Kronik

Et godt forsvar er det bedste angreb i nutidens cyberkrig

De politiske overvejelser om i højere grad at hacke og angribe fjendtlige stater og kriminelle i cyberspace er forbundet med en lang række dilemmaer. De bør hellere fokusere på at gøre os til et vanskeligt angrebsmål
Danmark er ifølge Forsvarsministeriet i gang med at udvikle offensive cyberkapaciteter – cybervåben. Det forventes, at kapaciteterne er klar i 2019.

Danmark er ifølge Forsvarsministeriet i gang med at udvikle offensive cyberkapaciteter – cybervåben. Det forventes, at kapaciteterne er klar i 2019.

Jaap Arriens

9. oktober 2018

Vi skal angribe russiske hackernetværk, foreslog formanden for Folketingets Forsvarsudvalg, Naser Khader (K), i P1 Morgen i sidste uge (den 3. oktober 2018). Her argumenterede Khader for, at Danmark bør overveje en mere offensiv strategi til at bremse fjendtlige stater og kriminelle, der via internettet eller nærmere bestemt cyberspace forsøger at hacke sig til for eksempel fortrolige informationer.

Khader er inspireret af USA’s nyeste cyberstrategier. Danmark bør overveje ikke bare at forsvare os i cyberspace, men for fremtiden være mere proaktive og angribe dem, der angriber os. »Målet,« sagde Khader:

»Er at få dem til at holde op med at angribe vores institutioner og demokrati og virksomheder, og at eliminere angriberne ved kilden.«

Khader forklarede videre, at han ville afskrække fjendtlige stater og kriminelle »ved at sige til dem, at vi kan også lamme jer«.

Forståelig frustration

Naser Khaders og den amerikanske regerings frustration over de stadigt flere og alvorligere angreb fra cyberdomænet er forståelig. Vores overvejende defensive strategier har ikke afskrækket angribere i cyberdomænet, så hvad med at give den offensive strategi en chance?

Der er mange udfordringer, der gør det meget vanskeligt for Danmark (og såmænd også USA) at bruge cybervåben til at afskrække eventuelle fjender.

For at starte med kriminelle, så kan de næppe afskrækkes med cybervåben. Cybervåben kan bruges til at efterforske og eventuelt retsforfølge kriminelle, men ikke til at nedkæmpe deres muligheder for at operere. Hvis vi ødelægger kriminelle aktørers computere, så køber de bare nogle nye. Det gør de, så længe kriminaliteten kan betale sig, og de ikke er i fængsel.

Kan fjendtlige stater så afskrækkes med cybervåben?

Lad os starte med at betragte, hvorfor det teoretisk kan lade sig gøre: Stater er (forhåbentligt) rationelle aktører, der overvejer cyberangreb på fjendtlige stater ved at afveje fordele og ulemper. Modstanderens cybervåben er en del af de potentielle ulemper. Danmark er ifølge Forsvarsministeriet i gang med at udvikle offensive cyberkapaciteter – cybervåben.

Cybervåbnene kan ødelægge mål i den rigtige eller i den virtuelle verden eller bruges til spionage, der også er angreb, hvor man ’bare’ samler oplysninger uden at ødelægge noget. Det forventes, at kapaciteterne er klar i 2019.

Den nuværende lovgivning omkring cybervåben siger, at de som udgangspunkt kan bruges af Forsvarets Efterretningstjeneste til at indhente efterretninger om Danmarks statslige og kriminelle modstandere. Hvis Folketinget giver Forsvaret mandat til det, kan cybervåbnene bruges til at ødelægge fjendtlige mål ligesom Forsvarets skibe, fly og soldater.

Offensive dilemmaer

Der er naturligvis en forskel på de fleste cybervåben og almindelige bomber: effekten. Bliver Danmark ramt af en russisk bombe, så er vi i krig. Men hvad sker der, når det russiske cybervåben NotPetya koster Maersk 300.000.000 dollar, som vi oplevede tidligere i år? Når Rusland kunne ramme Danmark med et alvorligt cybervåben, kan vi så ikke gøre gengæld med et cybervåben?

Her er et par af problemerne og dilemmaerne ved at modangribe i cyberdomænet for at afskrække eksempelvis Rusland:

For det første er det ofte vanskeligt at identificere, hvor et angreb reelt kommer fra, og der kan gå lang tid før, det lykkes. Og sæt hvis modangrebet rammer en uskyldig, så er Danmark både til grin og erstatningspligtig.

Derudover er der spørgsmålet om, hvad Danmark i grunden skal angribe for at opnå den ønskede afskrækkelse.

Hvis scenariet er en kriminel hackergruppe, der arbejder for en stat – sådan som det foregår i Rusland, skal Danmark så angribe hackergruppen (husk, kriminelle køber bare en ny PC) eller den russiske stat? Og hvilket angreb vil i så fald være proportionalt og i overensstemmelse med international lov? Det er svært at svare på, hvilke mål Danmark skal angribe i Rusland, før Putin forstår, at de 300.000.000 dollar, som hans cyberkrig i Ukraine kostede Maersk, er en uacceptabel omkostning for Danmark.

