Klik. Du er død. En krig stopper ikke med at være en krig, fordi den føres på internettet. Det er det overordnede synspunkt i regelsamlingen »The Tallinn Manual«, der udkom i år på Cambridge University Press. Det er den første omfattende regelsamling, der søger at afdække, hvordan gældende international folkeret, der kan dateres tilbage til 1945, dækker i tilfælde af cyberkrig. Da den 282 sider lange regelsamling blev præsenteret i marts, sagde oberst Kirby Abbott, juridisk rådgiver i NATO, at den nu er »det vigtigste dokument inden for lovgivningen af cyberkrigsførelse. Det vil blive meget nyttigt«.
De 20 juridiske eksperter, der står bag samlingen, har i en periode på over tre år arbejdet i Estlands frostkolde hovedstad Tallinn, hvor NATO-tænketanken Cooperative Cyber Defense Center of Excellence ligger. Centeret blev oprettet I 2008 efter en bølge af voldsomme cyberangreb, der kunne spores tilbage til Rusland, nedlagde estiske hjemmesider og skadede landets infrastruktur, hvilket øgede opmærksomheden omkring de mulige konsekvenser af en cyberkrig. Regelsamlingen er dog ikke et officielt NATO-dokument, og det er ikke juridisk bindende, pointerer juraprofessor Michael Schmitt fra U.S. Naval War College, der er leder for holdet af jurister, som har udarbejdet »The Tallinn Manual«. Han er dog enig i, at regelsamlingen er af særlig betydning.
»Grunden til, at den her regelsamling er så vigtig, er, at den er den eneste af sin art. Jeg var involveret, da vi i 1999 begyndte at se på »cyber« i en lovmæssig kontekst, men efter 9/11, Afghanistan- og Irak-krigene, blev bekæmpelse af terrorisme fokusområdet i det internationale lovsamfund,« siger Michael Schmitt.
Medførte militær indgriben
Det ændrede sig efter cyberangrebene i Tallinn, og senere da konflikten mellem Rusland og Georgien eskalerede. Udover militær indgriben fra Rusland blev flere georgiske hjemmesider hacket og lukket ned under konflikten, blandt andet udenrigsministeriets hjemmeside.
»Det internationale lovsamfund var ikke forberedt på denne type cyberangreb. Virkeligheden var løbet fra vores lovsamlinger, fordi vi ikke havde fordybet os i emnet,« fortæller Michael Schmitt og fortsætter: »Hvis Danmarks banker for eksempel udsættes for et cyberangreb, og I ved, at angrebet kommer fra et andet land, er det afgørende, at I ved, hvad I kan gøre inden for lovens rammer for at forsvare jer selv. Kan I bruge det danske militær, eller skal I bruge mindre voldsomme midler, hvis I vil holde jer inden for rammerne af humanitær folkeret? Ingen havde tidligere overblik over, hvor grænserne går.«
En af de mest opsigtsvækkende konklusioner i rapporten involverer dens fortolkning af FN-pagtens artikel 2, stk. 4, der omhandler staters brug af magtanvendelse, som dikterer, at en stat ikke må ikke anvende magt mod en anden stat.
»Vi fandt ud af, at der kan forekomme cyberangreb, som ikke involverer destruktion af ejendom eller gør fysisk skade på civilbefolkningen, som kan udløse en »væbnet konflikt« mellem to stater«.
Den væbnede konflikt
I folkeretsligt sprogbrug bruges betegnelsen en »væbnet konflikt« til at beskrive det, som almindelige danskere vil kalde en »krig«. Når et land er i »væbnet konflikt« beskyttes blandt andet civilbefolkningerne af Geneve-konventionerne, der hører under FN-pagten. Ifølge »The Tallinn Manual« er ingen international, væbnet konflikt endnu blevet offentligt karakteriseret ved at have foregået i cyberspace alene. Men det betyder ikke, at cyberangreb endnu ikke er kraftige nok til, at de kan indlede krige. Et eksempel på et cyberangreb, der potentielt kan være af så voldsom karakter, er Stuxnet-ormen, der i 2010 gnavede sig ind i hjertet af Irans atomanlæg, 22 meter under jorden, og skadede adskillige centrifuger med beriget uran. Det er tankevækkende, at et så voldsomt cybervåben, der forvoldte stor fysisk skade på atomanlægget, blev afsendt fra noget så småt som et USB-stik. Stuxnet-ormen, der menes at have USA og Israel som ophavsmænd, er blevet kaldt det første cybervåben af geopolitisk betydning og er et af de mest sofistikerede stykker malware nogensinde. Anders Henriksen, lektor i krigsret ved Københavns Universitet, mener da også, at Stuxnet-angrebet var bemærkelsesværdigt.
