Ordet cybersäkerhet

Cybersäkerhet smygs in lite varstans i Försvarsmakten. Det låter coolt och fräscht, men är oftast bara IT-säkerhet i svengelsk språkdräkt. Då ord har en fundamental betydelse för människors kommunikation kan icke-definierade begrepp få negativ påverkan på informationssäkerheten.

Cybersäkerhet - någonstans mellan cyberspace och cybervärld. Enligt SAOL betyder cyber datorsimulerad. Är då cybersäkerhet en slags simulerad IT-säkerhet? Förmodligen inte, även cybersex kan ju vara på riktigt, nästan som ett cyberfysiskt system.

Cybersäkerhet – någonstans mellan cyberspace och cybervärld. Enligt SAOL betyder cyber datorsimulerad. Är då cybersäkerhet en slags simulerad IT-säkerhet? Förmodligen inte, även cybersex kan ju vara på riktigt, som ett cyberfysiskt system.

Ett motiv för att använda begreppet cybersäkerhet är att det nyligen har beskrivts i ett betänkande från NISU-utredningen (SOU 2015:23). Att begreppet förekommer där kan inte nu tas till intäkt för att begreppet kommer att finnas i någon författning som styr skydd av informationstillgångar. Ordet cybersäkerhet finns heller inte i det författningsförslag som NISU-utredningen presenterat i betänkandet (sidorna 27-34). Där används istället ordet informationssäkerhet. Ett enskilt betänkande är ändå ett för tidigt steg i lagstiftningskedjan för att ändra begrepp internt i Försvarsmakten, i synnerhet när det är fråga om befintliga legaldefinierade begrepp, såsom informationssäkerhet.

NISU-utredningen har kommit fram till att Sverige i sina internationella relationer bör använda begreppet cybersäkerhet. Detta betyder inte att andra begrepp ersätts. Tvärtom, på sidorna 43-44 i betänkandet står:

För svensk myndighetsintern verksamhet och med den sammanhängande normgivning går det utan tvekan bra att även framdeles använda begreppet informationssäkerhet, medan större kontextuell precision är tillrådlig så fort en internationell dimension gör sig gällande; när ett större perspektiv ska anläggas som räknar in samarbete med andra länder och skyddsåtgärder mot kända eller okända antagonistiska aktörer är cyberförstavelsen inte bara politiskt utan också tekniskt att föredra. (..) För inrikes angelägenheter dvs. där det är informationen snarare än landet, staten eller rättsordningen som är skyddsobjekt täcker begreppet informationssäkerhet flertalet av de i betänkandet föreslagna åtgärderna, medan cybersäkerhetsbegreppet gör sig mer gällande när perspektivet avser svenskt förhållande gentemot andra hot. Begreppet informations- och cybersäkerhet bör användas när båda delarna åsyftas, såsom skett t.ex. vid Myndigheten för samhällsskydd och beredskap där ett verksamhetsområde för informations- och cybersäkerhet bildats.”

Betänkandet från NISU-utredningen är ett av flera aktuella betänkanden som regeringen behöver samordna för att lämna förslag till riksdagen. Ett annat viktigt betänkande är En ny säkerhetsskyddslag (SOU 2015:25) vars författningsförslag inte heller innehåller cybersäkerhetsordet. Även där används informationssäkerhet.

Jag har fått höra att Försvarsmakten i praktiken redan gått på alternativet att helt ta bort begreppet IT-säkerhet och kalla det cybersäkerhet. Det är falskt. Det må vara enskilda befattningshavares uppfattning, men är inte giltigt för hela myndigheten. Såtillvida att inte någon tagit på sig ÖB:s mössa, beslutat det och glömt att tala om det för resten av oss som arbetar inom området.

En beskrivning som jag sett klarlägga skillnaden mellan IT-säkerhet och cybersäkerhet är att det senare syftar på ”skydd mot främmande makt”. Det är heller inte sant. Redan i dag ska informationssäkerheten som del av säkerhetsskyddet ge ett skydd mot bl a spioneri, sabotage och andra brott som kan hota rikets säkerhet (6 och 7 §§ säkerhetsskyddslagen). Den gränssättande aktören i detta sammanhang är andra staters underrättelsetjänster som kan ha vilja, förmåga och kapacitet att inhämta eller påverka information, t ex genom angrepp på IT-system. IT-säkerheten är en del av informationssäkerheten. ”Skydd mot främmande makt” är således ingen nyhet, åtminstone inte för mig som arbetar i den militära säkerhetstjänsten.

