Læsetid: 5 min.

Hvornår skal Folketinget godkende cyberangreb?

Aktindsigt viser, at Forsvarsministeriet er i gang med at finde ud af, hvordan Folketinget skal inddrages, hvis Danmark udfører et cyberangreb
Et atomanlæg i Iran er tidligere blevet ramt af den avancerede programkode Stuxnet, der er blevet betegnet som verdens første digitale våben. Irans tidligere præsident Mahmoud Ahmadinejad inspicerer stedet.

Et atomanlæg i Iran er tidligere blevet ramt af den avancerede programkode Stuxnet, der er blevet betegnet som verdens første digitale våben. Irans tidligere præsident Mahmoud Ahmadinejad inspicerer stedet.

Polfoto

10. september 2015

For flere år siden aftalte et politisk flertal, at Danmark skal opbygge kapacitet til at foretage cyberangreb mod eksempelvis andre landes digitale infrastruktur. Men arbejdet med at opbygge denne offensive kapacitet, som skal være en del af Forsvarets Efterretningstjeneste, er i praksis i venteposition. Det skyldes, at Forsvarsministeriet er i gang med at afklare, hvordan Folketinget skal inddrages ved sådanne angreb. Det viser flere dokumenter, som Information har fået aktindsigt i.

»Udfordringen for ministeriet er tydeligvis at finde ud af, hvornår et angreb kræver Folketingets samtykke. Det er let nok, hvis det sker som led i et selvforsvar, og når det sker som en del af en større international militær operation,« siger Jens Ringsmose, der er lektor ved Center for War Studies på Syddansk Universitet, og som har forsket i emnet.

»Men der, hvor der især er uklarhed, er i forhold til, hvornår man kan sidestille et cyberangreb med et væbnet angreb,« siger han og påpeger, at et væbnet angreb kræver Folketingets samtykke. Allerede med forsvarsforliget for 2010 til 2014 besluttede et bredt flertal i Folketinget at opbygge en militær kapacitet, der kan »forsvare egen brug af og forhindre modstanderes udnyttelse af cyberspace«. Også i den nugældende forsvarsaftale, der løber til 2017, står der, at Danmark skal opbygge en kapacitet, der kan gennemføre »defensive og offensive militære operationer i cyberspace«. Særligt er de offensive operationer kontroversielle.

»Den grundlæggende udfordring er, at vi har at gøre med et magtmiddel, som grundlovens fædre af gode grunde ikke havde tænkt på, da de skrev den. Et magtmiddel, der simpelthen ikke passer ind i vores gængse kategorier,« siger Jens Ringsmose.

Systemets interesse

Embedsværket og regeringen kan på den ene side have interesse i at sikre sig en snæver betegnelse for, hvad et cyberangreb er. Det siger Jens Elo Rytter, der er professor i forfatningsret på Københavns Universitet.

»Det vil give systemet ret til at agere selv uden at inddrage Folketinget,« siger han. På den anden side kan Folketinget have interesse i at blive inddraget i så vidt omfang som muligt. Derudover er der en modsætning mellem hensynet til diskretion og det at indhente Folketingets samtykke til cyberangreb, siger han.

»Den gordiske knude er formentlig også en af de ting, som Forsvarsministeriet arbejder med,« siger Jens Elo Rytter.

Præcist, hvad denne type af offensive operationer kan komme til at indebære i praksis, er uklart ud fra de oplysninger, som Information er i besiddelse af. Men i en embedsmandsrapport beskriver Forsvarsministeriet cyberangreb, som betegnes som ’Computer Network Attacks’, som operationer, hvor formålet er »at forvolde effekt på en modstander gennem angreb på dennes digitale infrastruktur«. I et hemmeligstemplet dokument, som nu er afklassificeret, og som Information har fået aktindsigt i, beskriver Forsvarsministeriet også de juridiske overvejelser i forhold til cyberangreb.

Her fremgår det, at cyberangreb i folkeretslig sammenhæng »som udgangspunkt« vil være ulovlige uden for rammen af en væbnet konflikt. Et angreb vil – afhængig af dets karakter – kunne krænke FN-pagtens forbud for stater mod at anvende væbnet magt mod hinanden, skriver Forsvarsministeriet. Derfor vil Folketingets samtykke til et sådant angreb altid være »udgangspunktet«, vurderer ministeriet.

