Fem land forbereder avansert kyberkrig

Internasjonale eksperter frykter at dagens spionasje kan utvikles til «kald kyberkrig».

Årets utgave av IT-sikkerhetsselskapet McAfees årlige rapport om «virtuell kriminologi», handler om kyberkrig: Virtually Here: The Age of Cyber Warfare. Rapporten bygger på dybdeintervjuer med over 20 internasjonalt anerkjente eksperter innen internasjonal politikk, nasjonal sikkerhet og internettsikkerhet.

Viktige temaer er hvordan kjente eksempler på kyberkrigføring har avdekket forbindelser mellom militære og kriminelle miljøer, og faren for at den til dels omfattende spionasjevirksomheten som pågår i dag kan utvikle seg til en form for «kald kyberkrig». Rapporten og peiler ut flere temaer for offentlig debatt, som hvordan en felles holdning – med håndhevede felles tiltak – mot datakriminalitet kan redusere faren for kyberkrig.

De intervjuede ekspertene representerer alle verdensdeler, med en overrepresentasjon fra USA. Flere har direkte erfaring fra angrepene mot Estland i 2007. Blant amerikanerne er McAfees fremste trusseletterforsker Dmitri Alperovitch og Richard Clarke, kjent for 11 år som ledende sikkerhetsrådgiver i Det hvite hus. Blant institusjonene og organisasjonene som er representert kan nevnes US-CCU (US Cyber Consequences Unit, en ideell organisasjon spesialisert på å utrede følger av kyberangrep), Nato, USAs National Security Agency (NSA), Center for Strategic and International Studies, ICANN og Mitsubishi Research Institute.

Begrepet «kyberkrig» fikk stor oppmerksomhet i 2007 da offentlige og kommersielle nettsteder i Estland ble utsatt for tjenestenektangrep gjennom flere uker.

Estland var på det tidspunktet medlem av Nato. Ifølge vurderte Nato aldri seriøst noen offisiell diplomatisk eller militær respons på disse angrepene. Tekniske analyser påviste at angrepene kom fra Russland, men den russiske regjeringen benektet enhver form for medansvar eller medvirkning.

Russland kom igjen i søkelyset i august 2008.

Det russiske militæret svarte på Georgias angrep mot utbryterrepublikken Sør-Ossetia med et massivt og godt planlagt overfall på Georgia. Samtidig lanserte russiske nasjonalister tjenestenektangrep mot flere offentlige georgiske nettsteder. Det ble opprettet et nettsted, «StopGeorgia» som forsynte besøkende med digitale angrepsvåpen. Programmet hadde et felt der man la inn offerets webadresse, og en knapp merket «Start Flood».

US-CCU konkluderte at alle angriperne var sivile og at det må ha skjedd en form for samordning mellom nasjonalistene og det militære. Det faktum at angrepene ikke var ødeleggende, forklares med at man på øverste russisk hold ønsket tilbakeholdenhet.

4. juli i år ble offentlige og private nettsteder i USA – Det hvite hus, departementet for innenrikssikkerhet, Secret Service, NSA, konkurransetilsynet FTC, finansdepartementet, utenriksdepartementet, New York-børsen, Nasdaq, Amazon og Yahoo – utsatt for åpenbart samordnede tjenestenektangrep. Noen dager seinere ble elleve offentlige nettsteder i Sør-Korea gjort utilgjengelige av det samme zombienettet på 50 000 pc-er. Sørkoreanske myndigheter pekte på Nord-Korea. Intet er bevist.

Rapporten viser til disse eksemplene for å slå fast at nasjonalstater sannsynligvis er involvert i kyberkonflikt på ulike nivåer.

Angrepene har ikke vært spesielt avanserte, men tyder på at en form for «kald kyberkrig» kan være i emning.

Ekspertene er uenige i nøyaktig hvordan begrepet «kyberkrig» skal defineres. Definisjonen er viktig, fordi «krig» er en spesiell tilstand i internasjonal rett. Prinsippet bak forsvarsalliansen Nato er at et angrep mot en er et angrep mot alle. Definisjonen av kyberkrig avgjør vilkårene for når Nato svarer på kyberangrep med militære virkemidler.

Fire faktorer går igjen når man skal vurdere hvorvidt et kyberangrep er en krigshandling: Hvorvidt angrepet utføres eller støttes av en stat, hvor skadelig angrepet er, hvor politisk motivert det er, og hvor avansert det er i forhold til teknologi, planlegging og gjennomføring. Etter disse kriteriene kommer angrepene mot Georgia nærmest definisjonen av kyberkrig.

