Klik her for at åbne blad som PDF-fil. - Atlantsammenslutningen

atlant.dk

Klik her for at åbne blad som PDF-fil. - Atlantsammenslutningen

forum for sikkerhedspolitik

INFO

S I K K E R H E D S P O L I T I S K

o p l y s n i n g o m s i k k e r h e d s p o l i t i k INFO

Sikkerhed i cyberspace

Nyt problem med

gamle rødder

se mere side 3

Internet Keyboard

Foto: © Gastón Arteche – Dreamstime.com

Kan man

bombe en virus?

se mere side 6

Denne publikation udgives med støtte fra

Systematic • NATO PDD

Som de

blinde slås…

se mere side 6

JULI

11


forum for sikkerhedspolitik

Langt de fleste af os har været udsat for

cyberangreb – ofte uden vi ved det. Men

hvis du tænker blot et år tilbage, så har

du sikkert oplevet, at computeren har

drillet, at din favoritside på Internettet

har været utilgængelig, og du har modtaget

mystiske mails fra personer, du

ikke kender. Disse umiddelbart harmløse

angreb kan imidlertid have omfattende

konsekvenser. Hvis du har været udsat for

et angreb, risikerer du, at dine personlige

data og bankoplysninger sælges videre

for et par dollars, eller du kan uvidende

være part i et nyt, stort cyberangreb.

For nylig blev Sonys PlayStation Network

udsat for et omfattende cyberangreb,

hvor tusindvis af brugeres kreditkortoplysninger

blev kompromitteret.

Men cyberangreb begrænser sig ikke til

LEDER En savnet offentlig debat!

Atlantsammenslutningen

Ryvangs Allé 1

DK-2100 København Ø

Tlf.: (+45) 39 27 19 44

Fax: (+45) 39 27 56 26

E-mail: atlant@atlant.dk

www.atlant.dk

at være en gene for civilbefolkningen.

Cyberangreb har også nogle omfattende

konsekvenser på det sikkerhedspolitiske

niveau, hvorfor de 28 NATO­lande

på topmødet i Lissabon i 2010 vedtog,

at cyberangreb skulle indgå i alliancens

strategiske koncept som en ny trussel

mod den transatlantiske sikkerhed.

Der kan imidlertid stilles spørgsmålstegn

ved, hvorvidt de igangværende

forsvarstiltag er tilstrækkelige i forhold

til at imødegå truslen fra cyberspace.

Begreber som cyberspace og cyberangreb

kan være svære at forholde sig

til og gør emnet uhåndgribeligt. Med

dette nummer af Sikkerhedspolitisk

INFO forsøger Atlantsammenslutningen

derfor at skabe et overskueligt og solidt

afsæt for en informeret offentlig debat.

Atlantsammenslutningen takker følgende for økonomisk støtte til udgivelsen af denne udgave

af Sikkerhedspolitisk INFO: SYSTEMATIC og NATO PDD

forum for sikkerhedspolitik

Stud.scient.pol. ved Syddansk Universitet

og praktikant hos Atlantsammenslutningen

i foråret 2011, Rasmus Hansen,

identificerer i dette nummer af Sikkerhedspolitisk

INFO tre karakteristika, der

gør cyberangreb unikke og belyser deres

sikkerhedspolitiske og folkeretslige konsekvenser.

Forfatteren sætter rammerne

for nogle utroligt spændende diskussioner,

der bør tages op i såvel klasseværelset

som Folketinget. Læs videre

– og deltag i debatten.

God fornøjelse

Troels Frøling

Generalsekretær

Atlantsammenslutningen har siden 1950 informeret den danske befolkning om NATO og

dansk udenrigs-, forsvars- og sikkerhedspolitik. Som en landsdækkende og internationalt

orienteret NGO fungerer Atlantsammenslutningen som bindeled mellem politikere, forskere,

studerende og den brede befolkning og som et forum for sikkerhedspolitisk debat.

Sikkerhedspolitisk INFO udgives af Atlantsammenslutningen og kan bestilles enkeltvis

eller i klassesæt mod et mindre gebyr.

Ansvarshavende redaktør: Troels Frøling

Redaktør: Søren Kyster Hvelplund

Forfatter: Rasmus Hansen

Layout/tryk: Kosmos Grafisk ApS · 66139075

Oplag 1.000 stk.

ISSN: 1602-0952(tryk version) · ISSN: 1903-6396(Elektronisk version)


Sikkerhed i cyberspace

I NATOs seneste strategiske koncept fra

november 2010 fremhæves cyberangreb

som en ny alvorlig trussel mod den transatlantiske

sikkerhed 1) . Men truslen fra

cyberspace er ikke ny, og den politiske

timing vidner om, at problemstillingen i

en årrække har været overset eller negligeret.

Sikkerheden i cyberspace har

været domineret af det private marked

med fokus på praktiske problemstillinger

og tekniske løsningsmodeller, hvorfor de

sikkerhedspolitiske og folkeretslige konsekvenser

er udeblevet fra den politiske

diskussion. Dette nummer af Sikkerhedspolitisk

INFO identificerer tre karakteristika,

der gør cyberangreb unikke,

og diskuterer deres betydning for den

traditionelle forståelse af sikkerhed og

international lov. Dermed forsøges det

at påbegynde en savnet offentlig debat,

der kan give nuværende og fremtidige

beslutningstagere en mere nuanceret

forståelse af problemstillingerne og

dermed skabe grobund for bedre løsninger.

Nyt problem med gamle rødder

Truslen fra cyberspace har rødder i den

historiske udvikling af Internettet og det

moderne samfunds afhængighed af informationsteknologi

(IT).

