10.01.2021

Rusland anklages for at stå bag den spektakulære hackingkampagne mod amerikanske institutioner og virksomheder, der i december 2020 ramte nyhedsforsiderne verden over. Det betyder dog ikke, at de amerikanske anklager mod russiske efterretningsofficerer fra oktober 2020 har slået fejl. USA’s ønske om traditionel afskrækkelse og normfremme i cyberspace er stadig mulig, men det er også vigtigt at holde de tilhørende risici for øje.

Analyse af Jeppe T. Jacobsen og Lasse Kronborg, Forsvarsakademiet

Den 19. oktober 2020 fremlagde det amerikanske justitsministerium et 50 siders langt anklageskrift mod seks russiske efterretningsofficerer. Officererne har efter sigende stået bag en række cyberangreb i perioden 2015-2019, heriblandt angreb mod et ukrainsk kraftværk, mod den franske præsident Macrons valgkampagne og mod de vinterolympiske lege i Sydkorea. Det mest interessante cyberangreb i anklageskriftet set med danske øjne er det angreb, der i 2017 også ramte Mærsk og krypterede et stort antal computere i koncernen med driftstop og en milliardomkostning til følge.

Det er ikke første gang, en amerikansk regering har tiltalt et andet lands statsansatte hackere. Obama-administrationen rejste i 2014 tiltale mod fem personer fra det kinesiske militær, der blev beskyldt for at stjæle intellektuelle rettigheder fra amerikanske virksomheder. Anklagesager er med andre ord en kendt amerikansk strategi. Og der er intet, der taler for, at den strategi vil ændre sig, når Joe Biden til januar overtager præsidentembedet.

Midt i december 2020 kom det frem, at en række amerikanske ministerier, styrelser og teknologivirksomheder i månedsvis har været kompromitteret af – hvad der formodes at være – den russiske efterretningstjeneste. Hackerne bag den storstilede spionagekampagne gjorde efter alt at dømme brug af et såkaldt supply chain-angreb. I første omgang hackede og ændrede de opdateringen af betroet software ved underleverandøren SolarWinds, og så åbnede de en digital bagdør i de amerikanske systemer. Da softwaren og opdateringen blev betragtet som pålidelig, gav det hackerne adgang samtidig med, at de avancerede amerikanske cybersikkerhedssystemer ikke fattede mistanke.

 

Det fyldestgørende anklageskrift risikerer at afsløre – og ultimativt modarbejde fremtidig brug af – de spionageteknikker, som den amerikanske efterretningstjeneste bruger mod blandt andet Rusland og Kina
_______

 

Den kommende præsident Joe Biden har lovet at opprioritere indsatsen for at modgå fjendtlige cyberangreb. Efter SolarWinds-hacket har han udtalt, at cyberangreb mod USA vil blive mødt med modsvar, der påfører betydelige omkostninger for de ansvarlige. Det må samtidig forventes, at han igangsætter et internt arbejde for at rejse anklage mod de individuelle russiske efterretningsofficerer, som står bag.

Kinesiske og russiske hackere kan dog sove trygt om natten, da en udlevering på begæring fra USA aldrig vil kunne komme på tale. Samtidig risikerer det fyldestgørende anklageskrift at afsløre – og ultimativt modarbejde fremtidig brug af – de spionageteknikker, som den amerikanske efterretningstjeneste bruger mod blandt andet Rusland og Kina. Så hvorfor vælger USA åbent at tiltale russiske statsansatte hackere? Det er der to gode grunde til – og ikke mindst en række dertilhørende risici.

Normfremme i cyberspace
Den første grund knytter sig til en verserende diskussion om normer for ansvarlig adfærd i cyberspace, hvor stormagterne i øjeblikket er grundlæggende uenige om, hvordan spillereglerne i cyberspace skal formuleres.

Rusland og Kina ønsker at åbne en omfattende forhandlingsrunde i FN om en digital Genèvekonvention. Modsat forsøger USA at få andre stater til frivilligt at dele deres syn på ansvarlighed gennem fx ”naming and shaming” af de stater, der ser igennem fingre med tyveri af intellektuelle rettigheder og anden kriminel adfærd online, eller som aktivt underminerer civile institutioner. Det er i det lys, at tiltalesagen mod de russiske hackere skal forstås.

