Molnet och svensk cybersuveränitet
Det har varit många diskussioner om myndigheters användning av molnet, med tanke på amerikansk underrättelselagstiftning. Förespråkarna menar att tillgängligheten och tekniken i molnet är bättre vilket innebär att det är värt att hantera risken genom t.ex. informationsklassning. Däremot så klassar man sällan verksamhetens funktion och tillgänglighet till IT ifall Sverige skulle hamna i ett gråzons-läge. En stor del av fokus kring skyddet mot Cyberoperationer och Cyberangrepp motverkas handlar om att bygga en hållbar (resilient) IT-infrastruktur mot statsunderstödda hackerattacker. Med hållbart menas att funktionen i IT-infrastrukturen ska fungera eller att det ska snabbt att återhämta sig trots angrepp. I denna artikel kommer jag att diskutera kring Sveriges beroende till utländskt ägda molntjänster och hur detta skulle kunna påverka Sverige vid en konflikt eller gråzons-läge.
Globaliseringen har lett till att alla länder är beroende av varandra, och att mindre länder har gjort sig beroende av större länders förmågor, som t.ex billig arbetskraft eller molntjänster. Flera händelser den senaste tiden har visat att vi inte kan ta våra beroenden av andra för givna:
1. Pandemiläget har visat en ”vacinationalism” och egoism för att hantera Covid, t.ex vaccin, masker, medicinsk utrustning, covid-tester osv. I vissa fall har detta beteende rapporterats som ren statsunderstödd piratverksamhet. [1]
2. Trump-administrationen visade mellan 2016-2020 att internationella avtal inte kan tas för givna, där USA ensidigt gick ur en mängd bilaterala och internationella avtal. [4]
3. Marknadskrafterna har visat sig vara normgivande vad avser tillgång på halvledare[2] och även möjligheten att trycka ”avancerade barnböcker” med klistermärken och luckor försvunnit, då priset på containerfrakt stigit med över 800%.[3]
Det stora antalet statsunderstödda cyberoperationer har även lett till ett krig med lagar (lawfare) och ekonomisk krigföring (economic warfare) mellan länder. I Sverige hindrade man nyligen Huawei att komma in i det svenska 5G-nätet bland annat på grund av den kinesiska underrättelselagstiftningen.[5] Hur detta påverkar svenska företags möjligheter att göra affärer i Kina återstår att se. Samtidigt har USA stiftat en rad underrättelselagar som ger dess underrättelsetjänster möjlighet att komma åt information som t.ex. svenska organisationer lagrar hos amerikanska molntjänsteleverantörer [6][7].
Datasaab-affären ledde till sanktioner mot Sverige
Den fråga som är viktig att utvärdera, är vad det skulle innebära för Sverige om vi hamnar i ett gråzonsläge, t.ex i en uppblossande diplomatisk kris eller i ett krisläge där IT-resurser räknas som hårdvaluta (IT-nationalism vs vaccinationalism). Vi behöver inte gå tillbaka särskilt långt i historien för att se vad detta innebär. På sjuttio- och åttiotalet betraktades Sverige som ett bulvanland avseende export av känslig teknisk utrustning till dåvarande Sovjetunionen. Ett av de mer kända fallen var när Datasaab exporterade 24 stycken militärt klassade amerikanska kretskort till Sovjetunionen (flygledningssystem) som ledde till en långdragen diplomatisk konflikt mellan USA och Sverige. En följd av detta blev att viss teknik inte fick exporteras till Sverige. Sverige sågs då inte som en betrodd part. [8]
Hur molnet kan påverka svensk IT-suveränitet
Vad skulle kunna blockeras i molnet vid en ny ”Datasaab”-affär? Nedan följer en löst sammanhållen kritikalitetslista över molntjänster där Sverige är beroende av utländska företag och utländska länders välvilja (just nu, för det mesta USA) :
1. Beräkningsresurser
2. Sociala Nätverk
3. Infrastruktur för lagring av information
4. Betalsystem
5. Content Delivery Networks (CDN)
6. Sökfunktioner
7. Samarbetsplattformar (typ Teams, Zoom mm.)
8. E-post och Officepaket i molnet
Beräkningsresurser
I och med skalbarheten i molnet så använder många företag molnet för avancerade beräkningar så som simulationer och maskininlärning. Beräkningsresurser i molnet problematiskt ur ett tillgänglighetsperspektiv, där dessa lätt kan hamna under olika typer av ”exportlagstiftningar” och räknas som krigsmateriel. En sådan bedömning skulle försvåra möjligheten att använda dessa tjänster. Även serverparker för beräkning av kryptovalutor skulle kunna hamna under en sådan lagstiftning, då maskinerna rent teoretiskt skulle kunna användas för att knäcka krypto. En blockad av beräkningsresurser skulle kunna bromsa svensk utveckling och konkurrensmöjligheter inom alla teknikområden.
Sociala nätverk
De sociala nätverken har de senaste åren stängt extrema personers konton, både temporärt och permanent. Att stänga ner politiska personer och partier hör dock till ovanligheten. Det har dock hänt, där ett exempel är när Ungerns regerings twitter konto stängdes ner den 30 september 2020 utan någon egentlig motivering från Twitter[9]. Sedan valkalabaliken i USA i år har flera personer i det republikanska partiet blivit avstängda från sina sociala medie konton på grund av sina extrema åsikter (däribland Trump). Detta har lett till att man i Florida fastställt en lag, som sedan blev upphävd, som skulle ha förbjudit sociala plattformar att stänga av politiker från plattformarna[10]. Än så länga har de flesta politiker som blivit avstängda varit amerikanska politiker, men steget är nu inte långt från att stänga av utländska politiker. Detta är kanske dystopiskt, men de senaste åren har dock visat att det mesta är möjligt.
Infrastruktur för lagring av information
Molnet har gjort det mycket enklare att lagra data, både i databaser och som filer. Den stora fördelen är att användarna av dessa molntjänster slipper bry sig om databashanterare och lagringsutrymme. Så fort en person eller företag hamnar på en sanktionslista så är affären slut för dem i molnet. Att ta hem stora mängder data och bygga upp infrastrukturen någon annanstans är i ett sådant läge att betrakta som nästintill som omöjlig. Även om man av molnleverantörerna får en månad på sig att avsluta engagemanget.
Betalsystem
När ryska banker drabbades av sanktioner i samband med annekteringen av Krim, så fann många ryssar att deras Mastercard eller Visa inte längre fungerade.[11] Många betalsystem är uppbyggda via kedjor av ”SAAS” molnleverantörer som levererar infrastruktur för betalningar. Det senaste exemplet när Kaseya drabbades av en cyber attack, ledde detta till att en tredjedel av Sveriges livsmedelsförsörjning slogs ut medan Coop kämpade för att återhämta sig från attacken. Coop köpte inga tjänster direkt från Kaseya utan det var en av deras leverantörer som gjorde detta.[12] Att hitta den här typen av sårbarheter i landet där vi är beroende av ett annat land via olika typer av försörjningskedjor av molntjänster kommer bli allt viktigare i framtida hotanalyser för att kunna bevara Sveriges suveränitet.
CDN (Content Delivery Network)
Digitialiseringen har lett till att inte längre konsumerar media via radio, utan istället gärna använder Internet. För att nå ut till läsare och tittare så använder mediaföretagen så kallade Content Delivery Networks, dit bilder och annat mediamaterial replikeras. Sveriges Television har t.ex. byggt ett eget CDN för att minska sårbarheten.[13] Däremot använder många av Sveriges största tidningar CDN från utländska leverantörer. Ett exempel som visar på effekterna, om en tjänst stängs av för Sverige, var när CDN leverantören Fastly gick ned i somras. Det ledde till att bl a Aftonbladet, Svenska Dagbladet, Omni och TV4 gick ned tills Fastly hade löst problemen.[14]
Sökfunktioner
Google är en sökmotor som vi tar för givet. Vad händer om man inte hittar det man söker, och om google bestämmer vad det är vi ska se och läsa. Ett exempel är t.ex. när kryptotjänsten ”protonmail” censurerades bort från google under några månaders tid.[15] (Inte för att jag tycker att Protonmail är något att sträva efter, men det är en annan historia.)
