När BankID och Swish kraschade – så sårbart är Sverige egentligen

Det kontantlösa samhällets baksida: När vardagen går i lås

Sverige har under det senaste decenniet sprungit snabbare än något annat land mot en helt digitaliserad ekonomi där fysiska sedlar och mynt nästan har raderats ur det offentliga rummet. Denna utveckling har hyllats som effektiv och modern men när de digitala systemen sviker uppstår en omedelbar handlingsförlamning hos befolkningen. Utan fungerande digital legitimering och direkta överföringar försvinner möjligheten att genomföra även de mest triviala transaktioner i vardagen. Det handlar inte bara om lyxkonsumtion utan om fundamentala behov som att kunna köpa mat eller mediciner på ett apotek där systemen kräver identifiering.

Den digitala exkluderingens plötsliga verklighet

När tekniken faller blir den digitala klyftan plötsligt en realitet för alla oavsett teknisk kunskapsnivå eller ålder. De som har förlitat sig helt på mobila lösningar står handfallna vid kassan när terminalen visar felmeddelanden eller när appen fastnar i ett evigt laddningshjul. Det skapar en stressreaktion i samhället där osäkerheten kring den egna ekonomiska rörligheten blir påtaglig och skrämmande för många medborgare. Människor tvingas lämna kvar fyllda matkassar i butiker eftersom det inte finns någon alternativ betalningsmetod som accepteras av de moderna kassasystemen.

Transportnätet som stannar upp

Sårbarheten sträcker sig långt utanför butikshyllorna och påverkar hela landets rörlighet på ett mycket drastiskt sätt. Kollektivtrafik och fjärrtåg är numera nästan uteslutande kopplade till digitala biljettsystem där BankID krävs för både köp och validering av resenärens identitet. En krasch innebär att pendlare inte kan ta sig till sina arbeten och att resenärer blir strandsatta på perronger utan information. Det finns sällan en manuell reservplan vilket gör att en teknisk störning i mjukvaran snabbt transformeras till ett logistiskt kaos i den fysiska världen.

Följande exempel illustrerar hur djupt beroendet har rotat sig i den svenska vardagsrytmen:

• Möjligheten att låsa upp delade transportmedel som cyklar eller elsparkcyklar blockeras helt för användarna.

• Föräldrar kan inte betala för barnens skolluncher eller hämta ut nödvändiga paket från ombud.

• Parkeringstjänster i städerna blir obrukbara vilket leder till böter eller att bilar lämnas kvar.

• Småföretagare som förlitar sig på Swish för sin dagliga försäljning tappar hela sin omsättning.

Denna extrema optimering för smidighet har skapat ett system utan stötdämpare där varje liten friktion ger stora utslag. Vi har kollektivt valt bort analog redundans för att spara tid och pengar men vi har samtidigt valt bort vår egen motståndskraft. När infrastrukturen tystnar står vi där med våra mobiler som dyra pappersvikter medan de tomma bankomaterna påminner oss om en svunnen tid. Det krävs en ny diskussion om hur vi kan behålla digitaliseringens fördelar utan att vara så hjälplösa vid driftstopp.

En centraliserad flaskhals: Monopolet på vår identitet

I hjärtat av det svenska digitala miraklet finns en konstruktion som är både genialisk och djupt problematisk ur ett säkerhetsperspektiv. BankID ägs och drivs av ett konsortium av storbanker vilket innebär att en privat aktör i praktiken kontrollerar tillgången till statliga tjänster. Denna centralisering har skapat en effektiv standard men har också skapat en enda punkt för misslyckande som påverkar miljontals människor samtidigt. När denna specifika nyckel slutar fungera låses inte bara bankkontot utan även kontakten med myndigheter som Skatteverket och Försäkringskassan.

Det privata ägandet av en samhällsfunktion

Att en så kritisk infrastruktur ligger i händerna på privata företag skapar en intressant juridisk och praktisk paradox i Sverige. Staten har lagt ut ansvaret för medborgarnas digitala identitet på marknadskrafterna vilket sparar skattemedel men minskar den demokratiska insynen och kontrollen. Om bankernas servrar går ner har regeringen mycket begränsade möjligheter att ingripa för att återställa ordningen omedelbart. Det skapar en situation där nationens funktionalitet vilar på privata säkerhetsprotokoll och teknisk underhållskvalitet hos kommersiella storbanker.