 

Den altovervejende skyggeside for denne normfremme-strategi er imidlertid, at USA risikerer at blive opdaget i at gøre lignende ting [på cyberspace]
_______

 

Det kan ved første øjekast virke kontraintuitivt: Stater, der normalt forsvarer en liberal og regelbaseret verdensorden, forsøger at påvirke adfærd og normer uden om de internationale institutioner, mens illiberale stater taler for en bindende digital konvention. Årsagen til dette er, at den vestlige koalition, der tidligere har domineret de internationale forhandlinger i fx FN, nu er kommet i undertal. USA frygter derfor, at en bindende konvention vil underminere grundlæggende individuelle frihedsrettigheder online og ødelægge det frie, åbne og globale internet. Derudover betyder den generelle mistillid mellem stormagter, at de vestlige stater generelt tvivler på russisk og kinesisk efterlevelse, selv hvis en konvention skulle blive forhandlet på plads.

Rusland og deres statsansatte hackere er således ikke nødvendigvis den primære målgruppe for anklageskriftet. Det er derimod et signal til det store flertal af stater, der endnu ikke er afklaret om deres position i denne diskussion om ansvarlig statslig adfærd i cyberspace. Det er håbet, at disse stater internaliserer idéerne om, at det 1) er uansvarligt at angribe kritisk infrastruktur, når man ikke er i en væbnet konflikt, 2) er uansvarligt at bruge cybervåben, der spreder sig ukontrolleret og rammer private virksomheder, og 3) er uansvarligt at påvirke demokratiske valgprocesser i andre lande. Når man til enighed om sådanne principper, vil det ultimativt svække Rusland og Kinas position i internationale fora, når en konventionsforhandling engang går i gang.

Den altovervejende skyggeside for denne normfremme-strategi er imidlertid, at USA risikerer at blive opdaget i at gøre lignende ting. Dermed ikke sagt, at USA’s cyberenheder påvirker valg, forstyrrer civile infrastrukturer eller stjæler intellektuelle rettigheder fra udenlandske virksomheder. Men reaktionerne på Edward Snowdens afsløringer af NSA’s overvågningsregime i 2013 viste, at lækagesager kan skade de amerikanske forsøg på at fremme bestemte normer i cyberspace. For hvordan kan nogle typer af cyberangreb være legitime, mens andre er forbudte? Hvor går grænsen mellem legitime og illegitime cyberangreb? Og kan USA overhovedet styre et normfremme, så grænserne går, hvor USA ønsker, at de skal gå?

 

USA er Rusland overlegent, når man ser på konventionel militær styrke. Det amerikanske forsvar har dog længe frygtet, at fremkomsten af cybervåben kan give Rusland mulighed for at undergrave USA’s militære magt
_______

 

Kina, Rusland og andre skeptiske røster har tidligere brugt Snowdens afsløringer til at argumentere for, at USA bare ønsker at legitimere handlinger, der er til amerikansk fordel, mens de samtidig søger at begrænse de aktiviteter, som deres modstandere har fordel af. Disse røster kan være svære at argumentere imod, hvilket indebærer en stor risiko for, at normpåvirkningen forbliver ineffektiv – eller i værste fald får den modsatte effekt, nemlig at verdenssamfundets normer bevæger sig væk fra det, USA ønsker.

Skal USA i fremtiden mere troværdigt kunne modgå anklagerne om hykleri, er en “naming and shaming”-strategi, der indeholder anklager mod specifikke statsansatte hackere, ikke nok. Normfremme kan meget vel kræve, at USA begrænser de beføjelser og det råderum, som de statsansatte hackere i NSA og US Cyber Command i øjeblikket har.

Amerikansk afskrækkelse
Den anden grund til, at USA åbent anklager seks russiske efterretningsofficerer, knytter sig til ønsket om signalere, at den amerikanske cyberkapacitet er russernes overlegen. Behovet for at sende det signal skal forstås i relation til det amerikanske forsvars syn på vigtigheden af at bibeholde den nuværende militære magtbalance mellem USA og Rusland.

USA er Rusland overlegent, når man ser på konventionel militær styrke. Det amerikanske forsvar har dog længe frygtet, at fremkomsten af cybervåben kan give stater som Rusland mulighed for at undergrave USA’s militære magt. Det skyldes, at cybervåben ofte karakteriseres som billige at producere og nemme at bruge til at forstyrre modstanderens kommunikation, logistik og dermed evne til at mobilisere og kæmpe.

