Vi har vant oss vid att digitala tjänster ligger nere och att betalsystem hackas. Men vår växande acceptans för avbrott i vardagen döljer en akut sårbarhet. Internetsäkerhetsexperten Patrik Fältström varnar för att vi förlorar vår förmåga att överleva i kris.
Överleva eller efterlevnad? Den förlorade säkerhetsaspekten
Det är lätt att ta internet för givet. För de allra flesta är det en osynlig infrastruktur som bara ska finnas där. Men för Patrik Fältström, mer känd under signaturen ”paf”, är nätets beståndsdelar en livslång gärning.
Han har varit med sedan den svenska internethistoriens barndom på 1980-talet, hjälpte till att bygga upp det akademiska nätet Sunet och var 1991 med och grundade Swipnet, Sveriges första kommersiella internetleverantör.
Idag arbetar han som senior säkerhetskonsult på Netnod. När han analyserar det nuvarande säkerhetsläget är domen hård. Det svenska samhället har drabbats av en farlig acceptans gentemot digitala brister.
”Vi har en massa regelverk som du ska efterleva. Om du tillhandahåller finansiella tjänster är det Dora-direktivet, och för andra samhällsviktiga funktioner är det NIS2-direktivet. Men ingen av dem ställer egentligen krav på att din funktionalitet ska finnas. De ställer krav på att du arbetar på rätt sätt”, säger han i en intervju med Realtid.
Läs mer:
Kodaren som når miljarder – från vinden i Huddinge
Regelefterlevnad istället för att överleva
Patrik Fältström menar att det skapar en farlig illusion. I en marknadsekonomi där driftkostnader ständigt pressas uppstår en direkt konflikt mellan att uppfylla legala regelverk och att bygga motståndskraft.
”Om du har en resursbrist och en kamp mellan ’ska vi göra regelefterlevnad eller ska vi överleva?’, då tänker man att det är rätt liten risk att det blir krig i Sverige så vi behöver inte ha så bra funktioner. Det viktiga är att vi följer reglerna, för där kan vi få böter”, förklarar han.
När det hävdas att tvingande direktiv och hot om stora bötesbelopp automatiskt leder till ökad säkerhet, slår Patrik Fältström bakut. Regelefterlevnad är inte detsamma som leveranssäkerhet. Man kan uppfylla alla dokumentationskrav till punkt och pricka, men ändå stå helt handfallen när systemen slocknar.
”Då höjer man kraven på att faktiskt efterleva reglerna, men om det då inte leder till att produkten levereras så spelar det ingen roll. Då är det ju fortfarande inte överlevnaden som är det viktigaste”.
Regelefterlevnad är viktigt, men vi måste börja med överlevnad, och se till att vi överlever genom att arbeta på rätt sätt.
Lärdomar från det ukrainska nätet
Klyftan mellan fredstida optimering och krigets realitet blir smärtsamt tydlig när blicken vänds mot Ukraina. Patrik Fältström har på nära håll följt hur de ukrainska telekomnäten och övrigt internetinfrastruktur har lyckats hålla sig flytande under den ryska invasionen. Den stora läxan handlar inte om avancerade cybervapen, utan om en enorm tillgång till reservdelar och fungerande logistik.
”Det som har varit intressant med Ukraina är att logistikkedjan är otroligt viktig. Det går åt en jäkla massa reservdelar. Det går åt sladd, kontakter, svetsmaskiner för fiber. Det är de fysiska sakerna som saknas”, berättar han.
Kriget i Ukraina har också visat hur sårbar en centraliserad och slimmad infrastruktur är. Ju mer optimerat och centralt ett system är för att spara pengar i fredstid, desto lättare är det att slå ut i en konflikt.
Det ukrainska nätets överlevnad bygger på en decentraliserad struktur, men också på en förmåga att snabbt innovera och improvisera fram till exempel strömförsörjning mitt under brinnande strider.
”De har ett exempel med drönare. De har sagt att de inte behöver laddare – de behöver laddade batterier. Man kan inte planera för att stå ute i skogen och ladda ett batteri i timmar när det som batteriet driver har en livslängd kortare än batteritiden.”
Sårbarhet för konflikt
Sverige är idag bristfälligt rustat för den typen av påfrestningar. Våra digitala system är dimensionerade utifrån ett stabilt absolut normalläge.
Om en fientlig statsaktör eller ett cyberkriminellt nätverk i ett skärpt läge börjar ”putta på systemen”, finns det en risk att tjänster som i fredstid fungerar ”precis tillräckligt bra” kommer att kollapsa. Ändå fortsätter både offentliga och privata aktörer att köpa in digitala system baserat på lägsta inköpspris givet krav baserat på fredstida stabilitet, snarare än redundans och förmåga att stå emot påverkan från en motståndare.
Prioritera att överleva
Den stora faran ligger i att vår kollektiva tillit till leveranssäkerheten gradvis eroderas. Vi befinner oss redan i ett läge med ständiga attacker mot kommuner, regioner och privata bolag. Genom att vi blir tålmodiga och accepterar att tjänster ligger nere eller att digitala verktyg sviktar, sänker vi successivt ribban för vad som är acceptabelt.
Den bortglömda säkerhetsaspekten är att leveranssäkerhet måste prioriteras, både av leverantören men också av kunden.
Den som köper en tjänst måste vara beredd att ställa krav på redundans och faktiskt betala för den extra tryggheten. Ett system som är byggt för att överleva kostar mer i dag. Men ett system som inte står pall för en kris blir ännu dyrare i framtiden.
Det handlar om att inse värdet av att ha alternativa vägar och reservsystem innan krisen är ett faktum. Patrik Fältström efterlyser inga nya lagar eller dyra certifieringar. Han efterlyser ett ändrat beteende hos beslutsfattarna.
”Det viktigaste jag tror jag kan göra, och det tillsammans med andra, det är att se till att samhället helt enkelt fungerar bättre. Vi måste bara se till att saker funkar. Jag vill inte direkt koppla det till pengar, jag tror inte det behöver bli dyrare om man bara gör saker på rätt sätt.”
