Cyberkrig - vad är det?

Kriget i Ukraina utkämpas på två plan: på marken, och i cybervärlden. Den ryska invasionen föregicks av flera angrepp mot den ukrainska regeringens hemsidor, och en majoritet av alla cyberattacker globalt riktas nu mot antingen Ryssland eller Ukraina. Men, vad räknas som ett cyberkrig? Var går gränsen för vilka skador cyberattacker kan åsamka? Kan privatpersoner skydda sig från hackerangrepp? Cyberforskaren Stefan Axelsson, verksam vid Stockholms universitet, reder ut frågetecknena. 

Blott timmar efter att Ryssland invaderat Ukraina den 24 februari utlyser den globala hackergruppen Anonymous cyberkrig mot den ryska staten.

Enligt Anonymous egna utsagor har man bland annat läckt information om anställda i den ryska regeringen, samt tagit ner flera ryska statliga webbsidor – såsom nyhetssidan Russia Today – med hänvisning till att sidorna sprider propaganda om kriget. Stefan Axelsson, professor i digital forensik och cybersäkerhet vid Institutionen för data- och systemvetenskap vid Stockholms universitet, menar dock att Anonymous attacker inte bör klassas som ett cyberkrig i sig självt: 

 – Jag skulle inte säga att det räknas som ett cyberkrig mellan Anonymous och Ryssland. De är en för liten aktör för att klara av det. Det skulle väl vara ett gerillakrig isåfall, men det är också tveksamt hur framgångsrika de har varit, även om det skett en del spännande saker, säger Stefan Axelsson. 

Likt icke-virtuell krigföring kännetecknas cyberkrig av att det sker mellan stater, och kan betraktas som en förlängning av traditionella krig i att den digitala världen fungerar som en av många domäner inom vilket konflikten sker. 

– Det är viktigt att påpeka, när man talar om cyberkrig, att krig förs på de flesta arenor – land, hav, luft, rymd – beroende på vad man har tillgång till, så cyberkrig är sällan någonting som sker isolerat, säger Stefan Axelsson. 

Rysslands invasion i Ukraina föregicks av flera attacker mot den ukrainska regeringens hemsidor, och en rapport från Atlas VPN visar att 90 procent av alla cyberattacker i början av mars riktades mot antingen Ryssland eller Ukraina. Medans den ryska sidan besitter ett statligt hackernätverk, har det i Ukraina skapats en IT-armé av frivilliga sedan kriget utbröt, på uppmaning av landets digitaliseringsminister Mykhailo Fedorov. 

Den ukrainska IT-armén består av hackers från både innan- och utanför landets gränser – där även svenskar ingår – och i en gruppchatt på appen Telegram får de över 300 000 chattmedlemmarna information om vilka ryska webbsidor de ska attackera. I slutet av februari hävdar IT-armén att de lyckats ta ner Moskvabörsens hemsida. Denna typ av attacker går under förkortningen DDoS, efter engelskans “Distributed Denial of Service”. 

Vid DDoS-attacker överbelastas webbsidor i syfte att kapa tillgången till dem. Men cyberattacker kan komma i många olika former. 

– Det finns en massa olika saker man kan göra. Generellt brukar vi tala om “the CIA of computer security”, och det är en lite halvkass modell för det man behöver skydda. Det står då för “confidentiality, integrity, availability”, och på svenska blir det sekretess, riktighet och tillgänglighet. Angrepp kan ju slå mot en eller flera av dom här egenskaperna, berättar Stefan Axelsson. 

Olika typer av cyberattacker kan urskiljas bland annat beroende på vilken av de tre koncepten som attacken riktas mot. 

– När man slår mot sekretess hos krigsmotståndaren så handlar det ju om att man vill lära sig deras hemligheter. Och det kan man till exempel göra genom att bryta sig in i deras datorer. Det är ju i grunden informationsinhämtningskampanjer, och det är ju så alla dom här cyberangreppen, som pågår dagligen och stundligen, av vad vi kallar “advanced persistent threats”, alltså underrättelsetjänster världen över, fungerar, säger Stefan Axelsson och fortsätter: 

– Integrity, eller riktighet, är ju mer en bankfråga naturligtvis. Man kan också påverka ledningssystem och annat så att fienden blir förvirrad över vad som händer. 

Begreppet “advanced persistent threat”, eller ATP som det förkortas som, används för aktörer som lyckas få obehörig tillgång till ett datanätverk och som förblir oupptäckta under en längre period. I slutet av 2015 riktades en cyberattack mot Ukrainas elnät – en attack som tillskrivs den ryska ATP-gruppen “Sandworm” – som resulterade i strömavbrott för cirka 230 000 människor under några timmar.

Enligt Stefan Axelsson är de mest skadliga formerna av angrepp de som slår ut stora samhällsviktiga system. 

– Det finns ett rykte, som förnekas av Vita Huset, att NSA briefade Joe Biden om möjligheten att, i ett första steg, påverka det ryska järnvägssignalsystemet så att allt visar rött och allt stoppas. Ryssarna är väldigt beroende av tåg för sin logistik, så om man stoppar det i södra delen av landet för att sedan i nästa steg – ett steg längre då – kanske lägga om växlar, så kan tåg spåra ur. Och det kan ju naturligtvis leda till förlust av människoliv, berättar Stefan Axelsson. 

Informationspåverkan, i form av propaganda eller desinformationskampanjer, räknas till en av de mildare typerna av cyberattacker. 

– Där har vi ju ryska troll som håller på dagligen och stundligen redan. Den sortens operationer har ingen större påverkan men är ganska billiga, så det skadar inte att göra dom. 

