Før "skyhopperen" kommer til din PC

Cyberkrigen tiltar. Aktørene har kapasitet til å gjennomføre storskala angrep. Store verdier står på spill når datatyver og sabotører bryter seg gjennom skallsikringen, konstaterer tre internasjonale eksperter.

Foto: Nasjonal sikkerhetsmyndighet

Foto: Nasjonal sikkerhetsmyndighet

Vi lever i en ny era, där stöld av immateriella rättigheter och företagshemligheter sker i hittills oöverträffad industriell skala. Senaste exemplet är ett gigantiskt och samordnat dataspionage, kallat Operation Cloud Hopper, som blev känt i april. I denna globala kampanj riktade en Kina-baserad grupp in sig på leverantörer av IT-tjänster och kunde via dem nå fram till deras kunder i en rad olika branscher och stjäla databaserad information tillhörande företag i Nordamerika, Västeuropa och Ostasien.

Förekomsten av ett ”nytt normaltillstånd” i Norden bekräftades i de årsrapporter som tidigare i år publicerades av Försvarets radioanstalt (FRA), Säkerhetspolisen i Sverige och Skyddspolisen i Finland. Näringslivet befinner sig under ständig attack från statligt understödda aktörer som stjäl resultat från forskning och utveckling liksom andra företagshemligheter. Enligt FRA ses en ökning av sofistikerade cyberattacker med avancerade koder som kan spåras till stater eller statligt understödda grupper. Varje månad upptäcks tiotusentals aktiviteter med skadlig kod som kan härledas till de statliga aktörer som FRA följer.

William Evanina, som tidigare arbetade under USA:s dåvarande generaldirektör för nationella underrättelser James Clapper, informerade 2015 medierna om att ekonomiskt spionage via datahackande kostar landets ekonomi 400 miljarder dollar om året. Men istället för att komma med sifferuppskattningar, låt oss citera IBM:s vd Ginni Rometty: ”Vi tror att data är ett fenomen av vår tid. Det är världens nya naturresurs. Det är den nya basen för konkurrensfördelar, och det omvandlar varje profession och varje bransch. Om detta är sant – eller till och med oundvikligt – är cyberkriminalitet per definition det största hotet mot varje profession, varje bransch och varje företag i världen.”

Medan vår digitala infrastruktur växer fram i en allt snabbare takt gör sårbarheter och hot det också. Digitaliseringen möjliggör enorma stordriftsfördelar för vissa affärsmodeller. Digitala tjänsteleverantörer kan ha miljoner eller till och med miljarder kunder. På det viset kan säkerhetsluckor, dataläckor och desinformation få konsekvenser av hittills oöverträffad storlek.

De omvälvande möjligheter som presenterat sig för nationalstater är fortfarande relativt nya i ett historiskt perspektiv, vilket resulterar i ett omoget och ohämmat beteende. Vissa stater har utvecklat en omfattande IT-kapacitet som de använder inte bara för regelmässig underrättelseverksamhet utan även betydligt mer aggressivt. Ledande OECD-ekonomier utsätts för industrispionage i en omfattning som saknar motstycke, vilket sannolikt utgör historiens största stöld. Den uppkomna skadan är särskilt försåtlig, eftersom den består långt in i framtiden genom att den underminerar konkurrenskraften och på illegal väg ger konkurrenterna långsiktiga fördelar.

En del stater nöjer sig heller inte med att stjäla immateriella rättigheter, utan bedriver en mer offensiv verksamhet. Det kan röra sig om allt från attacker på kritisk infrastruktur till läckage av stulen information, kombinerat med informationskampanjer i syfte att undergräva förtroendet för våra samhällsinstitutioner. Att e-post hos Demokraternas ledning i USA hackades och läcktes 2016 lär oss att inga nationer är immuna mot attacker. Om främmande makter törs ingripa i presidentvalet i världens största demokrati, vilka andra länder skulle de då inte våga sig på att attackera?

Även om de största hoten kommer från stater och statligt stödda grupper, kommer spridningen av aggressiv IT-kapacitet att resultera i att såväl organiserad brottslighet som terroristgrupper får tillgång till allt mer destruktiva verktyg.

