Mila Bahir: Skridt for skridt er cybertruslen blevet en undskyldning for statens brud på demokratiske retsprincipper
27.03.2019
.Spørgsmålet om trusler i cyberspace har de sidste 10 år rykket på grænserne for vores liberale demokrati. Politikerne og eksperternes opfattelse af trusler og sikkerhed i cyberspace har medvirket, at cyber blevet til et nationalt sikkerhedsspørgsmål.
Analyse af Mila Bahir
En grå januardag i 2018 fremlagde forsvarsminister Claus Hjort Frederiksen forsvarsforliget 2018-2023. Forinden havde de forskellige dele af Forsvaret ventet spændt på annonceringen, for der var lagt op til et substantielt løft. Men særligt på cyberområdet kunne man være glad for den nye aftale, for her fik man tildelt hidtil usete midler.
Ved det foregående forsvarsforlig – Forsvarsforliget 2013-2017 – blev der tildelt 505 millioner kroner til cyberområdet, mens der blev afsat 1,4 milliarder kroner til området ved det seneste forlig Det svarer til en stigning på 177 pct. Til sammenligning er der afsat 3 milliarder kroner til velfærdsydelser som sundhed og ældrepleje i Finansloven 2019.
Politikere og eksperter maler et eksistentielt truende billede af cyberkrige, der kan lamme vores samfund og koste menneskeliv. Få personer som forskere, it-sikkerhedseksperter mv. besidder sproget, viden og netværket til at kunne modsige denne etablerede diskurs. Som den franske filosof Michel Foucault mente, eksisterer der et gensidigt afhængighedsforhold mellem viden og magt – viden producerer magt, der reproducerer viden.
Og netop de såkaldte eksperter og politikere har den rette viden, besidder det rette sprog og har netværket til at overbevise befolkningen om, at truslerne fra det virtuelle domæne er blevet så eksistentielt truende, at vi skal behandle IT-kriminalitet og IT-spionage som nationale sikkerhedsspørgsmål.
IT-kriminalitet og IT-sikkerhed er gået fra at være et problem, som it-teknikeren skulle behandle, til at blive et politiseret emne for til sidst at blive et nationalt sikkerhedsspørgsmål, som primært efterretningstjenesten kan behandle: IT-sikkerhed er blevet til cybersikkerhed. Med andre ord er spørgsmålet gået fra at være et almindeligt teknisk og politisk spørgsmål til at være et sikkerhedsspørgsmål.
Men hvordan nåede vi dertil? For at besvare det spørgsmål bliver vi først nødt til at kigge på en estisk bronzestatue.
IT-kriminalitet og IT-sikkerhed er gået fra at være et problem, som it-teknikeren skulle behandle, til at blive et politiseret emne for til sidst at blive et nationalt sikkerhedsspørgsmål
_______
2007: Angrebet på Estland – da IT-sikkerhed blev politikernes problem
I foråret 2007 besluttede de estiske myndigheder at flytte en bronzestatue af en sovjetisk soldat væk fra hovedstaden Tallinn. Statuen ses af mange som et symbol på det stadig anspændte forhold mellem Rusland og de nu vestlige tidligere sovjetstater.
Den russiske reaktion på omrokeringen var todelt. Lokalt i Tallinn gik det russiske mindretal i gaderne og demonstrerede, mens der fra Kreml blev indledt en række cyberangreb på Estlands kritiske infrastruktur, herunder på deres digitale banksystemer og regeringshjemmesiden. Angrebet var det første klare bevis på, at cyberpolitik er udenrigspolitik, og at det virtuelle domæne kan have virkelige konsekvenser for virksomheder og borgeres hverdag og dermed forme den politiske virkelighed.
Cyberangrebet på Estland skabte en debat om, hvorvidt den danske IT-infrastruktur var tilstrækkeligt udrustet, hvis et lignende angreb skulle ramme os herhjemme. Danske eksperter fra det daværende IT-sikkerhedspanel mente, at Danmark kunne blive lammet, hvis vi blev ramt af lignende hændelser. PET forsikrede dog danskerne om, at de både havde prioriteret og styrket indsatsen mod cybertrusler.
Samtidig udgav det daværende IT- og Telestyrelsen en rapport, der beskrev, hvordan Danmark kunne minimere risikoen for, at cyberangreb ville få omfattende konsekvenser for samfundet. De anbefalede, at der skulle oprettes et dansk IT-varslingscenter. Det var på baggrund af denne rapport, at der i forsvarsforliget 2010-2014 blev bevilliget midler til et nationalt IT-varslingscenter, GovCERT. I forliget fremhæver forligspartierne, at cyberspace er blevet et kamprum, og at der dermed skal bevilliges midler til at ruste sig.
