Ukrainas tidlegare digitaliseringsminister Mykhailo Fedorov kalla Starlink «blodet i heile kommunikasjonsinfrastrukturen vår». Men tenesta er i praksis kontrollert av éin einskild person, som i september 2022 nekta å utvide dekning for ein ukrainsk militæroperasjon mot den russiske Svartehavsflåten. Slik kunne éin person påverke forsvarsevnen til ein heil nasjon.
I ei ny studie har NATO CCDCOE intervjua ukrainske organisasjonar på tvers av offentleg, privat og sivil sektor. Funna teiknar eit bilete av eit land som har bygd ein imponerande cyberforsvarskapasitet, men samstundes har gjort seg djupt avhengige av utanlandske teknologiselskap for den digitale grunnmuren.
Over 85 prosent av dei ukrainske organisasjonane rapporterte tung avhengigheit av amerikanske teknologileverandørar som Microsoft, AWS og Google Cloud. Arkitekturvala tekne under fullskalakrig har skapt avhengigheiter som er svært kostbare og kompliserte å reversere.
Noreg er ikkje betre stilt. Ein Proton-rapport frå i år viser at 96 prosent av norske verksemder brukar amerikanske teknologileverandørar – den nest høgaste andelen i Europa. Digitaliseringsminister Karianne Tung erkjende sjølv alvoret på Attack-konferansen i fjor: Noreg må ha ein plan B.
Ukraina låst i dyre avtalar
Erfaringa frå Ukraina viser paradokset tydeleg. Då russiske missil øydela fysiske serverar etter invasjonen, var skymigreringa til europeiske datasenter noko av det som berga den ukrainske staten si operative evne. Men den same migrasjonen skapte nye sårbarheiter. Sidan støtta frå USA i stor grad har blitt fryst eller fjerna, sitt Ukraina no med dyre kommersielle avtalar som legg ei tung byrde på ein stat i fullskala krig.
I Noreg har vi ikkje blitt tvungne inn i avhengnad av krig, men har vandra dit sjølve gjennom to tiår med anskaffingsval. DFØ signerte i fjor Noregs største sky-rammeavtale nokonsinne, verdt opptil 10 milliardar kroner over fire år. Samstundes teikna Skatteetaten ein eigen avtale med Microsoft Azure til 1,2 milliardar kroner, med grunngjevinga at plattformbyte ville koste hundrevis av millionar.
Totalberedskapskommisjonen slo fast i 2023 at privat sektor kontrollerer rundt 80 prosent av kritisk infrastruktur i Noreg. NSM åtvara i fjor om at ein statleg sabotasjeaksjon mot Noreg vil kunne lukkast. Samstundes er berre 30 millionar kroner løyvde til ei avklaringsfase for ei nasjonal skyteneste, medan Microsoft har annonsert ei investering på 66 milliardar kroner i eit datasenter nær Narvik. Det er ikkje berre eit misforhold i skala, det er eit misforhold i strategisk alvor.
Nordisk cyberreserve
Ukrainas erfaring, saman med den norske debatten, peikar mot tre konkrete grep. For det første treng Noreg førebuande rammeverk for samarbeid med teknologiselskap – ikkje improvisering under krise. Avtalar om kriselevering og førehandsforhandla vilkår må vere på plass og øvast jamnleg.
For det andre må rolla til private og frivillige aktørar i cyberforsvar formaliserast juridisk, så dei ikkje opererer i eit limbo der ansvarsforhold er udefinerte. For det tredje må digital suverenitet sjåast i samanheng med det nordiske samarbeidet - bygge saman digital infrastruktur, ein nordisk cyberreserve, og arenaer for felles øving.
Ukraina har vist at tillit, partnarskap og førebuing er avgjerande. Spørsmålet er om vi handlar før neste krise fjernar valfridomen.
Det er én ting vi kan lære av cyberoperasjonene mot Iran
