Skip to content
  • Det finns inga förslag eftersom sökfältet är tomt.

Dataskydd i kris och krig del 3: Cybersäkerhet som försvar

I det tredje blogginlägget i serien ”Dataskydd i kris och krig” undersöker folkrätts- och dataskyddsjuristen Kristin Haselhofer och cybersäkerhetsexperten Samuel Ståhlberg aspekter av cybersäkerhet inom dataskydd och hur cybersäkerhet är en central del av att möta hybrida hot. 

Om personuppgifter är ”krigets ammunition” och ny teknik ett potentiellt vapen, så är cybersäkerhet vår rustning. I en geopolitisk verklighet där konflikter allt oftare utspelar sig i det digitala rummet har cybersäkerheten fått en strategisk betydelse som sträcker sig långt bortom IT-avdelningen. Kriget i Ukraina är ett tydligt exempel. Parallellt med artillerield och fysiska attacker har cyberangrepp använts för att slå ut elnät, störa myndighetskommunikation och destabilisera samhällsfunktioner och ytterst påverka försvarsviljan hos befolkningen.

Genom hybrida angrepp kan en fiende verka i gråzonen och utan att nå tröskeln för väpnat angrepp och därigenom försvaga sin motståndare utan att öppna eld. Liknande mönster syns globalt: cyberoperationer används för att undergräva demokratiska processer, sprida desinformation och sabotera kritisk infrastruktur. Detta visar att cybersäkerhet är mer än en enskild inriktning, det är en försvarslinje som ligger hand i hand med dataskyddsarbetet. 

Vad är data? 

Data är uppgifter i en form som kan samlas in, lagras, bearbetas eller analyseras. Det kan vara allt från siffror, text och bilder till ljud eller rörelsemönster. Till stor del innebär det att data utgör personuppgifter och att GDPR är tillämplig. Artikel 32 GDPR innebär krav på tekniska och organisatoriska skyddsåtgärder och genom denna skyldighet kring säkerhet för personuppgifterna blir cybersäkerheten också en central del av dataskyddsarbetet. Förståelsen för att data både är immateriell och fysisk samtidigt är dock något omtumlande. När digital information som vi producerat slutar upp på en fysisk server någonstans innebär att data tillika personuppgifter riskerar både fysiska och digitala angrepp i alla stadier av användandet.

Inom internationell rätt så pågår en avgörande diskussion för hur data ska klassificeras i en väpnad konflikt. Är data ett objekt i lagens mening eller inte? Konsekvensen av att anse att data de facto är ett objekt innebär att den också kan besitta skydd i form av civil status under krigets lagar. En civil persons data skulle då vara skyddad medan militära data inte är det vid ett väpnat angrepp. Detta är dock en tolkning som inte fått medhåll i Tallinnmanualen (NATO CCDCOE rättsliga handbok om folkrätt i cybermiljö) men som blir mer tänkvärd i takt med att data blir ett växande mål.

Det kan konstateras att vissa typer av data redan åtnjuter särskilt högt skydd. Medicinska journaler är skyddade under krigets lagar och det finns således en indikation om att data i sig kan vara skyddad under krigets lagar. Det är ett komplext område och det råder ingen konsensus kring vad data är i händelse av krig och kris men något som är säkert är däremot att vår fredstida cybersäkerhet är en avgörande faktor för att hålla känsliga data och personuppgifter säkra. 

Nya risker med EU-lagstiftning 

Integriteten står inför nya risker när stora mängder data ska delas. EU befinner sig i ett regelverksrace och det går snabbt. År 2027 ska ”European Health Data Act” och det Europeiska hälsodataområdet (EHDS) bli verklighet. EHDS innebär att känsliga personuppgifter om hälsa ska kunna utbytas och delas fritt inom unionen. Motivet är att stärka hälso- och sjukvård och ge bättre möjligheter till forskningsdata och innovation. Således goda intentioner i en digitaliserad värld och tid. Men långt ifrån alla medlemsstater håller en hög nivå av cybersäkerhet och både privata och offentliga aktörer ligger under stor press att på kort tid möjliggöra delning av känsliga data utan att äventyra vår integritet och säkerhet. 

Låt oss ta ett scenario med ett offentligt sjukhus. Inom ramen för sjukvård till medborgarna hanteras miljoner och åter miljoner olika känsliga personuppgifter och vi är strikt beroende av journalsystem och interna kopplingar mellan olika vårdgivare och aktörer. En dag når läkaren inte journalsystemet och dagens patienter kan inte få den vård som krävs. Provsvaren kommer inte in och viktiga diagnoser försenas. Men vad berodde felet på? Det visar sig vara en antagonistisk grupp som är finansierad av främmande makt, som har gjort ett dataintrång och inte bara begränsat åtgången utan också stulit patienters personuppgifter. Förödande för individen men också för samhället i stort.  

