De vaktar demokratin
När Ryssland attackerar Ukraina sker det inte bara med vapen, utan även med cyberkrigföring och påverkansoperationer. I Sverige arbetar statstjänstemän med att skydda samhället och demokratin. Några värnar it-system, andra sanningen. Nyligen delades de upp i två olika myndigheter.
Det är valvaka i SVT söndagen den 9 september 2018. ”Nu när rösträkningen har pågått en tid så byter vi grafik i teverutan”, säger Anna Hedenmo när klockan är lite över nio på kvällen. ”De staplar ni hittills sett har visat resultaten av SVTs valundersökning, Valu, men det ni ser från och med nu är inrapporterade valresultat så här långt.”
SVT och flera andra medier sänder rösträkningen live. Siffrorna kommer direkt från det datorsystem där länsstyrelserna matar in distrikten så snart de är färdigräknade. Det ska också gå att följa rösträkningen direkt på Valmyndighetens sajt.
Men när resultaten började rulla in 9 september 2018 gick Sveriges officiella rösträkning plötsligt inte att nå.
Varför det skedde visste ingen under valnatten. Kanske berodde kraschen på att så många hade varit intresserade av att se valresultatet?
Så var det inte. Fem månader senare berättar Valmyndigheten i en rapport att det skett en överbelastningsattack.
– Webbplatsen blev svår att nå vid 20.30-tiden, när bara två distrikt var inrapporterade. Vid 01.30 gick det återigen att följa rösträkningen. Då var 5 980 distrikt av 6 004 klara med rösträkningen, säger Valmyndighetens kanslichef Anna Nyqvist.
Vad berodde det på?
– Det var en DoS-attack.
Som det låg en avsikt bakom?
– Ja, det låg en avsikt bakom.
Någon hade sett till att datorer skickade så många anrop till sajten att den slutade fungera, en så kallad denial of service-attack, DoS. Om detta hade varit enda möjligheten för allmänheten att följa rösträkningen hade det kunnat rubba tilltron till valet. Men Anna Hedenmo och hennes kollegor fick löpande in resultat från de färdigräknade distrikten, vilket tittarna kunde se direkt i rutan.
– Det viktiga var att rösträkningen pågick och kunde följas i realtid precis som vanligt genom mediernas kanaler, säger Anna Nyqvist.
Förtroendeskadan blev begränsad, men ett visst spinn blev det. En högerextrem populistsajt skrev dagen efter valet att det fanns anledning att misstänka att saker inte stått rätt till, och valresultatet överklagades med påståenden om fusk.
I USA misstror en stor del av väljarna landets valresultat. Det skulle inte få ske i Sverige. Därför hade Myndigheten för samhällsskydd och beredskap, MSB, inrättat en särskild organisation, ungefär det som Polismyndigheten kallar särskild händelse, inför valet 2018.
– Valet skulle kunna genomföras och medborgarna skulle kunna lita på resultatet, säger Peter Jonegård, intern rådgivare på Cert-se, MSBs nationella Computer Emergency Response Team, en av de verksamheter som ingick i den särskilda organisationen.
Där fanns också den operativa avdelningens enhet informationspåverkan, med Mikael Tofvesson som chef. Och operativa avdelningens funktion tjänsteman i beredskap, tib, som är dörren in till MSB och alltid ska vara bemannad.
– Det är vi som sätter myndigheten på rull när något händer, säger Björn Dahlström där han sitter i ett litet sammanträdesrum i MSBs stora gröna hus alldeles intill vattnet vid Inre hamn i Karlstad.
Huset är ett skyddsobjekt. På ytterväggarna sitter gula skyltar som berättar att det är förbud mot tillträde utan tillstånd. Publikts reporter och fotograf har blivit hämtade i entrén, där en vänlig väktare kollat vår identitet mot listan på anmälda besökare. I den öppna avdelningen passerar vi en tidningshörna med tidskrifter och svensk och internationell dagspress, innan vi når korridoren med sammanträdesrummen där fotograf Øyvind Lund noga kontrollerar vad han får fotografera och inte.
