Redan 2018 signerade USA:s dåvarande president Donald Trump John S. McCain National Defense Authorization Act – en lag som trädde i kraft 2019 och som innebar att amerikanska myndigheter förbjöds att använda produkter från exempelvis telekom-företagen Huawei, ZTE och Hytera Communications samt Hikvision och Dahua som tillverkar säkerhetsteknik, främst inom kamerabevakning. Förbudet omfattar även OEM-produkter. Dessutom avkrävs tillverkare certifiering på att de lever upp till NDAA (National Defense Authorization Act) som bland annat innebär att kamerorna ej får innehålla komponenter från vissa kinesiska tillverkare.
Kinesisk underrättelselag
Det närmaste Sverige har kommit något liknande är uteslutningen av kinesiska Huawei i 5G-auktionen. Anledningen till att det kinesiska företaget inte fick vara med var att Säkerhetspolisen och Försvarsmakten bedömde Huawei som en säkerhetsrisk då man menar att den kinesiska staten – med stöd av den kinesiska underrättelselagen – kan utöva påtryckningar på Huawei för att få tillgång till känslig information. Deras och de flestas tolkning av lagen i korthet är nämligen att Kina kan avtvinga såväl kinesiska medborgare som kinesiska bolag att lämna ut information om den exempelvis kan vara av militärt intresse.
Cyberhotet ökar
Såsom underrättelselagen tolkas av Säkerhetspolisen torde även uppkoppling av andra produkter från kinesiska tillverkare, exempelvis säkerhetskameror, innebära risker. Men är det så? Securityuser försökte få svar från Säpo-chefen Klas Friberg via Säpos pressavdelning, men fick svaret att han inte vill medverka. Istället inkom ett skriftligt svar på frågan om huruvida användning av kinesisk teknik/mjukvaror som ska kopplas upp utgör en risk. ”När det kommer till vilken typ av teknisk utrustning verksamheter använder är det inget vi närmare kan uttala oss om”.
Säkerhetspolisen vill inte heller kommentera hur den ser på USA:s bannlysning av kinesiska säkerhetsprodukter. Frågan är uppenbart känslig.
I en kommentar till Post- och telestyrelsens beslut att exkludera Huawei i 5G-utbyggnaden skrev dock Säpochefen Klas Friberg att den kinesiska staten bedriver cyberspionage för att främja sin egen ekonomiska utveckling och utveckla sin militära förmåga. ”Det sker genom omfattande underrättelseinhämtning och stöld av teknologi, forskning och utveckling. Det här måste vi förhålla oss till när framtidens 5G-nät byggs. Vi kan inte kompromissa med Sveriges säkerhet”.
Vattenfall är en annan aktör som inte vill diskutera användning av kinesisk teknik med Securityuser: ”Vi gör kontinuerliga och egna bedömningar av säkerhetshot och risker. Oavsett land eller leverantör så gör vi alltid riskanalyser och teknik som är uppkopplad är inget undantag”, svarar bolaget i en skriftlig kommentar.
MSB pekar inte ut särskilda länder
En myndighetsperson som däremot svarar på frågor är Johan Turell, senior analytiker på MSB:s avdelning för cybersäkerhet och säkra kommunikationer. Han betonar dock att MSB inte heller pekar ut några produkter från särskilda länder.
– Om man införskaffar produkter som är uppkopplade eller behöver vara uppkopplade för att fungera, då måste man ha klart för sig vad produkterna gör med den information som de behandlar, samlar in eller identifierar. Och det gäller oavsett om produkten kommer från Kina eller någon annanstans, säger han.
Johan Turell menar också att det kan finnas en baksida med att blockera det fria flödet av teknik: en följdeffekt kan bli brist på viss teknik eller komponenter – under pandemin har det till exempel uppstått brist på halvledare.
Hotaktörer inte största problemet
Under 2020 rapporterades 88 stycken NIS-incidenter – som är IT-incidenter i samhällsviktiga och digitala tjänster. Enligt MSB var bara två av dem angrepp. Många störningar har istället koppling till incidenter hos underleverantörer, och särskilt hos större företag inom it-tjänster och hos leverantörer av kommunikationstjänster, menar MSB.
– Det blir ofta mycket fokus på hotaktörer och angrepp, men när vi tittar på den evidens vi har så är den egna organisationens hantering av infrastruktur ett mycket större problem, alternativt organisationers beroende av leverantörer av tjänster, säger Johan Turell.
IT-problem vanligare än attacker
Mellan hälften och upp till tre fjärdedelar av alla incidenter handlar om att en leverantör av IT-tjänst till en samhällsviktig verksamhet har någon typ av problem, till exempel att journaler inte öppnas eller transporter störs.
– Och den typen av saker får man inte glömma bort. Även om man har ett säkerhetspolitiskt perspektiv på säkerhetsfrågorna är det så att normalläget kommer att vara att vi har prolem som inte har att göra med hotaktörerna och som pågår samtidigt. Vår förmåga att bemöta angrepp är avhängig av att andra saker fungerar, och gör de inte det kan följderna bli mycket värre än de skulle blivit av enbart angreppet, säger Johan Turell avslutningsvis.