Även om det går att urskilja olika former av cyberattacker från varandra, så är det desto svårare – om inte omöjligt – att förutse de eventuella konsekvenserna av samlade angrepp under ett krig.

– Jag brukar berätta för mina studenter att FEMA [Federal Emergency Management Agency, reds anm.] i USA har femton “emergency national planning scenarios” som man tog fram för några år sedan, och dom är väldigt specifika. Exempelvis “vi får ett stort utbrott av Ebola här”, eller “någon detonerar en tio kilotons kärnladdning på marknivå i Washington D.C.”, och så vet man att “si och så många människor dör av smällen”, “det här måste vi göra då” och “det här kommer hända”, berättar Stefan Axelsson och fortsätter:

– Men så har man ett sånt här cyberattack-scenario, och vad säger det? Jo, ungefär “Det kanske händer något otäckt – oklart vad, vi vet inte”, “Hur illa det blir? Svårt att säga”, “Vad ska vi göra? Ingen aning”. 

För att man inte vet vad exakt man kan kontrollera? Eller för att man kan kontrollera nästan vad som helst? 

– Kanske. Det är just det – eventuellt är det så, och eventuellt är vi så pass bra på det här, de flesta har ju följt med i utvecklingen så att säga.

På lagområdet finns det internationella överenskommelser om cyberbrottslighet, exempelvis Convention on Cybercrime – eller Budapestfördraget som det också kallas – som signerades redan 2001. Det saknas dock liknande specifikationer för cyberkrig, som lyder under traditionella krigsregler. 

Samtidigt har kriget i Ukraina väckt frågor om konsekvenserna för bland annat cybersäkerheten i tredje länder. Enligt Stefan Axelsson finns det dock inga större skäl till att oroa sig över att cyberattacker i Sverige kommer att öka, utöver att sannolikheten för påverkansoperationer som syftar till att gynna de som är skeptiska till ett svenskt NATO-medlemskap ökar. 

– Retar vi ryssarna tillräckligt mycket så är påverkansoperationer en åtgärd som är lätt att ta till. Det är ganska billigt att sjösätta den här sortens angrepp, och man behöver inte ha stora styrkor eller ballistiska missiler eller flygplan som kostar miljoner dollar. Men, problemet är att Ryssland är inte osårbara i den här sektorn heller – tvärtom. Så det är lättare för dom att ta till och hävda att det inte är dom, men det är också lättare för oss att svara med samma mynt och säga att “det är inte vi”, säger Stefan Axelsson och fortsätter: 

– Här har vi paritet på ett annat sätt, vi är ju en framstående nation vad gäller datorer, telekommunikation och så vidare, om man jämför med Ryssland. Kärnvapen har dom många fler än vi, men vad gäller programmerare och folk som kan hacka datorer, nja, där är vi nog mer jämbördiga. Även fast jag inte vet någonting om hur den svenska offensiva kapaciteten ser ut, så är det ett område där vi skulle kunna “punch above our weight” på ett helt annat sätt än vad vi kan mäta oss med militära muskler. 

I Sverige pågår just nu arbetet med att bygga upp ett nationellt cybersäkerhetscenter, som beräknas vara klart 2023. På uppdrag av regeringen har centret inrättats av Försvarets radioanstalt (FRA), Försvarsmakten, Myndigheten för samhällsskydd och beredskap (MSB) och Säkerhetspolisen. Sedan 2020 erbjuder Försvarsmakten dessutom en värnpliktig grundutbildning som fokuserar på just cyberförsvar, kallad GU Cybersoldat. 

På individuell nivå är det desto svårare att skydda sig själv från cyberattacker, men risken för angrepp är också mindre:

– Som privatperson så är det enda man egentligen skulle bli utsatt för, som jag ser det, påverkansoperationer, och då kan man ju hjälpa till genom att slå upp information själv från vederhäftiga källor, och inte låta sig dras med i de här nättrolls-känslostormarna, säger Stefan Axelsson och fortsätter: 

– Som privatperson är risken fortfarande störst att man ska utsättas för något brottsligt, något bedrägeri eller liknande. Men jag skulle inte säga att det har påverkats för att det pågår ett krig i Ukraina. Det enda vi har sett nu är lite bedrägeriförsök där vissa säger att dom samlar in pengar till Ukraina och försöker lura folk att föra över pengar. Så där kan man självklart vara på sin vakt, genom att kolla vem det är vem man skänker pengar till. 

Stefan Axelsson ser inte heller att studenter eller universitetsvärlden i stort står inför en ökad risk för cyberangrepp. 

– Studenter är ju inte en naturlig målgrupp här. Jag kan inte se att någon underrättelsetjänst skulle rikta sig in på studenter annat än i att försöka värva dom som spioner. 

Har Stockholms universitet tillräckligt mycket skydd?

– SU håller faktiskt på med ett ganska stort informationssäkerhetsarbete just nu, där man systematiskt arbetar med dom här frågorna. Det är ju naturligtvis bra, att man gör det. Men sen, som alltid, så är mycket okänt här, berättar Stefan Axelsson och fortsätter: 

– Men vad gäller intrång, så är universitet ganska vana vid det, för universitet var dom första institutionerna som utsattes för det – vi hade dataintrång redan på sextiotalet. 

Varför var det främst universitetsvärlden som utsattes för det?

– För det var här vi hade en massa studenter som inte kunde ge fan i att pilla på grejer. Några av dom första riktiga cyberattackerna mot militära system till exempel, dom kom ju från universitetsvärlden. Det var ett gäng hackare på ett universitet i Holland som under första Gulfkriget tog sig in i amerikanska militära system. Dom snodde så mycket grejer att dom fick bryta sig in på andra ställen för att hitta servrar med tillräckligt lagringsutrymme för att lagra allt.