Björn Dahlström har arbetat som tjänsteman i beredskap ända sedan MSB grundades 2009 och fram tills han bytte tjänst i oktober 2020.
– Jag kom från Räddningsverket. Vi som inte hade fasta tjänster fick söka det som fanns kvar. Det mest intressanta var tjänsteman i beredskap, som myndigheten hade störst behov av, säger han.
Arbetspassen är 48 timmar inklusive nattvila.
– När vi inte ”tibbade” hade vi omvärldsbevakning. Vi jobbar med öppna källor, söker på sociala medier och läser vanliga medier.
Målet är att tidigt kunna notera och följa händelser som kan få betydelse för Sverige. Som när Björn Dahlström satt tib 12 maj 2017.
– På förmiddagen såg vi i medier att en stor cyberattack drabbade journalhanteringssystem och liknande på sjukhusen i England, berättar han.
Hackare i jakt på pengar hade angripit tiotusentals datorer i ett hundratal länder. I Storbritannien blev många patienter utan vård när läkarna inte kom åt journaler och vårdresurser.
– Då tänker jag så här: Utmanar det Sveriges liv och hälsa? Ja, kanske. Utmanar det våra demokratiska värden? Nej. Utmanar det samhällets funktionalitet? Ja, kanske.
Alltså var det något som måste följas upp.
Björn Dahlström kontaktade Cert-se, som fysiskt finns i Solna. Hade de koll på det här? Jo, det hade de. På det avstämningsmöte som tibbarna för elva av MSBs funktioner håller varje morgon kunde han sedan avrapportera vad som hänt i England, berätta att det också nått Sverige och försäkra sig om att Cert-se följde ärendet.
Så lätt blir man inte av med alla händelser. I dag arbetar Björn Dahlström med stabsutbildningar vid MSBs utbildningscenter Sandö i Ångermanland, men hans sista tio månader som tib präglades helt av pandemin.
Den särskilda organisation som blev följden av den pågick under mer än ett och ett halvt år, från 31 januari 2020 till 15 september 2021, frånsett några dagar i februari 2020 då den var försatt i viloläge.
Totalt var 451 personer involverade.
– Första kvartalet hade vi folk som gjorde väldigt många övertidstimmar.
När läget normaliserades sommaren 2021 var det många medarbetare som gick in i väggen.
– En särskild organisation är anpassad till ett kortare skeende, som en skogsbrand. Inte till det här, säger Björn Dahlström, som då var huvudskyddsombud för ST.
Att han och STs avdelningsordförande Jan Fenelius, tidigare Karlsson, är på plats i MSBs stora hus hör till ovanligheterna. De flesta av myndighetens 1 340 anställda, varav 370 är medlemmar i ST, har arbetat hemma under pandemin.
– Här har jag mitt kontor. Det har jag alltid med mig, säger Jan Fenelius och klappar på sin ryggsäck.
När MSB flyttade in i sitt nya huvudkontor 2018 infördes aktivitetsbaserade arbetsplatser.
– Det var inte alla som var positiva till det då, men i dag kan vi säga att det blev en träning i att jobba hemma. Tack vare det hade vi mycket lättare att hitta bra arbetsformer under pandemin, säger Björn Dahlström.
Nu är många bekymrade för hur det ska gå att återgå till kontoret.
– Men den som vill har möjlighet att teckna en överenskommelse om att få arbeta hemifrån upp till 50 procent varje månad, om verksamheten så tillåter, säger Jan Fenelius.
Den fysiska arbetsmiljön har varit ett problem. I början satt många vid köksbordet med sin laptop. Det var inte tillåtet att ta med kontorsutrustning från jobbet.
