Kontaktperson
Så bygger vi informationssystem som håller i kris
1989 föll Berlinmuren, och i samma veva tog digitaliseringen av samhället fart. Men när säkerhetsläget nu hårdnar behöver vi tänka nytt kring hur våra informationssystem ska skyddas. Det är inte säkerhet à la en ny mur som behövs, snarare är det grässtråets egenskaper som guidar till resilienta informationssystem.
En rejält byggd mur kan stå emot attacker länge, men när den väl faller då faller den hårt. Tegelstenar trillar, armeringsjärn sticker ut, dammet ryker. Från att ha varit ett skydd är den helt plötsligt något som är i vägen, ett trasigt hinder man till och med kan skada sig på om man inte är försiktig.
– Hela vårt samhälle är idag uppbyggt runt olika former av digitala, hoplänkade informationssystem, säger Carl Heath, senior forskare och fokusledare för området digital resiliens på RISE.
– De började byggas ut stort under 1990-talet, åren efter Berlinmurens fall, när säkerhetsläget såg ganska optimistiskt ut. Men sedan februari 2022 är det helt annorlunda. Vi måste utveckla vårt sätt att tänka om säkerhet, och utöver att tänka på robusthet också tänka mer på resiliens.
Grässtrået böjer sig för vinden men reser sig igen
Ett robust system är som muren. Det kan stå emot väldigt mycket men när det väl faller, då faller det hårt, gör ingen nytta, och är svårt att laga.
– Ett resilient system däremot ska både kunna stå emot och återhämta sig från störningar, kriser och hot, samtidigt som det kan bevara sin funktion, tillgänglighet och integritet. Man kan jämföra det med ett grässtrå som böjer sig för vinden – oavsett hur mycket det blåser och stormar så kommer det att resa sig igen.
Och att det är viktigt blir tydligt när Carl Heath börjar rada upp alla de sammankopplade informationssystem ett samhälle idag består och är beroende av: telekommunikation, energiförsörjning, trafikljus, eller bara en så enkel sak som en enskild bil. Digitaliseringen ger enorma möjligheter att möta vår tids sociala, miljömässiga och ekonomiska mål, men gör oss också enormt sårbara.
– När vi pratar om att informationssystem ska vara säkra, då pratar vi med andra ord om hela samhällets motståndskraft mot attacker. Allt från ransomware mot enskilda företag till storskaliga hybridattacker från statsaktörer.
Ett resilient system kommer i en sådan situation, till skillnad från ett robust system, inte att gå sönder och bli oanvändbart.
– Istället kommer det att anpassa sig. Kanske har det ett inbyggt sätt att koppla om information så att de viktigaste funktionerna fortfarande går att använda, men utan att röra sig i det skadade området så att det kan åtgärdas.
Det är jätteviktigt att de här frågorna är en del av det strategiska utvecklingsarbetet
Vad är det då som skapar ett resilient informationssystem?
– Tekniken måste såklart fungera, men ju mer sammankopplade vi blir desto tydligare blir det att den också måste organiseras.
Carl Heath tar energisystemet som exempel. Det existerar på flera olika organisatoriska nivåer (allt från det svenska stamnätet till solcellerna på sommarstugan och allt från det nationella Svenska Kraftnät ut till ett kommunalt energibolag), som alla måste klara av att interagera med varandra på ett säkert sätt.
– Regelverken för de här systemen måste tillåta dem att prata med varandra så att den information som behöver delas gör det, men också så att den information som ska vara hemlig förblir hemlig. Det är komplext, för det innebär att olika aktörer med helt olika förutsättningar måste samarbeta, annars blir det glapp.
För att uppnå resiliens krävs en målbild
Men hur uppnår man det? För det första krävs en målbild, en bild av hur den här digitala världen som är byggd under fred ska kunna motstå allvarliga hot, i slutändan kanske till och med krig.
– Man måste fråga sig vad man vill uppnå, vilka nivåer som är rimliga, vilka skyldigheter vi har. Det är jätteviktigt att de här frågorna är en del av det strategiska utvecklingsarbetet.
För det andra behöver vi känna till vilka system vi har på plats idag och de risker och hot de utsätts för. En viktig del i det här är övningen.
– Vi kan identifiera olika händelser och situationer i teorin, men för att verkligen förstå dem och veta hur de ska hanteras måste vi öva. Genom övning kan vi också upptäcka de risker och luckor vi inte hade tänkt på innan.
En sådan övning är Nordic Pine, en NATO-övning som över på hållbarheten i den nordiska energisektorn och där RISE är en huvudpartner.
– RISE består av 3000 nördar som har spetskompetens inom enormt många områden. Vi kan teknikutveckling och vi kan göra övningar, vi kan bidra med kunskapsöversikt och vi kan skapa mötesplatser. Att skapa resilienta informationssystem handlar om både teknik, organisation och människor och förutsätter att man kan hantera alla de här tre dimensionerna.