Den senaste tidens härva kring Googles verksamhet i Kina berodde delvis på massiva IT-attacker mot företaget. På kort tid drabbades även andra utländska företag, såväl i Kina som i utlandet. Sannolikt ligger nationalistiskt orienterade hackergrupperingar bakom attackerna, men att bevisa detta är mycket svårt eftersom internet möjliggör anonymitet och digitala spår kan döljas. Cyberoperationer som kan spåras till Kina är inte en ny företeelse utan en del av en trend som bör förstås ur ett vidare perspektiv. Svenska företag och andra verksamheter är inte immuna mot händelseutvecklingen utan kan drabbas direkt eller indirekt.
Från en säkerhetspolitisk utgångspunkt har Kinas växande ekonomiska makt och industripolitiska ambitioner också en militärstrategisk innebörd. Den globala maktbalansen håller på att förskjutas och motsättningar kan uppstå – speciellt i cyberrymden, något som kan få allvarliga konsekvenser i den ”verkliga världen”. I likhet med andra stormakter utvecklar Kina förmåga att bedriva informationsoperationer över internet samtidigt som man bygger upp ett skydd för sin egen kritiska informationsinfrastruktur. Utifrån traditionella militära förutsättningar kan Kina i dag ännu inte mäta sig med sin främsta konkurrent, USA. Men i cyberrymden torde förhållandena vara mer jämlika.
Den kinesiska regimen kritiseras hårt för sin kontroll av informationsflödet på internet och över mobila nät. Pekings utgångspunkt är dock att detta är en vital uppgift. Enligt regimen handlar det om att slå vakt om landets säkerhet med målet att uppnå stabilitet och vad de kallar ett ”harmoniskt samhälle”. Under ledning av Industri- och IT-ministeriet MIIT har ett omfattande system byggts upp för övervakning av kommunikationen mellan privatpersoner, företag och organisationer. Över 20 000 personer sägs vara involverade i att övervaka användningen av internet i landet. Enligt den statliga nyhetsbyrån Xinhua kontrollerar Kinas tre ledande telekomoperatörer innehållet i de SMS som distribueras genom deras nät. Västerländska företag som Google och American Online har varit behjälpliga med att lägga in spärrar och filter i sökttjänster i syfte att censurera information.
I olika sammanhang har Kina pekats ut som ett land utan tillräckliga regleringar, ett ”vilda östern”, för skadlig cyberverksamhet. Det omfattar såväl försök till cyberspionage och kriminalitet på nätet som politiskt motiverade hackerattacker, så kallad hacktivism. Det är viktigt att poängtera att aktiviteterna inte har någon uppenbar koppling till regimen.
Enligt uppgifter från den amerikanska försvarsmakten uppgår kostnaden för cyberspionage, i form av förluster av viktiga data, till tusentals miljarder kronor årligen. Detta inkluderar även industrispionage och stöld av egendom. Hotet är särskilt allvarligt för de stater som bygger sin industriella styrka på innovationer.
Under våren 2009 uppdagades ett mycket stort cyberspionagenät, GhostNet, som bland annat beskrivits av dagstidningen New York Times. Närmare 1 300 datorer som använts av ambassader och konsulat från 103 länder har blivit infekterade av så kallade trojaner som gömts i e-postmeddelanden. Trojanerna har i sin tur stått i kontakt med servrar i Kina. Genom kommandon från servrarna har vissa av de infekterade datorerna laddat ned och installerat en avancerad trojan, Gh0st Rat. Denna trojan har i sin tur tagit över datorerna som därmed kunnat styras på distans i realtid. I vissa fall har kamerafunktioner, inspelning och ljud aktiverats på avstånd. Vem eller vilka som initierat och utfört operationen är okänt.