Samtidigt som det är av största vikt att vi tar oss an de enorma säkerhetsutmaningar som digitaliseringen innebär, måste vi också säkra att vår respons inte hindrar oss från att dra nytta av alla de fördelar som uppstått genom ny teknik som exempelvis sakernas internet, 3D-skrivare, autonoma robotar osv. Snarare än överdriven statlig reglering fordrar detta att den privata sektorn går före och utvecklar säkerhetsstandarder som på ett pragmatiskt vis minimerar sårbarheten för skadliga program, stöld av immateriella rättigheter och andra hot. Inom många områden finns det ett starkt kommersiellt egenintresse i att trygga en god säkerhet för kunderna.

Statens roll ska vara att säkra rimlig motståndskraft i systemet mot en myriad kända och okända IT-hot, nu och i framtiden, och att upprätthålla en tillräcklig offensiv cyberkapacitet för att avskräcka fientliga aktörer. Kontraproduktiva statliga kontrollinstinker måste dock bekämpas. Bara när marknader inte på egen hand kan garantera adekvat säkerhet, bör staten ”uppmuntra” lämpliga standarder och – om detta misslyckas – ta till regleringar.

Förlegade statliga centralistiska åtgärder, som krav på datalokalisering, är inte effektiva. Hackare på jakt efter data bryr sig inte om nationella jurisdiktioner. Dataskydd är snarare avhängigt säkerhets­standarden hos de nätverk genom vilka data flödar. Med detta sagt, bör det tilläggas att det finns jurisdiktioner där det helt enkelt inte går att lita på myndigheterna. Hellre än att ”nationalisera” dataflöden är en mer passande åtgärd att låta dem förbli globala – och på så sätt minimera datalagring i stater med opålitliga myndigheter och inadekvata säkerhetsstandarder.

Det finns legitima nationella säkerhetsskäl, exempelvis jakt på terrorister, som gör att stater ibland önskar bryta krypterad kommunikation. Men att tvinga näringslivet att bygga in svagheter i sina produkters system riskerar att göra vår digitala infrastruktur ännu mer sårbar för IT-spionage och cyberbrottslighet. Med tanke på vågen av terrorattacker på kontinenten kommer de europeiska förslagen om att utvidga staters möjligheter att övervaka krypterad kommunikation inte som någon överraskning. Men även om vi kan förstå de känslor som ligger bakom sådana förslag, måste vi se till att alla lösningar för att förbättra vår kapacitet att oskadliggöra terroristernas kommunikation är balanserade och att de inte tas fram till priset av försvagad säkerhet för den legitima kommunikationen. Det skulle enbart vara till fördel för våra strategiska motståndare.

Skyddet för våra ledande företag måste prioriteras, inte bara för att upprätthålla vår långsiktiga konkurrenskraft utan också för att säkra integriteten hos vår digitala infrastruktur. Detta fordrar mer och inte mindre samarbete mellan de ledande kunskapsekonomierna i Europa, Nordamerika och Ostasien. Vi gynnas alla av en dynamisk global digital marknad. Vi kan inte tillåta att marodörer förstör den potentialen. Att återfalla till förlegade och trångsynta nationalistiska perspektiv kommer bara att göra oss alla fattigare. Istället ligger lösningen i att skapa en gemensam front mot dem som är ute efter att skada oss.

KARL LALLERSTEDT är ansvarig för säkerhetspolitik och Näringslivets Säkerhetsdelegation vid Svenskt Näringsliv. MIKA SUSI är ansvarig för företagssäkerhet vid Finlands Näringsliv. NATE OLSON är chef för programmet Handel i 21:a århundradet vid Stimson Center i Washington, DC.

Detta är en översättning av en artikel ursprungligen publicerad i The Cipher Brief. Arikkelen er også publisert i Svenska Dagbladet

Næringslivets Sikkerhetsråd | Postboks 5493 Majorstuen | 0305 Oslo | Middelthunsgt 27, Majorstuen | nsr@nsr-org.no

Følg oss