Sveriges digitale forsvar trues av USAs innfall

Selv om den amerikanske cybersikkerhetsmyndigheten nå midlertidig har sikret fortsatt drift, viser hendelsesforløpet hvor ekstremt sårbart systemet er når det hviler på én enkelt nasjons skjønn, skriver Jonas Hasselberg, konsernsjef i Omegapoint.

Denne artikkelen ble først publisert i Dagens Industri 6 mai 2025.

I siste liten har USA midlertidig forlenget støtten til verdens viktigste cybersikkerhetsdatabase, CVE, som er helt avgjørende for håndteringen av sårbarheter globalt. Sverige og EU må snarest bygge opp et eget system for å beskytte oss mot digitale sårbarheter, skriver Jonas Hasselberg, konsernsjef i Omegapoint.

CVE (Common Vulnerabilities and Exposures) er en åpen, sentral database over oppdagede sikkerhetshull i programvare og systemer. Den gir it-sikkerhetsselskaper, organisasjoner og utviklere mulighet til raskt å identifisere, utbedre og dele informasjon om sårbarheter – før de utnyttes. CVE har vært avgjørende i håndteringen av sårbarheter som Heartbleed og Log4Shell, som truet kritisk infrastruktur, helsetjenester, finansielle systemer og millioner av brukere verden over. CVE har vært en bærebjelke i det digitale forsvaret, like grunnleggende som brannvesenet for fysisk sikkerhet.

Sveriges digitale systemer er dypt integrert med amerikansk teknologi. Vi er i praksis avhengige av sanntidsdata fra CVE for å kunne reagere raskt på sikkerhetstrusler. Uten databasen står vi blinde overfor truslene. Risikoen for at CVE forsvinner helt i neste budsjettvedtak i USA er ikke bare teoretisk – den er reell.

Selv om den amerikanske cybersikkerhetsmyndigheten nå midlertidig har sikret videre drift, viser hendelsesforløpet hvor ekstremt sårbart systemet er når det hviler på én nasjons godtykke – spesielt en nasjon hvor den politiske viljen kan skifte dramatisk over natten. At et så sentralt globalt verktøy som CVE nesten forsvant på grunn av byråkratisk eller ideologisk tilbaketrekning i USA, viser at vi ikke lenger kan stole på at våre digitale forsvarssystemer er i trygge hender. Den finansieringsforlengelsen som nå er gjennomført varer normalt i 6–12 måneder og skal ikke sees som et løfte om langsiktig finansiering.

Vi trenger et robust alternativ. Et mulig rammeverk å hente inspirasjon fra er DNS-systemet, som i dag er ryggraden for hvordan internettadresser håndteres globalt. DNS (Domain Name System) oversetter nettadresser til IP-adresser og drives av ICANN, en nøytral ideell organisasjon. ICANNs stabile modell finansieres gjennom medlemsavgifter fra domeneregistratorer, styres med bred representasjon fra teknologibransjen, akademia, sivilsamfunn og myndigheter, og opereres åpent og transparent.

På lignende måte kan CVE-håndteringen overføres til en global, uavhengig enhet – en Global Vulnerability Identifier Authority (GVIA). GVIA kunne finansieres via medlemskap og bidrag fra sikkerhetsselskaper, skyplattformer og offentlige aktører som EU og USA, styres åpent av et bredt sammensatt styre og teknisk drives i nært samarbeid med for eksempel ENISA (EUs cybersikkerhetsmyndighet) og CISA (USAs cybersikkerhets- og infrastruktursikkerhetsmyndighet). Dette vil redusere sårbarheten for politiske utsving og sikre en langsiktig stabil og upartisk håndtering av globale cybersikkerhetstrusler.

Med en ustabil amerikansk administrasjon, hvor beslutninger om cybersikkerhet risikerer å bli tatt på grunn av innenrikspolitikk snarere enn globalt ansvar, er det åpenbart at vi ikke kan fortsette å håpe at USA “fikser det”. Når samme administrasjon nylig slo ut overvåkningsorganet for databeskyttelse, truet det GDPR og vår rett til digital integritet. Nå risikerer dette å skje igjen – denne gangen mot vår evne til å forsvare oss mot cyberangrep.

MSB må nå ta ledelsen, sammen med sin europeiske motpart ENISA, og sikre at vi bygger en europeisk CVE – eller enda bedre: tar en ledende rolle i å bygge en global løsning som er robust, åpen og fri fra enkeltstaters luner.

Jonas Hasselberg, konsernsjef i Omegapoint