Cybersäkerhetsekonomiska strategier gynnar ett säkrare samhälle

Digitaliseringen öppnar nya möjligheter för hela samhället. Både privat och offentlig sektor har under de senaste decennierna utvecklat nya digitala arbetssätt. Det är en utveckling som dels ger möjlighet att göra samma saker snabbare och effektivare, dels möjlighet att göra helt nya saker som tidigare var omöjliga. Potentialen är alltså mycket stor, även om det inte alltid är självklart vare sig hur vi bäst ska kunna dra full nytta av den eller hur produktivitetsförbättringar till följd av digitalisering och automatisering rätteligen bör mätas. Klart är emellertid att digitaliseringen är här för att stanna. Vi arbetar, studerar och umgås på nya sätt idag jämfört med för ett par decennier sedan och covid 19-pandemin har ytterligare påskyndat den utvecklingen. 

Detta medför emellertid inte bara nya möjligheter, utan även nya utmaningar. Ständigt kommer nyheter om cyberincidenter, såväl oavsiktliga misstag och olyckor som avsiktliga angrepp. Ett axplock från de senaste åren inkluderar osäker lagring av körkortsuppgifter och patientjournaler, avbrott i tjänster som Bank-ID, Swish och kortbetalningar och uppmärksammade fall av ransomware. Det sistnämnda fenomenet fick kanske sitt genombrott i det allmänna medvetandet under 2021; först med angreppet på Colonial Pipeline i maj som allvarligt påverkade drivmedelsförsörjningen på hela den amerikanska östkusten och sedan med REvil-angreppet i juli som i Sverige stängde ner hundratals Coop-butiker. Dessvärre är detta sakernas tillstånd regel snarare än undantag: det finns inget som tyder på att incidenterna kommer att avta i framtiden. Det är allvarligt, eftersom säkra och pålitliga tjänster är en förutsättning för att uppnå digitaliseringens fördelar. Vare sig autonoma industrirobotar, självkörande bilar eller innovativa fintech-tjänster kan leva upp till sin potential om de ständigt drabbas av avbrott eller om angripare lätt kan manipulera dem.

Cybersäkerhet betraktas ofta som ett rent tekniskt problem. Attacksimuleringar, AI-baserad spaning efter misstänkt aktivitet och bättre kryptografi är exempel på tekniska lösningar som får stor uppmärksamhet. Otvivelaktigt är sådan teknikutveckling viktig och har potential att ge oss säkrare system. Men cybersäkerhet är inte enbart ett tekniskt problem. Säkerheten, eller bristen därpå, uppstår när en mänsklig användare nyttjar tekniken i ett organisatoriskt och ekonomiskt sammanhang. Det betyder att bättre cybersäkerhet också kan uppnås på andra sätt än genom tekniska åtgärder. 

2006 introducerade Anderson och Moore ämnet informationssäkerhetsekonomi (eng. economics of information security) i en inflytelserik artikel i Science. De argumenterar övertygande för att grundorsakerna till många informations- och cybersäkerhetsproblem går att förstå utifrån nationalekonomi. Varför investerar företag inte tillräckligt i säkerhet? Därför att den som sprider skadlig kod eller orsakar driftavbrott för andra inte bär hela kostnaden. Molntjänster och integrationslösningar kopplar samman moderna IT-miljöer så att fakturor, ordrar, saldon, mätvärden med mera ständigt flödar mellan olika aktörer. Detta ökar produktiviteten, men möjliggör samtidigt att såväl avbrott som skadlig kod kan spridas på samma sätt. Bristande säkerhet hos någon utsätter alla för risk (se exempelvis Dieye med flera för en empirisk studie av spridningseffekter av cyberangrepp). Under sådana omständigheter är det naturligtvis fortfarande värt att investera en del i säkerhet, men knappast att bekosta stora säkerhetsinvesteringar hos alla andra som man är hopkopplad med, med risken att någon av dessa ändå klantar till det. Den här sortens resonemang är ett starkt argument för att det troligen investeras för lite i cybersäkerhet (se exempelvis Gordon med flera men notera att Acemoglu med flera nyanserar bilden). Cybersäkerhetsbrister är kort sagt negativa externaliteter, precis som utsläpp av föroreningar. 

Varför konkurreras inte sårbar eller opålitlig programvara ut av bättre alternativ? Anderson och Moore svarar att det beror på att det är nästan omöjligt för köparna att skilja säker och osäker programvara åt. Då varken kan eller vill de betala extra för säkerhet. Marknaderna för nästan alla digitala tjänster lider alltså av asymmetrisk information på samma sätt som Akerlofs berömda begagnade bilar. Därmed blir betalningsviljan för säkerhet låg och incitamentet för säljaren att utveckla säkra produkter mindre. Liksom med de begagnade bilarna finns det förvisso mekanismer som kan mildra effekterna av informationsasymmetrin, exempelvis garantier eller varumärken: stora mjukvaruföretag med starka varumärken har mycket att förlora på att sälja osäkra produkter eftersom de vill sälja till köpstarka kunder över lång tid. Men för små och nystartade mjukvarutillverkare kan det tvärtom vara tillväxtstrategiskt rationellt att skjuta säkerheten på framtiden: först skapa en produkt och få kunder, sedan försöka göra den säkrare. 

