Hvordan svarer man tilbage på et cyberangreb?

Hvordan svarer man tilbage på et cyberangreb?

26.04.2017

.

Hvilke regler gælder, når stater ønsker at svare igen på en cybertrussel, og kan et cyberangreb legitimere et modsvar i form af kamptropper og bombetogter? Politiske ledere mangler at forholde sig til cyberkrigsførelsens mange facetter som ét samlet billede i sikkerhedspolitikken.

Af Line Drewes og Anders Rømeling

Cyberkrigsførelse som strategisk våben og magtmiddel er i hastig udvikling, og de sidste 10 år er internettet for alvor blevet etableret som ny krigsskueplads mellem statsmagter. I 2011 udpegede USA’s forsvarsminister, Robert Gates, cyberspace som det femte krigsdomæne efter land, hav, luft og det ydre rum, og Barack Obama understregede, at den amerikanske digitale infrastruktur fremover ville høre under landets “nationale sikkerhed”. Amerikanernes fokus på cyberkrigsførelse kommer efter en årrække, hvor verden har oplevet stadig mere komplekse og vidtrækkende cybertrusler, der ikke kun rammer datacentre og infrastruktur, men også politiske valg i USA og i Frankrig. Sidste sommer blev Demokraternes Nationale Konvent (DNC) i USA hacket, efter alt at dømme af den russiske hackergruppe APT28, også kendt som ‘Fancy Bear’. Ligeledes har kredsen omkring den franske præsidentkandidat Emmanuel Macron tidligere i år beskyldt russerne for at stå bag tusindvis af hackerangreb mod Macrons kampagne. Senest har også Danmark været udsat for cyberkrigsførelse. Ifølge forsvarsminister Claus Hjort Frederiksen og Forsvarets Efterretningstjeneste har selvsamme APT28 i løbet en toårig periode skaffet sig adgang til interne emails og brugeroplysninger blandt Forsvarets ansatte. Talspersoner fra de russiske myndigheder har ligesom med hackerangrebene mod DNC og Emmanuel Macrons valgkampagne nægtet ethvert kendskab til angrebene mod det danske forsvar.

Med cyberdomænet som en ny og utæmmet kampplads kan det undre, at de stærkeste cyberkrigsførende nationer – USA, England, Israel, Iran, Kina og Rusland – tøver med at mødes ved forhandlingsbordet for at etablere et vis niveau af international stabilitet på området. Nedfældningen af et fælles regelsæt kunne hjælpe staterne med at skelne lovlige, accepterede cyberangreb fra ulovlige og måske minimere risikoen for, at kodede angreb eskalerer til fysiske, militære modsvar. Manglen på regler skyldes flere omstændigheder: For det første foregår cyberkrigen på et utal af kamppladser, herunder hack af valgsystemer, virusangreb mod infrastruktur samt virtuelt tyveri af immaterielle ejendomsrettigheder. En sådan mangfoldighed gør det svært for befolkninger og politiske ledere at koge de usammenhængende trusler ned til ét sikkerhedspolitisk billede. For det andet hersker der stor usikkerhed om, hvorvidt den eksisterende krigsret kan omfatte cyberkrigsførelse. Hvilke regler gælder, når stater eksempelvis ønsker at svare igen på en cybertrussel, og kan et cyberangreb legitimere et modsvar i form af kamptropper og bombetogter?

Sidst, og muligvis vigtigst af alt, udebliver et internationalt regelsæt, fordi cyberområdet endnu er for fristende, uudforsket og billigt til at lægge beslag på. Statsmagterne bruger i dag computerteknologien og internettet til at chikanere, påvirke og stjæle hemmeligheder fra hinanden i jagten på strategiske fordele, som styrker deres egne positioner.

