Atomvapen eller cyberattack?

I spåren av haveriet i transportstyrelsen och det senaste avslöjandet om att 2,7 miljoner samtal till 1177 sedan 2013 lagrats på en öppen och oskyddad server är det dags för våra politiker och alla organisationer att ta frågan kring IT och cybersäkerhet på största allvar. 2000-talets stora skräck är inte atomvapen utan cyberattacker.

Frågan är en het potatis där ingen vill ta på sig ansvar. Men nu är det på allvar och ansvaret börjar högst upp i näringskedjan – i Sveriges regering. Om svenska myndigheter är så naiva kring datasäkerhet, hur väl står sig Sverige som nation mot cyberattacker från främmande makter?

Bombskräcken och rädslan för ett kärnvapenkrig har nog de flesta av oss vuxit upp med.I Sverige i form av den konstanta faran med ryssen, men för egen del var bomber högst påtagligt i slutet av 80-talet – i kriget mellan Iran och Irak. Som barn minns jag ljudet, skräcken och känslan av att vara totalt maktlös.

Men 2000-talets krigföring är av en helt annan sort än 1900-talets kalla krig och rädslan för atombomber. Som historikern och författaren Yuval Noah Harari helt korrekt påpekar i sin bok 21 tankar om det 21: a århundradet, finns det inga skäl för moderna stater att kriga om materiella ting när de stora värdena i den moderna tiden inte är av materiellt slag.

I en globaliserad värld där marknadsekonomi styr kostar det helt enkelt för mycket i både resurser och humankapital för att det ska vara värt att förklara ett fysiskt krig med bomber. 2000-talets tillgångar är inte längre materiella utan istället digitala och artificiella.

Det är föga troligt att ett kärnvapenkrig skulle bli verklighet, hur mycket det än trissas upp, då det skulle leda till jordens undergång. Det här är eran av mjukvara och artificiell intelligens, men politiker har fastnat i kalla krigets 1980-tal. Företagsledare i sin tur är naiva i sin förälskelse kring digitalisering och glömmer bort det mindre glamorösa – att satsa på IT-säkerhet.

Det är dags att nyktra till

Nu i februari hade regeringen sin sedvanliga utrikesdeklaration som presenterades av utrikesminister Margot Wallström. I utrikesministerns tal så hittar vi orden ”kärnvapen” nio gånger, och i efterföljande debatt var det en lång diskussion gällande Sveriges globala roll i nedrustningen av kärnvapen.

Jag är naiv nog att förvänta mig av ett modernt land som Sverige att höra Ai, digitalt, virus eller i alla fall nätpropaganda. Men icke. I ett kort stycke nämns att – ”Regeringen arbetar tillsammans med andra länder också mot icke-militära hot, som terrorism och på cyber- och hybridområdet.”
Återigen blir jag mållös, jag vill hoppas på mer av mitt land, men lämnas återigen besviken kring regeringens avsaknad av digital insikt och digital vision. Jag har ett förslag till utrikesministern som jag återkommer till i slutet av texten.

Vi lever i en tid där allt som kan digitaliseras kommer att digitaliseras och där allt som kan uppkopplas kommer att uppkopplas. Vår identitet, post, bank och patientloggbok är bara en del av all den data som finns tillgänglig digitalt. Fenomenet Internet of Things (IoT), Sakernas Internet, har bara börjat och det innebär att ännu mer data och information om oss medborgare kommer att göras tillgänglig.

När så sker blir vi enormt sårbara om vi inte tar frågan kring säkerhet på allvar. Vi kan inte lämna en så pass viktig fråga till tjeckiska tekniker, oskyddade serverar eller vid en digital upphandling förbise frågan kring IT-säkerhet helt och hållet. Men varför gör vi så? Varför är vi så naiva kring det digitala?

Grejen med digitalt, virus och cyberattacker är att vi inte kan ta på dem. Det är inte en missil som blir avfyrad eller ett skott som avlossas och säger pang eller boom. Du ser inga domedagsbilder på TV om hur cyberattacker likt atombomben totalförstör, men likväl utgör cyberattacker ett enormt hot och troligen ett större hot under 2000-talet än vad bomber gjorde under 1900-talets andra hälft.

