjänst som är viktig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet”.

Vid implementeringen av EU:s rambeslut om angrepp mot IT-system i svensk rätt ansågs bestämmelserna i rambeslutet närmast motsvara de svenska straffbestämmelserna om dataintrång.58 De straffrättsliga bestämmelserna om dataintrång i BrB ändrades genom prop. 2006/07:66 i syfte att fullt ut uppfylla åtagandena genom rambeslutet. Sedan dessa ändringar är dataintrång kriminaliserat i 4 kap. 9 c § BrB. Paragrafen utvidgades till att omfatta dels den som olovligen blockerar en uppgift som är avsedd för automatiserad behandling, dels den som olovligen och allvarligt stör eller hindrar användningen av sådan uppgift.59

3.3 Begreppet samhällsviktiga informationssystem

3.3.1 Inledning

De mest kvalificerade formerna av cyberattacker som företas av främmande stater riktas inte sällan mot sådana IT-system som är vitala för samhällets funktionalitet.

Angreppen mot sådana IT-system kan få förödande konsekvenser för Sveriges säkerhet. Med grund i EU:s rättsakter på området finns det regleringar som syftar till att öka informationssäkerheten i verksamheter som anses vara samhällsviktiga.60 Ett stort antal verksamheter anses utgöra samhällsviktig verksamhet, och en del av dessa

58 Prop. 2003/04:164 s. 10.

59 Prop. 2006/07:66 s. 1.

60 Se redogörelsen för NIS-direktivet och implementeringen genom lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster i avsnitt 3.2.2.

(28)

20

verksamheter anses vara så pass nödvändiga för samhällets funktionalitet att de anses vara särskilt skyddsvärda. Detta avsnitt avser att redogöra för de rättsliga regleringarna av samhällsviktiga, respektive särskilt skyddsvärda, verksamheter. Redogörelse i detta avsnitt avser att ligga till grund för den fortsatta utredningen i kapitel 4 av ansvarsfördelningen mellan Säkerhetspolisens respektive Försvarsmaktens brottsbekämpande arbete.

De verksamheter som faller inom Säkerhetsskyddslag (2018:585) (säkerhetsskyddslagen) tillämpningsområde har en mer långtgående skyldighet att vidta åtgärder för att minska sårbarheterna i verksamheternas IT-system.

Säkerhetsskyddslagen utgör därmed en central del i arbetet för att upprätta en robust informations- och cybersäkerhet i landet. Regleringen i Säkerhetsskyddslagen knyter även direkt an till Säkerhetspolisens och Försvarsmaktens respektive brottsförebyggande verksamheter eftersom att de har tillsynsansvar för verksamhetsutövarna som omfattas av lagens tillämpningsområde.

Redogörelsen av gränsdragningen mellan regleringarna avser dessutom att utreda under vilka omständigheter främmande staters cyberattacker mot samhällsviktiga verksamheter kan anses utgöra ett brott mot Sveriges säkerhet. Denna redogörelse är relevant i utredningen av myndigheternas brottsutredande ansvar för sådana cyberattacker. Vad som är avgörande för att det brottsutredande ansvaret ska hänskjutas till Säkerhetspolisen eller Försvarsmakten istället för Polismyndigheten är nämligen att cyberattacken anses utgöra ett brott mot Sveriges säkerhet.

3.3.2 Gränsdragningen mellan samhällsviktiga och särskilt skyddsvärda IT-system

Som konstaterats i avsnitt 3.2.2 ovan implementerades NIS-direktivets bestämmelser i ISDT. Lagen syftar primärt till att öka säkerheten i samhällsviktiga IT-system och innehåller bestämmelser som innebär att verksamhetsutövarna är skyldiga att vidta

(29)

21

åtgärder för att förebygga och hantera incidenter i sina IT-system.61 Som framgått av avsnitt 3.2.2 är NIS-direktivet och ISDT tillämpliga på ett stort antal verksamheter.

Vissa verksamheter i Sverige anses vara så vitala för samhällets funktionalitet att verksamheternas funktion är avgörande för Sveriges säkerhet. Dessa verksamheter klassas därför samhällsviktiga, men karaktäriseras därutöver av att de har betydelse för Sveriges säkerhet. Särskilda bestämmelser som tillämpas på de mest skyddsvärda verksamheterna finns stadgas i säkerhetsskyddslagen.

