Cybersäkerhet och hybridkrig – vad är egentligen nytt

Begreppen cybersäkerhet, cyberförsvar och cyberkrig har fått en ökad aktualitet med konflikter där stater genomför mer eller mindre riktade angrepp mot samhällsfunktioner i andra länder. Idag är det främst aktuella händelser i Baltikum och Ukraina som driver utvecklingen inom detta område. I kombination med informationspåverkan och andra störningar så används ofta begreppet hybridkrig.

I den här artikeln går vi igenom vad som skiljer cybersäkerhet från traditionell IT-säkerhet och varför en säkerhetsansvarig behöver förstå den större bilden. Vi jämför också de militära och de folkrättsliga perspektiven kring cyberkonflikter.

Problemen med IT relaterad kriminalitet, spioneri och påverkansoperationer har funnits länge, men har starkt påverkats av en ökad digitalisering av samhället och möjligheterna att förbigå geografiska gränser med elektronisk kommunikation.

Historik

Åren 2003-2005 uppmärksammades ett större kinesiskt spioneri mot USA som kom att kallas Titan Rain [1]. Det ledde bland annat till införandet av begreppet APT, Advanced Persistant Threat [2], och klassificeringen av angreppsmetoder i Mitre ATT&CK sedan 2013 [3].

I april 2007 inleddes ett cyberangrepp mot Estland i samband med en flyttning av ryska krigsmonument inklusive ”Bronse Soldier of Tallin” [4]. Angreppen var förhållandevis enkla och byggde huvudsakligen på olika former av DDOS attacker från olika ryska grupperingar. Det nya var att de riktades mot flera olika samhällsfunktioner, inklusive parlamentet, institutioner, banker och massmedia.

De direkta konsekvenserna blev etableringen av NATO CCDCOE Cooperative Cyber Defence Centre of Excellence i maj 2008 och framtagandet av Tallin Manual 1.0 2013 och Tallin Manual 2.0 2017 [5]. Nästa utgåva av manualen beräknas komma 2026 [6].

Manualerna är begränsade till en tolkning av internationell lag och hur den relaterar till cyber operationer. Eftersom flera handlingar, exempelvis spioneri och politiskt stöd under fredstid, huvudsakligen faller utanför internationell lag är de också sparsamt behandlade i manualen.

Under 2010 kom spridningen av Stuxnet att betraktas som det första riktiga cybervapnet. Det var specifikt designat för att spridas genom datorer och sedan angripa industriella styrsystem till centrifuger som användes i Irans atomprogram [7].

I december 2015 skedde ett cyber angrepp mot elkraftförsörjningen i en region i västra Ukraina. Det intressanta var inte så mycket sårbarheterna som utnyttjades utan den genomtänkta ordningsföljden där centraler och undercentraler kopplades ur samtidigt som lokal reservkraft bröts [8]. En amerikansk utredning har kommit fram till liknande slutsatser och gett rekommendationer hur säkerhetshot av denna typ bäst ska hanteras [9].

I samband med presidentvalet i USA 2016 uppstod beskyllningar för utländsk inblandning i själva valprocessen. En amerikansk utredning pekar på rysk inblandning i valet [10] och en kinesisk artikel tar upp några av de juridiska frågeställningarna [11]. Även NATO CCDCOE tar upp valpåverkan i ett av sina scenarier [12]. Totalt finns det idag 29 scenarier att studera och det största värdet ligger förmodligen inte i själva juridiken utan i tidigare referenser och händelser.

Under senare år har begreppet hybridkrigföring fått en ökad användning. En artikel i NATO Review från 2024 tar upp rysk hybridkrigföring [13]. En annan artikel tar upp hybridkrig i ett nordiskt perspektiv [14]. Dessa rapporter tar upp den aktuella utvecklingen och den senare exemplifierar med GPS-störningar bland annat runt Östersjön, förvärv av fastigheter i strategiska lägen och liknande händelser.

Civila lärdomar

Bland civila åtgärder inom EU märks NIS direktivet 2016 och NIS 2 2023 som syftar till att öka säkerhet och tillgänglighet i samhällsviktiga tjänster. Motsvarande regelverk finns i USA och dessa anpassningar för ökad cybersäkerhet gäller utöver tidigare regelverk.

Viktiga åtgärder för att öka robustheten i samhällsviktiga system kan vara att planera för störningar eller otillgänglighet i andra system och hur verksamheten ska kunna bedrivas utan tillgång till alla stödsystem som normalt krävs. Det kan också vara nödvändigt att planera för situationer där egen personal, underleverantörer eller kunder inte kan fungera normalt på grund av störningar i elförsörjning, betalningssystem, transporter eller andra system.