Avsaknaden av statliga alternativ

Diskussionen om ett statligt e-legitimation har pågått under lång tid men implementeringen har dragit ut på tiden på grund av tekniska och politiska hinder. Under tiden har BankID blivit så djupt integrerat i alla lager av samhället att det är svårt att introducera en konkurrent utan massiva investeringar. Det rådande monopolet gör att det inte finns någon naturlig reservutgång när huvudsystemet drabbas av tekniska störningar eller överbelastning. Medborgarna är därmed fångade i en struktur där det inte finns någon plan b för digital identifiering.

Brister i den nuvarande centraliserade modellen blir särskilt tydliga i följande scenarier:

• Vid uppdateringar av säkerhetscertifikat som misslyckas och stänger ute stora grupper av användare samtidigt.

• När äldre eller personer med funktionsvariationer exkluderas på grund av krav på specifik hårdvara.

• I situationer där bankerna väljer att spärra tjänsten för specifika individer utan rättslig prövning.

• Under perioder av extrem nätbelastning då autentiseringen prioriteras ned till förmån för andra processer.

Vi står inför en utmaning där vi måste balansera enkelheten i ett enhetligt system mot de risker som följer med en sådan koncentration av makt. En fungerande demokrati kräver att medborgarna alltid kan nå sina rättigheter och skyldigheter oavsett om en privat tjänst ligger nere. Denna sårbarhet är inte bara en teknisk detalj utan en grundläggande fråga om hur vi organiserar vår gemensamma infrastruktur. Att diversifiera metoderna för identifikation är därför en nödvändighet för att stärka den nationella stabiliteten i en osäker framtid.

Från systemfel till cyberkrig: Är vi redo för en riktig blackout?

När vi talar om krascher i våra betalsystem handlar det ofta om tekniska olycksfall men i en mörkare omvärldsbild är dessa system primära mål för fientliga aktörer. En koordinerad attack mot Sveriges finansiella infrastruktur skulle kunna ha samma effekt som en fysisk invasion utan att ett enda skott avlossas. Genom att lamslå förmågan att handla och identifiera oss kan en motståndare skapa panik och misstro mot statens förmåga att skydda sina medborgare. Det är en form av hybridkrigföring där den digitala sårbarheten utnyttjas för att destabilisera hela samhällsordningen.

Den finansiella infrastrukturen som krigsskådeplats

Sveriges unika position som ett nästan kontantlöst land gör oss till ett särskilt attraktivt mål för cyberattacker från främmande makt. Om en angripare lyckas bryta ner kopplingen mellan bankerna och användarna under en längre tid uppstår snabbt en försörjningskris. Folk kan inte köpa drivmedel eller mat och logistikkedjorna bryts när betalningar för frakt och råvaror uteblir på grund av tekniska spärrar. Denna typ av angrepp siktar på att bryta ner den sociala sammanhållningen genom att skapa akut resursbrist i ett annars välmående folk.

Psykologisk krigföring genom digitala störningar

Effekten av en digital blackout är inte bara praktisk utan i högsta grad psykologisk då den skapar en känsla av hjälplöshet hos individen. När man inte kan lita på att pengarna på kontot är tillgängliga undergrävs förtroendet för hela det ekonomiska systemet och statens auktoritet. En fientlig aktör kan använda små men återkommande störningar för att nöta ner tålamodet och skapa en känsla av permanent kris i samhället. Det är en sofistikerad metod för att påverka politiska beslut och folkviljan genom att visa hur skört det moderna livet egentligen är.

Följande hotbilder visar varför den digitala beredskapen måste prioriteras på högsta nivå i försvarsplaneringen:

• Riktade överbelastningsattacker mot noderna där BankID och Swish möter det publika internet.

• Infiltrering av de interna nätverken hos de stora bankerna för att manipulera saldon eller transaktionsloggar.

• Fysiskt sabotage mot fiberkablar och datacenter som hyser den kritiska mjukvaran för betalsystemen.

• Spridning av desinformation i samband med tekniska avbrott för att förstärka rädslan och förvirringen.

Att bygga motståndskraft handlar därför om mer än att bara ha bättre servrar; det handlar om att ha analoga alternativ redo för krislägen. Myndigheten för samhällsskydd och beredskap betonar vikten av att ha kontanter hemma men det räcker inte om butikernas system kräver el och internet för att fungera. Vi behöver en nationell strategi som ser betalsystemen som en del av det totala försvaret och inte bara som en bekvämlighet i vardagen. Endast genom att erkänna vår sårbarhet kan vi börja bygga det skydd som krävs för att säkra vår framtid i en digital värld.