Särskilt skyddsvärd verksamhet

Säkerhetsskyddslagen ska i första hand skydda mot antagonistiska angrepp som t.ex.

spioneri, sabotage och terroristbrott.62 Säkerhetsskyddet för dessa särskilt skyddsvärda verksamheter syftar till att skydda Sveriges säkerhet genom att bl.a.

säkerställa att Sveriges demokratiska statsskick, rättsväsende och brottsbekämpande förmåga hålls intakt.63

Säkerhetsskyddslagen reglerar vilka verksamheter som är i behov av särskilt skydd.

Av 1 kap. 1 § säkerhetsskyddslagen framgår det att lagen är tillämplig på verksamheter som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd. Säkerhetsskyddslagen syftar med andra ord till att skydda de mest skyddsvärda verksamheterna.64 Av lagens portalparagraf framgår att lagen är tillämplig för s.k. säkerhetskänslig verksamhet.

Med säkerhetskänslig verksamhet avses sådan verksamhet som är av betydelse för Sveriges säkerhet.65

61 Prop. 2017/18:89 s. 39.

62 Prop. 2017/18:89 s. 40.

63 Prop. 2017/18:89 s. 44.

64 Prop. 2017/18:89 s. 36.

65 Prop. 2017/18:89 s. 104.

(30)

22

Det finns ingen legaldefinition av begreppet Sveriges säkerhet.66 För att öka sin förståelse för begreppet krävs det därför att begreppet tolkas genom förarbeten.67 I förarbetena till den äldre säkerhetsskyddslagen förklarades begreppet innefatta såväl den yttre som inre säkerheten. Vidare förklarades skyddet finnas för Sveriges försvarsförmåga, politiska oberoende och territoriella suveränitet, samt skydd för Sveriges demokratiska statsskick.68 Det poängterades att skyddet för den yttre säkerheten primärt tar sikte på totalförsvaret, men att hot kan riktas mot den yttre säkerheten utan att det hotar totalförsvaret. Inte heller hotas nödvändigtvis totalförsvaret då den inre säkerheten hotas. Angrepp på det demokratiska statsskicket eller politiska institutioner kan förekomma från grupperingar utan förbindelse med främmande makt. Sådan form av angrepp mot demokratin hör till sådana angrepp som hotar Sveriges inre säkerhet.69

I ett senare förarbete fastställdes att begreppet kan sammanfattas som skyddet för Sveriges oberoende i betydelse av självständighet och suveränitet.70 I förarbetet som upprättades i samband med den nya säkerhetsskyddslagen trädde i kraft 2018 konstaterade regeringen att begreppet är föränderligt pga. samhällsutvecklingen.

Dagens definition av begreppet förklarades mer komplex än tidigare eftersom att hotbilden i cybermiljön är varierande.71 Innebörden av begreppet Sveriges säkerhet har en tydlig koppling till utvecklingen i vår omvärld.72 Digitaliseringen av samhället har också påverkat regleringen i säkerhetsskyddslagen.

Idag präglar tekniken samhällets alla sektorer, vilket också har medfört att såväl statliga som privata aktörer ansvarar för stora informationsmängder i verksamhetens

66 SOU 2004:32 s. 141.

67 Prop. 2017/18:89 s. 40.

68 Prop. 1995/96:129 s. 22 f.

69 Prop. 1995/96:129 s. 22 f.

70 Prop. 2013/14:51 s. 20.

71 Prop. 2017/18:89 s. 41.

72 Ds 2013:33 s. 215.

(31)

23

IT-system.73 Tidigare fanns majoriteten av de verksamheter som är viktiga för samhällets funktionalitet under direkt statligt inflytande. I och med att dessa verksamheter idag bedrivs av privata aktörer i större utsträckning än innan så är det fler verksamheter som är i behov av säkerhetsskydd än tidigare.74 Verksamheter som utgör säkerhetskänslig verksamhet och som därmed skyddas enligt säkerhetsskyddslagen är varierande. Exempel på verksamheter som utgör säkerhetskänslig verksamhet är sådana som hanterar eldistribution, vattenförsörjning, betalningssystem eller sjukhusmateriel.75

Gränsdragningen mellan ISDT:s och säkerhetsskyddslagens respektive tillämpningsområden är inte helt tydlig. Som framgår till förarbetena till säkerhetsskyddslagen karaktäriseras verksamheterna som omfattas av säkerhetsskyddslagen av att de inte enbart är samhällsviktiga, utan dessutom är nödvändiga för Sveriges säkerhet. Som framgår av samma förarbeten är begreppet Sveriges säkerhet föränderligt, och det finns med andra ord inga tydliga riktlinjer för begreppets innebörd. Denna gränsdragningssvårighet mellan verksamheter som är nödvändiga för Sveriges säkerhet är relevant för utredningen av det brottsutredande ansvar för främmande staters cyberattacker som företas mot olika samhällsviktiga IT- system. En redogörelse för det brottsutredande ansvaret för dessa cyberattacker följer i avsnitt 3.4 nedan.