– Så småningom blev det bättre. Nu får vi låna hem kontorsutrustning som skärm, tangentbord och dockningsstation, säger Jan Fenelius.
Björn Dahlström reser sig upp för att kolla bokningen av sammanträdesrummet som vi sitter i. När tiden är på väg att ta slut bokar han om via en dosa i korridoren utanför dörren.
De börjar berätta om hur myndighetens anställda är vana att satsa allt när det verkligen behövs.
– Vi har en kultur av att när det händer något så har vi medarbetare som tar tag i det och jobbar häcken av sig. Det fick allvarliga följder när den särskilda organisationen under pandemin blev så enormt långdragen, säger Jan Fenelius.
Själv fick han som ST-avdelningsordförande hantera en generaldirektör som reste till Kanarieöarna under pandemin och därefter tvingades avgå.
Han berättar att han upplevde det som obehagligt att bli uppringd av journalister som förväntade sig att fackordföranden skulle vara kritisk mot sin generaldirektör, när han tvärtom var mycket nöjd med Dan Eliasson.
– Vi hade ett väldigt bra samarbete, en rak och bra dialog. Han var särskilt mån om att vi skulle ha möjlighet att påverka och jag har fortfarande svårt att tro att han inte hade tillräckliga skäl för att resa, säger Jan Fenelius.
Skandalen med Dan Eliassons julresa faller in i ett mönster av kritik mot makthavare som syntes säga en sak under pandemin men göra en annan privat.
Men viruset lockade fram fler berättelser. Andreas Önnerfors, idéhistoriker och gästprofessor vid University of California i Berkeley, publicerade på uppdrag av MSB i april 2021 en studie om konspirationsteorier och covid-19. Där visar han hur en rad uppdateringar av äldre konspirationsteorier fått ny spridning.
Att det skedde är inte märkligt, menar han.
– Konspirationsteorin erbjuder en enkel lösning på stora komplicerade frågor. Det gör den attraktiv att sprida, säger Andreas Önnerfors.
Det gäller inte bara pandemin. Ryssland har tidigare anklagat sociala myndigheter i Norge, Finland och Baltikum för att systematiskt tvångsomhänderta ryska barn. De senaste månaderna har socialtjänsten i Sverige kämpat mot nya desinformationskampanjer i sociala medier om att Sverige gör likadant mot muslimska barn.
– Det är en klassisk konspirationsteori. Den innehåller ett korn av sanning som vi alla känner till, att socialtjänsten inte alltid gör allt hundraprocentigt rätt, och kompletteras med gamla berättelser om tvångskonverteringar eller sexuellt utnyttjande. Eftersom den har berättats tidigare känns den igen. Då är det bara att koppla nya vagnar efter loket, säger Andreas Önnerfors.
Men det behöver inte ligga onda avsikter bakom alla typer av störningar. Det blir tydligt i MSBs årsrapport för 2021, som tar upp 343 rapporterade it-incidenter. Systemfel och misstag är de vanligaste orsakerna. Angrepp kommer först på tredje plats.
Statliga myndigheter är skyldiga att rapportera allvarliga incidenter och har berättat om 261 av fallen. Ändå sker det inte alltid.
– Vi är fullt medvetna om att det finns ett mörkertal och vi vet förstås inte vad det är för orsak till de incidenter vi inte fått veta något om, säger Peter Jonegård på Cert-se, den verksamhet vid MSB som har uppdraget att stödja samhället i arbetet med att förebygga och hantera it-incidenter.
Bakom vissa angrepp finns en omedelbar avsikt från främmande makt att påverka opinion och beslutsfattande. I andra fall kan den avsikten vara svår att upptäcka, konstaterar han när den ryska invasionen i Ukraina har pågått i några dagar.
– I Ukraina har vi nu sett intrång i webbservrar för att publicera budskap som ska så oro hos befolkningen. Vi har också sett överbelastningsattacker och skadlig kod som ska göra datorer obrukbara och nätfiske för att möjliggöra utskick av desinformation via sms och mejl.