Att göra en uppdelning mellan IT-säkerhet och cybersäkerhet baserad på ett kriterium innebär också att ett IT-system kan behöva både IT-säkerhet och cybersäkerhet. Då blir systemet antagligen väldigt säkert…

I FOI-rapporten Informationsarenan och Cyberspace som begrepp från 2011 finns en intressant genomgång av begrepp såsom cyber och cyberspace. En slutsats i rapporten är att prefixet cyber i möjligaste mån bör undvikas och bara användas i de sammanhang när dess intresseförstärkande egenskaper är viktigare än djupare förståelse.

Min uppfattning är att cybersäkerhet till övervägande del används som synonym till IT-säkerhet och informationssäkerhet. Jag har ett visst överseende med språkbruket. I vissa verksamheter används cyberord i den större internationella kontext som NISU-utredningen beskriver. Jag ser en fara i att cyberorden kan komma att användas för att medvetet kringgå de regler som finns. Exempelvis skulle någon kunna påstå att ett visst system inte omfattas av reglerna för IT-säkerhet, eftersom systemet ska ha cybersäkerhet. Språket utvecklas – tack och lov. Men begrepp för att beskriva skydd i informationshanteringen ska tas fram mot en saklig och korrekt grund.

≈ ≈ ≈

Norge har anammat cyberordet fullt ut. Där är t o m radarstationer en del av cyberförsvaret. En intressant utveckling.

/Kim Hakkarainen

4 kommentarer

Publicerad i IT-säkerhet, Säkerhetsskydd

4 kommentarer till Ordet cybersäkerhet

  1. Intressant blogginlägg! I arbetet med nya TR 50 var det tydligt att det inte finns en tydlig definition av cybersäkerhet i Sverige. På något sätt har det blivit ett ”hype”-ord som man kan sätta före alla andra existerande IT- och informationssäkerhetsbegrepp. Men ingen kan egentligen förklara skillnaden.

    När det gäller radarstationer i Norge kommer jag mycket väl ihåg vårt gamla svenska koncept med ett nätverksbsaerat försvar som innehöll mängder av ”cyber”. Ett exempel var cybersoldater, vad det nu är/var (elaka tungor inom Försvaret antog att det rörde sig om vanliga soldater med ett @ i nacken…).

    Min teori är i alla fall att cybersäkerhet är informationssäkerhet i cyberspace, dvs. på Internet. Men en trend är ju att alltmer som anses samhällskritiskt förses med cyber framför.

    Det hade varit bra med en samsyn på detta begrepp så vi kunde slippa en del av förvirringen runt användningen av begreppet!

    Lars Söderlund
    UPPSEC AB

  2. Petter Claesson

    Hej Kim, mycket bra artikel, tack för den.

    Som du antyder används termen cybersäkerhet på ett sätt som är mycket förvillande och tillför ingenting. Den terminologi som redan används inom informationssäkerhetsområdet är fullt tillräcklig.

    Att NISU använder termen cybersäkerhet och pekar på internationella relationer som orsak visar mer på okunnighet än något annat.

    Gartner gjorde en definition av termen 2013 och deras slutsats var:
    ”Cybersecurity encompasses a broad range of practices, tools and concepts related closely to those of information and operational technology security. Cybersecurity is distinctive in its inclusion of the offensive use of information technology to attack adversaries.”

    M.a.o. det är en militär term för offensiv informationskrigföring som överförts till den civila sektorn och där ska den på något sätt likställas med informationssäkerhet.

    Som sagt, en mycket förvillande term, ju fortare den stryks från ordlistan desto bättre.

  3. Pingback: Förstöring av hemliga pappershandlingar – och hur de kan återskapas | /Kim Hakkarainen

  4. Pingback: Reflektioner om informationssäkerhetsarbetet på nio myndigheter och cybersäkerhet i Försvarsmakten | /Kim Hakkarainen

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *