Det är sannerligen en ny tid vi går till mötes. Det råder inga tvivel om att klimatförändringarna påverkar vår informations- och cybersäkerhet allt mer. Vindbyar i orkanstyrka är en realitet och avtrycken i strömförsörjningen av vår it-infrastruktur är tydliga. Det är heller inte förvånande att Säkerhetspolisen i sin årsrapport ånyo pekar ut Ryssland, Kina och Iran som centrala hotaktörer. Natoländerna Danmark och Kanada har i dagarna fått erfara att hotet kanske även finns inom Nato. Vi noterade i samband med vårt eget inträde i Nato att det fanns flera motsägelsefulla EU-länder som oroar. Sammantaget är tyvärr detta det nya normala och det är utifrån detta vi ska rusta oss.
Stormen som drog in över Jämtland, Västernorrland och Västerbotten i mitten av januari orsakade omfattande strömavbrott. Det i sin tur orsakade att 100-tals mobilmaster blev strömlösa. Kraven på reservkraftsystemet för de allra flesta av dem är ett reservkraftssystem som klarar ett avbrott på tre timmar i enlighet med Post- och telestyrelsens föreskrifter och allmänna råd om säkerhet i nät och tjänster (PTSFS 2022:11). När omfattningen är på den här nivån finns det heller inte tillräckligt med servicepersonal som kan förse anläggningarna med elverk, trots tillgång till elverk. Lösningar som förlitar sig på mobilnät som exempelvis trygghetslarm är synnerligen sårbara i en situation likt denna. Vad är plan B?
Det är inte bara mobilnäten som är sårbara. Sveriges internetinfrastruktur kretsar kring Stockholm och förmågan att kommunicera andra vägar i händelse av kris eller krig är otillräckliga. Redundanta hallar i Stockholmsområdet för samhällsviktiga tjänster räcker föga som en säkerhetsåtgärd när det finns behov av åtkomst från övriga delar av landet. Tyvärr är många av de samhällsviktiga tjänsterna Stockholmscentrerade och inte sällan bara exponerade via en internetoperatör, och det gäller inte bara själva tjänsten utan också underliggande infrastrukturkomponenter som DNS. Här finns det lågt hängande frukter som kan plockas redan idag! Även om internetinfrastrukturen i landet skulle förändras från dagens sårbara struktur kommer inte de medvetna (?) val som påverkar hur tjänster realiseras att förändras. Ett rimligt första steg för de elva tillsynsmyndigheterna för NIS2, utöver att harmonisera sina föreskrifter, är att säkerställa att de samhällsviktiga tjänsterna uppfyller sedan länge rimliga hygienkrav.
Givet maktskiftet, där en annan form av orkan sveper fram, tål beroendet till amerikanska molntjänster att uppmärksammas. I skrivande stund har det inte fattats något beslut att riva upp Executive Order 14086 som utfärdades av Biden-administrationen i oktober 2022. Hur den oberoende myndigheten Data Protection Review Court (DPRC), som har till uppgift att korrigera felaktig behandling av personuppgifter, kommer att påverkas vet vi inte. Kanske inte alls. Det vi vet är att de demokratiska ledamöterna av Privacy and Civil Liberties Oversight Board (PCLOB), som har till uppgift att övervaka bland annat DPRC, nyligen fick ett mejl från Vita huset att de förväntas skicka in sin avskedsansökan. Mot bakgrund av den turbulens som råder är det inte osannolikt att EU-domstolen omprövar adekvansbeslutet som ligger till grund för EU-U.S. Data Privacy Framework. Här är det viktigt att det finns en exit-plan om en tjänst inte längre visar sig vara förenlig med exempelvis dataskyddsförordningen (GDPR). Den planen upprättas med fördel innan det blir aktuellt att använda den.
Statsminister Ulf Kristersson sa på konferensen Folk och Försvar nu i januari att Sverige inte är befinner sig i krig, men, vi befinner oss inte heller i fred. Det geopolitiska säkerhetsläget blir värre för varje dag och vi behöver fundera och planera utifrån scenarion som tidigare känts osannolika. Vi är långt från så robusta som vi behöver vara för att hantera en större krissituation. Med i sammanhanget små medel och med bättre samverkan i kombination med bättre styrning och reglering kan det bli betydligt bättre. Med var och ens bidrag i rätt riktning kan det bli väsentligt bättre för att använda ett kraftuttryck från den svenska översättningen av NIS2-direktivet. Tillsammans behöver vi hantera de uppenbara sårbarheterna, både i macro- och micro-perspektiv.
Thomas Nilsson