Der tegner sig altså på dette tidspunkt et billede af, at cybertrusler skal tages alvorligt. Det var da også angrebet på Estland, der fik NATO-allierede til at rette fokus mod cyberspace som et potentielt domæne for krigsførelse. I kølvandet på angrebet oprettede NATO et cyber-forsvarscenter (NATO CCDCoE) i netop Tallinn. Samtidig skabte angrebet en debat om, hvorvidt Artikel 5 (NATO’s musketered, red.) også skulle kunne udløses af ’krigsførelse’ i cyberspace. Cyberangreb var for første gang kommet for alvor kommet på den internationale sikkerhedsdagsorden.
Stuxnet-ormen markerer et paradigmeskifte i historien for cybertrusler og -sikkerhed […] Det er først med dette paradigmeskift, at decideret cyberkrig indtager politikernes og mediernes dagsorden
_______
2010: Stuxnet – ormen, der ændrer sikkerhedslandskabet
Da Iran i start 2000’erne begyndte at købe uran i så omfattende mængder, at det potentielt kunne bruges til at udvikle en atombombe, blev amerikanerne forståeligt nok urolige. USA forsøgte med forskellige midler, men da der ikke var nogen udsigt til, at iranerne ville makke ret, blev der i 2010 smuglet en USB-pen ind i Iran og forbundet til en central computer for iranernes atomanlæg. USB-pennen var inficeret med den såkaldte Stuxnet-orm. Stuxnet destruerede en femtedel af anlæggets centrifuger og inficerede ca. 200.000 computere. Der er delte meninger om, hvor meget skade ormen forårsagede på det iranske atomprogram. Dog er der enighed om, at de fysiske skader på centrifugerne var så alvorlige, at de forsinkede det iranske atomprogram.
Stuxnet-ormen markerer et paradigmeskifte i historien for cybertrusler og -sikkerhed. Den tyske sikkerhedsekspert Ralph Langner udtalte: ”Stuxnet svarer til, at et F-35 kampfly pludselig brager hen over slagmarken i Første Verdenskrig. Teknologien er langt mere avanceret end alt, hvad vi før har set, og alt det, vi troede, kunne lade sig gøre. Der findes ikke nogen præcedens for denne type af angreb”.
Det er først med dette paradigmeskift, at decideret cyberkrig indtager politikernes og mediernes dagsorden. Både eksperter, beslutningstagere og interessenter som daværende NATO-generalsekretær Anders Fogh Rasmussen og den forhenværende amerikanske forsvarsminister, Leon Panetta, begyndte nu at tale om, at cyberkrig kan medføre omfattende lammelser af kritisk infrastruktur såsom luftrummet, elektricitetsnetværk” samt true “euroatlantisk velstand, sikkerhed, og stabilitet.”
Tre år efter Stuxnet fortæller forhenværende rådgiver til præsident Obama Richard Clarke i en tale til The Economists ’World in 2013 Festival’, at Stuxnet kan få lammende konsekvenser for USA og Israel, der formodentlig stod bag angrebet: “Iran vil angribe vores lande med cyberkrig, ikke terrorisme. Det kan skade bankvæsenet eller energiforsyningen”.
Stuxnet var et ‘turning point’ for cybertrusler og -sikkerhed. Hvis flytrafikken, energisektoren, telesektoren – den kritiske infrastruktur – bliver ramt, vil det være lammende for hele samfundet. Derfor bliver de politiske tiltag til at imødegå truslerne også nødt til at være omfattende.
2012: Center for Cybersikkerhed – truslen institutionaliseres
Det var bl.a. på grund af Stuxnet, at den civile cybermyndighed GovCERT og den militære cybermyndighed MilCERT fusioneredes til Center for Cybersikkerhed i 2012. Håndtering af truslen fra cyberangreb blev med Forsvarsforliget 2013-2017 dermed institutionaliseret. Overordnet set var der i SRSF-regeringen og forligspartierne en konsensus om, at truslen fra både statslige og ikke-statslige aktører var så omfattende, at Danmark burde have en institution, der kunne varetage og imødegå den.