 

Hvilke regler gælder, når stater eksempelvis ønsker at svare igen på en cybertrussel, og kan et cyberangreb legitimere et modsvar i form af kamptropper og bombetogter?
_______

 

En usammenhængende trussel
I sin spæde begyndelse i 1980’erne og 1990’erne var cyberkrigsførelse hovedsageligt en udvidet mulighed for at spionere bag fjendens linjer. Eksempelvis tilegnede amerikanerne sig som optakt til Golfkrigen i 1991 et detaljeret overblik over Saddam Husseins militær og den irakiske infrastruktur, inden de første amerikanske bomber blev kastet. Men med internettets udbredelse samt digitaliseringen af informationer, kommunikation og lagring, har cyberarsenalet vokset sig større og mere sofistikeret. I dag dækker cyberkrigsførelsen således ikke kun over spionage og overvågning, men også propaganda, chikane og sabotage. I 2010 stod USA og Israel bag Stuxnet-angrebet, hvor en computervirus i månedsvis saboterede Irans nukleare berigelsesfacilitet med det formål at afholde Teheran fra at bygge atomvåben. To år senere gik Iran fra at være cyberoffer til cyberaggressor, da de angreb deres regionale ærkerival, Saudi Arabien, ved at infiltrere olieselskabet Saudi Aramco med en orm, som ødelagde 30.000 computere og millioner af filer. Inden for de seneste år har Ukraines myndigheder anklaget Rusland for at stå bag tusindevis af hackerangreb mod sit elnetværk og centraladministration, og i dag taler USA åbent om kinesernes tyveri af amerikanske immaterielle ejendomsrettigheder til en værdi af 300 mia. dollar om året.

Som nævnt har cyberkrigsførelse også udvidet sig til hackingen af politiske institutioner som DNC samt nationale valgkampagner i Europa. Gerningsmændene bag rækken af angreb mod de forskellige politiske institutioner er ikke endeligt udpeget, men ifølge eksperter som Robert Morgus fra tænketanken New America er motivet ens: Internettet og dets digitale kommunikationsveje misbruges med det formål at skabe splittelse mellem befolkningerne og deres respektive, demokratiske institutioner.

Cyberkrigsførelsen har altså på få årtier udviklet sig fra at være et efterretningsværktøj brugt i militære operationer til også at tælle digitale sabotageangreb mod isolerede infrastrukturprojekter og senest som et strategisk redskab, der til et vis punkt obstruerer valgkampagner og sår mistillid blandt befolkninger. Når cyberkrigsførelsen har udviklet sig så hurtigt på relativ kort tid, skyldes det to udviklinger: Dels er både efterretningstjenester og selvstændige hackere blevet dygtigere til at finde nye offensive muligheder og svagheder i internettet; dels har moderne samfund, herunder Danmark, taget internettet og computerteknologien til sig i stort set alle dele af hverdagen. Og den udvikling vil kun fortsætte, når der i år 2020 forventes at være 40 milliarder internetforbundne enheder på verdensplan mod de 16 milliarder, vi har i dag. Jo flere internetforbundne enheder desto større risiko for at politiske institutioner, private virksomheder og individer udsættes for cyberangreb. Alt i alt betyder hackerangrebenes kompleksitet samt internettets voldsomme popularitet, at politiske ledere og borgere ikke har nået at forholde sig til cyberkrigsførelsens mange facetter som ét samlet billede i sikkerhedspolitikken.

 

Cyberkrigsførelsen har altså på få årtier udviklet sig fra at være et efterretningsværktøj brugt i militære operationer til også at tælle digitale sabotageangreb mod isolerede infrastrukturprojekter og senest som et strategisk redskab, der til et vis punkt obstruerer valgkampagner og sår mistillid blandt befolkninger.
_______

 

Eksempler på cyberkrigsførelse
Et overhængende spørgsmål trænger sig imidlertid på, når man bruger betegnelsen ‘cyberkrigsførelse’: Er der overhovedet tale om krig i traditionel forstand, når krigen på computere ikke indebærer fysiske kampe mellem fjendtlige fronter? Ifølge forfatter til bogen ‘Industries of the Future’, Alex Ross, kan offensive operationer i cyberkrigsførelse placeres i tre kategorier: Brud på et computernetværks fortrolighed, brud på adgangen til et computernetværk og endelig brud på computernetværkets integritet og funktion. Netværkets fortrolighed kompromitteres eksempelvis, når udefrakommende hackere stjæler eller lækker oplysninger, der normalt er forbeholdt en afgrænset gruppe. Hackerangrebet mod Forsvaret herhjemme falder i denne kategori.

