– Skrekkscenarier med strategiske kyberangrep som ødelegger den kritiske infrastrukturen i et land, er svært lite sannsynlig, skriver sjef for Cyberforsvaret, generalmajor Roar Sundseth, i dette debattinnlegget. (Bilde: Marius Jørgenrud)

Tror ikke på «digitalt 9. april»

Generalmajor Roar Sundseth ser tilbake på ett år i spissen for Cyberforsvaret.

KRONIKK: For ganske nøyaktig ett år siden besluttet Regjeringen og Stortinget at Cyberforsvaret skulle opprettes som en selvstendig driftsenhet i Forsvaret.

Etter ett år som sjef for Cyberforsvaret har jeg gjort mange erfaringer og vurderinger av utviklingen på dette området. Et viktig utviklingsområde både for samfunnet og som et helt nytt operativt militært domene for oss i Forsvaret.

Det siste året har jeg og mine medarbeidere, dels som del av mitt samfunnsansvar, dels for å støtte våre samarbeidspartnere og for egen organisasjons utvikling, hatt gleden av å delta på et antall kyber-relaterte arenaer; konferanser og møter i inn- og utland. Jeg ønsker å dele noen konklusjoner som kan være av allmenn interesse, og forsøke å synliggjøre de utfordringene vi står overfor i fellesskap.

En sentral utfordring som vi står overfor er en mangel på god teori. Dette er naturlig. Erkjennelsen av kyberdomenet er ny. Domenet er, selv om det er en del av et videre utviklet fenomen, på mange måter også nytt. Det er også et domene som er i hurtig utvikling. Vi har heller ikke en omforent forståelse om hvor utviklingen av domenet ender – bare at trusselen og utfordringen er stadig økende.

Historisk perspektiv
Utviklingen av kyberdomenet kan ses i parallell med utviklingen av militær bruk av luftdomenet i mellomkrigstiden og perioden etter andre verdenskrig. Bruk av militær luftmakt var i utgangspunktet en militær digresjon under første verdenskrig. Drevet frem av visjonære individer i større grad enn av strategisk ledelse. Deretter utviklet perspektivet på luftmakt seg gjennom en serie revolusjoner som radikalt endret perspektivet på luftmaktens potensial. Japans angrep på Pearl Harbor var den viktigste av disse revolusjonene. Den siste revolusjonen kan sies å ha vært 11. september 2001 – da terror og luftmakt møttes på måter ingen helt hadde forutsett.

Sjefen for Cyberforsvaret i Norge, generalmajor Roar Sundseth foran årets kull av FIH-studenter. Kyberingeniør-studiene på Lillehammer er høyaktuelle blant norsk ungdom. Sundseth er spesielt glad for  at kvinneandelen ved årets opptak er på drøyt 22 prosent.
Sjefen for Cyberforsvaret i Norge, generalmajor Roar Sundseth foran årets kull av FIH-studenter. Kyberingeniør-studiene på Lillehammer er høyaktuelle blant norsk ungdom. Sundseth er spesielt glad for at kvinneandelen ved årets opptak er på drøyt 22 prosent. Bilde: Arnfinn Rognmo

Utfordringen med mangel på strategisk ledelse ser vi også innenfor kybertrusselen. Trusselaktørene, enten disse er individer eller organisasjoner, er i stort driverne innenfor området. I motsetning til luftmakten derimot, er kybermakten et sverd som allerede i sin spede begynnelse svinges av private individer og organisasjoner, samtidig som det er et maktmiddel som også rettes mot privatpersoner og næringsliv parallelt med nasjonalstater og militære styrker.

Jeg vil hevde at den utfordringen vi har i å forstå hva kybermakt er og hva den betyr, burde være kjent for oss. Jeg vil hevde at det som forener våre erfaringer med, og forståelse av luftmakt og nå kybermakt, fortsatt er de teoretiske utlegninger som Carl von Clausewitz kom med i sitt fundamentale verk Vom Kriege (pdf, 258 sider). Til tross for at Clausewitz på sin tid selvsagt var fullstendig uvitende om både fly og digitale datamaskiner i virtuelle nettverk.

Videre har jeg forsøkt å beskrive de militære utviklingstrekk jeg ser når det gjelder utviklingen innen kybertrusselen, sammenholdt med noen allmenne sivile utledninger.