Det finns ett brett spektrum av cyberliknande attacker som bäst kan beskrivas som kombinationer av kriminalitet, aktivism och statsunderstödda kampanjer på olika nivåer. I många fall kan det vara en stat som helt enkelt inte ingriper mot brottslighet eller aktivism som utgår från det egna territoriet och som statsmakterna sympatiserar med.

Oavsett orsakerna till ett cyberangrepp så är det bästa skyddet att både stärka sin IT säkerhet och att öka sin motståndskraft mot störningar. Cyberattacker kommer också ofta i vågor och det går till viss del att förutsäga olika hot och aktuella former av angrepp.

Militära lärdomar

En lärdom är att också militära förband i hög grad kan påverkas av störningar i det civila samhället och den civila infrastrukturen. Ett förband kan drabbas av störningar i elförsörjning, transporter och även av störningar i betalningssystem. Ett förband är också känsligt för vilken information som publiceras på sociala medier som kan öka hotbilden eller röja aktuella uppdrag.

Militärt anses cyberdomänen vara en domän på samma sätt som mark, sjö, luft och rymd och cyberdomänen består då av de informationsnätverk och system som kan användas för att inhämta information, skydda sin egen verksamhet samt påverka och störa en motpart beroende på konfliktnivå.

Studier av cyberkrigföring och möjliga scenarier syftar till att kartlägga möjliga angrepp och konsekvenser, motåtgärder samt hur befintliga regelverk om väpnande konflikter ska tolkas.

De utbildningar till cybersoldater som tas fram har olika utgångspunkter. En enkel förklaring är att varje förband har lokala behov av kommunikationsnät och interna IT-system. På lokal nivå kan man dra egen fiber eller koppla in sig på befintliga nät. Oavsett vilka trafikskydd man har i form av kryptering så behöver de lokala nätverken skyddas och övervakas, annars faller delar av möjligheterna att kommunicera bort. Man kan också behöva dölja att det är just ett militärt förband som kopplat in sig på en viss plats.

På förbandsnivå behöver också cyberdomänen beaktas i alla sammanhang, ofta som en del av operation security vilket innebär att kunskap om aktuell verksamhet inte ska riskeras att spridas.

Begreppet cybersäkerhet används ofta som ytterligare säkerhetsterm utöver de gamla begreppen IT-säkerhet eller informationssäkerhet. Begreppen har dock olika omfattning som enklast kan förklaras på följande sätt.

• IT-säkerhet omfattar normalt säkerheten i ett eller flera IT-system utan hänsyn till hanteringen av information eller verksamhet i övrigt.
• Informationssäkerhet omfattar även hanteringen av information inom en organisation och mellan organisationen och dess omgivning i syfte att stödja en verksamhet.
• Cybersäkerhet omfattar dessutom hela samhällets beroende och sårbarhet för kommunikationsnätverk, informationshantering och system som är direkt eller indirekt kopplade till dessa.

När man ser på de förberedande självstudiekurser som NATO CCDCOE tillhandahåller så skiljer sig de inte nämnvärt från motsvarande civila kurser avseende cybersäkerhet. Det som främst skiljer är hur ett militärt förband betraktar cybersäkerhet i sin egen verksamhet.

Exempel på existerande system som kan utgöra en risk för militär verksamhet är trafikkameror och webbkameror som är publikt tillgängliga och kan användas för att kartlägga militära transporter. En motpart kan spela in alla bilder och undersöka dessa maskinellt. En motpart kan också angripa andra system som normalt inte är publikt tillgängliga, tex fartkameror eller järnvägssystem, för att få information.

Det är sedan tidigare känt att soldater då och då använder GPS-klockor och civila tränings-appar och på så sätt röjer sina positioner. Användning av mobiltelefoner kan på samma sätt medföra betydande risker. Sammantaget är det flera protokoll och nätverk som kan innebära risker, exempelvis Bluetooth, WiFi och RFID. Både personal, fordon och gods kan i olika situationer identifiera sig elektroniskt utan att ha medveten avsikt. En motståndare kan också på olika platser placera ut egen utrustning (mobilmaster, anslutningspunkter för trådlös kommunikation och olika typer av läsare) för att framkalla interaktioner.

Hybridkrig

Hybridkrig kan ses som en förlängning av cyberangrepp med exempelvis påverkansoperationer, diplomatiska eller ekonomiska påtryckningar samt mer direkta fysiska hotelser, skadegörelse och sabotage.

Ofta kan övergången mellan cyberkrig och hybridkrig vara relativt kort. Det som förenar teknikerna är ofta anonymiteten i utförandet. Skillnaden är framför allt att hybridkriget inte är begränsat till enbart nätverk och IT-system utan att alla aspekter av säkerhet måste beaktas.

