Även om den amerikanska cybersäkerhetsmyndigheten nu tillfälligt säkrat fortsatt drift, visar händelseförloppet hur extremt sårbart systemet är när det vilar på en enda nations godtycke, skriver Jonas Hasselberg, koncernchef Omegapoint.
Denna artikel publicerades först i Dagens Industri 6 maj 2025.
I sista sekunden har USA tillfälligt förlängt stödet till världens viktigaste cybersäkerhetsdatabas CVE som är helt avgörande för hanteringen av sårbarheter världen över. Sverige och EU måste snarast bygga upp ett eget system för att skydda oss mot digitala sårbarheter, skriver Jonas Hasselberg, koncernchef Omegapoint.
CVE (Common Vulnerabilities and Exposures) är en öppen, central databas över upptäckta säkerhetshål i mjukvara och system. Den ger IT-säkerhetsföretag, organisationer och utvecklare möjlighet att snabbt identifiera, åtgärda och sprida information om sårbarheter – innan de utnyttjas. CVE har varit avgörande i hanteringen av sårbarheter som Heartbleed och Log4Shell, vilka hotade kritisk infrastruktur, sjukvård, finansiella system och miljontals användare världen över. CVE har varit en pelare i det digitala skyddet, lika grundläggande som brandkåren i fysisk säkerhet.
Sveriges digitala system är djupt integrerade med amerikanska teknologier. Vi är i praktiken beroende av realtidsdata från CVE för att kunna agera snabbt på säkerhetshot. Utan databasen står vi blinda inför hoten. Risken att CVE försvinner helt i nästa budgetbeslut i USA är inte bara teoretisk – den är reell.
Även om den amerikanska cybersäkerhetsmyndigheten nu tillfälligt säkrat fortsatt drift, visar händelseförloppet hur extremt sårbart systemet är när det vilar på en enda nations godtycke – särskilt en nation där den politiska viljan kan svänga kraftigt över en natt. Det faktum att ett så centralt globalt verktyg som CVE varit nära att försvinna på grund av en byråkratisk eller ideologisk reträtt i USA visar att vi inte längre kan lita på att våra digitala skyddssystem är i trygga händer. Den förlängning av finansieringen som nu genomförts gäller normalt 6–12 månader och ska inte ses som ett åtagande om långsiktig finansiering.
Vi behöver ett robust alternativ. Ett möjligt ramverk att inspireras av är DNS- systemet, som i dag är ryggraden i hur internetadresser hanteras globalt. DNS (Domain Name System) är den struktur som översätter webbadresser till IP-adresser och drivs av ICANN, en neutral ideell stiftelse. ICANN:s stabila modell finansieras av medlemsavgifter från domänregistrarer, styrs genom bred representation från teknikindustrin, akademin, civilsamhället och myndigheter, och opereras öppet och transparent.
På liknande sätt skulle CVE-hanteringen kunna överföras till en global, fristående entitet – en Global Vulnerability Identifier Authority (GVIA). GVIA skulle finansieras via medlemskap och bidrag från säkerhetsföretag, molnplattformar och offentliga aktörer som EU och USA, styras öppet av en bred sammansatt styrelse och drivas tekniskt i nära samarbete med exempelvis ENISA (EU:s cybersäkerhetsmyndighet) och CISA (USA:s cybersäkerhets- och infrastruktursäkerhetsmyndighet). Detta skulle minska sårbarheten mot politiska svängningar och säkerställa en långsiktigt stabil och opartisk hantering av globala cybersäkerhetshot.
Med en instabil amerikansk administration, där beslut om cybersäkerhet riskerar att fattas på grund av inrikespolitiskt spel snarare än globalt ansvarstagande, är det uppenbart att vi inte kan fortsätta hoppas att USA ”fixar det”. När samma administration nyligen slog ut övervakningsorganet för dataskydd, hotades GDPR och vår rätt till digital integritet. Nu riskerar detta att ske igen – denna gång mot vår förmåga att försvara oss mot cyberangrepp.
MSB måste nu ta täten, tillsammans med sin europeiska motsvarighet ENISA, och säkerställa att vi bygger ett europeiskt CVE – eller ännu bättre: tar en ledande roll i att bygga en global lösning som är robust, öppen och fri från enskilda staters nycker.
Jonas Hasselberg, koncernchef Omegapoint