Overdreven frykt
Kybermakt vil i et militært perspektiv vise seg å være mest nyttig som muliggjører av og tilrettelegger for fellesoperasjoner. Skrekkscenarier med strategiske kyberangrep som ødelegger den kritiske infrastrukturen i et land, er svært lite sannsynlig. Likeledes vil kybertrusselen være en trussel mot næringsliv og bedrifter – men ikke en trussel som kan direkte ødelegge kommersielle aktører.

Utledede effekter av angrep, eksempelvis tap av tillit blant kunder, tap av opphavsrett eller teknologi, eller fall i aksjeverdier vil likevel kunne påvirke bedrifter kraftig.

Offensive kyberoperasjoner vil kunne lykkes til en viss grad, men det er lite sannsynlig at slike angrep og operasjoner vil kunne ha strategisk ødeleggende effekt. Sivilt vil man, som siste året blant annet har vist seg i Sør-Korea, midlertidig kunne redusere tilgang til, og midlertidig lamme tjenesteleveranser som er avhengig av datasystemer. Det er likevel vanskelig å se for seg at denne type forstyrrelser vil vare over lenger tid enn noen dager. Samtidig er det verdt å understreke at enkelte tjenester, som sykehus, energiproduksjon og telekommunikasjon, er så viktig i moderne samfunn at tap kan få kritiske konsekvenser.

Kyberdomenet dreier seg i stort om informasjon og kommunikasjon. Kyber er bare en av mange muligheter for å samle, lagre og formidle informasjon. Militært sett handler dette om evne til kontroll av styrker og vern om informasjon som er kritisk for rikets sikkerhet. I det sivile samfunn er konsekvensene på dette området på mange måter større i det at kritisk personinformasjon kan komme på avveie; informasjon som det fordrer vesentlige samfunnsressurser å gjenopprette integriteten til. I Sverige var det i fjor spørsmål om hvorvidt kriminelle hadde skaffet seg tilgang til datasystemer hvor pasientinformasjon var lagret – og hvorvidt de hadde kunnet endre informasjonen de hadde tilgang til. Det er lett å se for seg kaoset som følger dersom man ikke kan stole på informasjonen som ligger i en pasients digitale journal.

Fra tilgang til sikkerhet
Det er vanskelig der vi er i dag å se for seg et digitalt 9. april. Ikke minst fordi kybermakt, vår egen og motstanderens, også reguleres av de generelle strategiske «lover» slik de også beskrives av Clausewitz i Vom Kriege. Samtidig er det verdt å være betenkt over fremtiden. Vi står overfor en trussel som vi ikke riktig evner å se hvor langt utvikler seg. De siste ti årene har vi vært fokusert på å bruke fremvoksende teknologi for å åpne for nye muligheter. Vi skal ha tilgang til mest mulig tjenester til enhver tid, gjerne uavhengig av hvor vi befinner oss gjennom å integrere tjenestene i mobile enheter som smarttelefoner. Det er vel og bra, og det åpner for mange muligheter; men det gjør oss også mer sårbare enn det vi var tidligere.

De neste årene bør vi fokusere mer på å balansere tilgang med sikkerhet, slik at vi ikke gjør oss mer sårbare enn strengt nødvendig. Misforstå meg riktig. Jeg er en av dem som mener at absolutt sikkerhet ikke finnes, og forsøk på å oppnå slik sikkerhet vil bety at vi må legge flere begrensninger på oss selv enn det vi vil være villige til. Balansepunktet vil dog måtte skiftes i fremtiden. Bort fra tilgjengelighet og over til sikkerhet.

Vedrørende «cyber» kontra «kyber»

Redaksjonen i digi.no viser til flere tiårs praksis på norsk, og skriver «kyber» der det på engelsk står «cyber». Eksempler er kybernetikk (cybernetics), Kyberiaden (den norske tittelen på Stanislaw Lems berømte novellesamling Cyberiad, på engelsk i 1974, på norsk i 1981), kyberrom (cyberspace), kyberkrig (cyberwar) også videre. Med unntak av egennavnet «Cyberforsvaret» er denne rettskrivningen anvendt i teksten ovenfor. Se vår artikkel fra 2008, Nå må det bli slutt på dette cyber-tullet.

Til toppen