Den anden af de tre gængse former for cyberangreb er nægtelsen af adgang til et netværk, ofte kendt som Distributed Denial of Service (DDoS). Her udsættes et netværk simultant for tusindvis eller hundredetusindvis af falske forespørgsler, der lammer netværket. Tilmed kan gerningsmanden kamuflere sit DDoS-angreb ved at lede angrebet igennem en række af vilkårlige computere, uden at computernes uskyldige ejere aner uråd. Ifølge Alec Ross er det typisk frivillige organisationer og medier uden store cyberforsvarsbudgetter, som udsættes for DDoS-angreb af statsmagter.

Endelig omfatter cyberkrigsførelsen også brud på et netværks integritet og funktion. Angrebene er mere fysiske i deres karakter, da formålet er at manipulere og sabotere computerprogrammering, som sætter infrastrukturfaciliteter ud af kraft. Både den amerikanske Stuxnet-virus mod Irans berigelsesfaciliteter i 2010 samt russernes formodede nedlæggelse af Ukraines el-netværk sidste år falder inden for denne sidste kategori.

Som eksemplerne illustrerer, efterlader cyberkrigsførelse sjældent rygende ruiner, døde eller sårede som vi kender fra andre konflikttyper. I bogen ‘World Order’ peger Henry Kissinger derfor på, at vi bør betragte cyberkrigsførelse som et nyt instrument i statsmagternes århundrede gamle kapløb om “strategiske fordele” inden for militær, finans, teknologi og politik. Dertil advarer Kissinger om, at den hemmelige og fordækte cyberkrigsførelse medfører en ny risiko mod international stabilitet og fred: Igennem historien har nationer kunne sondre mellem fredstid og krigstid, netop fordi fysiske kampe og konflikter mellem lande bogstavelig talt er foregået for øjnene af befolkningerne. Men med udviklingen af usynlige cyberkapaciteter, der undergraver og skader offeret uden dets vidende, vil skillelinjen mellem krig og fred i vores digitale tidsalder måske miste sin betydning.

Kissingers advarsel er muligvis FOR dystopisk: Konkurrende nationalstater har også før opfindelsen af internettet brugt spioner, efterretninger og sabotage til at udhule hinandens magtpositioner og samtidig tiltvinge sig økonomiske og militære gevinster. I den optik er cyberkrigsførelsen blot endnu et instrument i værktøjskassen. Ligeledes er det tvivlsomt, om fremtidens militære slag på landjorden, i luften og til havs vil blive erstattet af cyberkrigsførelsens virtuelle hacks, DDoS-nedbrud og virusangreb på nationale infrastrukturprojekter. Men det er svært at komme udenom, at cyberkrigsførelse medfører en række nye risici mod enkeltpersoner, organisationer og infrastruktur, og at akademikere og politiske ledere fortsat arbejder på at tøjle disse trusler som ét samlet koncept. På samme vis er der mange uafklarede spørgsmål på cyberkrigsførelsens indtog på slagmarken, når jurister og miltære ledere vil blive tvunget til at vælge et passende modsvar på et cyberangreb.

 

Med udviklingen af usynlige cyberkapaciteter, der undergraver og skader offeret uden dets vidende, vil skillelinjen mellem krig og fred i vores digitale tidsalder måske miste sin betydning.
_______

 

Krigsret og cyberkrigsførelse
I Tallinn-manualen, NATOs ikkebindende dokument for cyberkrigsførelse, lyder det, at grundlæggende normer som nationalstatens ukrænkelige ret til politisk og territorial selvbestemmelse bør gælde i cyberspace. Så langt, så godt, for det er straks mere uklart, hvordan stater bør svare igen, hvis de kommer under angreb. Som sagt tager cyberangreb typisk udgangspunkt i informationsmanipulation, fastfrysning eller tyveri af filer og hele netværk, altså immaterielle objekter. Så hvornår påberåber stater sig retten til at gengælde et angreb mod en værdi, vi kun kan se på en skærm? For at et internationalt regelsæt er brugbart, skal det kunne fastslå, om eksempelvis gengældelsesangreb kun må rettes mod implicerede hackere, computere og netværk, eller om det er passende at angribe et tilsvarende mål som infrastruktur eller militære myndigheder.