Även under ett pågående krig kan cyberattacker i olika former användas för att inhämta information, vålla störningar och sprida rykten. En sammanställning av kända attacker under Ukraina konflikten har publicerats av Europaparlamentet [15]. En slutsats av denna rapport är att cyberattacker trots allt inte använts i den omfattning som tidigare förväntats. Praktiska orsaker kan vara att man har svårt att samtidigt göra flera sorters angrepp och koncentrerar sig på fysiska angrepp som vållar mer långvarig skada.

En utredning avseende importen av mer än 10.000 övervakningssystem av det ryska märket TRASSIR under åren 2016 till 2022 [16] tyder på att dessa kan ha skickat bilder som senare använts för måluttag och måluppföljning vid attacker. Dessa kameror var ofta placerade för att övervaka kritisk infrastruktur, publika platser och parkeringsplatser. Genom att i vissa fall rikta om kamerorna så kunde även omgivningar kartläggas.

En äldre artikel från 2015 tar upp hybridkrigföring ur ett ryskt perspektiv och behandlar doktriner och exempel fram till och med annekteringen av Krim [17]. Slutsatserna är att hybridkrigföring egentligen inte är ett nytt begrepp och att samma typ av kampanjer med element av politiskt stöd, ekonomiska påtryckningar och informationsoperationer skulle kunna användas i flera konflikter.

En översatt artikel av Valery Gerasimov från 2013 tar upp den ryska doktrinen och utgår från att krig numera aldrig deklareras utan snarare inleds samt att icke militära tekniker kan spela en avgörande roll [18].

En artikel från IISS, The International Institute for Strategic Studies, analyserar den ryska cyberoffensiven mot Ukraina i mer detalj och hur försvaret mot denna offensiv har hanterats [19]. Artikeln försöker också dra lärdomar inför framtida tänkbara konflikter.

Betydelsen av väl fungerande satellitkommunikationer kan inte överskattas i ett modernt krig. Ukraina har använt både KA-SAT och Starlink för olika försvarsändamål [20]. Den 24 februari 2022 en timme innan invasionen gjordes en cyberattack mot Viasat’s KA-SAT nätverk som riktade sig mot modemen för satellituppkopplingen genom AcidRain viruset. Förutom ukrainska myndigheter inklusive regering, försvarsmakt och säkerhetstjänst drabbades ett flertal europeiska kunder i England, Frankrike och Tyskland. Till exempel så slogs 5800 tyska vindkraftverk temporärt ut när de förlorade sin uppkoppling mot nätet.

Exemplet visar att cyberattacker kan ha en kraftfull effekt särskilt i inledningen av ett krig, men att det samtidigt kan vara svårt att begränsa skadeverkningarna. Företag som levererar satellitkommunikation kan också behöva se över sin säkerhet och på ett effektivt sätt segregera sina tjänster och kunder så att inte flera samhällssegment drabbas samtidigt.

Vad gäller Starlink så är denna tjänst i ännu högre grad avgörande för Ukraina och även där har cyberangrepp skett där terminaler på olika utnyttjats av den ryska sidan.

Slutligen tar en ukrainsk rapport upp flera intressanta aspekter kring ryska cyberoperationer [21]. En aspekt är symbiosen mellan ryska statsstödda organisationer och kriminella nätverk där särskilt Ransomeware as a service (RaaS) tas upp. Denna ”tjänst” suddar ut gränserna mellan olika aktörer och tillåter till synes kriminella aktörer att praktisera angrepp med utpressningstrojaner även i andra sammanhang. Rapporten går igenom det själva ekosystemet kring cyberoperationer, vilka organisationer som är inblandade och själva tidslinjen för olika händelser.

En annan aspekt som tas upp i rapporten är sambandet mellan cyberoperationer och fysiska attacker efter inledningen av det fullskaliga kriget. Generellt verkar cyberattacker i form av störningar och informationsinhämtning föregå en större fysisk attack med ungefär en månad.

Slutsatser

Antalet anmälda cyberangrepp har ökat över tid. En stor del av ökningarna beror sannolikt på ökade krav på anmälningar enligt exempelvis NIS direktivet.

Kraven på ökad säkerhet drivs dels på regulatoriska krav för samhällsviktiga verksamheter, dels på ökade krav från samarbetspartners och kunder. Eftersom denna form av attacker fått en ökad uppmärksamhet och angriparen ofta försöker dokumentera vilka system som blivit utsatta, exempelvis genom att läcka data som påträffats, så ökar behoven att undvika attacker.

Eftersom cyberangrepp är en form av antagonistiska attacker så krävs inte bara ett tekniskt kunnande att göra IT systemen säkra i sig, utan också ett systemtänkande som kan anpassa sig efter rådande förhållanden, exempelvis kompensera för utebliven information.

Ofta väljer angriparen vid cyberangrepp ut system efter någon form av egen prioritering. Det kan därför vara relativt klokt att inte utmärka sig i en pågående konflikt och framför allt att inte driva på konflikten. Omvänt kan man försöka se om den egna organisationen blivit omnämnd i negativa ordalag eller uppsatt på någon form av lista över organisationer som bör angripas.

