Malthe Munkøe i RÆSON SØNDAG: Cyber er EU’s nye sikkerhedspolitiske hovedpine
22.05.2022
Cyberangreb har udvisket grænserne mellem, hvornår noget er forsvars- og sikkerhedspolitik, og bruges flittigt af både kriminelle grupper og Vestens fjender. Samtidig er der udsigt til et teknologikapløb indenfor cyberområdet, der vil få helt uoverskuelige implikationer.
I serien RÆSON SØNDAG skriver et hold af iagttagere om de ting, der burde være på toppen af dagsordenen.
Af Malthe Munkøe
Vi diskuterer forsvarsforbehold på livet løs, men der er ringe opmærksomhed på et andet emne, der kan få væsentligt større betydning for Danmark: Cybersikkerhed.
Uanset udfaldet af folkeafstemningen har EU-samarbejdet kun en begrænset, om end voksende, rolle på forsvarsområdet. Derimod bliver der i disse år lagt meget afgørende rammer for cybersikkerhed i Bruxelles.
For cyberområdet er i rivende udvikling. EU-Kommissionen anslår, at markedet for cybersikkerhedsløsningeri EU aktuelt vokser med 17 pct. årligt. EU’s agentur for cybersikkerhed ENISA har anslået, at angreb mod forsyningskæder blev firedoblet sidste år og angreb mod cloud-infrastruktur femdoblet.
Der er åbenlyse udfordringer med kriminelle grupper, som udnytter mulighederne i cyberspace. Der foregår lænsning af bankkonti, industrispionage, datatyveri, afpresning og bedrageri. Et typisk fænomen er CEO fraud, hvor hackere udgiver sig for at være direktøren og beder regnskabsafdelingen ordne nogle pengeoverførsler. Cyberkriminalitet er en stadig voksende udfordring. Vores samfund er sårbart over for cyberkriminalitet, hvilket tydeliggjordes i 2020, da angreb i en periode skabte store problemer for en række britiske hospitaler og derved kostede liv.
Det er dog især som redskab i hænderne på fremmede magter, at cybersikkerhed fordrer et stærkt forsvar hos de vestlige lande.
Militærstrateger skelner mellem fire traditionelle domæner, som militæret har kapabiliteter inden for: landjorden, havet, luften og rummet. De senere år er cyberspace blevet udråbt til det femte domæne. Eksempelvis har Boris Johnson sagt, at cyber vil revolutionere krigsførelse på samme måde, som luftvåben gjorde det i starten af det tyvende århundrede.
Cybersikkerhed er ved at gå fra at være et spørgsmål om at stoppe kriminelle og balladesøgende hackere til at have akut sikkerhedspolitisk betydning, og det vil ikke blive mindre vigtigt i fremtiden.
Cybersikkerhed er ved at gå fra at være et spørgsmål om at stoppe kriminelle og balladesøgende hackere til at have akut sikkerhedspolitisk betydning
_______
Cyber er blevet et statsligt våben
Første gang vi for alvor fik en demonstration af cyberdomænets betydning, var det russiske cyberangreb på Estland i 2007. Kreml har aldrig taget anerkendt at have været involveret fra statslig side, men en stor mængde internettrafik fra Rusland lammede via såkaldte distributed denial of service (DDoS) det estiske samfund, og angrebet skete oven på stor russisk fortørnelse over, at Tallinn havde besluttet at flytte et mindesmærke for sovjetiske soldater til en mindre prominent placering. Angrebet lagde i en lille måned officielle hjemmesider og nyhedssider ned og skabte store problemer for internetudbydere, banksektoren og virksomheder generelt.
Angrebet afslørede ikke blot det moderne samfunds sårbarhed. Det demonstrerede også, at cyberangreb er kendetegnet ved at være svære at spore og bevise, hvem der er involveret. Hvor Rusland ikke kunne bruge kinetiske våben fx for at straffe Estland, uden at det ville få uoverskuelige konsekvenser, kan man lettere afvise at have stået bag et cyberangreb.