Internettet opstod i 1960’ernes USA under

navnet ARPANET (Advanced Research

Projects Agency Network) 3) . Formålet var

at gøre det nemmere for forskere at dele

deres resultater med hinanden på tværs

af institutter og delstater. Oprindeligt

betød et lille antal brugere på ARPANET,

at man kendte afsendere og modtagere

i netværket. Det var derfor unødvendigt

at kunne identificere informationernes

ægthed og afsenderens motiver – de var

kendt på forhånd. Det nye netværk blev

hurtigt anerkendt for dets muligheder

og potentiale, mens ulemperne og faren

blev overset eller afvist.

I 1970’erne skete der en revolution inden

for IT. Det foregik hovedsagligt i

Silicon Valley i Californien, hvor man

gjorde banebrydende opdagelser inden

for mikroprocessorer og integrerede

kredsløb. Det var også her, at softwareproduktionen

begyndte. Man begyndte

for alvor at øjne mulighederne ved

netværksprincippet og decentraliserede

virksomhedsstrukturer 4) . Flere begyndte

at koble sig til netværket, der fik sin nuværende

betegnelse, Internettet.

Op gennem 1980’erne udviklede Internettet

sig gradvist. Flere og flere mennesker

blev ansat til udvikling af software,

programmering og innovation, og

i 1989 konkluderede sociologen Manuel

Castells, at information var blevet den

primære ressource til den materielle

Begrebsafklaring

Cyber

stammer fra Cybernetic (Dansk: Kybernetik): ”Kybernetik var oprindeligt studiet af

biologiske og kunstige kontrolsystemer, men har i dag spredt sig til mange andre

områder, herunder computervidenskab […]. Kybernetik er studiet af hvilke mekanismer,

der kontrollerer systemer, og hvordan systemer regulerer sig selv. Begrebet

blev første gang brugt af Norbert Weiner i 1943” 2) .

Cyberspace

er et fiktivt rum, der opstår, når computere og andet digitalt udstyr forbindes i

et netværk. Det er derfor nærliggende at konkludere, at cyberspace må være

summen af de tilkoblede enheder og være styret af de enkelte brugere. Det er

også til en vis grad korrekt. Netværket ville ikke eksistere uden de tilkoblede

enheder, men i kraft af at der er flere enheder tilkoblet, er den enkelte bruger

kun delvist i kontrol. Jo flere enheder der er tilkoblet et netværk, jo mere reduceres

betydningen og indflydelsen fra den enkelte bruger. Det er denne

logik, der gør, at man kan betragte digitale netværk som selvstyrende systemer.

Cyberangreb

er angreb, hvor IT bruges som et våben til at udnytte, beskadige eller ødelægge

digitalt udstyr og digitalt afhængig infrastruktur. Det kan være rettet mod enkeltpersoner,

virksomheder og stater, og det kan være motiveret af alt fra prestige til

politik. Det betyder, at det bliver svært at afgøre, om et angreb skal betegnes som

hærværk, kriminalitet eller krig. IT kan have en stor betydning for oprør og demonstrationer

gennem koordinering, kommunikation og mobilisering, men her er IT

ikke på samme måde et våben rettet mod digitalt udstyr og digitalt afhæ ngig infrastruktur.

Effekterne af sociale netværk som Facebook og Twitter i forbindelse

med demonstrationer i fx Mellemøsten og Nordafrika falder således uden for

publi kationens fokusområde.

produktion i en ny frembrydende vidensøkonomi

5) . IT var blevet et bærende element

i den moderne verdens infrastruktur.

I 1990’erne blev Internettet offentligt

tilgængeligt og udviklingen eksploderede.

Internettet er i dag et globalt

netværk af computere, mobiltelefoner

og andre digitale enheder. Enhed nummer

fem milliard blev koblet til Internettet

sidste sommer, og det forventes, at

antallet af tilkoblede enheder vil være

firdoblet inden for 10 år 6) .

3


forum for sikkerhedspolitik

De tre karakteristika

Her identificeres tre karakteristika, der

gør cyberangreb til en unik trussel. Som

det ser ud i dag, er angrebene karakteriseret

ved anonymitet, forholdsvis lave

omkostninger og en global rækkevidde.

Det er disse karakteristika, der danner

grundlag for de sikkerhedspolitiske og

folkeretslige problemstillinger.

Ingen rygende geværer

Cyberspace giver anonymitet. Selvom

alle computere er tilknyttet en IP­adresse,

er det ofte meget vanskeligt at spore et

cyberangreb. Størrelsen af cyberspace,

dynamiske IP­adresser og muligheden

for at skjule sin identitet betyder, at der

er en høj grad af anonymitet på Internettet

8) . De bedste ledetråde til angrebenes

oprindelse er derfor at spørge, hvem de

gavner (cui bono?) og undersøge deres

kompleksitet. Disse ledetråde giver dog

langt fra en entydig og klar profil af aggressor.

I april 2007 begyndte en række cyberangreb

at ramme Estland. Omkring en million

computere var impliceret i et omfattende

’Denial of Service’ (DoS) angreb,

som hovedsagligt ramte centraladmini­

En stadig større andel af verdens infrastruktur

understøttes i dag af IT.

Foto: © Stoupa – Dreamstime.com

Det er den stigende afhængighed af et usikkert netværk, der gør cyberangreb til en

ny alvorlig trussel. Jo mere afhængig man er af IT, jo mere sårbar er man også overfor

cyberangreb 7) .

strationen, politiske partier, banker og

nyhedsmedier. Angrebet skete i forbindelse

med, at det kølige forhold mellem

Estland og Rusland var blevet forværret.

En statue til minde om det tidligere

Sovjetunionen var blevet flyttet fra sin

plads foran hovedbiblioteket i Tallinn,

hvilket kunne opfattes som en provokation

af Rusland, der fortsat ser de baltiske

lande som en del af den russiske interessesfære.