En annan åtgärd kan vara att gå igenom olika reservalternativ med sina kunder och sina underleverantörer så att förväntningarna ligger på samma nivå.

Referenser

[1] Time 2005: The Invasion of the Chinese Cyberspies
https://time.com/archive/6674509/the-invasion-of-the-chinese-cyberspies

[2] Mandiant: APT1 Exposing One of China’s CyberEspionage Units
https://www.mandiant.com/sites/default/files/2021-09/mandiant-apt1-report.pdf

[3] Mitre 2013: MITRE ATT&CK is knowledge base of adversarial techniques based on real-world observations.
https://attack.mitre.org

[4] Nato: 2007 cyber attacks on Estonia
https://stratcomcoe.org/pdfjs/?file=/cuploads/pfiles/cyber_attacks_estonia.pdf

[5] Tallin Manual
https://ccdcoe.org/research/tallinn-manual

[6] Lawfire: International law and cyber ops: Q & A with Mike Schmitt about the status of Tallinn 3.0
https://sites.duke.edu/lawfire/2021/10/03/international-law-and-cyber-ops-q-a-with-mike-schmitt-about-the-status-of-tallinn-3-0

[7] Wired 2014: An Unprecedented Look at Stuxnet, the World’s First Digital Weapon
https://www.wired.com/2014/11/countdown-to-zero-day-stuxnet

[8] Wired 2016: Inside the Cunning, Unprecedented Hack of Ukraine’s Power Grid
https://www.wired.com/2016/03/inside-cunning-unprecedented-hack-ukraines-power-grid

[9] CISA ICS Alert: Cyber-Attack Against Ukrainian Critical Infrastructure
https://www.cisa.gov/news-events/ics-alerts/ir-alert-h-16-056-01

[10] Background to “Assessing Russian Activities and Intentions in Recent US Elections”: The Analytic Process and Cyber Incident Attribution
https://www.intelligence.senate.gov/sites/default/files/documents/ICA_2017_01.pdf

[11] Chinese Journal of International Law, Volume 18, Issue 1, March 2019: Democracy Under The Influence: Paradigms of State Responsibility for Cyber Influence Operations on Elections
https://academic.oup.com/chinesejil/article/18/1/1/5359468?login=false

[12] NATO CCDCOE: Cyber Law Toolkit – Scenario 01: Election interference
https://cyberlaw.ccdcoe.org/wiki/Scenario_01:_Election_interference

[13] NATO Review 26 April 2024: Russia’s hybrid war against the West
https://www.nato.int/docu/review/articles/2024/04/26/russias-hybrid-war-against-the-west/index.html

[14] Fri värld: TRACKING THE RUSSIAN HYBRID WARFARE – Cases from Nordic-Baltic countries
https://frivarld.se/wp-content/uploads/2024/05/Hybrid-Tracker-SFWF.pdf

[15] European Parliamentary Research Service; Russia’s war on Ukraine: Timeline of cyber-attacks
https://www.europarl.europa.eu/RegData/etudes/BRIE/2022/733549/EPRS_BRI(2022)733549_EN.pdf

[16] Radio Free Europe 2023-12-26 Investigation: CCTV System Could Give Moscow A Prying Eye On Ukraine
https://www.rferl.org/a/ukraine-cctv-moscow-spying-schemes-investigation/32747767.html

[17]  Wilson Center, Kennan Cable: A Closer look at Russia’s “Hybrid War” By Michael Kofman and Matthew Rojansky, April 2015
https://www.wilsoncenter.org/sites/default/files/media/documents/publication/7-KENNAN%20CABLE-ROJANSKY%20KOFMAN.pdf

[18] The Value of Science Is in the Foresight, New Challenges Demand Rethinking the Forms and Methods of Carrying out Combat Operations; General of the Army Valery Gerasimov, Chief of the General Staff of the Russian Federation Armed Forces
https://www.armyupress.army.mil/portals/7/military-review/archives/english/militaryreview_20160228_art008.pdf

[19] IISS; Russia’s War in Ukraine: Examining the Success of Ukrainian Cyber Defences, Dan Black, March 2023
https://www.iiss.org/globalassets/media-library—content–migration/files/research-papers/2023/03/russias-war-in-ukraine-examining-the-success-of-ukrainian-cyber-defences.pdf

[20] ESPI Report 84: The war in Ukraine from a space cybersecurity perspective”
https://www.espi.or.at/wp-content/uploads/2022/10/ESPI-Report-84.pdf

[21] Kyiv International Cyber Resilience Forum: A Decade in the Trenches of Cyberwarfare: Ukraine’s Story of Resilience
https://cyberforumkyiv.org/A_Decade_in_the_Trenches_of_Cyberwarfare.pdf