At cyberangreb er svære at spore, udvisker skellet mellem krig og fred, og det er næppe overraskende, at de lande, der militært og økonomisk ikke kan måle sig med NATO-alliancen, har været meget interesserede i at opbygge og anvende cyberkapabiliteter.
Derfor må vi forvente, at cyberområdet vokser i takt med, at styrkeprøven mellem demokratier og autokratier spidser til.
Eksperter har anslået, at det isolerede nordkoreanske regime får omkring 15 pct. af sine indtægter fra cyberkriminalitet. I Rusland – og ligeledes tidligere i Sovjetunionen – har princippet om at vildlede modstandere med alle midler, maskirovka, der bogstaveligt betyder forklædning, længe været en central del af den militærstrategiske tænkning. Den Røde Hær brugte oppustelige kampvogne og artilleripjecer til at narre fjenden; i dag har Kreml vist sig parat til at bruge en lang vifte af remedier, fra de konventionelle styrker til disinformation og cyberangreb. Indtil februar 2022 fastholdt Rusland således, at det ikke var det russiske militær, men blot uafhængige oprørsstyrker, der kæmpede mod Ukraine i Donbas, og Ruslands forsøg på at påvirke vestlige landes demokratiske beslutningsprocesser fx omkring Brexit-afstemningen og præsidentvalget af Donald Trump, er efterhånden velkendte.
Principielt besluttede NATO i 2017, at cyberangreb er at betragte på linje med kinetiske angreb og kan føre til en aktivering af den såkalde musketéred. Selvom det var en vigtig beslutning, ændrer den ikke ved, at det i praksis er vanskeligt at bevise med tilstrækkelig sikkerhed, hvilket land der står bag et cyberangreb, ligesom der vil være spørgsmål om, hvornår cyberaktiviteter er tilstrækkeligt alvorlige til, at de må betragtes som angreb. Dertil kommer spørgsmålet om, hvorvidt man vil være klar til ligefrem at svare på cyberangreb med kinetiske militærmidler.
Selvom det endnu ikke er kommet til, at cyberangreb er blevet besvaret med egentligt modangreb, har Vestens tilgang til cybersikkerhed ændret sig. I juli 2020 indførte EU for første gang sanktioner som respons på WannaCry, Cloud Hopper og NotPetya-angrebene rettet mod russiske officerer i den militære efterretningstjeneste GRU’s cyberafdeling, mod tre juridiske entiteter i Rusland herunder GRU’s Center for Særlige Teknologier (ofte kaldet Fancy Bear), samt mod en kinesisk og en nordkoreansk organisation og statsborgere.
Fancy Bear er uden tvivl den mest kendte cybergruppe, og den vurderes at have stået bag en lang række cyberangreb de seneste årtier. Eksempelvis tilskrives den ansvaret for angreb mod Demokraterne i USA i 2015 og 2016, mod Macrons præsidentkampagne i 2017, mod det tyske parlament i 2019 og det norske storting i 2020
Det vil dog være en fejl at tro, det kun er Rusland, der bruger cybervåben mod Vesten. Der er stor bekymring blandt vestlige efterretningstjenester over tiltagende kinesiske cyberaktiviteter. Ligeså har Europa oplevet en række alvorlige sager om aflytning af mobiltelefoner ved hjælp af den israelske spionsoftware Pegasus, som bl.a. er blevet solgt til mange landes regeringer, også mere kontroversielle lande såsom Bahrain, Oman, Ungarn og Saudi-Arabien. Spionsoftwaren er angiveligt blevet brugt til at aflytte journalister og menneskerettighedsforkæmpere, herunder også i Europa med påstået aflytning af bl.a. ungarske journalister og catalanske separatistledere. Det er også kommet frem, at ukendte gerningsmænd har haft held til at installere spionsoftwaren på den spanske statsministers mobiltelefon.