Det kan dermed hævdes, at Rusland

havde et motiv til at angribe Estland

i et forsøg på at demonstrere sin fortsatte

magtdominans i “det russiske nærområde”.

Men den blotte tilstedeværelse af

et motiv er ikke nok til at konkludere,

at Rusland stod bag angrebet. Selvom

det er blevet påpeget, at nogle af de

indledende angreb stammede fra russisk

territorium kan det ikke bevises, at

angrebet var koordineret af den russiske

stat. De russiske servere kunne være en

del af et større BOT­netværk administreret

af en tredje part, fx en anden stat

eller en terrorgruppe. Rusland nægter at

stå bag angrebet.

BOT-net og

Denial of Service

BOT-net

Forkortelse for Robotnetværk. En BOT

er en computer, som vha. skadelig

kode fjernstyres via nettet, og som

anvendes til ondsindede formål uden

ejerens samtykke og kontrol. Når flere

computere kontrolleres af samme

person, er der tale om et BOT­net. Det

samlede skadelige potentiale af et

BOT­netværk bestemmes af antallet af

computere under hackerens kontrol.

Denial of Service

Ved at bruge et BOT­net får hackeren

et stort antal computere til at bede

om adgang til den samme hjemmeside

samtidig. Herved overbelastes

hjemmesidens servere, og siden går

ned.

En anden metode til at identificere aggressor

er at undersøge angrebenes

kompleksitet. Orlogskaptajn Peter J.B.

Gottlieb fra Forsvarsakademiet skelner

mellem simple, avancerede og komplekse

angreb. Evnen til at angribe består

af en teknisk og en analytisk kompetence.

Formålet med angrebene er ikke

altid at ødelægge systemer. Det kan også

være at få adgang til data, ændre data eller

udgive sig for en godkendt part i en

kommunikation. Simple angreb kan gennemføres

af de fleste mennesker med

forstand på IT. Typisk er det angreb mod

enkelte dele af et system. 80 % af støjen

på nettet udgøres af denne type angreb.

Avancerede angreb kræver en dybere

indsigt i IT på niveau med IT ingeniør.

Angrebene kan gennemføres af enkeltpersoner

eller af teams. Denne type angreb

vil typisk ramme større sy stemer

eller flere systemer af samme type. Komplekse

angreb er mere omfattende og

rammer flere systemer samtidigt. De

kræver et koordineret samarbejde mellem

flere aktører og har højere økonomiske

omkost ninger. 9) Enkeltpersoner er

derfor i langt de fleste tilfælde afskåret

fra at gennemføre komplekse angreb.

Et meget komplekst og omfattende cyberangreb

ramte Iran i 2010. Målet for

angrebet var Irans atomanlæg i Natanz

og Bushehr. En orm (Stuxnet) tog kontrol

over centrifugerne i anlæggene og fik

dem til at spinde hurtigere end normalt.

Det beskadigede reaktorerne og forsinkede

Irans atomprogram betydeligt.

Særligt to faktorer omkring Stuxnet har

gjort indtryk. For det første var ormen i

stand til at angribe anlæggene, selvom

de ikke var koblet til Internettet. Stuxnet

inficerede gennem længere tid et stort

antal computere over hele verden – også

computere, der tilhørte forskerne på

anlæggene. Ormen var kodet til først at

aktivere, når sikkerhedssystemerne i anlæggene

blev genkendt, og så længe det

ikke skete, ville man ikke vide, at man var

blevet angrebet. Når forskerne herefter

O


tilsluttede deres personlige computer

til det lukkede netværk, overførte de

intetanende ormen til anlæggenes styresystem.

For det andet har angrebets

kompleksitet vakt opsigt. Den nødvendige

efterretning til at udføre angrebet

begrænser listen af mistænkte til nogle

få nationalstater. Derudover anslås det,

at konstruktionen af Stuxnet har taget

omkring 10.000 mandetimer 10) . Det betyder

imidlertid ikke, at aggressor er blevet

identificeret.

Fuld effekt, halv pris

Cyberangreb har forholdsvis lave

omkost ninger – både politisk og økonomisk.

Selvom komplekse angreb er dyre,

så er det stadig en god måde at opnå resultater,

der med konventionelle metoder

og våbensystemer ville have enorme

politiske og økonomiske omkostninger.

På trods af at enkeltpersoner i mange

tilfælde er afskåret fra at gennemføre

Virus

rm Trojansk Hest

komplekse angreb, så kan fritidshackere

og let tilgængeligt malware have yderst

skadelige effekter. Dermed forsvinder

den traditionelle skillelinje mellem civilt

og militært udstyr 11) , og antallet af potentielle

fjender mangedobles. Alle, der

er tilkoblet Internettet, udgør en potentiel

trussel.

Den 7. februar 2000 blev forbindelsen

til Yahoo afbrudt. Internetsiden var

blevet offer for et DoS angreb, der fik

værtsserverne til at gå ned. I ugen der

fulgte, blev Amazon, Dell, CNN og eBay

ramt af samme angreb. Angrebet har

siden befundet sig på adskillige top­10

lister over de værste cyberangreb i verden

12) . Det mest opsigtsvækkende var

imidlertid ikke omfanget af angrebet,

men profilen på gerningsmanden. Angrebet

var blevet udført af den amerikanske

teenager Michael Calce. Under

sit hackeralias ’Mafia Boy’ havde Calce

skrevet den skadelige kode ’Rivolta’, som

effektivt nedlagde de store hjemmesider.

Angrebet blev gennemført fra

Malware

Spyware

Malware

Malware

Malware er en forkortelse af Malicious Software og en fællesbetegnelse for nogle

af de skadelige programmer, som findes i cyberspace. I denne boks beskrives nogle

af de mest udbredte former for Malware.