I forlængelse af et sådant angreb risikerer vi, at modstanderen eskalerer og angriber igen – og spørgsmålet er så, om Danmark så også kan og vil blive ved? Cybervåben er principielt til engangsbrug, for fjenden opdaterer populært sagt sit antivirusprogram, når han erkender angrebet. Derfor vil en eskalering konstant kræve nye cybervåben. Modstandernes våben er ofte billige, fordi de ikke overholder krigens love om kun at ramme bestemte mål. Vores cybervåben må ikke ramme i flæng, og de kan være dyre og tage tid at udvikle.

Cyberglashus

En vigtig overvejelse, inden man besvarer et cyberangreb med et andet, er: Hvem er mest sårbar i cyberdomænet? Når vi overvejer at begynde at kaste med ’cybersten’, må vi også overveje, hvem der bor i det største ’cyberglashus’.

Nogle husker sikkert Wannacry-angrebet, der angiveligt kom fra Nordkorea sidste år. Statsstøttede hackere krypterede filer på computere verden over og krævede løsesummer for at dekryptere filerne igen. Skulle Danmark i denne situation overveje et cybermodangreb, skal det med i analysen, at Nordkorea kun har ganske få computere og en ældgammel, analog infrastruktur. Meget af vores infrastruktur er digitaliseret – og derfor mere sårbar end Nordkoreas.

Heldigvis er der andre måder, hvorpå staten kan gøre det mindre tillokkende at angribe Danmark og danskerne i cyberdomænet. En løsning kunne være, at vi gør det mere omkostningsfuldt for fjendtlige stater at angribe ved at gøre gengæld uden for cyberdomænet – i den virkelige verden.

Danmark kan eksempelvis gøre opmærksom på, at vi ved, hvem angriberen er, og at det kommer til at koste. Det kan gøres åbent eller diskret, alene eller i alliancer som EU eller NATO. Repressalierne kan f.eks. være diplomatiske eller økonomiske sanktioner. I yderste konsekvens kan NATO betragte et virkeligt alvorligt cyberangreb på et medlemsland som et fysisk angreb, der kan sende alliancen i krig, som NATO’s generalsekretær Jens Stoltenberg tidligere har slået fast.

Staten kan også gøre det omkostningsfuldt for fjendtlige stater (og ovenikøbet mindre udbytterigt for kriminelle) at angribe ved at gøre Danmark mere modstandsdygtigt, mere cyberresilient. Det kan blandt andet ske ved lovgivning og uddannelse af borgerne.

Hovedformålet med regeringens cyber- og informationssikkerhedsstrategier fra 2014 og 2018 er netop at forbedre cybersikkerheden i vores private og offentlige kritiske infrastruktur, samt at forbedre beredskabet til at reagere og koordinere på tværs af sektorer, når succesfulde angreb eller hændelige uheld alligevel forekommer. Det er af mange årsager en meget vanskelig opgave – men det er en anden kronik.

På rette vej

Problemet med disse mere præventive strategier er selvfølgelig, at de ikke hidtil har afskrækket alle stater fra at angribe os, og det kommer de nok heller ikke til fremover. Men Danmark bevæger sig den rigtige vej, blandt andet fordi 2018-strategien i modsætning til mange andre landes er en handlingsplan og ikke en hensigtserklæring.

Danmark kan med andre ord sagtens bruge sine offensive cyberkapaciteter – sine cybervåben – i både krig og fred, og vi skal ikke udelukke muligheden for at ’hacke’ stater og kriminelle, der angriber os. Men det er sandsynligvis kun under sjældne og ganske særlige omstændigheder, at Danmark kan afskrække dem ved at gå til modangreb i cyberspace. De fleste skal afskrækkes ved at vi gør os til et vanskeligt angrebsmål, og at vi straffer dem i den virkelige verden.

Mikkel Storm Jensen er major og militær-analytiker ved Institut for Strategi ved Forsvarsakademiet

Bliv opdateret med nyt om disse emner på mail

Vores abonnenter kalder os kritisk, seriøs og troværdig.

Prøv en måned gratis.

Klik her

Er du abonnent? Log ind her

Anbefalinger

  • Klaus Seistrup
Klaus Seistrup anbefalede denne artikel

Kommentarer

Morten Balling

Man kunne også overveje at gøre os mindre sårbare.

For fem år siden holdt Danny Hills, en af internettets grundlæggere, en interessant TED talk, hvor han gjorde opmærksom på den sårbarhed vi havde sat os i, hvis internettet en dag ikke fungerer:

https://www.ted.com/talks/danny_hillis_the_internet_could_crash_we_need_...