At cyberangreb er svære at spore, udvisker skellet mellem krig og fred, og det er næppe overraskende, at de lande, der militært og økonomisk ikke kan måle sig med NATO-alliancen, har været meget interesserede i at opbygge og anvende cyberkapabiliteter
_______
EU har meldt sig ind i kampen om cybersikkerhed
Det er i det lys, vi skal betragte EU’s plan om at give cybersikkerhedsområdet som en overhaling.
Går man blot fem års tid tilbage, var EU’s tilgang til cybersikkerhed præget af fokus på kriminelle og samarbejder om retsforfølgelse af hackere.
På det regulatoriske område har maj 2022 budt på et afgørende gennembrud: Europa-Parlamentet og Ministerrådet blev enige om henholdsvis Direktivet om Sikkerhed for Informationsnetværk, NIS2, og Digital Operational Resilience Act, DORA. Tilsammen stiller de fælles minimumskrav og strømliner de krav, der stilles til cybersikkerhed i erhvervslivet og den offentlige sektor i EU-landene. NIS2 indeholder regler for en lang række sektorer, der opfattes som kritiske for økonomien og samfundet, fra kommunikationstjenester og vandforsyningen til den offentlige sektor, samt DORA, der opstiller særlige regler for den finansielle sektor.
I april vedtog man i EU den banebrydende Digital Service Act, DSA, der fastlægger de krav, som sociale medier skal leve op til vedrørende disinformation delt på deres platforme. Det er et svært, vigtigt og principielt spørgsmål, i hvilken grad platformene skal være forpligtet til at lede efter og fjerne disinformation. Disinformation kan være vanskelig at identificere, og i øvrigt er der et vigtigt ytringsfrihedshensyn. Klar lovgivning er derfor nødvendig, og det er åbenlyst, at Bruxelles med sine enorme juridiske kapaciteter er i førersædet, når det kommer til at lovgive på cyberområdet.
EU’s har endvidere en vigtig rolle i at certificere cybersikkerheden i produkter; altså at vurdere, om de er tilstrækkeligt sikre eller ej.
På det operative plan er billedet noget anderledes. Cyberkapabiliteter ligger hos medlemsstaterne – i Danmark hos FE’s Center for Cybersikkerhed – ligesom NATO er en vægtig aktør. EU har dog en ikke uvæsentlig rolle for videndeling og koordinering, hvilket faciliteres af Den Europæiske Unions Agentur for Cybersikkerhed, ENISA, der efter et forvirrende årti med kun et midlertidigt mandat nu endelig er et permanent EU-agentur. Foruden basen på Kreta har det nu satellitkontorer i Bruxelles og Athen samt et nyoprettet cyberkompetenceagentur i Bucharest. Der er parallelt med ENISA planer om en Fælles Cyberenhed, der skal abejde for bedre operativ informationsudveksling medlemsstaterne imellem.
Det operative cybersikkerhedsmæssige landskab i Europa er komplekst. Der er mange aktører, der er strukturer på tværs af lande, organisationer og enheder, og så er der både NATO-, EU- og medlemsstatsniveauet. Hvor godt samspillet i praksis vil være, når det udsættes for en alvorlig test, er svært at sige. Det kan meget vel vise sig at være det afgørende spørgsmål og udfordring for Europa på cyberområdet de kommende år. Navnlig da trusselsbilledet har ændret sig markant, og Rusland er blevet en mere direkte udfordring.
Selvom det har overrasket eksperter, at cyberangreb ikke har betydet mere i Ukrainekrigen, skal man ikke undervurdere betydningen af de andre aspekter af cyber
_______
Vi bør tage ved lære af cybers overraskende rolle i Ukrainekrigen
Den klart vigtigste cybersikkerhedspolitiske begivenhed lige nu er Ukrainekrigen.
