För ett vassare cyberförsvar

I Tallinn, Estland, pågår avancerad forskning, utbildning och övningsverksamhet för att vässa länders cyberförsvar. Det sker på institutionen CCDCOE (Cooperative cyber defence center of excellence) som alltså är ett så kallat Nato Center of Excellence.

cyberövning
cyberövning
En simulator av elnätet i det fiktiva landet Berylia. Foto: Arno Mikkor/CCDCOE
cyberövning
CCDCOE:s dåvarande kommunikationschef, Kadri Kütt, med filmteamet vid Locked shields. Foto: Arno Mikkor/CCDCOE
cyberövning
Dåvarande chefen för CCDCOE:s teknikavdelning, Raimo Peterson, beskriver övningen Locked shields för Estlands premiärminister Kaja Kallas. Foto: Arno Mikkor/CCDCOE

Institutionen CCDCOE, med sina drygt 70 personer från över 30 länder, är faktiskt det största kunskapscentret av det här slaget. Men verksamheten är inte begränsad till försvarsalliansens medlemmar, med länder som Sverige, Finland och Irland som arbetar i centrumet.

Estland ville starta forskningscentret redan 2004, men Nato var föga intresserat då, berättar Jan Wünsche, utsänd av Försvarsmakten för att arbeta på CCDCOE.
– Natos fokus på den tiden var Afghanistan och den typen av insatser. Cyber var inte högt upp på agendan. Man förstod nog inte varför man behövde den här typen av organisation för att titta på de här frågorna, berättar han.

Cyberattack väckte Nato

Det skulle dröja ytterligare några år innan poletten trillade ner hos försvarsalliansen. Och det som fick det att hända var en omfattande cyberattack mot Estland 2007, då banker och myndigheters webbplatser utsattes för överbelastningsattacker.
– 2008 vaknade idén igen och centret bildades av Estland tillsammans med fyra andra länder. Estland är ramverksnation vilket innebär att de står för lokaler och mycket av den administrativa personalen. Alla länder som är med i samarbetet bidrar med personal och en del av budgeten.

Verksamheten är indelad i fyra områden – teknik, strategi, operationskonst och juridik – och står på tre ben – forskning, utbildning och övningar. 

– Utöver att vi själva bedriver forskning, ger utbildningar och organiserar övningar, ger vi även stöd till andra och samarbetar med forskare på andra institutioner. Vi koordinerar också utbildningar inom området i Nato, säger Jan Wünsche.

CCDCOE bidrar även med scenarier och inspel till andras övningar i cyberförsvar, eller där cyberförsvar är en del. Exempelvis sker det till de svenska Viking-övningarna.

Själva begreppet cyberförsvar för månne tankarna till it och teknik, men Jan Wünsche påpekar att deras arbete handlar om betydligt mer än så. Strategi på ett nationellt plan, operationskonst och juridik är också oerhört betydelsefulla för ett effektivt cyberförsvar.
– Operationskonst handlar om hur man bedriver cyberoperationer militärt och hur man exempelvis koordinerar en cyberoperation med en militär operation i stort.

Juridiken är särskilt utmanande. När det gäller den internationella lagstiftningen uppstår frågor som vad man får göra mot ett annat land och på vilket sätt, och vad som gäller inom folkrätten under krig för den här typen av operationer.
– En viktig fråga är ju exempelvis när en cyberattack kan betraktas som väpnat angrepp, vilket är en central formulering i internationell lagstiftning. 

Jan Wünsche konstaterar att det finns olika uppfattningar kring det, men att man brukar prata om att det räknas som väpnat angrepp när effekterna av det är jämförbara med ett konventionellt väpnat angrepp, det vill säga att något fysiskt blir skadat, påverkat eller förstört, att liv har förlorats.
– I slutändan blir det där alltid ett politiskt beslut utifrån den enskilda situationen, som den som är angripen måste ta ställning till. Om man anser att det är ett väpnat angrepp så har man mycket större möjligheter att tillgripa självförsvar för att skydda sig, förklarar Jan Wünsche.

Tallinnmanualen

Ett av centrets ”flaggskepp”, som Jan Wünsche kallar det, är Tallinnmanualen. Det är ett referensverk som handlar om internationell lag i cybervärlden, och bygger på arbetet hos en grupp internationella experter som tolkat internationell lagstiftning och hur den är tillämpbar på operationer i cyberrymden.
– Det här är referensen för hur man ser på internationell lag i cyberrymden. Och vi har precis påbörjat ett nytt projekt för att ta fram en tredje utgåva, som är uppdaterad efter vad som hänt de senaste åren.

De övriga tre flaggskeppen utgörs av två övningar och en konferens. Locked shields är en defensiv övning, där Sverige för övrigt placerade sig i topp under förra årets omgång. Övningen innebar bland annat att deltagarna skulle hålla koll på över 5 000 it-system, som utsattes för fler än 4 000 cyberattacker. Utöver detta skulle lagen även genomföra normalt driftunderhåll av 150 system under hela övningen.

Crossed swords är en annan typ av övning som genomförs återkommande. Där ska deltagarna agera genom att utföra offensiva operationer och även samverka och koordinera med andra typer av operationer. I övningen deltar även ett slags specialförband som bidrar till forensiska undersökningar av it-utrustning.
– Den är lite mer hands-on än Locked shields, men inte lika stor.

Konfliktkonferens

Varje år genomförs sedan 13 år även en konferens på temat cyberkonflikter, Cycon (Cyber conflicts). Till skillnad från många andra, liknande konferenser, är denna inte fokuserad på tekniken, påpekar Jan Wünsche, utan täcker ett bredare spektrum. Bland annat strategiska frågor och juridik.
– Den har även ett mer militärt fokus jämfört med många andra cyberkonferenser.

Mycket av det som sker i centret i Tallinn är teoretiskt och på en hög akademisk nivå. Samtidigt är man mån om att utforma övningar på ett så realistiskt sätt som möjligt. Därför köper de ofta in sådan utrustning som används kommersiellt och bygger in dem i sina övningsmiljöer. Det kan röra sig om modeller av ett lands kraftförsörjningssystem, som utrustas med industriella kontrollenheter, som sedan ska försvaras mot cyberangrepp.

Vid en övning användes en funktionell modell av en kommandobrygga på ett fartyg, för att på ett realistiskt sätt åskådliggöra vad som kan ske när ett fartygs olika styr- och reglersystem blir mål för en cyberattack.
– Just nu bygger vi upp en miljö för att kunna göra realistiska attacker på ett 5G-nät.

Är samspelet mellan cyberförsvar och militärt försvar något ni tittar på specifikt?
– Ja, definitivt på operationssidan. Och även på hur samarbete kan bedrivas med civila operationer och det civila myndigheter gör. På strategisidan, som är mitt område, tittar vi på när blir det militärt och hur man organiserar sig då. I en del länder ligger nästan hela cyberförsvarsfrågan i en militär organisation, säger Jan Wünsche.

I Sverige är Försvarsmakten ansvarig för det militära cyberförsvaret, men inom totalförsvaret har flera olika civila myndigheter också viktiga roller.