Statsledere på NATO-toppmøtet i Wales i forrige uke, der alliansen ble enige om å gjøre kyberforsvar til en del av NATOs hovedoppdrag. (Foto: Wales News Service/Splash News/All Over Press)

NATO etter Wales-toppmøtet

KRONIKK: Hva skjedde på kyberfronten? skriver Roar Sundseth.

NATO-kommunikeet som ble offentliggjort av stats- og regjeringssjefene i alliansen etter toppmøtet i Wales, 4-5 september 2014, inneholdt også noen punkter som omhandlet forhold rundt kybersikkerhet for medlemslandene.

I avsnitt 72 står det blant annet følgende: «Our policy also recognises that international law, including international humanitarian law and the UN Charter, applies in cyberspace». Videre slås det fast i samme avsnitt at kyberangrep kan nå et nivå hvor et angrep som gjennomføres i kyberrommet kan være like ødeleggende for et moderne samfunn som et konvensjonelt angrep.

På bakgrunn av dette slås det også fast at «cyber defence is part of NATO´s core task of collective defence. A decision as to when a cyber attack would lead to the invocation of Article 5 would be taken by the North Atlantic Council on a case-by-case basis», sitat slutt.

Formuleringen om at en avgjørelse om når et kyberangrep vil føre til at alliansens Artikkel V kommer til anvendelse, vil bli fattet av det Nord-Atlantiske Råd på en sak-til sak basis, innebærer, slik jeg ser det, at et kyberangrep kan forstås til å være «bruk av makt» eller et «væpnet angrep» slik begrepene blir brukt i FN-Charteret.

Generalmajor (P) Roar Sundseth er senior­rådgiver strategisk kybersikkerhet, Watchcom Security Group
Generalmajor (P) Roar Sundseth er senior­rådgiver strategisk kybersikkerhet, Watchcom Security Group

Begrepene «væpnet angrep», «bruk av makt» og kyberangrep defineres ikke nærmere i NATO-kommunikeet og kanskje mest avgjørende, det mangler en klar definisjon på når et kyberangrep vil være å sammenligne med et «væpnet angrep» eller «bruk av væpnet makt».

På tross av det, formuleringer i avsnitt 72 som «threaten national and Euro-Atlantic prosperity, security and stability» og «impact is as harmful to societies as conventional attack» leder meg fram til at alliansen nå har etablert en forståelse av at kyberangrep vil kunne kvalifisere til å bli kategorisert som «væpnet angrep» eller «bruk av makt» i henhold til internasjonal lov. Det kan da også hevdes at en slik forståelse vil føre til at kyberangrep som gjennomføres uten tap av menneskeliv, også kan kategoriseres som «bruk av makt» eller «væpnet angrep». Da er det også nærliggende å slutte at operasjoner i kyberrommet kan vurderes til å true en nasjons sikkerhet på en slik måte at det rettferdiggjør og sågar gjør det nødvendig med en tradisjonell militær kinetisk respons, selv om kyberangrepet ikke fører til et umiddelbart tap av liv hos den som blir angrepet.

Jeg vil hevde at vi fortsatt mangler et tilfredsstillende internasjonalt rammeverk på hvordan vi skal forstå dette relativt nye domenet – kyberrommet, og til en hvis grad skyldes det en upresis terminologi og ikke minst en stor grad av uvillighet blant mange i «kybermiljøet» til å skrote den etablerte forståelsen av at kyberoperasjoner er noe unikt og helt nytt og ikke bare en ny teknologi som tas i bruk i krigføringen.

Upresis terminologi forhindrer også en seriøs og opplyst diskusjon om dette temaet. Det er heller ikke særlig nyttig for diskusjonen å benevne alle uønskede kyberhendelser som «krig» og «angrep». Noe vi ikke minst ser stadig vekk i media. Jeg vil hevde at det ikke bør være noen særlig forskjell på hva som kan kalles krig og angrep i den virtuelle verden – kyber og i den fysiske verden.

Det kan også være formålstjenlig, for å legge til rette for en mer opplyst diskusjon, og definere kyberkrig «som bruken av makt» i kyber for å forårsake skade, ødeleggelse og tap av liv i den hensikt å oppnå politiske gevinster for stater og interessegrupper.