Endnu vigtigere er det, at reglerne dikterer, hvorvidt cyberangreb i særlige tilfælde sanktionerer væbnede modangreb. Uden aftalte spilleregler kan en statsmagt, der kommer under cyberangreb, svare igen uhensigtsmæssigt: Et afdæmpet modsvar kan blive tolket som et svaghedstegn og næppe afskrække modstanderen fra at sætte nye angreb ind. Derimod kan et for magtfuldt gengældelsesangreb af omverdenen fordømmes som en overreaktion. Et godt eksempel på usikkerheden omkring gengældelsesaktioner så vi med præsident Obamas udvisning af 35 russiske diplomater på baggrund af cyberangrebene mod DNC. Set med diplomatiske øjne var modtrækket proportionalt og forventet, men udvisningen kom først et halvt år efter hackerangrebet, endda uden at de amerikanske myndigheder kunne fremlægge nye beviser for Ruslands indblanding. Ifølge Flemming Splidsboel, seniorforsker ved Danmarks Institut for Internationale Studier, fulgte udvisningen nok de gængse spilleregler, men Obamas reaktion virkede bemærkelsesværdig og gammeldags. Fordi der i dag ikke findes en aftalt ramme for gengældelsesangreb, føler statsmagterne sig frem. Derfor, mener Kissinger, bør statsmagterne snarest mulig udforme et fælles regelsæt, så politiske ledere, rådgivere og befolkninger deler et en fælles opfattelse af cyberkrigsførelse.

 

Den lave tærskel for at kunne udføre hackerangreb gør cyberkrigsførelse til ”Det Vilde Vesten”, hvor driftsomkostningerne for at deltage er lave, de potentielle gevinster som eksempelvis militære og finansielle hemmeligheder er enorme, og risikoen for at blive opdaget er minimal.
_______

 

For fristende til at begrænse
Selvom et internationalt regelsæt for cyberkrigførelse potentielt set kunne hjælpe med at afklare, hvilke handlinger cyberkrigsførelse i grunden dækker over samt hvilke former for angreb og modsvar, statsmagterne kan acceptere som lovlige krigshandlinger, skal vi formentlig ikke forvente at se fælles spilleregler foreløbig. En afgørende hindring er nemlig statsmagterne selv. Ifølge Alec Ross og Henry Kissinger er magtpotentialet i cyberkrigsførelse i dag for uudforsket og for billigt at takke nej til. Modsat indsættelsen af specialstyrker bag fjendens linjer eller storstillede bombekampagner, kræver cyberkrigsførelse ikke mere end nogle computere med internetadgang, en flok dygtige programmører med stor tålmodighed. Den lave tærskel for at kunne udføre hackerangreb gør cyberkrigsførelse til ”Det Vilde Vesten”, hvor driftsomkostningerne for at deltage er lave, de potentielle gevinster som eksempelvis militære og finansielle hemmeligheder er enorme, og risikoen for at blive opdaget er minimal.

Med stadig flere serverfarme, smartphones og infrastruktur koblet til internettet har regeringer og efterretningstjenester – for ikke at nævne terrorister og kriminelle organisationer – al mulig grund til ikke at lade sig begrænse af fælles normer, men fortsat udvikle deres cybervåben, teste firmaers firewalls og staters tolerancetærskel. Hvad end målet er industrispionage, infrastrukturnedbrud eller påvirkning af andre landes befolkninger rummer cyberkrigsførelse fortsat mange uopdagede muligheder til, at statsmagterne i dag vil lade sig binde af et fælles regelsæt. Det eneste, mener Ross, der kan samle statsmagterne om forhandlingsbordet, er et omfattende cyberangreb svarende til 11. september 2001. Med andre ord, et angreb, der koster menneskeliv.

ILLUSTRATION: Senatets Intelligence Committee holder den første høring omkring Ruslands indblandning i den amerikanske valgkamp i 2016, Washington, 30. marts 2017 (foto: Jeff Malet/newscom/ritzau)

Line Drewes (f. 1987) er kandidat i international sikkerhed og folkeret ved Syddansk Universitet og kandidat i international ret ved University of Nottingham. Line har erfaring fra FN i Wien og Forsvarsakademiet i København samt fra sin post som bestyrelsesmedlem i FN-forbundet.

Anders Rømeling (f. 1985) er journalist og kandidat i international sikkerhed og folkeret ved Syddansk Universitet. Han har blandt andet arbejdet som presserådgiver i Forsvaret, ved European External Action Service samt den danske ambassade i Vilnius. Anders fokuserer særligt på cyberkrig, teknologi og sikkerhedspolitik.