Det är den här sortens resonemang som får Anderson och Moore att dra slutsatsen att låg säkerhet minst lika ofta uppstår på grund av dåliga incitament som på grund av dålig design. Om de har rätt i det så betyder det i sin tur att lika mycket kraft och forskningsmöda borde läggas på att studera och åtgärda dåliga incitament som på att studera och åtgärda dålig teknisk design. Sådan forskning är inte bara akademiskt intressant utan också praktiskt användbar: Moore argumenterar för att ganska små interventioner som justerar incitament och korrigerar uppenbara marknadsmisslyckanden kan få stor positiv effekt på cybersäkerheten i ett land. Det kan i så fall vara avsevärt billigare än stora teknikprojekt för att uppnå motsvarande säkerhetsökning. 

Tyvärr har de cybersäkerhetsekonomiska frågeställningarna ännu inte väckt så mycket uppmärksamhet bland svenska forskare (några undantag finns; se Hermelin med flera och Franke). Kanske beror det på att området ligger mitt emellan olika akademiska discipliner och kräver teknikintresserade ekonomer eller ekonomiintresserade teknikvetare (som undertecknad) – kanske helst bådadera – för att bli givande. Hursomhelst finns det all anledning för fler nationalekonomer att intressera sig för cybersäkerhet. Några exempel på spännande forskningsfrågor, helt utan anspråk på att vara uttömmande, är följande:

• Vad kostar egentligen cyberincidenter? Det är inte svårt att hitta braskande rapporter om höga incidentkostnader, men det finns påtagliga metodproblem (se Florêncio och Herley och Anderson med flera) och många av dem som gör undersökningar av incidentkostnader har sina egna agendor. Inte ens lagstadgad obligatorisk incidentrapportering i enlighet med EU:s NIS-direktiv tycks ge kostnadsdata av särskilt god kvalitet. 
   
• När borde cyberincidenter offentliggöras? Utifrån resonemanget om asymmetrisk information ovan kan det vara rimligt att ställa krav på att incidenter offentliggörs så att marknaden får mer information om vilka produkter som är säkra respektive osäkra. Bilden kompliceras dock av att offentliggörande av incidenter inte bara ger mer information till köpare och säljare, utan också till illasinnade angripare. Huruvida angripare eller försvarare gynnas mest är en öppen fråga och varje sorts offentliggörande måste därför noga utvärderas utifrån sina egna villkor. 
   
• Hur hänger cybersäkerhet ihop med konkurrens och marknadskoncentration? Geer med flera illustrerar pedagogiskt problemet: Å ena sidan finns det goda skäl att tro på skalfördelar inom cybersäkerhet: Ett litet företag som knappt ens har en IT-ansvarig på heltid har sannolikt inte råd med en anställd cybersäkerhetsexpert. Å andra sidan finns det också anledning att tro på skalnackdelar inom cybersäkerhet. För det första är stora bolag ofta mer attraktiva måltavlor för riktade angrepp, eftersom det finns mer att stjäla där. För det andra är system med många användare ofta stora, komplicerade och ständigt under vidareutveckling. Därmed blir de svåra att överblicka och hålla säkra. Själva komplexiteten blir en säkerhetsrisk – en tydlig skalnackdel. Vilken tendens som väger över i vilka sammanhang är en spännande empirisk fråga. 
   
• Vilken roll kan och bör försäkringsbranschen spela i cybersäkerhetssammanhang? Säkerhetsexperten Bruce Schneier menade entusiastiskt redan för tjugo år sedan att ”i framtiden kommer försäkringsbranschen att styra datorsäkerhetsbranschen”. Det som talar för den tesen är att försäkringsbolag är experter på riskhantering, att de kan göra stora risker hanterbara genom att sprida dem på många aktörer och att de kan använda premiesättningen för att skapa incitament för kunderna att bli mer säkra. Men medan vi har tillförlitlig och mer eller mindre heltäckande statistik över trafikolyckor, bränder och översvämningar har vi ingen motsvarande bra statistik över cyberincidenter. Det betyder att cyberförsäkringspremierna kan vara för höga eller för låga – ingen vet säkert (se exempelvis OECD och Franke för ett svenskt perspektiv). Warren Buffett dömde 2018 ut branschen med omdömet att ingen riktigt vet vad de ger sig in på när de ställer ut cyberförsäkringar.
   
• Hur ska vi leta efter sårbarheter effektivt? Allt fler mjukvaruutvecklande företag belönar dem som rapporterar sårbarheter i deras produkter (eng. bug bounty) och minskar därmed frestelsen att i stället utnyttja dem för egen vinning. Men att utforma belöningsprogram för att hitta sårbarheter är inte helt lätt, bland annat eftersom olika program konkurrerar med varandra om bugjägares uppmärksamhet.

Dessa – och andra – cybersäkerhetsekonomiska frågeställningar har den gemensamma nämnaren att de både är akademiskt intressanta och praktiskt relevanta. Nationalekonomer har mycket att bidra med för att göra dagens och morgondagens digitaliserade samhälle säkrare. 

Text: Ulrik Franke, Senior forskare, RISE

Källor: 

Se den längre versionen av denna artikel som publicerades ursprungligen i Ekonomisk Debatt vol 50, nr 2, 2022.