 

USA risikerer implicit at give Rusland handlerum til fortsat at forfølge deres geopolitiske interesser med den brede vifte af værktøjer, som cyberspace tilbyder de aktører, der foretrækker at agere i gråzonen mellem krig og fred
_______

 

Når USA med anklageskriftet signalerer, at man er til stede i de allerhemmeligste dele af den russiske centraladministration, er det således et forsøg på at påvirke den russiske vurdering af den nuværende magtbalance. For hvis USA er villige til at afsløre og dermed opgive nogle af sine cyberkapaciteter på en symbolsk anklage mod russiske officerer, så må de have mange cyberkapaciteter. Med andre ord skal russerne ikke tro, at deres militære it-systemer vil fungere efter hensigten, hvis en konflikt mellem USA og Rusland eskalerer. Og russerne skal heller ikke bilde sig ind, at deres hackerangreb ikke bliver opdaget og standset.

Denne afskrækkelsesstrategi indeholder dog også risici. For det første risikerer strategien at give bagslag, hvis det fremlagte bevismateriale er behæftet med fejl. Har russerne fx succesfuldt vildledt den amerikanske cyber-kontraspionage i sine netværk, vil anklageskriftet blot styrke den russiske selvtillid på cyberområdet.

For det andet risikerer det amerikanske afskrækkelsesforsøg at sende et signal om, at USA primært ser stormagtskonflikt i cyberspace igennem en koldkrigslinse, hvor formålet er at forhindre en konventionel russisk militærinvasion på NATO’s territorium.

Selv hvis anklageskriftet faktisk overbeviser russerne om, at USA er stærkest både i og uden for cyberspace, sender det ikke et klart signal om, at USA evner at adressere aktiviteter i cyberspace, som er under tærsklen for væbnet konflikt. Med andre ord risikerer USA implicit at give Rusland handlerum til fortsat at forfølge deres geopolitiske interesser med den brede vifte af værktøjer, som cyberspace tilbyder de aktører, der foretrækker at agere i gråzonen mellem krig og fred.

 

USA bør nu også i højere grad forstyrre og afskrække modstandere, som det fremgår af Joe Bidens udtalelse efter SolarWind-episoden
_______

 

I forlængelse heraf indeholder USA’s afskrækkelsesforsøg for det tredje en risiko for, at den amerikanske offentlighed forventer, at staten kan afskrække samtlige russiske cyberangreb. Således vil selv mindre alvorlige russiske irritationer og spionagekampagner i cyberspace, som er under tærsklen for væbnet konflikt, risikere at blive set som en afskrækkelsesfiasko og føre til, at politikerne føler sig nødsaget til at optrappe spændingerne ved at svare ekstra hårdt igen.

Den primære respons på de seneste afsløringer af russiske hackeres tilstedeværelse i amerikanske institutioner og virksomheders it-systemer illustrerer netop denne risiko. I både mediedækningen og hos amerikanske politikere handler den manglende evne til at beskytte imod russisk cyberspionage ikke blot om behovet for at øge USA’s generelle cybersikkerhed. USA bør nu også i højere grad forstyrre og afskrække modstandere, som det fremgår af Joe Bidens udtalelse efter SolarWind-episoden.

Har tiltalesager overhovedet en effekt?
Hvorvidt USA’s “naming and shaming” af russiske hackere rent faktisk virker afskrækkende i traditionel forstand, er vanskeligt at måle. Afskrækkelsesstrategier er underlagt et paradoks om, at man aldrig ved, om strategien virker, før den ikke virker. Det er svært at bevise, at en stats aktivitet i cyberspace er anderledes, end hvad den ville have været uden afskrækkelsen.

 

Den russiske og kinesiske tilgang til statslig kontrol med internettet har stort eksportpotentiale i en tid, hvor den liberale verdensorden er presset, og flere og flere statsledere byder internettets muligheder for at overvåge og censurere politiske modstandere velkommen
_______

 

Det forbliver altså spekulativt, hvorvidt fraværet af russisk hacking af amerikanske valgsystemer ved det seneste præsidentvalg skyldes afskrækkelse, eller om det skyldes, at Rusland ikke evnede det, ikke fandt det nødvendigt, eller at de prioriterede andre aktiviteter såsom den netop offentliggjorte spionagekampagne.