En trend som beskrivs i olika källor är att kinesiska hackers utvecklas alltmer mot cyberkriminalitet. Internetsäkerhetsföretaget McAfee har uppskattat den globala årliga omsättningen av den typen av kriminalitet till över 1 000 miljarder dollar. Det finns således stora pengar att hämta för kinesiska cyberkriminella inom områden som kreditkortsbedrägerier, identitetsstöld, hackning av spelsajter samt storskalig utveckling av skadlig kod som säljs vidare till tredje part. Många mindre och medelstora företag har tvingats betala för ”beskyddarverksamhet” till hackergrupperingar för att slippa attacker på sina webbsidor och verksamheter på nätet, till exempel e-handel. Men företeelsen är inte enbart ett problem för omvärlden utan drabbar i hög grad även kinesiska konsumenter.
De kinesiska myndigheterna försöker att stävja detta. Ministern för offentlig säkerhet, Meng Jianzhu, sade i december 2009 att polisen skulle ”slå ned med kraft” mot den brottslighet som växer fram på internet. Cyberkriminalitet har blivit en industri uppdelad i olika affärsområden. Vissa specialiserar sig på att utveckla trojaner, andra sprider dessa, en tredje kategori stjäl bankinformation och en fjärde deponerar och tvättar pengar. En av de mest lukrativa delarna är att sälja så kallade ”loopholes”, det vill säga säkerhetsluckor som finns i stora företags hemsidor. Andra delar är att leasa ut stora nät med datorer, så kallade botnets, för spridning av virus. Ett annat lukrativt område är att hacka dataspelservrar och ”ta” virtuella figurer och sälja dem på auktionssajter såsom eBay.
Men en av de mesta allvarliga hotbilderna är politiskt motiverade hackeraktiviteter, så kallad hacktivism. Hacktivisterna arbetar för att främja sitt lands intressen med olika metoder. Mycket pekar på att det finns ett antal nationalistiskt inriktade hackergrupperingar i Kina vilka samarbetar med löst sammansatta grupper utomlands. De agerar anonymt på nätet, koordinerar sina aktiviteter via webbsidor och väljer ut lämpliga mål att attackera. Målen kan vara enskilda företag, individer eller offentliga organ i ett specifikt land. Utöver dessa grupper finns ett antal fristående individer, i Kina och i utlandet, som agerar mer eller mindre på egen hand. Attacker kan initieras spontant, ofta i samband med politiska händelser. Den amerikanska bombningen av Kinas ambassad i Belgrad 1999 följdes till exempel av massiva angrepp av hacktivister mot amerikanska webbplatser. Sådana attacker sker kontinuerligt och i mycket stor skala, vilket den senaste Google-incidenten visat.
Utifrån ett säkerhetspolitiskt perspektiv blir det allt viktigare att följa det kinesiska agerandet i cyberrymden, men även situationen i andra stormakter. För svenskt näringsliv och samhälle är det av stor vikt att fördjupa kunskaperna och riskmedvetenheten. Det måste finnas en beredskap för att kunna hantera sådana situationer där företag och organisationer utsätts för olika typer av kriminell verksamhet över nätet.
Det nyligen lagda utredningsförslaget från regeringen att inordna funktioner för IT-incidenthantering på Myndigheten för samhällsskydd och beredskap (MSB) är ett viktigt steg mot ökad informationssäkerhet på nationell nivå. Det behövs också internationell samverkan och lagsystem för att reducera konsekvenser av skadlig cyberaktivitet. Inom FN:s nedrustningsorgan UNIDIR pågår diskussioner mellan medlemsländer kring hur man ska gå till väga för att utveckla gemensamma spelregler. Tongivande länder som USA och Ryssland har dock olika syn på vad som ska regleras och hur det ska ske. Dessa meningsskiljaktigheter bör studeras i syfte att utverka en svensk nationell policy som grund för hur vi ser på den växande hotbilden av cyberantagonism.
Roland Heickerö
forskningsledare, FOI
Jerker Hellström
analytiker och Kinakännare, FOI