Trusselshåndteringen blev lagt hos en myndighed, der samtidig har mulighed for at indhente efterretninger, og dermed bliver cyberspørgsmålet til et sikkerhedsspørgsmål. Og når ting går fra at være almindelige politiske spørgsmål til at være sikkerhedsspørgsmål, bliver det acceptabeltalt at bruge midler, vi anser for problematiske i et åbent, liberalt demokrati – for selv cybersikkerheden i private virksomheder gøres til en statslig myndighedsopgave.
Med andre ord: Da Center for Cybersikkerhed blev en del af efterretningstjenesten, bevægede politikken sig udover de normale demokratiske spilleregler.
Da Center for Cybersikkerhed blev en del af efterretningstjenesten, bevægede politikken sig udover de normale demokratiske spilleregler
_______
2014: Hvorfor skal Center for Cybersikkerhed absolut placeres under efterretningstjenesten?
Lovforslaget om Center for Cybersikkerhed var strikket sammen på en sådan måde, at Centeret bliver undtaget både forvaltningsloven, persondataloven og offentlighedsloven. I praksis betyder det, at Center for Cybersikkerhed har adgang til borgere og virksomheders kommunikation og korrespondance uden at være omfattet af offentlighedens demokratiske kontrol. Dermed kan man som almindelig borger eller virksomhed ikke søge aktindsigt i Center for Cybersikkerheds foretagender. I et demokratisk øjemed er det problematisk, at en offentlige organisation har den slags overvågningsbeføjelser, samtidig med at borgere, journalister mfl. ikke kan få adgang til organisationens arbejde. Det skaber i hvert fald uheldige konnotationer til overvågningsregimer. Det bevæger altså politikken udover de etablerede spilleregler for vores liberale demokrati.
Af samme grund har høringssvarene til lovforslaget været kritiske. Både Institut for Menneskerettigheder, Dansk Erhverv, Rådet for Digital Sikkerhed, Dansk Industri mv. giver i deres høringssvar udtryk for, at centerets placering under Forsvarets Efterretningstjeneste er en dårlig idé. Det skyldes især, at centerets adgang til korrespondance kan virke som et indgreb i retten til privatliv.
De centrale spørgsmål er i denne sammenhæng, som Pernille Skipper (EL) gav udtryk for under førstebehandlingen af lovforslaget: Hvad er det for civile opgaver, som kun kan varetages af militære institutioner? Hvad er det for en viden, som død og pine skal ligge under Forsvarets Efterretningstjeneste, især med tanke på de retssikkerhedsmæssige bekymringer ifm. forslaget? Kan sikkerhed i cyberspace overtrumfe borgernes, civilsamfundet og virksomhedernes retssikkerhed? Skal vi virkelig acceptere, at en offentlig civil myndighed (GovCERT) skal fusioneres med en militær myndighed, og dermed undtages love, der skaber demokratisk transparens og kontrol?
På trods af de centrale spørgsmål er de fleste folketingsmedlemmer enige om, at truslen er så alvorlig, at Centeret skal placeres under efterretningstjenesten. Lovforslaget bliver i juni 2014 vedtaget af et bredt flertal, hvor 93 (S, R, SF, V, K og DF) stemmer for, og 13 (EL og LA) stemmer imod.
2019: Skal cybersikkerhed nationaliseres?
’Lov om ændring af lov om Center for Cybersikkerhed’ er titlen på et aktuelt lovforslag, der ikke overraskende for nogen, udvider centerets beføjelser endnu en gang. Formålet med loven er at opdatere lovgrundlaget for Center for Cybersikkerhed, så det bliver tilpasset det aktuelle trusselsbillede og den teknologiske udvikling.
Den mest markante udvidelse af Center for Cybersikkerheds beføjelser er, at de fremover vil kunne overvåge såkaldte stationære data. I praksis betyder det, at Center for Cybersikkerhed har adgang til samtlige data hos virksomheder, der er underlagt netsikkerhedstjenesten. Netsikkerhedstjenesten er en service hos Center for Cybersikkerhed, som har til opgave at opdage, analysere og bidrage til at imødegå angreb og hændelser. Adgangen gælder alt lige fra data på servere til de enkelte medarbejderes telefoner. Og det er i øvrigt Center for Cybersikkerhed, der bestemmer, hvem der skal være pålagt netsikkerhedstjenesten. Det fremgår yderligere af lovforslaget, at Center for Cybersikkerhed – ved begrundet mistanke om sikkerhedshændelser – kan overvåge en hvilken som helst virksomheds data uden dommerkendelse.