Her vurderes faktiske kyberangrep opp mot de fire faktorene som definerer begrepet kyberkrig: statlig opphav, politisk motivasjon, hvor alvorlige følgene er og hvor avansert angrepet er.
Her vurderes faktiske kyberangrep opp mot de fire faktorene som definerer begrepet kyberkrig: statlig opphav, politisk motivasjon, hvor alvorlige følgene er og hvor avansert angrepet er. Bilde: McAfee

Forholdet mellom kyberkrig og kyberkriminalitet vies stor oppmerksomhet i rapporten, blant annet fordi russerne som angrep Georgia hadde tilknytning til organisert kriminalitet. Det er praktisk å kunne skylde på kriminelle elementer, og det kan følgelig være hensiktsmessig for en stat å oppmuntre bestemte miljøer til angrep eller til kyberspionasje. Det er ikke nødvendigvis påkrevet å overføre penger til kriminelle: Nasjonalistene som angrep Georgia var først og fremst politisk motivert.

Mange av ekspertene tror at flere stater er i ferd med å bygge opp egne arsenal av kybervåpen, og at det pågår en form for kybervåpenkappløp. De fem statene som nevnes er USA, Frankrike. Israel, Russland og Kina.

Disse landene er kommet lengst i å utvikle kybervåpen. Eksperter mener det pågår et kybervåpenkappløp.
Disse landene er kommet lengst i å utvikle kybervåpen. Eksperter mener det pågår et kybervåpenkappløp. Bilde: McAfee

Et tegn på dette kappløpet er omfattende kyberspionasje. NSA-eksperter i rapporten sier stater spionerer på hverandres nettverk og infrastruktur, og kartlegger forsyningssystemer for strøm og vann med tanke på å avdekke svakheter som kan utnyttes i eventuelle kyberangrep. Denne spionasjen er nok en faktor som får ekspertene til å frykte en utvikling mot en kald kyberkrig.

Før USA invaderte Irak i 2003, hadde landets militære og etterretningstjenester samarbeidet om en plan for å angripe Iraks finanssystem. Angrepet hadde frosset alle Saddam Husseins personlige bankkontoer, og stanset alle utbetalinger til irakiske soldater og krigsforsyninger. «Alt var på plass», understrekes det i rapporten. Daværende president George W. Bush ga aldri den nødvendige ordren, av hensyn til ringvirkningene i det globale finansmiljøet, med fare for å utløse en verdensomspennende finanskrise.

Ifølge rapporten understreker dette hvordan privat sektor vil bli utsatt ved en eventuell kyberkrig.

Det er ikke gitt at myndighetene vil kunne svare hensiktsmessig, eller i tråd med private bedrifters ønsker, på kyberangrep mot privat sektor. Det reiser spørsmålet om hvorvidt private også skal ha anledning til å slå tilbake mot dem som angriper, i stedet for bare å forsvare seg. Det advares at slike private motangrep sannsynligvis vil være lovstridige.

Forholdet mellom privat og offentlig sektor i tilfelle kyberangrep er i dag problematisk. Internettilbydere erkjenner at de har en rolle å spille i sine lands helhetlige kyberforsvar, men hva dette innebærer konkret, er langt fra avklart. I Brasil er det fremmet et lovforslag om at all nettrafikkdata skal oppbevares i tre år. EUs datalagringsdirektiv, som vekker harme i det politiske miljøet i Norge, ber om at trafikkdata oppbevares i minst seks, og maksimalt 24 måneder.

Rapporten peker på at den offentlige debatten har kommet svært kort i alt som har med kyberkrig å gjøre.

Tre temaer peker seg ut. Ifølge ekspertene: Vil det være fruktbart å satse på en strategi for å avskrekke stater fra å ty til kybervåpen? Bør bruken kybervåpen reguleres av nye internasjonale avtaler? Hvor skal man trekke skillet mellom kyberspionasje og kyberkrig?

Noen eksperter heller mot at man ikke skal prøve å begrense eller hindre utviklingen av kybervåpen. I stedet bør stater inngå avtaler basert på klare formuleringer om hva som er tillatt og ikke tillatt i kyberrommet. Som eksempel nevnes en protokoll som forbyr kyberangrep mot sivil infrastruktur, og som samtidig tillater militære mottiltak fra en stat som er gjenstand for et slikt angrep. Det argumenteres for at dette vil kunne virke avskrekkende, og avverge kyberangrepet.

Ideen om å forby utviklingen av kybervåpen avvises på grunn av manglende muligheter til håndheving. Europarådets konvensjon om kyberkriminalitet, som er undertegnet av over 40 land, trekkes derimot fram som et eksempel til etterfølgelse. Konvensjonen forplikter statene til å samarbeide i kampen mot kyberkriminalitet, blant annet ved å identifisere de skyldige og sørge for at de trekkes for retten.

    Les også:

Til toppen