3.3.3 Verksamhetsutövarnas skyldigheter enligt säkerhetsskyddslagen

Som framgått av tidigare avsnitt76 är informations- och cybersäkerhetsarbetet omfattande och förutsätter att samtliga sektorer i samhället samverkar för en stärkt informations- och cybersäkerhet. Regleringen i säkerhetsskyddslagen illustrerar att det

73 Prop. 2017/18:89 s. 34.

74 Prop. 2017/18:89 s. 35.

75 Skr. 2016/18:213 s. 6.

76 Se framförallt avsnitt 2.3.2.

(32)

24

ställs höga krav på verksamhetsutövare av samhällsviktiga IT-system. Vad som karaktäriserar cyberattacker är, förutom naturligtvis det tekniska momentet, att angreppen kan ske anonymt och plötsligt. Som den nationella strategin för informations- och cybersäkerhet visar är därför en viktig del i arbetet att redan i fredstid säkerställa att sårbarheterna i samhällsviktiga IT-system förhindras.77 Dagens reglering i säkerhetsskyddslagen fastställer vilka IT-system som är i behov av ett särskilt skydd.

Säkerhetsskyddslagen ställer relativt höga krav på verksamhetsutövarna i deras arbete att säkerställa en god informationssäkerhet i IT-systemen.

Verksamhetsutövarna har enligt regleringen i säkerhetsskyddslagen bl.a. en skyldighet att genomföra säkerhetsskyddsanalyser och en rapporteringsskyldighet till aktuell bevakningsmyndighet om angrepp mot IT-systemen upptäcks.78

De verksamheter som anses utgöra säkerhetskänslig verksamhet enligt säkerhetsskyddslagens 1 § ska utreda behovet av säkerhetsskydd, vilket framgår av lagens 2 kap. 1 §. Säkerhetsskyddslagen ställer därmed upp en skyldighet för verksamhetsutövaren att själva utreda om säkerhetsskyddsåtgärder behöver vidtas.

Det finns tre olika typer av säkerhetsskyddsåtgärder; informationsskydd, fysisk säkerhet och personalsäkerhet. Den typ av säkerhetsskyddsåtgärder som är aktuellt för att skydda IT-system mot cyberattacker är informationssäkerhet. Enligt 2 kap. 2 § säkerhetsskyddslagen ska informationssäkerhet förebygga att säkerhetsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs, samt att förebygga skadlig inverkan i övrigt på uppgifter och IT-system som gäller säkerhetskänslig verksamhet. Syftet med säkerhetsskydd är att skydda mot spioneri, sabotage och andra brott som kan hota rikets säkerhet, skydd i andra fall av uppgifter som omfattas av

77 Skr. 2016/17:213 s. 11.

78 Se en tydligare redogörelse för Säkerhetspolisens och Försvarsmaktens respektive tillsynsansvar i avsnitt 4.2.3 och 4.3.3.

(33)

25

sekretess enligt offentlighets- och sekretesslagen (2009:400), och som rör rikets säkerhet samt skydd mot terroristbrott, även om brotten inte hotar rikets säkerhet.79

3.3.4 Säkerhetspolisens och Försvarsmaktens tillsynsansvar enligt säkerhetsskyddslagen

För att säkerställa regleringens effektivitet innehåller säkerhetsskyddslagen även bestämmelser om tillsyn av verksamhetsutövarnas tillämpning av lagen. I 4 § säkerhetsskyddslagen stadgas att regeringen bestämmer vilka myndigheter som ska utöva tillsyn över säkerhetsskyddet hos de verksamheter som omfattas av lagen.