Även Sverige utsätts för cyberkrigföring.
– När Wada gjorde nedslag mot rysk dopning så försökte Ryssland skifta fokus genom att göra intrång hos Riksidrottsförbundet. De rotade fram en massa mejl om svenskar som hade dispens och som använt mycket astmamedicin, för att det skulle se ut som om det var något skumt, berättar Peter Jonegård.
Ofta berättar inte rättsvårdande myndigheter vem som ligger bakom ett intrång, även om man vet det.
– Men i detta fall pekade Sverige ut Ryssland, om än mycket senare, säger Peter Jonegård.
I april 2021 publicerade Åklagarmyndigheten ett pressmeddelande om att Säkerhetspolisen lägger ned en förundersökning om misstänkt grovt dataintrång från rysk underrättelsetjänst. Enligt pressmeddelandet har enhet 26165 vid den militära underrättelsetjänsten GRU gjort intrång i Riksidrottsförbundets datorer under 2017 och 2018 och kommit över information om svenska idrottares hälsotillstånd.
I pressmeddelandet beskriver kammaråklagare Mats Ljungqvist vad som hänt: ”Informationen har publicerats offentligt och baserat på dessa uppgifter har även svensk media skrivit artiklar som överensstämmer med GRU:s narrativ att svartmåla idrottare och idrottsorganisationer i väst”.
Vid det laget hade ärendet lämnat Peter Jonegårds ansvarsområde på Cert-se och blivit en sak för Mikael Tofvesson, som då var chef för MSBs enhet för omvärld och beredskap.
Från och med 2016 hade regeringen i regleringsbrevet gett MSB uppdraget att ”ha en god förmåga att identifiera och möta informationspåverkan och annan spridning av vilseledande information riktad mot Sverige”. När främmande makt försökte få oss att tro på lögner eller skapade konflikter som gynnade deras intressen, så var det Mikael Tofvessons bord.
Det är det fortfarande. Men nu arbetar han inte längre på MSB.
I ett särskilt yttrande från MSB till utredningen om att inrätta en ny myndighet för psykologiskt försvar skriver Mikael Tofvesson i egenskap av expert att MSB inte ställer sig bakom förslaget, utan vill behålla uppdraget. Myndigheten ”kan inte se hur det psykologiska försvaret stärks” genom att flytta verksamhet till en ny myndighet. ”Vi befarar att detta kommer att påverka den samlade psykologiska försvarsförmågan negativt”, skrev han.
Regering och riksdag lyssnade inte. 1 januari 2022 inrättades den nya Myndigheten för psykologiskt försvar, MPF. Chef för det operativa arbetet med att ”värna det öppna och demokratiska samhället, den fria åsiktsbildningen samt Sveriges frihet och oberoende” är just Mikael Tofvesson.
Ett par månader in på det nya året är han inte lika orolig över vad den förändrade myndighetsorganisationen kommer att få för effekter.
– Då var jag en talesperson för vad MSB tyckte, så det var inte bara mina personliga åsikter, säger han i telefon från sin nya arbetsplats, dit hela hans avdelning med drygt 20 medarbetare följt med.
Det finns både fördelar och nackdelar, menar han nu. En fördel är ett tydligare uppdrag och mycket större ekonomiska resurser. En nackdel att man inte sitter i samma hus som den nära samarbetspartnern Cert-se.
– Vi fikade ju ihop, hängde med dem. Det klart att det blir skillnad när vi inte ses i matsalen varje dag, säger Mikael Tofvesson.
När vi pratar i telefon är det andra dagen av Rysslands fullskaliga attack på Ukraina. Ryska stridsvagnar står i Kievs norra förort Obolon.
– Ryssland har just nu fokus på själva konflikten. Det är inte samma påverkan mot Sverige som normalt.
