Generalmajor Inge Kampenes, sjef for Cyberforsvaret, under sitt foredrag ved NSM Sikkerhetskonferansen 2019.
Generalmajor Inge Kampenes, sjef for Cyberforsvaret, under sitt foredrag ved NSM Sikkerhetskonferansen 2019. (Foto: Harald Brombach)
EKSTRA

Cyberforsvaret

Cyberforsvaret: – Cyberdomenet gjør at flere sivile mål blir lovlige i en konflikt

Forsvaret har blitt langt mer avhengige av sivile tjenester.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 199,- i måneden.
Bli Ekstra-abonnent »

I et foredrag under Sikkerhetskonferansen til Nasjonal sikkerhetsmyndighet i forrige uke, holdt sjefen for Cyberforsvaret, generalmajor Inge Kampenes, et foredrag om militære operasjoner i det digitale domenet. 

Ungt, men modnes lynraskt

Dette domenet er temmelig nytt i militærteoretisk sammenheng. Først i 2016 ble «cyber» bekreftet av Nato som en ny arena for krigføring, likestilt med land, sjø og luft. 

Kampenes sammenlignet dagens cyberkrigføring er på et tilsvarende nivå som luftoperasjonene var i mellomkrigsårene.

– Luftfarkoster ble brukt til rekognosering og måldeteksjon. Men den tette integrasjonen inn i de øvrige, militære operasjonene så man lite til før i andre verdenskrig. Luftoperasjoner gjennomføres i dag som selvstendige operasjoner for å oppnå ønsket effekt, uten av verken land- eller sjøkapasiteter er involvert, sa Kampenes. 

– På grunn av den voldsomme teknologiutviklingen som vi står midt oppi, så vil det ikke ta 100 år før cyberoperasjoner er på tilsvarende modenhetsnivå som det luftoperasjoner er i dag. Det vil kanskje ta fem år, spådde han. 

Det ikke ta 100 år før cyber-operasjoner er på tilsvarende modenhetsnivå som det luftoperasjoner er i dag. Det vil kanskje ta fem år.

Revolusjon

Sjefen for Cyberforsvaret fortalte videre at nye domener alltid har vært revolusjonerende for krigføringen. 

– Det har radikalt endret rammene for hvordan man tenker og hvordan krigføringen gjennomføres. Introduksjonen av nye domener har økt kompleksiteten i militære operasjoner betydelig. Introduksjonen av cyberdomenet vil føre med seg tilsvarende endringer for hele militærmakten. 

Det at cyberdomenet ble bekreftet av Nato som en ny arena for krigføring, henger ifølge Kampenes sammen med at de militære styrkenes avhengighet og sårbarhet knyttet til blant annet digitalisert materiell og prosesser, har blitt stor. Dermed kan det være betydelige operative fordeler ved å forstyrre militære IKT- og sambandssystemer.

– Man så det som åpenbart ville medføre en dreining fra kun beskyttelse av informasjon og informasjonskanaler, til et område som direkte vil påvirke utfallet av den militære oppdragsløsningen, fortalte Kampenes. 

I likhet med annen bruk av makt mot andre stater, er bruken av cybermakt i prinsippet forbudt etter internasjonal lov. 

– Vi må likefullt erkjenne at det forekommer. 

Trusselbildet

– De hemmelige tjenestene – Etterretningstjenesten, Politiets sikkerhetstjeneste og Nasjonal sikkerhetsmyndighet – har alle flagget digitale trusler som den raskest voksende utfordringen i vår tid. Vi har med andre ord grunn til å bekymre oss, sa Kampenes. 

Han fortalte at man ser at de aller fleste nasjoner, både som er allierte med oss og land som potensielt kan være våre motstandere, prioriterer store ressurser på å utvikle både offensive og defensive cyberkapasiteter. 

I dag brukes mye av disse ressursene til etterretningsorganisasjoner og -formål. 