Enligt 2 kap. 7 § säkerhetsskyddslagen får regeringen eller den myndighet som regeringen bestämmer meddela ytterligare föreskrifter om anmälnings- och rapporteringsskyldigheten. Säkerhetsskyddsförordning (2018:658) (säkerhetsskyddsförordningen) innehåller kompletterande bestämmelser till säkerhetsskyddslagen. Av säkerhetsskyddsförordningens 7 kap. 1 § framgår vilka myndigheter som har tillsynsansvar enligt säkerhetsskyddslagen. Säkerhetspolisen och Försvarsmakten är två av de sju tillsynsmyndigheterna. I säkerhetsskyddsförordningens 2 kap. 10 § stadgas det under vilka omständigheter verksamhetsutövaren ska anmäla om särskilda händelser till Säkerhetspolisen och Försvarsmakten. Under tre olika omständigheter ska verksamhetsutövaren anmäla till sin tillsynsmyndighet;

1. en säkerhetsskyddsklassificerad uppgift kan ha röjts,

2. det inträffat en IT-incident i ett informationssystem som verksamhetsutövaren är ansvarig för och som har betydelse för säkerhetskänslig verksamhet och där incidenten allvarligt kan påverka säkerheten i systemet, eller

3. verksamhetsutövaren får kännedom eller misstanke om någon annan för denne allvarlig säkerhetshotande verksamhet

79 Prop. 2017/18:89 s. 33.

(34)

26

Säkerhetspolisens och Försvarsmaktens respektive tillsynsansvar enligt säkerhetsskyddslagen kommer att redogöras för i kapitel 4.80

3.4 Kriminaliseringen av främmande staters cyberattacker som hotar Sveriges säkerhet

3.4.1 Inledning

Som konstaterats ovan finns det ingen legaldefinition av begreppet cyberattack. I avsnitt 3.2 fastställdes att cyberattacker mot IT-system närmast är att se som dataintrång enligt 4 kap. 9 c § BrB. Inom ramen för denna uppsats behandlas sådana kvalificerade former av cyberattacker som företas av främmande stater med tydliga politiska motiv. Cyberattacker som företas av främmande stater är inte sällan noga planerade och riktar sig mot sådana IT-system som är avgörande för det svenska samhällets funktionalitet. Cyberattacker som riktas sig mot sådana verksamheters IT- system skiljer sig från övriga former av cyberattacker av framförallt en anledning, nämligen att cyberattackerna hotar Sveriges säkerhet.

Främmande staters cyberattacker mot svenska samhällsviktiga IT-system

Metoderna som används vid intrången i IT-systemen vid en cyberattack kan skilja sig åt.81 Motiven bakom cyberattackerna kan dessutom skilja sig åt. Gemensamt för de cyberattacker som främmande stater utför är att de i huvudsak har ett tydligt politiskt motiv.82

80 Se särskilt avsnitt 4.2.3 för Säkerhetspolisens tillsynsansvar och avsnitt 4.3.3 för Försvarsmaktens tillsynsansvar.

81 Se avsnitt 3.2.2.

82 Prop. 2017/18:89 s. 33.

(35)

27

Skyddet av Sveriges säkerhet är brett och innefattar exempelvis Sveriges försvarsförmåga, politiska oberoende och demokratiska statsskick.83 Cyberattacker som främmande stater utför mot samhällsviktiga IT-system kan innebära att den främmande staten olovligen bereder sig tillgång till hemlig information i IT-systemen.

Genom olovlig inhämtning av information kan främmande stater använda denna information för exempelvis påtryckningar mot Sveriges politik.84

Det svenska demokratiska statsskicket och politik kan påverkas även på andra sätt av cyberattacker mot samhällsviktiga IT-system. Genom överbelastningsattacker kan främmande stater exempelvis släcka ned tillgången till IT-system vilket innebär att de svenska medborgarna mister möjligheten att få tillgång till information från exempelvis myndigheters hemsidor. Cyberattacker kan också användas för att sprida desinformation. Detta sker exempelvis genom planterade nyheter eller spridning av falska dokument. Dessa former av cyberattacker kan företas i syfte att försvaga medborgarnas förtroende för rättsstaten och kan leda till misstro för exempelvis regering och myndigheter.

Cyberattacker mot vissa samhällsviktiga IT-system skulle dessutom kunna leda till följdeffekter som har en direkt påverkan på människors hälsa. Exempelvis skulle cyberattacker mot el- och vattensystem kunna få allvarliga konsekvenser för människors hälsa om attackerna sker under vintertid. Ett annat exempel är cyberattacker mot data- och telekommunikationer som skulle kunna resultera i att det inte är möjligt att hämta ut läkemedel.