Virus

Computervirussen er en af de mest berygtede former for Malware. En virus kan

duplikere sig selv og spredes ofte gennem e­mail. Lagringsenheder (fx USB­stik)

er også potentielle bærere. Så snart en virus er installeret, vil den inficere eksisterende

filer og forsøge at sprede sig til andre systemer. Konsekvenserne af en virus

varierer bredt. En virus kan begrænse sig til at nedsætte hastigheden på en computer

eller slette alle filer på harddisken.

Orm

En orm er tæt relateret til en virus. Både vira og orme kan duplikere sig selv og

spreder sig hurtigt, men orme er ikke på samme måde afhængige af andre filer

i disse processer. En orm kan bevæge sig frit gennem Internettet og ramme alle

digitale enheder, der er online. På meget kort tid kan en orm påføre meget stor

skade. Den kan slette filer og lave ’bagdøre’, der giver hackeren adgang til de inficerede

systemer.

Trojansk Hest

Den Trojanske Hest har fået sit navn fra græsk mytologi. Det ligner et uskyldigt

program og vil typisk præsentere sig som en venligsindet e­mail eller en nyttig

applikation. En Trojansk Hest kan ikke duplikere sig selv, men er i stand til at viderebringe

skadelige programmer som vira, orm og spyware.

Spyware

Spyware har til formål at udspionere og afrapportere en brugers aktivitet på Internettet

og give hackeren adgang til fortrolige oplysninger. Det er et snedigt program,

der ikke direkte søger at skade den inficerede computer, men over længere

tid kan Spyware få alvorlige negative konsekvenser. En computer bliver typisk inficeret

med Spyware ved installationen af gratis software. Spyware kan normalt

genkendes ved et stort antal pop­ups, webbrowseren ser anderledes ud, og søgninger

på nettet omdirigeres til uønskede hjemmesider

hans personlige computer, og motivet

var hverken terror eller økonomisk berigelse,

men opmærksomhed og respekt

i cyberspace. Det anslås, at angrebet har

kostet firmaerne omkring $1,7 mia. 13)

I 1997 afholdt USA en militær øvelse med

kodenavnet Eligible Reciever. Formålet

var at afdække landets sårbarhed overfor

cyberangreb og simulerede en militær

krise på den Koreanske halvø. Et

hold på 9 personer blev placeret på et

skib i Stillehavet. De skulle agere nordkoreanske

hackere og ved hjælp af cyberangreb

forsøge at besværliggøre

USA’s mulig heder for at assistere Sydkorea

14) . Resultatet af øvelsen chokerede

de amerikanske myndigheder. De 9 personer

havde på kort tid fået kontrol over

36 computersystemer. De var brudt ind

i sikrede computernetværk, havde udført

DoS angreb, læst, ændret og fjernet

e­mails og forstyrret store dele af telefonnettet

herunder den amerikanske

alarmcentral 911 15) .

Nationalstaten har ikke længere monopol

at føre krig. Cyberangreb kan

gennemføres af såvel amerikanske teenagere

og kriminelle som terrorgrupper

og internationale stormagter. Hvis vi

betragter et voldsomt angreb på nationalstatens

infrastruktur som en krigshandling,

så betyder det øgede antal af

relevante aktører, at krigen ikke længere

er forankret i den politiske rationalitet.

Angreb kan være rettet mod små og

store systemer, og de kan være moti veret

af alt fra hærværk til prestige, økonomi

eller politik 16) .

Ingen grænser

Internettet er globalt og er i høj grad blevet

udviklet på det private marked. Det

betyder, at der ikke eksisterer nogen effektiv

governance på området. Malware

kan sprede sig med lynets hast, og nationalstaterne

har ringe mulighed for at

kontrollere den trafik, der går ind i og ud

af landet.

Den 14. august 2003 ramte et omfattende

strømsvigt USA. Mange kraftværker

brød ned, telefoner og vandforsyning

virkede ikke, og tusindvis af mennesker

var fanget i elevatorer og metrovogne.

50 millioner mennesker stod pludselig

uden strøm. Officielle kilder hævder,

at strømsvigtet skyldtes ubeskårede

træer, der var vokset ind i en højspændingsledning.

Denne forklaring bakkes op

af Charles R. Smith, der fremhæver de

manglende fysiske skader på invol verede

atomreaktorer og kraftværker som tegn

på, at der var tale om et hænde ligt uheld

snarere end et angreb 17) . Det er imidlertid

blevet bemærket, at strømsvigtet

skete blot tre dage efter et af samtidens

kraftigste cyberangreb. Den 11.

august 2003 var en orm (Blaster) blevet

sat løs på Internettet. Blaster nedlagde

Air Canadas check­in­system, og en stor

del af jernbanetrafikken i USA gik i stå.

Fly­, hav­ og landtrafik blev påvirket, og

tre dage senere indtraf det omfattende

strømsvigt.

5


forum for sikkerhedspolitik

På grund af anonymiteten i cyberspace

bliver angreb meget sjældent straffet.

Foto: © Ginasander – Dreamstime.com

Der er fortsat uenighed om, hvorvidt

strømsvigtet var en del af angrebet eller

et uheld, men det åbnede verdens øjne

for malwarens skadelige potentiale i den

fysiske verden og udstillede nationalstatens

sårbarhed overfor cyberangreb.

Problematikken mellem regionale stater

og et globalt cyberspace bliver stadig

mere tydelig. Det er ikke kun svært

at holde uønsket malware ude, det er

ligeledes svært at holde fortrolige informationer

inde.

I 2009 blev man klar over, at Pentagons

Joint Strike Fighter–projekt havde

været udsat for omfattende spionage,

hvor enorme mængder data var blevet

stjålet fra projektets computere. Det var

hoved sagligt informationer omkring flyets

design og teknologi, der blev kompromitteret.