Siden Hills TED talk er der så vidt jeg ved ikke udviklet et backup netværk. Tværtimod bliver mere og mere af vores infrastruktur koblet på internettet. Det er billigt, men det er farligt.

Lillian Larsen, Bjarne Andersen, Niels Duus Nielsen, Lars Bo Jensen og Eva Schwanenflügel anbefalede denne kommentar
Jan Skovgaard Jensen

Det lyder ikke særlig betryggende at denne cyberenhed kan angribe potentielt store lande og så er det os almindelige borgere der må tager skraldet bag efter, nå de er blevet opdaget. Slet ikke vist det er Khader og Claus Hjort, som skal tage beslutningen om at angribe. Lad mig minde om at den tekniske kunnen i forsvarsministeriet rakte kun til at google-oversætte en bog, da man følte sig nødsaget til at vildelede den danske befolkning, ved at lade os tro at der fandtes en arabisk oversættelse af bogen, i forbindelse med Jæger-bogen-sagen. Ren Gøg og Gokke!

Bjarne Bisgaard Jensen, Helene Kristensen, Eva Schwanenflügel og Grethe Preisler anbefalede denne kommentar
Helene Kristensen

Man får godt nok gåsehud ved tanken om en dansk regering i cyperkrig - når man tænker på de offentlige edb-systemer der har hærget Danmark til nu. Skal vi gætte på, at de køber et billigt system programmeret af russiske spioner eller italienske hønseavlere - fordi det er billigt.

Klaus Seistrup, Lillian Larsen og Niels Duus Nielsen anbefalede denne kommentar

Når man tænker på, at Sverige måtte advare os adskillelige gange, da rigspolitiets mainframe var hacket af en hygge pirat. Så gyser jeg ved tanken om, at vi skal føre hacking krig mod andre... Risikoen for selvmål er nok større :)
Løsningen en høj sikkerhed. Og digitalisering skal ikke blot være en “spareøvelse”.

Thomas Christensen, Kristen Carsten Munk, Lillian Larsen, Helene Kristensen og Niels Duus Nielsen anbefalede denne kommentar
Niels Duus Nielsen

De danske væbnede styrker kaldes "Forsvaret", og det er sgu pinligt for politikerne, at der skal en militærmand til at skære ud i pap for dem, at "forsvaret" eksisterer for at forsvare landet, ikke for at angribe nogen.

Og det er jo ikke fordi Mikkel Storm Jensen er pacifist, han tror som så mange andre, at russerne er en trussel - han kalder sågar det georgiske krigseventyr i Sydossetien for en russisk angrebskrig, selv om FN siger, at det var Georgien, der var angriberen, så det er jo ikke fordi han er i lommen på Putin.

Den største cyberslyngelstat er og bliver USA, som aflytter os alle, både borgere, erhvervsliv, og politikere. Så Mikkel Storm Jensen har helt ret, når han siger, at NATO bor i et glashus.

Jeg synes det er lidt påfaldende, at denne kronik helt kan komme uden om, at tale om stuxnet, som angiveligt var et amerikansk og måske israelsk angreb på Iranske atomfaciliteter. Det er er et klasse eksempel på cyberwarfare, og gør samtidig lidt op med forestillingen om, at vi er omgivet af fjender, som man forudsætte, at cyberwarfare udgør en del af den militære palette. Stuxnet blev fulgt op af iranske hackerangreb mod saudiske og amerikanske banker.

Og det viser jo meget godt en problematik i cyberwarfare. For hvor angreb på et lands infrastruktur kan være svære, at identificere ophavsmændene til, så er det alligevel en "krigshandling" Og det er jo lidt forblommet, at forestille sig, at vi kan slippe afsted med angreb på systemer og infrastruktur rundt omkring - uden at der følger et modsvar.

Cyberwarfare vil i fremtiden såmænd have potentiale til, at udløse en rigtig krig. Så jeg ved ikke hvad Nasar Khader forestiller sig? Ud over at man når man angriber andre stater - så også hvis man foretager sig angreb mod kriminelle, selv agerer på kriminel vis.

Hvem er legitime mål og er cyberwarfare overhovedet en legitim metode burde man måske spørge sig i første omgang.

Der er immervæk et par hestemuler imellem, at ville beskytte egne data og egen infrastruktur og så til, at agere offensivt og begynde, at angribe mål i cyberspace, selv om det måske er ved at blive virkelighed. Ved at angribe andre gør man sig selv til et mål - måske er det virkelig så enkelt som det.

Jan Skovgaard Jensen

Som med så meget andet for tiden: Amerikanerne de indsamler al data globalt. Og vi har dokumentationen. De udfører også cyberangreb på al data, som af en eller anden grund er beskyttet. Det være sig et luftforsvarssysten i DK, en skole i UK eller iranernes atomprogram. Men det er ikke det vi skal diskutere. Vi skal diskutere alle de cyberangreb som russerne potentieilt vil udføre for at slukke lyset ude i cykelskuret...