Även militära intressen kan ligga bakom cyberattacker. Dessutom kan cyberattacker användas som ett komplement till andra militära attacker som sker i ett senare skede. Cyberattacker kan användas i fredstid i ett inledande skede för kommande militära angrepp. I en rapport som Totalförsvarets forskningsinstitut (FOI) har tagit fram förklaras cyberangrepp i många fall vara ett typ av maktmedel

83 Prop. 1995/96:129 s. 22 f.

84 Prop. 2014/15:109 s. 40.

(36)

28

som aktören kan använda sig av för att skada det civila samhällets funktionalitet utan att angreppet uppfattas som krigföring.85 Angreppen kan ha ett förberedande syfte för att möjliggöra sabotage av vitala IT-system i ett senare skede.86 Ett cyberangrepp kan företas med syftet att vilseleda eller att sabotera för att sedan underlätta för en annan, kanske militär attack.

En orsak till komplexiteten i frågan om främmande staters cyberattacker mot samhällsviktiga IT-system är att sådana former av cyberattacker kan företas i gränslandet mellan fred och konflikt. Situationen som uppstår när cyberattacker utförs i det skedet brukar kallas för gråzon. Det oklara rättsläget leder ytterst till frågan om när och hur Sverige ska kunna använda militära medel vid främmande staters cyberattacker mot svenska samhällsviktiga IT-system som företas i gråzonen. En redogörelse för gråzonsproblematiken kommer att företas i kapitel 5.

Brott mot Sveriges säkerhet

Trots att svenska samhällsviktiga IT-system kontinuerligt utsätts för cyberattacker har den mest kvalificerade formen av cyberattacker som företas mot samhällsviktiga IT- system inte varit föremål för en djupare rättslig utredning. Varken i svenska förarbeten eller doktrin diskuteras kriminaliseringen av den mest kvalificerade formen av cyberattacker. Eftersom att cyberattacker är en relativt ny form av angrepp finns det inte heller ännu några rättspraxis att utgå ifrån i redogörelsen för dessa brott. I brist på rättskällor att utgå ifrån grundar sig tolkningen av dessa former av cyberattacker som brottslig handling på mina egna juridiska preferenser.

Som framgått av redogörelsen i avsnitt 3.3 anses ett stort antal verksamheter utgöra samhällsviktig verksamhet i enlighet med definitionen i ISDT. Ett mer begränsat antal verksamheter anses vara så nödvändiga för samhällets funktionalitet att dessa verksamheter är särskild skyddsvärda i enlighet med regleringen i

85 Jonsson s. 3.

86 Skr. 2016/17:213 s. 7.

(37)

29

säkerhetsskyddslagen. Något som karaktäriserar de verksamheter som omfattas av regleringen i säkerhetsskyddslagen är att angrepp mot dessa verksamheter direkt innebär ett hot mot Sveriges säkerhet.87 Angrepp som riktar sig mot övriga samhällsviktiga verksamheters IT-system som omfattas av ISDT kan också innebära störningar av samhällets funktionalitet, men utgör inte nödvändigtvis hot mot Sveriges säkerhet. I förarbetet som låg till grund för de lagändringar som trädde i kraft i säkerhetsskyddslagen 2019 tydliggjordes definitionen av samhällsviktig verksamhet.88 Samhällsviktig verksamhet definieras som en verksamhet som uppfyller antingen det ena eller båda av följande villkor.89

- ”Ett bortfall av eller en svår störning i verksamheten kan ensamt eller tillsammans med motsvarande händelser i andra verksamheter på kort tid leda till att en allvarlig kris i samhället inträffar.

- Verksamheten är nödvändig eller mycket väsentlig för att en redan inträffad kris i samhället ska kunna hanteras så att skadeverkningarna blir så små som möjligt.”

Som framgått av redogörelsen för samhällets krisberedskap i avsnitt 2.4.2 saknas det även en enhetlig rättslig definition av begreppet kris. Den svenska krisberedskapen omfattar därför ett stort antal typer av incidenter som kan inträffa med olika intensitet.

Av de aktuella målen för samhällets krisberedskap framgår det att krisberedskapen syftar till att värna grundläggande värden som demokrati, rättssäkerhet och mänskliga fri- och rättigheter.90 Cyberattacker mot samhällsviktiga IT-system som omfattas av ISDT:s tillämpningsområde kan även de få långtgående konsekvenser för samhällets funktionalitet. I de fall främmande stater riktar svåra cyberattacker mot flera samhällsviktiga IT-system samtidigt torde den samlade konsekvensen av dessa cyberattacker kunna innebära att Sveriges säkerhet hotas. Att cyberattacker företas

87 Prop. 2017/18:89 s. 44.

88 Prop. 2017/18:89 s. 39 f.

89 Prop. 2017/18:89 s. 39 f.

90 Prop. 2015/16:1 utg. omr. 6 s. 77.

(38)

30

mot samhällsviktiga IT-system som faller utanför säkerhetsskyddslagens tillämpningsområde bör enligt min analys inte utesluta möjligheten att cyberattackerna innebär ett hot mot Sveriges säkerhet.