Informationer der gør det

nemmere at forsvare sig mod flyet 18) .

Man har mistanke om, at angrebet kom

fra Kina, men man har ikke været i stand

til at bevise det. Lockheed Martin – firmaet

bag Joint Strike Fighter og en af de

største leverandører til det amerikanske

forsvar – er for nylig blevet hacket igen.

En særlig amerikansk kommission nedsat

med henblik på at overvåge Kinas

økonomiske og sikkerhedspolitiske udvikling

fremhæver i en rapport, at mange

af de cyberangreb, der rammer militære

anlæg og kritisk infrastruktur i USA og

hos dets allierede, tyder på at være statssponserede

19) .

Cyberangrebenes globale rækkevidde

forhindrer staten i at beskytte sine

grænser og undergraver dermed et af de

fundamentale elementer af strukturen

i det internationale system – staternes

suverænitet. Det moderne stats system

er bygget på principperne om nationalstaternes

territoriale integritet og

grænsekontrollens ukrænkelighed. Men

cyberspace har ingen territorier, der kan

forsvares, og ingen grænser der kan kontrolleres.

Hvis nationalstaten ikke kan

forsvare sin suverænitet og garantere

sikkerheden for sine borgere, så mister

institutionen berettigelse og legitimitet.

Det er denne tankegang, der har fået

USA’s udenrigsminister Hillary Clinton

til at kalde hjemmesiden Wikileaks ”et

angreb på det internationale samfund” og

en talsmand fra den franske regering til

at betegne Wikileaks ”som en trussel mod

demokratiske landes suverænitet” 20) .

Vores forestillinger omkring cyberangreb

og deres konsekvenser er ofte hentet

fra science fiction, der har en tendens

til at promovere et worst­case­scenario.

I forhold til cyberangreb kan dette imidlertid

være foruroligende tæt på virkeligheden.

Cyberangreb kan begrænse

sig til at genere den civile internetbruger

og gøre hjemmesider utilgængelige,

men de kan også bruges til at udnytte,

beskadige eller ødelægge kritisk infrastruktur.

Kan man bombe en virus?

Cyberspace vil fremover ændre den traditionelle

forståelse af sikkerhedspolitik

og internationale relationer. Først og

fremmest vil det have nogle betydelige

konsekvenser for international lov og

spørgsmålet om den retfærdige krig.

Folkeretten er et retssystem, der regulerer

forholdet mellem staterne i det

internationale system. Formålet er at

imødegå konsekvenserne af en anarkisk

verdensorden og opbygge et internationalt

samfund baseret på ’rule

of law’. Helt centralt for folkeretten er

spørgsmålet om den retfærdige krig.

Hvornår er der retsligt grundlag for at

indlede en krig (jus ad bellum), og hvilke

midler og metoder må man anvende,

når krigen er brudt ud (jus in bello)? FNpagten

af 1945 er forankret i folkeretten

og har til formål at opretholde mellemfolkelig

fred og sikkerhed. Her beskrives

det, at magtanvendelse overfor andre

stater er forbudt, medmindre det sker i

selvforsvar eller i overensstemmelse med

FN’s sikkerhedsråd. Nationalstaternes ret

til selvforsvar er beskrevet i FN­pagtens

artikel 51, som danner grundlag for NA­

TOs artikel 5.

De tre karakteristika identificeret i denne

publikation udfordrer imidlertid den traditionelle

sikkerhedspolitiske forståelse.

Problemerne i forhold til at identificere

aggressor betyder, at det bliver vanskeligt

at afgøre, om et cyberangreb konstituerer

hærværk, kriminalitet eller krig.

Et hackerangreb, der beskadiger eller

ødelægger en personlig computer, kan

betragtes som hærværk, men hvad hvis

computeren tilhører en højtstående embedsmand

eller politiker? Ligeledes vil

det ofte blive betragtet som krimina litet,

hvis en hacker får adgang til og udnytter

fortrolige oplysninger, men hvad hvis

disse oplysninger er af militær karakter

og har betydning for den nationale

sikkerhed?

Det kan måske virke som spørgsmål af

en ren akademisk karakter, men der er

tale om mere end blot et definitionsproblem.

Hvis vi ikke kan afgøre, hvorvidt

et angreb konstituerer hærværk, kriminalitet

eller krig, så bliver det tilsvarende

vanskeligt at vælge et proportionelt

modsvar. Det er uden tvivl, at cyberangreb

udgør en aktuel og stigende trussel

mod nationalstaternes suverænitet,

men det er langt fra klart, hvornår og

hvordan vi skal svare igen på truslen.

Kan det på baggrund af et cyberangreb

retfærdiggøres at angribe en stat, hvis

det ikke kan bevises, at det oprindelige

angreb var statssponseret? Og hvis det

kan bevises, giver et cyberangreb så bemyndigelse

til at angribe et andet land

militært med civile tab til følge? Dette

er nogle af de centrale spørgsmål, som

nationalstaterne, forsvarsalliancer og internationale

organisationer må søge at

besvare.

En af de afgørende problemstillinger

er, at FN’s artikel 51 og NATOs artikel 5

beskriver staternes handlemuligheder

i forbindelse med væbnede angreb.

De nye trusler er ikke kendetegnet ved

væbnede angreb mod suveræne stater,

og for at blive betragtet som en krigshandling

må de overskride en politisk

smertetærskel. Efter terrorangrebet på

World Trade Center i 2001 aktiverede

NATO for første gang i alliancens historie

artikel 5. Der var politisk enighed om, at

terrorhandlingen konstituerede et væbnet

angreb, som retfærdiggjorde et militært

modsvar. I forhold til cyberangreb

er det imidlertid omgivet af stor uvished,

hvornår et angreb overstiger den politiske

smertetærskel og kan betragtes

som et væbnet angreb.