– Selvsagt vil mange av verktøyene som etterretningstjenestene bruker i fredstid, også kunne brukes av de militære maktapparatene i krise og krig, sa Kampenes. 

– Det er ikke noen dramatikk i dette. Det er en del av krigens natur. Dersom du ser at en motstander er svak og sårbar, så er det der du vil forsøke å ramme. 

I feil hender

Noe av problemet med slike verktøy som utvikles av nasjonalstatene, er at de iblant finner veien ut av statens hender og i hendene på andre aktører. 

Sikkerhetsaktører opprettholder sårbarheter og svakheter lenger enn det som strengt tatt er nødvendig.

– Sårbarheter som er identifisert av statlige aktører, blir kjent og utnyttet av kriminelle eller aktivister, tidvis med betydelige følger, som med WannaCry. Tilsvarende har vi sett kildekode fra statlig skadevare bli gjenbrukt av kriminelle miljøer i det kritiske tidsvinduet som ligger mellom da en sårbarhet blir kjent, og da defensive aktører fikk tid til å sikkerhetspatche systemene sine. Dessverre er denne tidsperioden ofte for lang, og sikkerhetsaktører opprettholder sårbarheter og svakheter lenger enn det som strengt tatt er nødvendig, sa Kampenes. 

Defensiv aktør

Kampenes understreket at Cyberforsvaret er en defensiv aktør, som kun skal sikre Forsvarets systemer mot angrep. Det handler om å søke gjennom systemene, identifisere svakheter og å bøte på disse, eventuelt å finne løsninger innenfor blant annet redundans eller sikringsmekanismer som redusere sårbarhetene Forsvaret har som følge av aldrende systemer eller teknologisk utvikling. 

– Dette er arbeid som vi gjør hver dag i Forsvarets systemer, og som vi rapporterer om ukentlig. La meg understreke, slik at det ikke er noen tvil om det: Min myndighet, og mitt ansvar, begrenser seg til Forsvarets systemer, sa Kampenes. 

Han fortalte at det er et par spesielle forhold som nå former utviklingen av cybermakt og cyberoperasjoner i det norske forsvaret. 

Satt bort til sivile

– Det første forholdet er at Forsvaret har blitt atskillig mer komplisert enn det var under den kalde krigen, sa Kampenes. 

Dette handler blant annet om at mange tjenester er satt bort til sivile aktører, både i Norge og utlandet. Moderniseringen og digitaliseringen av Forsvaret har gjort at Forsvarets verdikjeder har blitt betydelig mer sammensatte. 

Moderne militært materiell og militære organisasjoner er langt mer avhengige av sivile samfunns-funksjoner enn de var tidligere.

Da Kampenes startet i Forsvaret på midten av 1980-tallet, sto Forsvaret selv for det meste av tjenester som logistikk, vedlikehold og understøttelse av materiell. 

– Det andre forholdet er at moderne militært materiell og militære organisasjoner er langt mer avhengige av sivile samfunnsfunksjoner enn de var tidligere. Dette inkluderer blant annet strøm, transportnett og elektronisk kommunikasjon, sa Kampenes. 

Han understreket at konseptet om totalforsvaret alltid ligger i bunnen for forsvaret av Norge. Hele samfunnet skal understøtte Forsvaret dersom landet kommer i en krise eller krigssituasjon. 

Utydelige grenser

Den rollen mange sivile aktører og funksjoner får, gjør ifølge Kampenes at grensene mellom det militære og det sivile er i ferd med å bli ganske utydelige. 

– Når vi vet at de fysiske grensene i det digitale rom ikke eksisterer, så krever dette nytenkning og et mye tettere samarbeid mellom alle disse sivile og militære aktørene, sa Kampenes. 