Eftersom att kvalificerade statsunderstödda cyberattacker mot särskilt skyddsvärda verksamheters IT-system innebär hot mot Sveriges säkerhet angriper jag frågan om främmande staters cyberattacker mot samhällsviktiga IT-system genom att sortera in dessa former av cyberattacker under 19 kap. Brottsbalk (1962:700) (BrB) om brott mot Sveriges säkerhet. Detta gäller även cyberattacker mot sådana verksamheter som omfattas av ISDT, i de fall cyberattackerna mot dessa IT-system är så allvarliga att de innebär hot mot Sveriges säkerhet.

Ur brottsutredande synpunkt är det relevant att tydliggöra vilka former av cyberattacker som utgör brott mot Sveriges säkerhet eller ej för att utreda om det är Polismyndigheten, Säkerhetspolisen eller Försvarsmakten som har det brottsutredande ansvaret för den kriminaliserade handlingen. Cyberattacker som inte utgör brott mot Sveriges säkerhet är som ovan konstaterat kriminaliserat genom bestämmelserna i 4 kap. 9 c § BrB om dataintrång. Det brottsutredande ansvaret för brott som utgör dataintrång har Polismyndigheten i enlighet med bestämmelserna i 2

§ p. 3 polislagen (1984:387) (PL). Brott mot Sveriges säkerhet innefattas som huvudregel i Säkerhetspolisens brottsutredande ansvar i enlighet med 3 § PL, och under vissa omständigheter omfattas de av Försvarsmaktens brottsutredande ansvar i enlighet med 1 § st. 2 förordning (1980:123) med reglemente för militärpolisen reglerar militärpolisens uppgifter och befogenheter. En mer djupgående redogörelse för Säkerhetspolisens och Försvarsmaktens brottsutredande ansvar för främmande staters cyberattacker mot samhällsviktiga informationssystem kommer i kapitel 4.91

91 Se särskilt avsnitt 4.3.3 och avsnitt 4.4.2.

References

Download now ( PDF - 75 Page - 484.88 KB )

Outline

Säkerhetspolisens och Försvarsmaktens tillsynsansvar enligt säkerhetsskyddslagen 25

Related documents

Den försvinnande staten Tuvalu: En fallstudie om klimatflyktingars rättigheter och staters ansvar

Resultatet visar att staten Tuvalu satsar på att anpassa sig för att stå emot de kommande klimathoten och befolkningen i framtiden kan ses som klimatflyktingar om de tvingas bort

Externa regelverk Interna regelverk Syfte Övergripande mål Organisation och ansvar Övergripande ansvar...

5 KONFIDENTIELL Rörlig ersättning (till anställda vars arbetsuppgifter har en väsentlig inverkan på företagets riskprofil) baseras på samma premisser som för övriga

Förordning om Säkerhetspolisens behandling av personuppgifter

3 § I 4–6 §§ föreskrivs att vissa kategorier av personuppgifter i brotts- anmälningar och avslutade förundersökningar får behandlas för ändamål som

Lag om Säkerhetspolisens behandling av personuppgifter

radering eller förstöring. Biometriska uppgifter Personuppgifter som rör en persons fysiska, fysiologiska eller beteendemässiga känne- tecken, som tagits fram genom särskild

Försvarsmaktens budgetunderlag för 2022

budgetunderlag för 2021 beslutade regeringen att Försvarsmakten skulle planera för att förlägga artilleriutbildning till Kristinehamn och Villingsberg i perioden 2021–2025 samt

Intresset för säkerhetspolisens arbete är mycket stort

Enligt Riksarkivets uppfattning bör således uppgifter bevaras också för att möjliggöra för enskilda och massmedier att granska i efterhand.. Detta gäller även om det tar 30 –

Försvarsmaktens Jämställdhets- och jämlikhetsplan

Chefen för Högkvarteret ansvarar för realiseringen av FMVP-uppgifter avseende integrera jämställdhetsperspektiv, öka samt behålla andel kvinnor på alla nivåer samt

Ny lag om Säkerhetspolisens behandling av personuppgifter

Enligt en lagrådsremiss den 29 maj 2019 har regeringen (Justitiedepartementet) beslutat inhämta Lagrådets yttrande över förslag till.. lag om Säkerhetspolisens behandling