Situasjonsbilde fra Norges Cyberforsvar. «Kyberkrig» blir et for enkelt begrep, skriver Arild Haraldsen. (Bilde: Daniel Nordby, Forsvarets ingeniørhøgskole)

Norsk strategi for «kybersikkerhet»?

Tenkningen er grunn. Den burde vært grunnleggende.

  • Debatt

I april – midt under den verste sabelraslingen – overtok hackere i en periode kontrollen over Nord-Koreas Twitter-konto, og erstattet regimets krigspropaganda med satire.

Det finnes bare tre kjente eksempler på at stater har stått bak hackerangrep som kan kalles for «kyberkrig». Det var Russlands «angrep» mot Estland i 2007 i forbindelse med flyttingen av et krigsmonument, samme lands desinformasjon i forbindelse med krigen med Georgia i 2008, og USA/Israel som etter all sannsynlighet sto bak Stuxnet-angrepet for å ødelegge iranske atomreaktorer.

Det er ulike syn på om fremtidens kriger vil bli ført som «kyberkrig». Tradisjonell militær tenkning sier at det aldri vil skje, eller i beste (verste?) fall som spionasje eller sabotasje. Krigføring på marken vil fremdeles være det dominerende og avgjørende element. Andre igjen sier at nettopp fordi en angriper vil kunne lamme et samfunn og ødelegge dets infrastruktur, vil en kunne oppnå det en ønsker uten bruk av militære styrker.

Arild Haraldsen har gjennom mange år levert kommentarer og debattinnlegg til digi.no.
Arild Haraldsen har gjennom mange år levert kommentarer og debattinnlegg til digi.no.

Mange sier også at «kyberkrig» vil ha samme revolusjonerende effekt på militær styrkeevne som flyvåpenet hadde i 1930-årene. Et mer nyansert – og adskillig mer interessant – syn er å se IKT-utviklingen på dets egne premisser, og ikke ut i fra hvordan det «erstatter» tradisjonell krigføring. I en slik sammenheng får en både nye aktører og andre hendelser inn som en del av begrepet «kyberkrig». Det blir et uklart skille mellom militæret og privat næringsliv, mellom militære styrker og IKT-selskaper, og mellom stater og private aktører som Anonymous og for så vidt Wikileaks.

La meg forklare:

Det man i dag vet om angrep på samfunnet er dette:

  • Nasjoner som står bak angrep på andre stater (som i eksemplene ovenfor).
  • Private personer eller organisasjoner som bruker sosiale medier til å oppnå politiske mål, slik opposisjonen gjorde under «den arabiske vår» blant annet i Egypt, og nå også i Syria.
  • Ren kriminell virksomhet særlig rettet mot bank og finans for å svindle til seg penger, spionasje mot viktige næringsinteresser, eller ulike former for sabotasje mot viktige samfunnsfunksjoner.

Det innebærer at «kyberkrig» blir et for enkelt begrep. Det er samfunnets totale sikkerhet som på agenda – derfor begrepet «kybersikkerhet». Militære behov griper inn i samfunnssfæren på en helt annen møte enn tidligere. I tillegg kommer helt nye aktører og problemstillinger inn.

En første problemstilling er overvåkning. Det har vært gjort flere forsøk på å regulere Internett slik at statene får større innsyn i trafikken. Blant annet forsøkte Russland å få den internasjonale telekommunikasjonssektoren (ITU) i 2012 til å utvide det internasjonale rammeverket for telekommunikasjon til også å omfatte Internett. Det lyktes ikke fordi de vestlige landene – og private aktører – ikke ønsket sensur eller at noen land fikk kontroll over Internett.

Dette har imidlertid ført til at flere private aktører nå er blitt en viktig informasjonskilde til ulike typer nettangrep. Det gjelder store internasjonale selskap som Symantec og MacAfee. Interessant nok – det var Telenor som oppdaget angrepet fra Kina på Nobelkomiteens hjemmeside i 2011. Disse aktørene – og en kunne legge til både Google og Facebook her – har blitt sentrale varslere på dette området fordi næringslivet ønsker varsling på innbrudd, svindel og sabotasje i sine nett.