Lovforslaget har endnu engang givet anledning til erhvervslivets og brancheforeningers kritik, der både går på den manglende demokratiske kontrol, manglende transparens, konkurrenceforvridning og manglende retssikkerhed. Formand for IT-branchens sikkerhedsudvalg, Bjarke Alling, udtalte til Berlingske 7. marts, at cybersikkerhed er blevet nationaliseret, og det har han ret i. Som jeg har pointeret tidligere i denne artikel, er cybersikkerhed blevet et nationalt sikkerhedsspørgsmål, der skal behandles af lukkede, offentlige myndigheder. Forsvarsminister Claus Hjort Frederiksen affejer imidlertid virksomhedernes kritik og mener ikke, at frygten for overvågningssamfundet er legitim.
Det [er] ikke længere alene det danske samfunds kritiske infrastruktur, der er truet. Det er også de underliggende demokratiske strukturer, der er truet på deres eksistens
_______
Lovforslaget blev vedtaget den 12. marts i år og har endnu engang bevæget politikken udover de etablerede regler for vores demokratiske samfund. Center for Cybersikkerheds trusselsvurdering fra den 25. marts har da også den hovedvurdering, at truslen fra cyberspionage er meget høj. Vurderingen er på linje med de udvidede beføjelser, centeret har fået i den nye lov.
I dag italesættes cybertruslen endnu mere markant, bl.a. pga. af det amerikanske præsidentvalg i 2016, hvor hack-og-læk-angreb samt fake news formodes at have haft indflydelse på valget. Herhjemme fik det regeringen til at nedsætte en tværministeriel taskforce og forsvarsminister Claus Hjort Frederiksen til at udtale til Mandag Morgen: ”Vi står over for nogle meget alvorlige udfordringer med cybertrusler, misinformation og falske nyheder – og ikke mindst den giftige cocktail, når de bliver kombineret i påvirkningskampagner. Regeringen vil sætte fokus på disse kampagner, der kan true åbne demokratier og splitte det internationale samarbejde”.
Det understreger, hvordan regeringen italesætter cybertruslen som en endnu dybere trussel end før. Det skyldes, at det ikke længere alene er det danske samfunds kritiske infrastruktur, der er truet. Det er også de underliggende demokratiske strukturer, der er truet på deres eksistens. Hændelsen komplicerer og penetrerer derfor flere lag af det danske samfund og den danske stat.
Truslen i cyberspace er reel, men diskursen skal udfordres
Cybertruslen og alle de politiske tiltag skal forstås i sammenhæng med realpolitikken. Ved alle de forskellige nedslagspunkter i denne artikel er der en sammenhæng mellem de realpolitiske forhold og de cyberangreb, som staterne oplever. Cybertruslen kan derfor blive så farlig, som vores beslutningstagere gør den til. Truslen kan især vise sig eksistentielt truende, i takt med at vi udvikler flere og flere internetdrevne enheder, såsom selvkørende biler, droner og våbensystemer.
Men ved at gøre spørgsmålet om cyberspace til et sikkerhedsspørgsmål har politikerne ligeledes rykket på grænserne for vores liberale demokrati. Cybertrusler er blevet italesat som så eksistentielt truende, at politikerne for det første har gjort det til en myndighedsopgave at varetage dem, og for det andet er gået på kompromis med vores retssikkerhed, demokratiske transparens og kontrol.
Altså: Der eksisterer et gensidigt afhængighedsforhold mellem viden og magt – viden producerer magt, der reproducerer viden. Men diskursen skal udfordres: Det er ikke åbenlyst, at statens overvågningsbeføjelser løbende skal udvides, uden at borgerne og medierne har mulighed for at føre kontrol med dem. Det er derfor centralt, at dette spørgsmål diskuteres til det kommende folketingsvalg. ■
Det er ikke åbenlyst, at statens overvågningsbeføjelser løbende skal udvides, uden at borgerne og medierne har mulighed for at føre kontrol med dem
_______
Mila Bahir (f. 1992) er uddannet cand.scient.pol. og fuldmægtig hos Erhvervsstyrelsens kontor for digital vækst og sikkerhed. Tidligere har hun været ansat hos Center for Militære Studier som student og på den danske ambassade i Warszawa som forsvarspraktikant. Denne artikel er baseret på hendes kandidatafhandling ved Københavns Universitet. ILLUSTRATION: IT-infrastruktur, fotograferet den 13. oktober 2014 (Foto: Simon Læssøe/Ritzau Scanpix)