Advarer mot presidentens «kill-svitsj»

Ikke hensiktsmessig, heter det i en OECD-rapport om kyberkrig og kyberforsvar.

Organisasjonen for økonomisk samarbeid og utvikling, OECD, har prosjekter gående for å kartlegge hvordan medlemslandene skal kunne verne seg mot «framtidige globale sjokk», det vil si hendelser som føre til en eller annen form for globalt sammenbrudd. Eksempler er svikt i verdens finanssystem, globale pandemier i stor skala, enorme giftutslipp eller at brudd i transportsystemer på grunn av vær eller aske.

Som ledd i dette prøver OECD også å finne ut av hvorvidt et lite antall kyberrelaterte hendelser kan utløse et slikt globalt sjokk. I dag har organisasjonen publisert rapporten Reducing Systemic Cybersecurity Risk (pdf, 121 sider) der to britiske forskere, Peter Sommer fra Information Systems and Innovation Group ved London School of Economics, og Ian Brown fra Oxford Internet Institute ved Oxford University går gjennom kyberrisiko på bred basis, og leverer flere anbefalinger til medlemslandenes regjeringer.

Blant forslagene som drøftes i OECD-rapporten, er det 197 sider lange lovforslaget Protecting Cyberspace as a National Asset Act som ble fremmet i senatet i USA i juni i fjor, og som blant annet gir presidenten fullmakt til å stenge Internett.

Rapporten advarer mot en slik «Internet off switch», på grunn av stor sannsynlighet for uforutsette og uønskede følger.

– Enkelt sagt kan ikke Internett virkelig stenges, fordi det ikke har noe senter. På den andre siden, på nasjonalstatsnivå, er det mulig å se for seg en krisesituasjon der trafikk gjennom kritiske svitsjer filtreres og formes. Men det å implementere en prioriteringspolitikk støter på formidable problemer. For eksempel vil man i de fleste nødsituasjoner være opptatt av å prioritere leger, men leger og sykehus bruker de samme internettfasilitetene som resten av befolkningen, og det er ingen enkel metode å skille dem ut. Lokal stenging av Internett vil sannsynligvis få uønskede følger, heter det (side 86).

Ifølge forskerne kan få tenkelige kyberrelaterte hendelser føre til et globalt sjokk. De nevner kun to muligheter: Et vellykket angrep mot de underliggende protokollene, som Border Gateway Protocol, og et overordentlig kraftig utbrudd på solen («solar flare») som fysisk ødelegger elektroniske komponenter i satellitter og annet kommunikasjonsutstyr.

OECD-rapporten peker på at kybertrusler stammer fra svært forskjellige miljøer med veldig varierende motiver, alt fra hobbyhackere til kriminelle, fanatikere, terrorister og agenter for nasjonalstater. Den peker også på at den løpende statistiske og annen analyse av kybersikkerhet svekkes av uklar terminologi og overdreven språkbruk. Når en hendelse kan være alt fra et lett gjennomskuelig phishingforsøk til en avansert orm som Stuxnet, er en opptelling nærmest meningsløs.

Forskerne tror en ekte kyberkrig er usannsynlig.

– Flere grunner kan oppgis til det. Mange kritiske datasystemer er vernet mot kjent sårbarheter og ondsinnet kode, slik at de som konstruerer nye kybervåpen stadig må avdekke nye svakheter. Virkningen av kyberangrep er vanskelige å spå: På den ene siden kan de være mindre virkningsfulle enn man håpet, men på den andre kan sammenkopling av ulike systemer forsterke deres effekt, gjerne slik at den rammer egne og allierte styrker, heter det (side 7).

Et vektigere argument, ifølge forskerne, er at når man først er i krig, er det ingen strategisk grunn til ikke samtidig å ty til andre typer våpen.

Rapporten advarer mot en ensidig militær tilnærming til kyberforsvar, særlig fordi kyberangrep har den særegne egenskapen at man ikke uten videre kan fastslå hvem som står bak.

Det gamle slagordet om at angrep er det beste forsvar er ugyldig, siden man ikke vet hvem man skal angripe.

– Forsvar mot kybervåpen må bygge på forebyggende tiltak samt detaljerte planer for å gjenopprette normal drift dersom et angrep skulle lykkes. (side 8)

Det pekes på tre aktuelle trender som alle øker sårbarheten, og som følgelig krever spesielle tiltak, i form av både forebygging og reserveplaner: Stadig flere offentlige tjenester leveres over nettet; stadig flere kritiske tjenester driftes gjennom avtaler med privat sektor; stadig flere tjenester legges til nettskyen med påfølgende behov for sterk autentisering og egne tiltak for å motvirke eventuelle brutte forbindelser og effekten av mulige konkurser.

OECD-rapporten anbefaler medlemslandenes regjeringer å sørge for at kybersikkerhetspolitikken omfatter alle borgeres behov, ikke forvaltningen. Det anbefales videre å satse på opplæring av sluttbrukere og å bruke tilgjengelig midler til å presse fram en kvalitetsheving innen både programvare og maskinvare. Myndighetene må samarbeide gjennom CERT-nettverkene, og satse mer på å øke tilgangen på kompetanse innen kyberetterforskning.

Det mest avanserte kybervåpenet som hittil er avdekket, Stuxnet, nevnes flere steder i rapporten.

Forskerne peker på at Stuxnet viser både gjennomslagskraften og begrensningene som ligger i kybervåpenets natur: Den har vært effektiv i å sabotere Irans atomprogram, men den videre utviklingen av Stuxnet er avhengig av hittil ukjente sårbarheter, og det er ikke gitt at den ikke kommer på avveie og rammer andre industrianlegg, på grunn av utilsiktet spredning eller fordi koden er hacket av andre.

– [Symantecs analyse viser] at det er minst fire ulike komponenter [i Stuxnet]: Hvordan våpenet avgjør om et industrielt kontrollsystem skal angripes eller ikke, metoden som brukes til å smitte en datablokk i en gitt programmerbar logisk kontrollenhet, selve koden som plasseres på kontrollenheten under smitten, og rootkitet som legges igjen på en smittet Windows-maskin. Stuxnet omfatter mange nulldagsangrep i tillegg til svært mye etterretning. (side 44)

    Les også:

Til toppen