Stater kan også ha interesse av å overvåke nettet for å unngå opptøyer eller bidra til dempe uroligheter slik vi så i siste uke i bydelen Husby i Stockholm. Militær etteretningsvirksomhet mot det private samfunn, er jo slett ikke uproblematisk rettslig eller moralsk. Vi vet i dag at FBI har utviklet programproduktet Carnivore som skanner de digitale nettverkene og muliggjør avlytting av den enkeltes kommunikasjon, brukeridentifisering, samt lokalisering og identifisering av vedkommendes kontaktvenner.

Som «mottrekk» mot dette praktiserer private aktører som Facebook, Twitter og Apple begrensinger på innsyn i det som publiseres på deres plattformer i form av bruksregler og policy. Facebook var for eksempel svært tilbakeholdende med å gi informasjon til norske politimyndigheter i den såkalte Sigrid-saken i fjor høst.

Samfunnet er derfor blitt mye mer sårbart. Hacking kan ramme transaksjoner innen handel og finans, transport, helsevesen og energi. Dersom dette blir rammet i noe større omfang kan vi få stengte minibanker, forstyrrelser i offentlig transport og økte oljepriser. Samtidig kan slike hendelser i et enkelt land få selvforsterkende effekter ved at det sprer seg til andre land. Hvorvidt dette er kriminell aktivitet, privatpersoners forsøk på å påvirke samfunnsinstitusjoner og næringsliv, eller målrettet «kyberkrig» fra en stat, er usikkert. Sentrale aktører for å overvåke dette er ikke bare militære og politimyndigheter, men i økende grad nettverksleverandørene selv. Offentlige myndigheter blir mer og mer avhengig av private aktører på dette området.

En strategi for «kyberkrig» fremstår derfor som en svært diffus størrelse, fra å avverge kriminalitet, via angrep på viktige samfunnsinstitusjoner (Saudia-Arabias statlige oljeselskap ARAMCO ble i 2012 rammet av et virus som sies å være det mest alvorlige angrepet mot næringsinteresser så langt. Hvor lenge er det til Statoil blir rammet av det samme?), til direkte militære angrep utført av en annen stat.

Samarbeid om å forhindre dette må være både nasjonalt (mellom offentlige og private aktører), og internasjonalt (mellom offentlige myndigheter og store internasjonale nettverksleverandører). Samtidig er både lovgivning og ansvarsfordeling, særdeles uklar.

Generaler planlegger for forrige krig. Norske offentlige myndigheter planlegger for neste 22. juli-angrep. Det vi imidlertid med sikkerhet vet er at neste krig eller terrorhandling ikke blir utført som tidligere hendelser. En må derfor tenke nytt og mer grunnleggende.

Hva gjør da Norge på dette området?

Det er like fragmentert, desentralisert og uoversiktlig som IKT-samhandling i staten:

  • Forsvaret har etablert et såkalt Cyberforsvar som skal sikre den militære infrastrukturen.
  • Nasjonal Sikkerhetsmyndighet (NSM) skal håndtere alvorlige angrep mot samfunnskritisk infrastruktur og informasjon, både i privat og offentlig sektor.
  • Justisdepartementet har samordningsansvar for samfunnets sivile sikkerhet.
  • Fornyings- og administrasjonsdepartementet har et koordineringsansvar for regjeringens IKT-politikk, herunder IKT-sikkerhet.
  • Forsvarsdepartementet har ansvaret for IKT-sikkerhet i militær sektor.
  • Samferdselsdepartementet har ansvaret for IKT-sikkerheten knyttet til blant annet Internett.

Det er organiseringen. Strategien er at myndighetene har ansvaret for IKT-infrastrukturen, mens private og offentlige virksomheter sørger for å sikre egen infrastruktur. Innbyggerne «må ta et selvstendig initiativ for å beskytte sin identitet, sitt eget personvern og sine egne økonomiske verdier på nett».

Det sier seg selv at dette ikke er betryggende. Det finnes ingen overnasjonal myndighet for kybersikkerhet. Man er avhengig av at en kan – og vil – samarbeide offentlige etater mellom, og mellom myndighetene og privat sektor. En slik sektoriell tilnærming er problematisk rett og slett fordi et angrep vil gå på tvers av sektorer og på tvers av aksen privat/offentlig myndighet.

Strategien er derfor uklar, organiseringen fragmentert og gjennomtenkningen av hva «kybersikkerhet» er, er mer grunn enn grunnleggende.

Merk at siste nummer av Internasjonal Politikk (2/2013) har flere interessante artikler om dette temaet.

Til toppen