»Jeg mener, at Stuxnet-angrebet er et klart eksempel på magtanvendelse og måske endda et »væbnet angreb«, der giver ret til selvforsvar,« siger han.
Ifølge professor Michael Schmitt er det åbenlyst, hvorfor cybervåben i disse år bliver taget meget alvorligt. Det er en naturlig konsekvens af, at normerne i vores samfund har ændret sig.
»I gamle dage var vi bekymrede over, at tropper krydsede vores grænser, men i dag har vores værdier ændret sig, og hele idéen om, at et cyberangreb lukker vores adgang til kritisk data er rystende for mennesker. Man kan skyde med rifler over grænsen til Danmark, men man kan også lave skræmmende cyberangreb, der kollapser banksystemerne. Når værdier i samfundet ændrer sig, kan vi forvente, at loven over tid vil gøre det samme,« siger Michael Schmitt og fortsætter: »Som det ser ud nu, skal cyberangreb skade civile eller på anden måde gøre fysisk skade på et land for at starte militære konflikter. Men det vil ændre sig. Jeg kan ikke forestille mig, at USAs kritiske infrastruktur eller økonomi angribes, og at man afholder sig fra at forsvare sig med militær, fordi der ikke er sket fysisk skade på landet. Data er helt afgørende for, hvordan vi lever vores liv i dag.«
I »The Tallinn Manual« lyder det desuden, at hackere kan være legitime mål for et modangreb. Og der står, at cyberangreb bør undgå at ramme hospitaler, dæmninger og atomanlæg for at minimere antallet af civile ofre.
»Vi fandt ud af, at når to lande er i krig med hinanden, beskytter loven ikke i særlig høj grad civil data. Kun i tilfælde, hvor beskadigelse af data forvolder fysisk skade på civile. Hvis en hacker ændrer blodtypen i min journal, er det i strid med loven, fordi det kan skade mig, men hvis min hjemmeside bliver lukket, og alle mine emails bliver slettet, er det ikke i strid med international krigslov. Det er jeg overbevist om vil ændre sig i fremtiden.«
Problemet er, at loven lige nu forbyder angreb på »civile objekter«, men det er til diskussion, hvorvidt »data«, der ikke er fysisk, kan defineres som sådan. For eksempel kan man sige, at data laves om til fysiske penge, hver gang man hæver på sit hævekort. Men giver det mening, at man skal have kontanterne fysisk i hånden, før de er beskyttet?
Forskellige interesser i cyberregler
Spørger man lektor Anders Henriksen, der forsker i krigsret ved Københavns Universitet, er det »urealistisk«, at man får en ny international krigslov for cyberkrig lige foreløbigt. Det vil nemlig kræve, at de største stater, herunder USA, Kina, Rusland og Korea, er enige om, hvordan den skal se ud, og det er de langt fra.
»De vestlige samfund er generelt meget sårbare over for cyberangreb, fordi de er mest afhængige af internettet. Derfor vil USA have interesse i at fortolke FN-reglerne på en måde, så det bliver ulovligt for aktører at hacke dem. Omvendt vil stater, der ikke er lige så afhængige af internettet, såsom Kina, Rusland og Nordkorea, have interesse i, at reglerne gør det muligt at lave flest mulige cyberaktiviteter.«
I NATO-regi skelner man imellem tre former for cyberangreb: cyberkriminalitet, cyberspionage og cyberkrig. Især cyberspionage er et problem i Danmark. I en rapport fra januar, udarbejdet af det danske Center for Cybersikkerhed, der er en del af Forsvarets Efterretningstjeneste, slås det fast, at danske virksomheder og myndigheder bliver udsat for målrettede cyberangreb af en størrelsesorden, så de må formodes at komme fra statslige eller statssponsorerede aktører.
»De alvorligste cybertrusler mod Danmark kommer fra statslige aktører, som bl.a. ved brug af deres nationale efterretningstjenester udnytter cyberspace til spionage og tyveri af intellektuel ejendom, som eksempelvis informationer om udvikling, forskning eller forretningshemmeligheder,« lyder det i rapporten.
»Det er skræmmende, og det skal tages alvorligt. Der kan være millioner af kroner på spil, hvis kritiske forretningshemmeligheder stjæles fra servere, der ikke er tilstrækkeligt beskyttet. I Danmark siger vi, at vi skal leve af viden. Vi skal være et videnssamfund, og derfor er det et angreb på vores vækst og velstand, når vores viden bliver stjålet,« siger Thomas Kristmar, afdelingschef i Center for Cybersikkerhed.
Sikkert er det, at lovgivningen endnu ikke har indhentet en tid, hvor selv museklik kan gøre ondt.