– Som nasjon har vi dag andre og nye sårbarheter som våre motstandere vil komme til å utnytte. Vi må også erkjenne at cybermakt kommer til å endre hvor skillet går mellom lovlige og ulovlige mål i en konflikt. Folkeretten definerer at aktivitet og virksomhet som understøtter det militære maktapparatet, er lovlige mål i en konflikt, forutsatt om at prinsippene om nødvendighet og proporsjonalitet er fulgt, fortsatte han.

Vi må også erkjenne at cybermakt kommer til å endre hvor skillet går mellom lovlige og ulovlige mål i en konflikt.

Mildere maktbruk, flere lovlige mål

Mens fysiske våpen er en voldsom form for maktbruk, gjør bruken av digitale våpen for å forstyrre eller lamme digitale systemer – uten fysisk ødeleggelse – at effekten av angrepet kan avgrenses og potensielt avsluttes når angriperen ønsker det. 

– Som et alternativ til kinetiske angrep, fremstår digitale angrep som folkerettslig forsvarbart og proporsjonalt alternativ, mener Kampenes. 

På grunn av disse endringene vil angrep rettet mot en bredere del av samfunnet være et sannsynlig utfall. 

– Dette gjelder også mot mål som vi for bare få år siden tok for gitt at ville være skjermet fra å bli tolket som lovlige mål i en konflikt. Det betyr at også øvrige sektorer i samfunnet må være forberedt på å jobbe med cybersikkerhetsspørsmål, sa Kampenes. 

– Det gjør også at vi i en militære konflikt også må se bredere på militære, defensive cyberoperasjoner for å kunne sikre vår egen operative evne, og for at de væpnede styrkene i Norge skal kunne løse sine oppdrag. 

Vil møte en helt annen motstander

Kampenes mener at mange av de defensive aktørene i samfunnet i dag vil kunne møte en helt annen type motstander enn det de møter i fredstid. 

– Dette er aktører med betydelige ressurser, ferdigheter og en målrettet tilnærming til sine operasjoner.  Det betyr at våre sivile samarbeidspartnere må utvikle seg i en retning av mer dynamiske og sikkerhetsfokuserte sikkerhetsoperasjoner, mener Kampenes. 

Mitt inntrykk er at dette er en retning som mange sivile aktører allerede er i ferd med å bevege seg.

Med det mener han operasjoner som ligner mer på måten Forsvaret opererer på, enn de tradisjonelle IKT-sikkerhetsdisiplinene. 

– Mitt inntrykk er at dette er en retning som mange sivile aktører allerede er i ferd med å bevege seg, sa han.

Kriger vinnes og tapes i den kognitive dimensjonen

Tradisjonell militær doktrine i Norge identifiserer tre dimensjoner ved militære operasjoner – de fysisk dimensjonen, informasjonsdimensjonen og den kognitive dimensjonen. 

– I militærteorien slås det fast at det er i den kognitive dimensjonen at kriger vinnes og tapes. En konflikt fortsetter inntil den ene parten mister viljen til å fortsette, og dermed overgir seg, sa Kampenes. 

Som eksempler viste han til hvordan det gikk med USA i Vietnam og Sovjetunionen i Afghanistan. 

– Med tap av viljen, var også nederlaget et faktum. Grunnen til at jeg tar opp dette i denne sammenhengen, er at cyberdomenet også har åpnet opp helt nye områder for å drive propaganda, informasjonsoperasjoner og for å påvirke den kognitive dimensjonen i en konflikt, sa Kampenes. 

Med tap av viljen, var også nederlaget et faktum.

Manipulering av samfunnet

– Internett, sosiale medier og andre moderne informasjonskanaler gjør det mulig å manipulere et samfunn med budskap som underminerer både demokratiet og viljen til å kjempe. Moderne teknologi og verktøy, som vi har sett de første konturene av under Brexit-avstemning og det siste amerikanske presidentvalget, har potensial til å bringe psykologiske operasjoner og informasjonsoperasjoner på helt nye arenaer med vesentlig bedre effekt, fortsatte han. 

Slik propaganda kan automatiseres og distribueres med nye verktøy som stordata og kunstig intelligens. 

