Det talas mycket om cyberförsvar. Civilt cyberförsvar, samhällets cyberförsvar, cyberförsvar åt alla håll. Det är ett komplext ämne. Det är inte uppenbart hur förmågan ska konstrueras, vare sig det gäller ett militärt cyberförsvar eller ett cyberförsvar som skydd till samhället.
Detta är blir bara än mer tydligt om vi försöker följa den pågående diskursen i medierna, bland politikerna och våra myndigheter. Försvarsmakten har givetvis en slags förtur till cyberförsvaret genom sin position i samhället, men så är deras utgångspunkt också militär. De ska försvara oss från fientliga aktörer. Redan här uppstår den första frågan; är den klassiska militärdoktrinen relevant även för cyberdomänen? Det är inte uppenbart att så är fallet. Det diskuteras så, och antas vara så. Samtidigt finns det flertalet egenskaper av cyberdomänen som åtminstone borde öppna upp för en diskussion om hur ett framtida cyberförsvar ska se ut och om militären är den uppenbara överordnade kandidaten.
En organisation som representerar en del av den privata marknadens intressen inom cyberförsvar är SOFF , Säkerhets- och försvarsföretagen. Som utgångspunkt för en diskussion om cyberförsvar kändes det rimligt att börja här. SOFF har publicerat ett positionsdokument om cyberförsvar. Om organisationen representerar den privata marknadens intressen, vad tycker dom?
Komplicerande incitament och motiv
Först och främst måste vi givetvis ha i åtanke att organisationens huvudsakliga syfte är att representera den privata marknadens intressen. Det betyder pengar och inte nödvändigtvis samhällets motståndskraft från cyberangrepp om de inte råkar sammanfalla förstås. Det kan med andra ord finnas skäl att vara något extra vaksam när det gäller vilka åtgärder som föreslås av en organisation som företräder de med vinstdrivande intressen.Nog om den uppenbara intressekonflikten.
Allt och inget, överallt på samma gång
Det är tydligt när vi läser positionsdokumentet att cyberförsvar inte är en enkel uppgift, för SOFF kladdar runt med de flesta av dagens modeord. Internet of Things, säkerhetsmedvetenhet, big data, kvantmekanik, allt finns där i dokumentet. Den övergripande känslan är att det inte finns en ensad uppfattning eller enighet om vad som rimligen bör omfattas av ett cyberförsvar. Vilka förmågor består ett cyberförsvar av? Hur ser ansvaret ut? Vart går gränserna mellan det privata och statliga?
Istället får vi läsa om en kaskad av diverse löst sammanlänkade ämnesområden som balanserar på ett tunt lager av definition. I dokumentet presenteras åtta rekommendationer som tillsammans ska representera behoven i cyberförsvaret sett ur ett marknadens perspektiv. Det handlar om innovationslabb, molntjänster, kvantkryptering, bristande kompetens hos beställare, avsaknad på gemensamma omvärldsanalyser, aktiv cyberförmåga.
Det finns ingen uppenbar effekt som efterfrågas. Antag att samtliga av deras rekommendationer tas på allvar och säg att vi “löser” dom. Vad har vi uppnått? Vad är målbilden? Hur vet vi om vi nått målet? Framförallt saknas det en grund att stå på, någonstans på vilken vi kan bygga de nödvändiga förmågorna. Istället för att beskriva den miljö och det sammanhang i vilket det tänkta cyberförsvaret ska vara verksamt får vi istället önskemål om en mängd olika redskap för trädgårdsarbete, offentliga parker och privat skogsmark. Eftersom det saknas en målbild kan det uppfattas svårt att se hur redskapen de vill ha hjälper oss med cyberförsvaret. Det är inget snack om att redskapen kan vara bra, men är de rätt för uppgiften? Den frågan förblir obesvarad.
Önskemål om ett framtida positionsdokument
Först och främst önskar jag en ordentlig analys av nuläget. Vilket, eller vilka, utmaningar är det vi vill att cyberförsvaret ska lösa? Vilka uppgifter ska cyberförsvaret ha? I vilken miljö ska det vara aktivt och verksamt? Många fnyser kanske åt denna uppenbara uppgift, alla vet ju detta, eller? Jag menar att vi inte gör det. Termer och begrepp används för att de passar en agenda eller det politiska narrativet, eller företagens vinstintressen.
Vidare skulle jag önska se en diskussion om förhållandet och ansvarsfördelningen mellan det privata och statliga. Vilka roller förväntas de privata aktörerna respektive statliga ta? Med utgångspunkt i att cyberdomänen gör i princip samtliga uppkopplade organisationer till måltavlor måste det skapas en debatt om de uppkopplades rättigheter att försvara sig i cyberdomänen och hur långt denna rättighet ska sträcka sig.
Det är mycket svårt idag att dra gränser mellan vad som kan definieras som ett militärt, statsunderstött, organiserat eller enskilt angrepp. Det finns många utmaningar i etablerandet av cyberförsvaret , bland annat svårigheten att peka ut vem som ligger bakom ett angrepp. God förståelse för motiv och vad man är ute efter hjälper, men det är inte lika uppenbart som i klassisk krigföring. Eftersom den moderna tidens angrepp inte längre yttrar sig endast genom väpnad konflikt blir militärens tidigare och nuvarande roll inte längre lika självklar.
När vi någorlunda väl förstått det sammanhang i vilket ett framtida cyberförsvar ska vara aktivt i kan vi börja diskutera vad som saknas, vilka delförmågor vi behöver bygga upp etc. Fram till dess tänker jag vidhålla att marknadens önskemål om redskap för cyberförsvaret drivs av andra motiv än nationens och samhällets försvar.