Når det gælder USA’s ønske om at fremme bestemte normer, vil Rusland og Kina sandsynligvis ikke lade stå til, mens de ser USA forsøge at overbevise resten af verden om, at de vestlige normer er bedst. Rusland og Kina har et væsentlig anderledes syn på internettet end USA. På mange måder ser Kina og Rusland internettet som potentielt destabiliserende. De russiske og kinesiske krav om staters suveræne kontrol over deres dele af internettet udspringer således af ønsket om at kontrollere og sanktionere, hvad der anses for borgeres farlige adfærd og indhold i cyberspace, nationalt såvel som internationalt. Derfor ser man også, at Rusland og Kina skaber deres egne aflukkede versioner af internettet.

Den russiske og kinesiske tilgang til statslig kontrol med internettet har stort eksportpotentiale i en tid, hvor den liberale verdensorden er presset, og flere og flere statsledere byder internettets muligheder for at overvåge og censurere politiske modstandere velkommen. Siden det Arabiske Forår er det blevet tydeligt, at internettet ikke bare hjælper demokratiske bevægelser med at destabilisere autoritære stater og regimer. Det Arabiske Forår viste også, at stater med kontrol over internettrafikken kunne påvirke evnen til at mobilisere online ved at slukke for internettet samt opspore og fængsle bagmænd. Lande som Saudi Arabien har endda udnyttet internettets overvågningsmuligheder til at dræbe dissidenter – mest kendt er drabet på journalisten Jamal Khashoggi i oktober 2018.

 

Skal stater fravælge den russiske og kinesiske tilgang til internettet, er USA derfor nødt til at tage bekymringerne om regimeustabilitet seriøst
_______

 

Skal stater fravælge den russiske og kinesiske tilgang til internettet, er USA derfor nødt til at tage bekymringerne om regimeustabilitet seriøst. Det betyder, at amerikanske normfremme må spille på flere strenge end fingerpegning. USA var derfor initiativtager til den seneste cyberekspertgruppe i FN, der skal fungere som modvægt til en russisk initieret normarbejdsgruppe. Ligeledes er USA i højere grad begyndt at tænke normfremmende adfærd ind i bilaterale handels- og udviklingspolitiske samarbejder og diplomatiske relationer.

Hvad nu, Danmark?
Sidstnævnte fremgangsmetode kan også være interessant for et land som Danmark, der på mange måder deler USA’s normer. Selvom Danmark med fordel også kan skubbe på for, at EU udfærdiger lignende anklageskrifter mod russiske statsansatte hackere, er dansk diplomati godt positioneret til at fremme cybernormer gennem det bilaterale arbejde med stater, der endnu ikke for alvor har meldt sig på banen i cyberspace.

Danmark er en af de globale frontløbere på det digitale område og har generelt et godt renommé internationalt, når det kommer til kapacitetsopbygning. Sammentænkes danske handels- og udviklingsaftaler med cyberkapacitetsopbygning og promovering af den danske forståelse af ansvarlig statslig adfærd i cyberspace, kan det bidrage til normfremme i disse partnerlande. Sådanne indsatser kræver tålmodighed, og slutresultatet er aldrig givet på forhånd. Men det er den eneste mulighed, vi har, hvis vi ønsker at skabe stabile normer i cyberspace, så kritiske infrastrukturer, demokratiske processer og private virksomheder ikke bliver ofre for ufred og fjendtlige angreb. ■

 

Danmark er en af de globale frontløbere på det digitale område og har generelt et godt renommé internationalt, når det kommer til kapacitetsopbygning
_______

Apropos denne artikel:

Lars Struwe: Vance lægger vægten på sikkerhed og frygten for Kina. Om vi kan lide det eller ej – og han har ret

Hvem er vi, hvis vi ikke er venner med amerikanerne? Mikkel Vedby med Jarl Cordua i Lille Land, Hvorhen

Can Dündar: Tyrkiet er på vej mod et fuldt diktatur. Erdoğan ved nemlig, at Europa er villig til at ofre dets værdier for sikkerhed

Grace Blakeley: Der er brug for en genopbygning af den massepolitik, der tillader almindelige mennesker at øve indflydelse på vores økonomiske og politiske institutioner 

Flemming Splidsboel i RÆSONs kommende trykte nummer: Hvad vi mister, hvis Ukraine taber

Øjvind Hesselager: Sådan mistede vi Grønland