Angreb mod Iran og Estland

Det klassiske eksempel på et cyberangreb er den ekstremt avancerede programkode Stuxnet, der spredte sig til computere verden over blandt andet via en så simpel metode som inficerede usb-stik. Programkoden var målrettet et atomanlæg i byen Natanz i Iran, som berigede uran. Anlægget var frakoblet internettet, hvilket gjorde det umuligt at tilgå udefra. Men det lykkedes alligevel at sprede programkoden fysisk til anlægget.

Programkoden var dernæst designet sådan, at den over tid ødelagde de centrifuger i anlægget, som berigede uran. Iran har siden beskyldt Israel for at stå bag angrebet, og mistanken har ligeledes samlet sig om USA som en mulig aggressor. Anonyme amerikanske embedsmænd har da også sagt til den avisen Washington Post, at Israel og USA stod bag Stuxnet.

Et andet kendt cyberangreb stammer fra Estland. Landets regering besluttede i 2007 at flytte en bronzestatue i hovedstaden Tallinn, der havde stor betydning for landets etniske russere. Samtidig var der også voldelige sammenstød i byen, primært drevet af etniske russere, skriver netmediet Wired. Efter flytningen af statuen blev et digitalt angreb rettet mod banker, aviser, teleselskaber og regeringens hjemmesider. Det var et såkaldt overbelastningsangreb, som regeringen i Estland senere beskyldte Rusland for at stå bag.

Høj risiko

I dag er risikoen for kriser forårsaget af cyberangreb »betydelig«. Det vurderer Lucas Kello, der er lektor og leder af Cyber Studies Programme på University of Oxford i England. Han bemærker, at der før angrebet mod Estland har hersket skepsis om, hvorvidt cyberangreb kan forårsage egentlig skade.

»Før det angreb var mange aktører på området skeptiske over for, om et angreb egentlig kunne forårsage økonomisk skade på nationalt niveau. Angrebet viste, at det var muligt,« siger Lucas Kello. Han nævner også angrebet mod urananlægget i Iran.

»Før det skete, var mange også i tvivl om, hvorvidt det var muligt at skade fysisk infrastruktur med cyberangreb,« siger han.

»Men når man ser på den empirisk-verificerbare skade, som cyberangreb har forårsaget, så er det naturlige spørgsmål: Hvad vil så være den næste udvikling? Det er måske et angreb, som forårsager dødsfald.« Samtidig nævner Lucas Kello dog, at det generelt er et problem for forskere på hans område, at de ikke har de nødvendige sikkerhedsgodkendelser, der gør, at de ved, hvad efterretningstjenester verden over ved om truslen.

Selv hvis forskerne havde den slags godkendelser, ville det ikke være muligt at bruge oplysninger fra efterretningstjenesterne. Et særligt problem, som lande og andre aktører, der oplever digitale angreb, står over for, er også, at det ofte ikke umiddelbart er muligt at finde ud af, hvilket land eller hvilken gruppe, der har begået angrebet.

»Det er ofte svært at fastslå aggressorens identitet, mål og formål, når der sker et cyberangreb,« siger Lucas Kello. Folketinget har i årene 2013 til 2017 afsat omkring en halv milliard kroner til en Computer Network Operations-kapacitet, som blandt andet skal give Danmark mulighed for at udføre de omtalte cyberangreb.

Bliv opdateret med nyt om disse emner på mail

Vores abonnenter kalder os kritisk, seriøs og troværdig.
Få ubegrænset adgang med et digitalt abonnement.
Prøv en måned gratis.

Prøv nu

Er du abonnent? Log ind her

Anbefalinger

anbefalede denne artikel

Kommentarer

Naivt at drømme om at være kompetente nok til at udføre et cyberangreb og derefter kunne forsvare sig den anden vej.

Det er dumt at kaste med sten, hvis man bor i et glashus

Jacob Yde, Anne-Marie Krogsbøll og Torben Selch anbefalede denne kommentar