Till en början försökte Ryssland konstruera ett antal påhittade skärmytslingar för att motivera invasionen.
– Men de lyckades inte skapa någon gnista, och då rullade de bara in.
Ryssland har hittills inte varit väldigt aktiva i Sverige, enligt Mikael Tofvesson.
– Men vi får nog ta det som en signal att även Sverige kan bli mer påverkat av rysk informationspåverkan.
Gränsdragningen mellan ansvarsområdena för Cert-se hos MSB och den nya myndigheten MPF kan ofta vara en fråga om tid. Mikael Tofvesson kallar det ”hack’n’leak”. En aktör gör intrång, vilket hanteras av Cert-se. Sedan läcks det stulna materialet till en annan aktör som använder det för informationspåverkan, vilket hanteras av MPF. Det ryska intrånget i svenska idrottares sjukdomshistorik hos Riksidrottsförbundet är ett bra exempel.
Ett annat kunde möjligen vara överbelastningsattacken mot Valmyndighetens server 2018.
– Det skapade ju rykten om valpåverkan och fusk, även om det inte var något som påverkade det faktiska valet, säger Mikael Tofvesson.
Men om främmande makt tros ha legat bakom just den attacken kommenterar han inte. Inte heller vilka andra exempel det finns.
– Det kan vara svårt för oss att avslöja om vi vet att det finns en främmande makt i bakgrunden. Då påvisar vi vad vi vet, säger han.
Nu samverkar MPF och Cert-se på nytt inför höstens val.
– Vi tar med oss de gamla planerna från MSB-tiden nu när vi går in i den nya myndigheten. Det är ett typexempel på hur smidig övergången kan vara när man planerar tillsammans.
När Sverige går till val 11 september hoppas Valmyndighetens kanslichef Anna Nyqvist slippa överbelastningsattacker som den som släckte myndighetens sajt 2018.
Attacken polisanmäldes. Förundersökningen leddes av Annika Wennerström, senior åklagare med inriktning på it-brott hos riksenheten mot internationell och organiserad brottslighet, som beslöt att lägga ned den.
– Brottsplanen var så uttänkt att man inte skulle komma fram till en person. Förövarna hade använt sig av anonymiserade e-postadresser och IP-nummer. Det fanns inga ytterligare åtgärder att vidta, säger hon.
Vid höstens val är målet som vanligt att alla ska kunna följa röstsammanräkningen, både i medierna och på Valmyndighetens hemsida, säger Anna Nyqvist på Valmyndigheten.
– Vi har vidtagit många åtgärder för att försöka se till att det inte händer igen. Samtidigt är vi medvetna om att det aldrig går att skydda sig hundraprocentigt mot en tillräckligt kraftfull aktör som försöker genomföra en sådan attack.
Två myndigheter med uppdrag att skydda samhället
Myndigheten för samhällsskydd och beredskap, MSB, har ansvar för frågor om skydd mot olyckor, krisberedskap och civilt försvar. Ansvaret avser åtgärder före, under och efter en olycka, kris, krig eller krigsfara. Myndigheten har sitt säte i Karlstad och har även verksamhet i Stockholm och Kristinehamn, samt på tre utbildningsskolor. Myndighetens förvaltningsanslag för 2022 är 1 449 miljoner kronor. Vid myndigheten finns Cert-se, Computer Security Incident Response Team, som har uppgiften att stödja samhället i arbetet med att hantera och förebygga it-incidenter.
Myndigheten för psykologiskt försvar, MPF, inrättades 1 januari 2022. Myndigheten har ansvar för att identifiera, analysera och bemöta otillbörlig informationspåverkan och annan vilseledande information som är riktad mot Sverige eller svenska intressen, och att utveckla och stärka samhällets samlade förmåga till psykologiskt försvar. Myndigheten har sitt huvudkontor i Karlstad men har verksamhet även i Solna. Myndighetens förvaltningsanslag för 2022 är 103 miljoner kronor.