Må komme i forkant

Kampenes sa videre at når verden tross alt utvikler seg i en slik retning, så må samfunnet finne måter å møte disse utfordringene på.

– Det er lett å definere utfordringene, men hva er egentlig løsningen? Det er nå det blir vanskelig, sa han. 

Selv tror han at den første delen av løsningen er å erkjenne de utfordringene vi står overfor. Han tror at tiltakene som nevnes i regjeringen nye strategi for digital sikkerhet vil bringe oss flere steg i riktig retning. Han mener likevel at strategien må løpende revideres i tråd med truslene, men også for å komme i forkant av trusselutviklingen. 

Økt kunnskap

En annen del av løsningen Kampenes ser for seg, handler om kunnskap og kompetanse.

Norge har begrenset kunnskap på alle nivåer. Samtidig er nordmenn svært glade i teknologi.

– Norge har begrenset kunnskap på alle nivåer. Samtidig er nordmenn svært glade i teknologi. Vi tar oss bare ikke helt tid til å sette oss i hvordan den fungerer og hvilke svakheter og sårbarheter den har, sa han. 

Kampenes mener at initiativer for økt bevisstgjøring allerede fra grunnskolen av, er veldig viktige. Han tror at alle vil være tjent med at IT-sikkerhet gjøres til en del av alle utdanningsnivåer, siden sikkerhetsutfordringene treffer alle i samfunnet vårt. 

– Vi må også tenke nytt om sårbarhetene i vårt sammenvevde samfunn. Vi må erkjenne at det norske samfunnet har tette bindinger mellom og på tvers av forskjellige sektorer, og mellom private og offentlige aktører, mener Kampenes. 

Det svakeste ledd

Han sa at dersom noen studerer samfunnet vårt i detalj for å finne ut hvordan vi tenker, så vil de ganske enkelt kunne isolere sårbare områder som kan angripes for å oppnå gevinster og effekter også i andre deler av samfunnet. 

– Derfor må man ha kvalitet og styrke i hele verdikjeden, sa Kampenes. 

Med seg selv som eksempel, sa han at det er nødvendig for IT-sikkerhetsansvarlige å kjenne virksomhetens avhengigheter og sårbarheter gjennom hele verdikjeden. 

– Det betyr også at jeg må gjøre mitt beste for å spille samarbeidspartnere, totalforsvarsaktører og leverandører gode. Jeg er også avhengig av å styrke disse best mulig, men jeg vil aldri kunne ta på meg ansvaret for deres sikkerhet. Den må de stå for selv. Men vi er alle tjent med å hjelpe hverandre, sa Kampenes. 

Det er for sent når krisen inntreffer.

Må øve mer sammen

– Dette betyr at vi må jobbe tettere sammen. Vi må utveksle informasjon og erfaringer med hverandre i så stor grad som mulig. Vi må også øve sammen. Det er for sent når krisen inntreffer. 

Noen erfaringer har Cyberforsvaret fått, blant annet under øvelsen Trident Juncture i fjor, hvor det ble etablert et tett samarbeid med Telenor og de statlige totalforsvarsaktørene. Ifølge Kampenes ga dette betydelige gevinster både før og under øvelsen. Målet hans er å inkludere flere aktører i dette samarbeidet. 

Derfor har Cyberforsvaret den 29. mars invitert sentrale, offentlige og private IKT-operatører og -tjenesteleverandører til et innledende møte på Lillehammer. 

– Der skal vi diskutere potensialet for å jobbe tettere sammen for å møte utfordringer som alle har med tanke på redundans og robusthet innenfor elektronisk kommunikasjon, og for å se på hvordan vi i fellesskapet bedre kan beskytte oss mot digitale trusler, fortalte Kampenes. 

Les også: Etterretning i det digitale rommet den mest alvorlige trusselen mot Norge

Kommentarer (0)

Kommentarer (0)
Til toppen