Invasionen har budt på mange overraskelser. En af dem er, at omfanget af cyberangreb ser ud til at have været begrænset, hvilket står i skærende kontrast til, hvad mange analytikere de senere år har forudsagt. Mange mente, at cyberspace ville blive kampafgørende, men det er det ikke i Ukraine. Der er sket hacking af ukrainske officielle hjemmesider og sletning af data, men ikke i noget afgørende omfang.
Nogle eksperter har peget på, at det ikke giver mening at bruge kræfter på at infiltrere datanetværk for at lægge infrastruktur ned, når man kan kaste en bombe i stedet. Et bud har været, at de russiske cybertjenester bare underperformer ligesom hæren og luftvåbnet, mens andre peger på at cybervåbnet er mindre relevant, når man simpelthen kan bombe og fyre krydsermissiler afsted for at ødelægge infrastruktur.
Der kan dog foregå meget i cyberdomænet, vi ikke kender til. Opmærksomheden omkring cybersikkerhed samler sig ofte om de meget synlige konsekvenser, som når tjenester bliver forstyrret eller data ødelagt. Men i realiteten er den største gevinst ofte, at man ubemærket får adgang til information om modstanderen. Det kan være om modstanderens tankegang, strategi, troppebevægelser, styrker og svagheder.
Måske undervurderer vi også betydningen af, at Elon Musk allerede i krigens første dage stillede sine Starlink-satellitter til rådighed, så Ukraine var sikret internetadgang, selv i krigszonerne. Dette gjorde ifølge Musk selv Ukraine i stand til at modstå cyberangreb. Starlink har også gjort det muligt at anvende internetbaserede målsøgningssystemer, der ser ud til at have gjort drone- og artilleriangreb mere effektive end Ruslands. Man skal heller ikke undervurdere effekterne af, at man har kunnet dele videoer og billeder af Ukraines sejr og Ruslands overgreb. Det har højnet ukrainernes moral, svækket de russiske soldaters og animeret Vesten.
Meget tyder ligeledes på, at russerne har afholdt sig fra lammende angreb på teleinfrastruktur, fordi deres dårligt logistisk understøttede styrker selv opererer via telefonnettet. Dette strider mod den normale forholdsregel, at tropper ikke bruger deres egne mobiltelefoner, men skal anvende krypteret kommunikation. Ukrainerne har kunnet aflytte russisk kommunikation og bruge det til at forudsige angreb og afsløre russiske soldaters overgreb.
Tilsvarende bruger Ukraine avanceret ansigtsgenkendelsesteknologi, og ved at scanne lig oplyser de deres familier i Rusland om, hvad der er sket med deres døde familiemedlemmer. Et datalæk har afsløret, at Ukraine har detaljerede persondata på de over 100.000 russiske soldater, der er rykket ind i Ukraine, og selvom lækket skulle vise sig at være falsk, kan det påvirke de russiske soldaters moral at få indtryk af, at fjenden ved alt om dem. Man kan også forestille sig, det vil gøre det lettere at stille de skyldige til ansvar for krigsforbrydelser.
Selvom det har overrasket eksperter, at cyberangreb ikke har betydet mere i krigen, skal man således ikke undervurdere betydningen af de andre aspekter af cyber.
Det bliver stadig mere flydende, hvad der er forsvars- og sikkerhedspolitik. Det vil have stor sikkerhedspolitisk betydning, om EU kan fastholde sin førerstilling inden for de fremvoksende teknologier
_______
EU vil være front-runner på et stadig mere uoverskueligt cyberområde
Vi kommer til at bruge stadig flere internetbaserede tjenester, ligesom Internet of Things-løsninger bliver allestedsnærværende, således at brugsgenstande kobles på nettet. Det vil skabe en stor vækst i antallet af mulige angrebspunkter for cyberaktører og af potentielle svagheder, der kan udnyttes, og derfor ligeledes skabe et større behov for at opnå højere cybersikkerhed generelt, ikke kun omkring særligt følsomme netværk og infrastruktur.