Hälsodata kan användas för att kunna se mönster och dra slutsatser om hela den europeiska befolkningen och vår hälsa,  om folksjukdomar, och vår hälsostatus i olika länder och kulturer. Detta kan bli en sårbarhet som en potentiell fiende kan ha stor nytta av. Ett biologiskt vapen som vet våra hälsomässiga sårbarheter, ett elakt virus som bara biter på nordbor, krigsförberedelser för att kunna upprätta biometriska system och allt som data och AI i kombination kan åstadkomma både som skada och nytta.  

Storskalig datadelning är således inte riskfritt, varken för individers personuppgifter eller för Sverige, och särskilt inte i den mest kritiska säkerhetspolitiska världen på över 100 år. Cybersäkerheten är en central del i att förebygga och hantera dessa risker. 

Cybersäkerhetens roll i totalförsvaret 

I totalförsvarets kontext är cybersäkerhet inte längre ett komplement, utan snarare en förutsättning för att upprätthålla samhällets motståndskraft. Cybersäkerhet fyller flera avgörande funktioner som tillsammans utgör grunden för ett robust försvar. En central uppgift är att skydda kritisk information så att uppgifter om försvarsanläggningar, försörjningskedjor och befolkningsskydd inte hamnar i orätta händer. Samtidigt bidrar cybersäkerheten till kontinuitet och motståndskraft genom att upprätthålla samhällsviktiga funktioner även under pågående cyberangrepp.  

En annan viktig aspekt är säker kommunikation, som förhindrar att beslut manipuleras och avlyssnas. Dessutom har cybersäkerheten en förtroendeskapande funktion, den stärker både allmänhetens och samarbetspartners tillit till myndigheter och verksamheter, särskilt i krissituationer. Att skydda data och organisationer handlar därför inte enbart och om regelefterlevnad enligt exempelvis GDPR, CRA, CER eller NIS2, utan utgör en del av själva försvarsstrategin. Varje aktör inom samhället har ett ansvar för att bidra till att rusta Sverige mot både hybrida hot och angrepp, genom en kombination av cybersäkerhet och försvar. 


Cyberattack mot Sveriges kritiska infrastruktur 

Under året utsattes en kritisk aktör inom Sveriges infrastruktur för en omfattande cyberattack där stora mängder data uppges ha stulits från en extern filöverföringslösning. Även om kärnverksamheten visserligen inte påverkades i detta fall, visar händelsen tydligt graden och allvaret i de cyberhot som riktas mot svenska kritisk infrastruktur. Om störningar hade blivit följden skulle det kunna innebära en stor risk för hela Sveriges energiförsörjning. 

Incidenten understryker hur avgörande cybersäkerhet är för att skydda samhällsbärande funktioner och hur den blivit en mer central del av Sveriges totalförsvar och nationella motståndskraft.  

Tekniska, organisatoriska och juridiska skyddsåtgärder  

Hur kan organisationer arbeta proaktivt för att skydda sig? För att cybersäkerheten ska fungera som en effektiv rustning krävs en kombination av tekniska, organisatoriska och juridiska åtgärder. Bland de mest centrala skyddskomponenterna återfinns segmentering och redundans, som minskar risken för total kollaps vid angrepp. Lika viktigt är kryptering och användning av säkra kommunikationskanaler, vilka skyddar känslig information även vid avlyssning.  

En välfungerande cybersäkerhetsstrategi, som är till för att hålla ihop hela säkerhetsarbetet, kräver, utöver de tekniska åtgärderna, även kontinuerlig hotövervakning och en tydlig incidentrespons, så att attacker snabbt kan identifieras och neutraliseras. Utbildning och övning av personal är avgörande för att säkerställa att rätt åtgärder vidtas i skarpt läge. Slutligen bidrar dataminimering och riskbaserad hantering till att begränsa mängden information som kan utnyttjas av angripare. Tillsammans utgör dessa åtgärden delar av den rustning som krävs att förstärka och försvara Sveriges digitala infrastruktur.  

Slutsats: En digital sköld i en osäker värld 

I en tid där gränsen mellan fred och konflikt allt oftare suddas ut, har cybersäkerhet blivit mer än ett tekniskt skydd, det är ett strategiskt försvarssystem som måste vara starkt redan i fredstid.  

Ett effektivt cybersäkerhetsarbete bygger på samverkan mellan juridiska, organisatoriska och tekniska skyddsåtgärder, där regelverk som GDPR, NIS2 och kommande EU-initiativ såsom EHDS utgör fundament för ett gemensamt europeiskt motstånd mot hybrida hot. Samtidigt måste det finnas en medvetenhet om att rättslig reglering enbart utgör en del av lösningen, för utan praktisk implementering, utbildning och resiliensbyggande insatser riskerar den att bli symbolisk. 

Endast genom att integrera cybersäkerhet i totalförsvarets struktur kan vi säkerställa att personuppgifter, krigets nya resurs, förblir skyddat och inte används som en sårbarhet. 

 

Relaterade inlägg