Samarbetsplattformar
Under Covid så har samarbetsplattformar av typen Teams, Zoom och WebEx vuxit. Även om själva videokonferenslösningen routas via servrar i Europa, sker inloggningen mot servrar i USA. T.ex. WebEx, som säljs av Cisco och erbjuder end to end kryptering, låter alla användare autentisera sig mot servrar i USA. Det innebär att USA, trots att CISCO lovar har end-end kryptering, har kontroll över samtliga autentiseringar och härledda kryptonycklar. Än värre är att de också har kontrollen att enkelt stänga ned tjänsten.
Office i molnet
Google och Office365 är de dominerande ”office” plattformarna i molnet. Företag och myndigheter använder dessa plattformar för E-post och lagring samt bearbetning av dokument. Dels finns en avlyssningsproblematik men framförallt en tillgänglighetsproblematik. Det är inte sällan som det visar sig att e-posten är det absolut viktigaste systemet för ett företag eller en myndighet. Att lägga den infrastrukturen i händerna på ett utländskt ägt företag skapar problem. Det är inte helt lätt att byta en e-post leverantör, mest med tanke på mängden data. Men också tanken på att E-post räknas som vykort så kan man inte räkna med någon sekretess i ett sådant sammanhang (om inte eposten är end to end krypterad).
Vad gör Sverige och EU?
I EU finns ett projekt som heter GAIA-X[16] där man försöker bygga moln utfrån de europeiska privacy-lagarna. I korthet innebär det att EU vill bygga ett eget moln med t.ex. Microsofts molnstack utan att Microsoft driftar denna. I Sverige, så har SAAB haft ett initiativ att bygga en egen säker molntjänst Egira[17]. Men annars så är det svagt. Sverige är som sagt ett av världens mest digitaliserade länder och extremt beroende av utlandsägda molntjänster. Däremot så saknar vi i stort sett egna oberoende IT-infrastrukurer och befinner oss fortfarande på plats fyrtiofyra avseende cybersäkerhet[18].
Referenser
[1] Kriget om maskerna – https://www.aftonbladet.se/nyheter/a/wPGKz5/kriget-om-maskerna-i-gang–sa-drabbas-svenska-leveranser
[2] Experten – Därför är det halvledarbrist i fordonsindustrin – https://t.teknikforetagen.se/forskning-innovation/experten-darfor-ar-det-halvledarbrist-i-fordonsindustrin/
[3] Dyrare barnböcker när handeln med Kina kör fast – https://www.svt.se/kultur/dyrare-barnbocker-nar-handeln-med-kina-kor-fast
[4] Lista på internationella avtal som President Trump beslutade att gå ur under sina första två år som president. –https://edition.cnn.com/2019/02/01/politics/nuclear-treaty-trump/index.html
[5] Huawei stoppas i Sverige – https://www.svt.se/nyheter/ekonomi/huawei-stoppas-i-sverige
[6] FISA 702 och molntjänster – https://kryptera.se/molntjanster-och-fisa-702/
[7] Inte grönt ljus för amerikanska molntjänster – https://computersweden.idg.se/2.2683/1.746169/debatt-amerikanska-molntjanster
[8] Datasaabaffären – https://sv.wikipedia.org/wiki/Datasaabaffären
[9] Twitter Temporarily suspends Hungarian government’s account – https://apnews.com/article/technology-europe-business-media-hungary-e4445f8af056147eafd3ba4b9fefd6ba
[10] Judge block Florida law aimed at punishing social media – https://apnews.com/article/florida-business-travel-lifestyle-laws-0c80db388feb83a96f2930128fd087fd
[11] Visa and MasterCard block Russian bank customers – https://www.bbc.com/news/business-26678145
[12] Swedish Coop supermarkets shut due to US ransomware cyberattack – https://www.bbc.com/news/technology-57707530
[13] Sveriges Television Public Service redovisning – https://omoss.svt.se/download/18.10e5396d177db602aeb77471/1616165174964/public_service-redovisning_2020.pdf
[14] Flera nyhetssiter världen över ligger nere – https://www.svt.se/kultur/flera-nyhetssajter-varlden-over-ligger-nere
[15] Why did proton mail vanish from google search results for months – https://techcrunch.com/2016/10/27/why-did-protonmail-vanish-from-google-search-results-for-months
[16] GAIA-X – https://www.data-infrastructure.eu/GAIAX/Navigation/EN/Home/home.html
[17] EGIRA – https://www.saab.com/products/egira
[18] National Cyber Security Index – Sweden – https://ncsi.ega.ee/country/se/