Så længe der hersker uenighed og forvirring

om, hvornår et cyberangreb konstituerer

et væbnet angreb, så efterlades

spørgsmålet om et proportionelt modsvar

og den retfærdige krig til fortolkning

hos de internationale aktører. Estlands

præsident hævdede i forbindelse med

angrebet i 2007, at et tilsvarende angreb

med konventionelle våbensystemer

havde dannet grundlag for at aktivere

NATOs artikel 5. Så længe cyberangreb

er karakteriseret ved anonymitet, lave

omkostninger og global rækkevidde, vil

fortolkningen og applikationen af det juridiske

grundlag være styret af praktiske

og politiske hensyn og ikke forankret i

juridiske doktriner. 23)

Som de blinde slås…

Der er bred enighed om, at nationale

og internationale forsvarstiltag er langt

bagefter i forhold til at imødegå truslen

fra cyberspace. Det er derimod mindre


FN artikel 51 og NATO artikel 5

FN artikel 51

”Intet i nærværende pagt skal indskrænke den naturlige ret til individuelt eller

kollektivt selvforsvar i tilfælde af et væbnet angreb mod et medlem af de Forenede

Nationer, indtil sikkerhedsrådet har truffet de fornødne forholdsregler til opretholdelse

af mellemfolkelig fred og sikkerhed. Forholdsregler, taget af medlemmer

i udøvelsen af denne ret til selvforsvar, skal uopholdelig indberettes til sikkerhedsrådet

og påvirker ikke på nogen måde dettes myndighed og ansvar i henhold til

nærværende pagt med hensyn til iværksættelse når som helst af sådanne skridt,

som det anser for nødvendige til opretholdelse eller genoprettelse af mellemfolkelig

fred og sikkerhed.” 21)

NATO artikel 5.

”Deltagerne er enige om, at et væbnet angreb mod en eller flere af dem i Europa

eller Nordamerika skal betragtes som et angreb mod dem alle; og de er følgelig

enige om, at hvis et sådant angreb finder sted, skal hver af dem under udøvelse af

retten til individuelt eller kollektivt selvforsvar, som er anerkendt ved artikel 51 i De

Forenede Nationers pagt, bistå den eller de således angrebne deltagerlande ved

straks, hver for sig og i forståelse med de øvrige deltagerlande, at tage sådanne

skridt, derunder anvendelse af væbnet magt, som hver af dem anser som nødvendige

for at genoprette og opretholde det nordatlantiske områdes sikkerhed.

Et hvert sådant angreb og alle som følge deraf trufne forholdsregler skal uopholdeligt

indberettes til Sikkerhedsrådet. Sådanne forholdsregler skal bringes til ophør,

når Sikkerhedsrådet har truffet de til genoprettelse og opretholdelse af den mellemfolkelige

fred og sikkerhed fornødne forholdsregler.” 22)

kendt, at der eksisterer et åbenlyst paradoks

i den måde, vi forsvarer os på, og

den sikkerhed vi ønsker. Når der tales om

at sikre sig mod truslen fra cyberspace,

så omhandler det primært fire punkter:

en stabil tilgang til Internettet, informationernes

integritet, informationernes

ægthed og fortrolighed. 24) Dette ambitionsniveau

er imidlertid svært foreneligt

med igangværende forsvarstiltag. Den

teknologiske udvikling har overhalet de

eksisterende juridiske doktriner for det

internationale system og vil i fremtiden

tvinge de politiske beslutningstagere til

at revurdere forståelsen af nationalstatens

suverænitet og sikkerhed.

Cyberangrebenes globale rækkevidde

og det øgede antal af relevante aktører

betyder, at man sjældent har mulighed

for at forberede sig på et angreb. Dertil

kommer, at hackere udnytter sårbarheder

og ’huller’ i systemerne. Man bliver

ikke angrebet der, hvor sikkerheden er i

orden. Den enorme mængde af stadig

mere sofistikeret, let tilgængeligt malware

og den konstante udvikling af nyt

software gør kun problemet større.

Man er således sjældent i stand til at

forudsige eller forhindre angreb 25) . I

stedet forsøger man at forbedre systemernes

modstandsdygtighed gennem

træningsøvelser, informationsdeling,

oplysning og uddannelse.

De europæiske lande har sammen med

bl.a. USA udviklet et CERT 26) program,

hvor nationale CERTs har til formål at

sikre offentlige­, private­ og militære

systemer. I Danmark varetager GovCERT

sikkerheden hos de offentlige institutioner,

DK­CERT koordinerer indsatsen på

det private marked og MilCERT beskytter

systemerne hos det danske forsvar. Endelig

er det foreslået, at Danmark i 2014

skal råde over offensive kapabiliteter i

cyberspace 27) , men det endelige ambitionsniveau

er fortsat ukendt.

NATO har i det seneste strategiske koncept

anerkendt cyberangreb som en ny

alvorlig trussel mod den transatlantiske

sikkerhed. Alligevel har NATO indtil nu

haft mest fokus på at sikre de interne

netværk og oprette et særligt ’Center of

Excellence’ (CCD COE). På forsvarsministermødet

i marts blev man dog enige

om at skabe en ny cyberforsvarspolitik,

der skal sikre alliancelandene mod truslen

fra cyberspace. Den nye cyberforsvarspolitik

forventes at blive godkendt

på det næste forsvarsministermøde i

juni, hvorfor det endnu er for tidligt at

vurdere implementeringen og effekterne

af denne politik. Men det lader til,

at sikringen af de interne netværk forbliver

NATOs ambi tionsniveau. 28)

Der er enighed om, at NATO skal varetage

den kollektive sikkerhed – også i

cyberspace, men som det er tilfældet i

forhold til flere af de nye trusler, er NATO

begrænset af sine historiske fodspor,

hvor man traditionelt har lagt vægt på

Foto: Kilde: DarkGovernment.com

afskrækkelse gennem overlegen militær

magt. Cyberangreb kan ikke afskrækkes

og den militære værktøjskasse

er ikke længere tilstrækkelig, idet kapabiliteterne

i cyberspace er usynlige og

kan anvendes anonymt.