En krigshandling innebærer bruk av militær makt i en politisk hensikt av en stat eller mot en stat. Makt i denne konteksten innebærer bruk av eller trussel om bruk av vold. En slik forståelse kan være nyttig for å kunne avgjøre om en kyberhendelse er en krigshandling som rettferdiggjør «bruk av makt» i selvforsvar. Hvis det ikke utøves vold er det heller ikke et angrep. Hvis det ikke eksisterer en trussel om bruk av vold, er det heller ikke «bruk av makt». Ved å bruke en slik forståelse er det også viktig å se nærmere på et felt som etterretningsvirksomhet. Hvis en motstander har til hensikt å gjennomføre innhenting av informasjon og etterretninger i kyber, uten at det skal oppdages av den som blir utsatt for etterretningsoperasjonen og hvis ikke operasjonen fører til fysiske ødeleggelser, kan det ikke betraktes som «bruk av makt» eller et «væpnet angrep».

Jeg velger og betrakte internett som den nyeste oppfinnelsen i en epoke over hundrevis av år preget av militær innovasjon. Bruken av IKT og nettverksteknologi og utnyttelsen av kyberrommet for etterretningsvirksomhet og militære operasjoner har blitt en helt normal militær aktivitet. Kyberkrigføring involverer forstyrrelser av viktige nettverkstjenester hos en motstander, ødeleggelser av kritisk informasjonsinfrastruktur og forsøk på å skape usikkerhet og tvil hos motstanderens militære og politiske ledere. Gjennomføring av offensive kyberoperasjoner gir mulighet til å slå til mot taktiske og strategiske mål fra stor avstand ved bruk av «billige» kybervåpen.

For å bedre forstå kyberangrep i konteksten av en væpnet konflikt som NATO og medlemslandene kan bli involvert i, må vi stille oss de samme spørsmålene som vi vil stille oss i forholdt til bruken av konvensjonelle våpensystemer; rekkevidde, ødeleggelseskraft, kostnader, virkning og de politiske implikasjoner ved bruken.

Med utgangspunkt i NATO-kommunikeet fra toppmøtet i Wales og den omtalen og de formuleringer som ble brukt om kyber i dokumentet, er det opplagt at Alliansens forståelse av terskelen for når et kyberangrep kan lede til en beslutning om å iverksette «en for alle-alle for en»-artikkelen (Artikkel V) i NATO-Charteret, er av den største viktighet.

Denne artikkelen i Charteret og dens fokus på «bruk av makt» har formet alliansens forståelse av krigføring og forsvar i over 60 år. Nå må NATO-alliansens medlemsnasjoner gjennom en grundig prosess for å etablere en felles forståelse av hva som skal til for å kunne anvende Artikkel V på en kybersituasjon. Kyberoperasjonene som ble gjennomført mot Estland i 2007 hadde til hensikt å skape frykt og til å straffe uten å forårsake fysiske skader. Nå må NATO jobbe fram hvordan Artikkel V skal kunne anvendes på kyberhendelser. Å senke terskelen for anvendelse av Artikkel V ned til hva som skjedde i Estland kan kanskje ha en avskrekkende effekt i forhold til noen nasjoner, men kan også ha en destabiliserende effekt i det at mange ikke-statlige grupper og til og med enkeltpersoner, kan iverksette lignende nektelses- eller forstyrrelsesoperasjoner. I en slik situasjon vil en kraftfull reaksjon fra alliansen i form av en anvendelse av Artikkel V kunne resultere i en overreaksjon fra andre nasjoner med påfølgende økt spenning.

Internett og digitale nettverk er på mange måter fortsatt et verktøy i utvikling for nasjonalstatene og for NATO-alliansen. Kyberangrep vil være en del av alle framtidige militære konflikter. I likhet med tidligere teknologiske framskritt, vil de bli brukt til å omforme og endre krigføringen.

La oss håpe at Alliansen og medlemsnasjonene nå gjennom en tett dialog etter toppmøtet og ikke minst gjennom felles spill og øvelser vil makte å klargjøre problemområder, ikke minst terskelkriteria for anvendelse av Artikkel V, samt bidra til å redusere faren for misforståelser og feilbeslutninger.

Delta i debatten
Informasjon om debattinnlegg og kronikker i digi.no

Alle innlegg må sendes til redaksjon@digi.no. Husk å legge ved et portrettbilde. Vi forbeholder oss retten til å redigere innsendt materiale.

Til toppen