Udviklingen inden for kunstig intelligens går meget hurtigt. Det vil også betyde meget for cybersikkerhedsområdet. Forventningen er, at kunstig intelligens bliver den eneste realistiske måde, organisationer kan beskytte sig på, som trusselsbilledet bliver mere uforudsigeligt og består af stadig nye typer angreb. Kunstig intelligens kan dog ligeledes benyttes af angribere til at afsøge og udnytte svagheder.
EU’s i forvejen betydelige rolle på cyberområdet vil derfor vokse. Regulering af kunstig intelligens er noget, der fylder meget i Bruxelles netop nu. Sidste år fremlagde Kommissionen et forslag om banebrydende regulering, som bl.a. vil forbyde visse særligt problematiske anvendelser såsom subliminale teknikker eller et socialt pointsystem, som fx anvendt på alle borgere i Kina, ligesom der stilles forskellige krav om kontrol af kunstig intelligens baseret på anvendelse. EU vil i fremtiden i endnu højere grad påtage sig rollen som front-runner udi at sætte rammer for de gigantiske tech-firmaer.
EU bliver formentlig også front-runner inden for regulering af en række andre avancerede teknologier, som ventes at få skelsættende betydning på cyberområdet. Kvantecomputere er på samme tid cybersikkerhedseksperternes drøm og mareridt, fordi kvanteteknologi vil muliggøre fuldstændigubrydelig krypteret kommunikation, men samtidig blive så kraftig, at man med lethed vil kunne bryde enhver kryptering af den type, vi bruger i dag.
Der er udsigt til et teknologikapløb, der vil få helt uoverskuelige implikationer for cyberområdet.
Det bliver stadig mere flydende, hvad der er forsvars- og sikkerhedspolitik. Det vil have stor sikkerhedspolitisk betydning, om EU kan fastholde sin førerstilling inden for de fremvoksende teknologier. I Bruxelles er analysen, at det kun kan lade sig gøre med fælles regler og koordinerede investering.
Som et centralt initiativ foreslog Kommissionen i sommer et europæisk ”cyberskjold” som del af en ny fælleseuropæisk cyberenhed, så man med intelligens kan muliggøre øjeblikkelig og avanceret trusselsidentifikation. Det skal bestå af ”indbyrdes forbundne operationelle centre”, der skal fungere som ”cybergrænsevagter”, siger to af EU-kommissærerne bag forslaget De fortsætter: ”Vi er er nødt til drastisk at reducere den gennemsnitlige tid, det tager at identificere klassiske indtrængninger, fra 190 dage i dag til nogle få minutter.”
Indsatsen er stor, og det vil få afgørende betydning for Europas sikkerhed, om man er i stand til at udvikle effektive modsvar på de stadig nye cybertrusler, som den teknologiske udvikling medfører. ■
Indsatsen er stor, og det vil få afgørende betydning for Europas sikkerhed, om man er i stand til at udvikle effektive modsvar på de stadig nye cybertrusler, som den teknologiske udvikling medfører
_______
Malthe Munkøe (f. 1984) har en baggrund bl.a. som analysechef i Dansk Erhverv og ekstern lektor på Københavns Universitet og arbejder nu i den offentlige sektor. Han skriver som privatperson. ILLUSTRATION: Et billede fra den digitale sikkerhedskonference „Positive Hack Days‟, der årligt afholdes i Moskva, 18. maj, 2022. Konferencen behandler emner som cybersikkerhed- og krigsførelse [FOTO: Anatoliy Zhdanov/Kommersant Photo/Ritzau Scanpix]
![Kampen om magten: „En meget berigende politisk bog […] Anbefales til indkøb‟](https://d.raeson.dk/wp-content/uploads/2020/02/usa.trump_-300x274.jpg)