Varför sker cyberattacker utan kännbara konsekvenser?

För att förstår magnituden kan vi minnas utpressningsviruset Petya 2017 i Ukraina som kostade både företag och stater miljardtals kronor. Låt mig kort förklara varför cyberattacker idag sker utan större konsekvenser.

Cyberattacker syns och hörs inte

I den digitala världen finns det inga gränser. På samma sätt som det ger oss enorma möjligheter kring entreprenörskap, utgör det även ett enormt hot. En hackare eller cyberterrorist kan sitta i ett land och avfyra sina attacker mot en server i ett land tusentals mil bort utan att vi egentligen vet var attacken kom ifrån.

I traditionell krigföring kan du lätt se varifrån en missil blev avfyrad eller var bomben tillverkades någonstans, men i den digitala världen är det mycket mer komplext. Detta gäller allt från bankattacker till att påverka politiska val, där du kan attackera utan några egentliga konsekvenser utöver diverse beskyllningar och förnekanden. I dag är flera länder rädda för spionage från kinesiska mobiljätten Huawei och att ett högteknologiskt kallt krig mellan Kina och USA bara har börjat.

Ingen känner skräcken

Bomber ingjuter en enorm skräck i oss människor. Bilderna av ett klassrum där barn lägger sig på huk under skrivbordet för att skydda sig har vi alla sett. Bara det faktum att länder kör parader med stora missilrobotar signalerar hot och gör att nationer låter bli att bomba varandra för att inte bli bombade tillbaka. Men gällande cyberattacker finns det egentligen inga rejäla konsekvenser och därför fortgår de.

Okunskap och oförmåga hos våra politiker

Det tredje och kanske viktigaste aspekten är bristen på kunskap och regleringar hos politiker. Inom traditionell krigföring finns det ända sedan Genèvekonventionen lagar regler och ordning kring vad man får och inte får göra. I den digitala krigföringen är det rena rama vilda västern, där inga som helst regleringar finns. Försök har gjorts från olika håll men man har inte kunnat komma överens, och ett antal länder vill inte skriva under något som andra länder inte behöver förhålla sig till.

I baksmällan av förälskelsen kring digitalisering, Ai, start-ups och tech, måste organisationer, bolag och stater nyktra till och ta cybersäkerhet på största allvar. Det som skett inom transportstyrelsen och vårdguiden är helt oacceptabelt men jag är tyvärr inte förvånad.

Europa har tagit rätt steg genom GDPR, men GDPR handlar mer om integritet och inte lika mycket som cybersäkerhet. Världssamfundet borde samlas och skapa en gemensam policy för vad som gäller kring cybersäkerhet, cyberterrorism och cyberattacker. Här tror jag att Sverige genom sin historia av neutralitet, diplomati samt sin teknologiska framkant kan ta stafettpinnen.

I riksdagsdebatten nämnde utrikesministern Margot Wallström att hon vill att Sverige, precis som på 1980-talet, ska ta ett nytt initiativ för att samla länder för kärnvapennedrustning. Tänk om Sverige istället skulle ta ett initiativ kring cyberfrågor och likt Genèvekonventionen som klubbades 1864 ta fram en ny internationell konvention kring överenskommelser om regleringar kring cyberattacker? Tänk om man kunde få majoriteten av världens länder att vara med på detta och tänk om det var Sverige som drev frågan?

Tänk om det skulle heta Stockholmskonventionen?

Där har ni en fundering kring framtiden, kära politiker, och det kan vara klokt att vakna upp ur bubblan. Det är dags att inse att det finns en ny digital värld, där Sverige på riktigt kan vara agendasättande.


Arash Gilan är VD och medgrundare för Viva Media som är en fullservicebyrå inom marknadsföring. Han driver även VD-Podden, har skrivit boken GET DIGITAL – OR DIET RYING och är aktuellt med en ny bok som kommer ut maj 2019.