På baggrund af de nye trusler er NATO

begyndt at fokusere mere intensivt på

civilt­militært samarbejde og partnerskaber.

Vi skal imidlertid være kritiske

overfor, om denne strategi er anvendelig

i cyberspace. Internationalt samarbejde

er nødvendigt, men det er ikke nemt, og

det er ikke nok.

En umiddelbar hindring for et effektivt

internationalt samarbejde er, at ofre for

cyberangreb sjældent ønsker at videregive

detaljerede oplysninger omkring

de angreb, der har omgået deres sikkerhedssystemer.

Man ønsker ikke at afsløre,

hvor man er sårbar.

En anden hindring er det manglende

geopolitiske aspekt i cyberspace. Selvom

angrebene har global rækkevidde

og konsekvenser, så påvirker cyberangreb

ikke på samme måde som konventionelle

angreb den geopolitiske

magtstruktur i det internationale system.

Selvom angrebet på Estland i 2007 formodes

at komme fra Rusland, så blev det

ikke umiddelbart opfattet som en trussel

mod den kollektive sikkerhed og udløste

ingen af NATOs forsvarsartikler.

Men selv hvis det er muligt at skabe et

effektivt internationalt samarbejde, så

er det ikke tilstrækkeligt. De nationale

instanser har i dag nogle klart afgrænsede

domæner, der afgør hvilke typer af

cyberangreb, de kan og skal imødegå. I

Danmark er der instanser, der tager sig af

offentlige netværk, andre der tager sig af

det private marked, politiet efterforsker

kriminelle handlinger, og forsvaret agerer

på trusler mod de militære systemer.

Der eksisterer således en form for magtdeling

i de nationale beredskaber. Men

når vi vanskeligt kan afgøre, hvornår et

angreb konstituerer kriminalitet, terror

eller krig, så er det tilsvarende vanskeligt

at udpege den relevante myndighed. I

den nuværende konstruktion risikerer vi

derfor, at civile myndigheder pludselig

varetager trusler mod den nationale

sikkerhed.

Nogle aktuelle overvejelser i forbindelse

med forsvar og sikkerhed er at

cyberangreb indlejret

i folkeretten og rammerne

for retfærdig

krig. Man er begyndt

at presse på for internationale

traktater og

konventioner, men

det er svært at nå til

enighed.

Som det ser ud i dag,

så kan forsvaret mod

cyberangreb sammenlignes

med en

bokser, der har bind

for øjnene. Vi ved

ikke, hvor angrebene

kommer fra, hvornår de kommer, eller

hvor de rammer.

7


Et effektivt forsvar mod cyberangreb

må være i stand til at omfavne alle typer

af angreb. Lige fra teenagere der

angriber kommercielle internetsider

til statslige aktører, der via Internettet

udnytter, beskadiger eller ødelægger

kritisk infra struktur i et forsøg på at gennemtvinge

en politisk dagsorden. Vi bør

derfor begynde at overveje oprettelsen

af centralt koordinerende instanser –

både natio nalt og internationalt. Disse

instanser skal ikke have til formål aktivt

at bekæmpe angrebene, men derimod

analysere deres oprindelse og formål,

uddelegere ansvar og være garant for

et hensigtsmæssigt og effektivt samarbejde

mellem relevante myndigheder.

Ideen om en central koordinerende instans

findes i den tyske sikkerhedsstrategi

for cyberspace. 29)

Endelig skal det pointeres, at ethvert

effektivt forsvar mod cyberangreb må

kunne imødegå de i denne publikation

identificerede karakteristika. Alle forsvarstiltag,

traktater og konventioner,

der ikke tager udgangspunkt i problematikkerne

omkring de tre karakteristika,

vil være ineffektive og i bedste fald garant

for en falsk tryghed.

En ny balance?

IT og cyberspace giver de traditionelt

svage aktører i det internationale system

en unik mulighed for at balancere mod

de stærke. Det er nemlig ofte de stærke

aktører i det internationale system, der er

mest afhængige af IT og derfor mest sårbare

overfor cyberangreb. Ifølge James

Adams er USA grundet dets militære

overlegenhed og den udviklede integrering

af IT et af de mest oplagt mål for

cyberangreb. 30)

Den manglende mulighed for af­

NOTER

skrækkelse i cyberspace gør, at IT kan

betragtes som et offensivt våben, der

på linje med andre revolutionerende

udviklinger i våbensystemer kan få afgørende

betydning for konflikter i det internationale

system. Men i modsætning

til konventionelle våbensystemer er kapabiliteter

og oprustning i cyberspace

usynlig. Mange lande er i gang med at

udvikle og forbedre deres IT­systemer.

Det antages, at man i den proces også

udforsker mulighederne for at angribe. 31)

Det giver både en ny offensiv kapabilitet,

men samtidig en bedre indsigt

i hvilke mangler og sårbarheder, man

skal være opmærksom på. Der foregår

altså en oprustning i cyberspace. Det

interessante bliver, hvilke konsekvenser

en skjult oprustning af usynlige kapabiliteter,

der ikke kan afskrækkes, vil få

på internationale relationer og den nuværende

magtbalance i det internationale

system.

Mange har beskrevet atombomben som

en defensiv våbenkapacitet og tilskrevet

den meget af æren for, at den kolde krig

forblev kold. Atombomben havde en

afskrækkende effekt, hvor et nukleart

angreb ville resultere i gengældelsesangreb

og låste aktørerne i en situation af

Mutual Assured Distruction (MAD). IT

kan imidlertid få den modsatte effekt,

idet cyberangreb er forbundet med

forholdsvis lave politiske og økonomiske

omkostninger, mens det er utrolig svært

at forsvare sig. Det har resulteret i en

lang liste af omfattende, succesfulde angreb.

32)

Den militære overlegenhed hos traditionelt

stærke aktører vil ofte være

ubrugelig i forbindelse med cyberangreb.

Det er derfor blevet hævdet, at

cyberspace kan føre det internationale

system tilbage til et traditionelt magtbalance­system.

33) Især når aggressor er

1) http://www.nato.int/cps/en/natolive/official_texts_68580.htm

2) http://www.webopedia.com/TERM/C/cybernetics.html (forfatterens egen oversættelse)

3) Zysman og Newman i Levy, Jonah D (2006): “The State After Statism: From Market Direction

to Market Support”, i The State After Statism, ed. Jonah Levy. Cambridge: Harvard University

Press.

4) Christou, George og Seamus Simpson (2006): “The Internet and Public-Private Governance in

the European Union”, Journal of Public Policy, vol. 26, No. 1

5) Johan Erikson og Giampiero Giacomello (2006): ”The Information Revolution, Security, and

International Relations: (IR)relevant Theory?” International Political Science Review, vol. 27,

No. 3

6) http://vtu.dk/ministeren/taler/2011/ikt-paavirker-os-alle

7) Johan Erikson og Giampiero Giacomello (2006): ”The Information Revolution, Security, and

International Relations: (IR)relevant Theory?” International Political Science Review, vol. 27,

No. 3

8) Efter korrespondance med Dr. Christian Damsgaard Jensen, DTU

9) Peter Jacob Blædel Gottlieb (2010): “Cybersecurity: A Primer”, American Intelligence Journal,

Vol.28, No.2

10) http://www.foxnews.com/scitech/2010/11/26/secret-agent-crippled-irans-nuclear-ambitions/

11) Efter samtale med Peter Jacob Blædel Gottlieb

12) Se fx http://www.pcworld.dk/art/6664

13) http://news.bbc.co.uk/2/hi/science/nature/1541252.stm

14) James Adams (2001): “Virtual Defence”, Foreign Affairs, vol. 80, No. 3

15) http://www.globalsecurity.org/military/ops/eligible-receiver.htm

16) Anders Høgh Olesen, Certified Ethical Hacker, senior sikkerhedskonsulent, SecConsult

militært underlegen, kan cyberangreb

være et attraktivt alternativ til missiler

og kampvogne. Cyberspace er blevet

udråbt til at være det fjerde værn på

linje med land, vand og luft. Hvis vi ikke

anerkender de særlige karakteristika ved

cyberangreb og deres konsekvenser, risikerer

vi et digitalt 9/11, hvor Vesten endnu

engang skubbes ind i en konflikt med

ukendte mekanismer og uoverskuelige

konsekvenser.

Sikkerhed frem for alt?

Igangværende og fremtidige forsvarstiltag

må bedømmes på deres evne til

at imødegå de tre karakteristika ved cyberangreb.

Men i forlængelse heraf må

vi også tage stilling til, hvor meget vi ønsker

at reducere den personlige frihed og

de økonomiske gevinster, som Internettet

tilbyder. IT er blevet en uundværlig

del i vores hverdag og bidrager til fremgang

og vækst. Vi skal bevare og udnytte

denne ressource, men samtidig være opmærksomme

på de problemer og sikkerhedspolitiske

konsekvenser som er forbundet

med et usikkert, globalt netværk.

Sikkerhed i Cyberspace

Forfatter: Rasmus Hansen,

Stud.scient.pol., Syddansk Universitet

17) http://archive.newsmax.com/archives/articles/2003/8/19/121729.shtml

18) http://online.wsj.com/article/SB124027491029837401.html

19) http://www.uscc.gov/researchpapers/2009/NorthropGrumman_PRC_Cyber_Paper_FI-

NAL_Approved%20Report_16Oct2009.pdf

20) http://www.information.dk/252318

21) http://www.unric.org/da/fn-pagten

22) http://www.nato.int/docu/other/da/treaty-da.htm

23) Ulf Häussler (2011): “CyberSecurity and Defence From the Perspective of Articles 4 and 5 of the

NATO Treaty” i International Cyber Security Legal and Policy Proceedings, CCD COE

24) Se fx Cyber Security Strategy for Germany, Federal Ministry of the Interior, februar 2011 eller

Peter Jacob Blædel Gottlieb (2010), “Cybersecurity: A Primer”, American Intelligence Journal,

Vol.28, No.2

25) John Michael Foley, IT og Telestyrelsen, Foredrag ved Copenhagen Conference, maj 2011

26) Computer Emergency Response Team

27) Forsvarskommissionen af 2008

28) http://www.nato.int/cps/en/natolive/news_71432.htm?selectedLocale=en

29) Cyber Security Strategy for Germany, Federal Ministry of the Interior, februar 2011

30) James Adams, 2001: ‘Virtual Defense’, Foreign Affairs, vol. 80, no.3

31) Mikko Hypponen i http://www.version2.dk/artikel/17604-ny-enhed-ruster-forsvaret-til-cyberangreb

32) Liste over omfattende angreb siden 2006:

33) Peter Jacob Blædel Gottlieb, 2010: ‘Cybersecurity: A Primer’, American Intelligence Journal,

Vol.28, No.2

More magazines by this user
Similar magazines