Den alvorligste skade var ikke økonomisk. Sony Pictures omsætter for over otte mia. dollar, og hackingen beløber sig til 100 mio. dollar. Skaden var heller ikke afsløringerne. Sony Pictures kommer sig formentlig over offentliggørelsen af lumre e-mail og et løbsk manuskript fra en James Bond-film.
Nej, den alvorligste skade var, at terroristerne vandt. At de fik lige præcis, hvad de kom efter – og at de nu kun kan føle sig opildnet til at gøre det igen. De hackede Sony Pictures i USA for at få selskabet til at skrotte filmen »The Interview«, og det gjorde selskabet natten til torsdag.
Det amerikanske FBI har sporet hackerne til Nordkorea, og dermed var det en fremmed og fjendtlig magt, som foretog angrebet. Det er ikke i sig selv usædvanligt – cybertyveri af hemmeligheder foregår hele tiden og på tværs af internationalt venskab og fjendskab – men her handlede det netop ikke om at stjæle hemmeligheder, men om noget andet. »The Interview« var et lagkagekomisk plot om at dræbe den nordkoreanske diktator Kim Jong-un, og efter forfilmen at dømme var der tale om en blanding af »The Dictator« og »The Hangover«. Den film måtte resten af verden ikke se, besluttede nordkoreanerne, og de angreb filmselskabet bag den.
»Det er en afgørende forskel. De angreb ikke for at stjæle hemmeligheder, men for at udøve pres mod mod ytringsfriheden – for at påvirke amerikansk populærkultur og undertrykke forfatningen,« som forsvarsanalytikeren Fred Kaplan skriver hos Slate. Og hvis nogen troede, at der stadig var tale om banal cybergraffiti, så blev de natten til i går revet ud af den forvirring. Hackerne forvandlede sig til fuldblodsterrorister ved at true med at udløse »et nyt 9/11« mod biografer ved premieren 25. december, og biograferne aflyste en masse, og Sony skrottede til sidst »The Interview«.
Sejren var hjemme, og champagnepropperne sprang hos Team Pyongyang.
Et cyber-NATO
Og hvad nu? Den umiddelbare reaktion torsdag var en slags benovelse over Nordkorea – at en blikdiktatorstat med syntetiske skjorter og konstant hungersnød kunne udføre et »dybt avanceret« cyberangreb.
»Vi har undervurderet Nordkorea,« sagde en analytiker f.eks. til CNN. Men for det første var angrebet ikke foretaget af Nordkorea selv, men af hyrede freelance-hackere. Sikkerhedsfirmaet FireEye sporede angrebet til gruppen DarkSeoul, som opererede fra en suite på St. Regis Hotel i Bangkok. Dark Seoul har tidligere foretaget cybersabotage på vegne af Nordkorea og også stået bag ganske almindelig tyverier af hemmeligheder.
Det er det ene notabene, og det andet er, at angrebet ikke var videre avanceret. Webmediet Fusion har beskrevet anatomien i hackingen, som var ækvivalenten til at dirke en lås op, og som ikke krævede mere end en forholdsvis basal cyberviden.
Mange flere vil bukke under for angreb
Så det er hverken Nordkorea eller den involverede teknologi, der er skræmmende.
Skræmmende er derimod, hvad vicedirektøren for FBI siger – at »90 pct. af alle amerikanske virksomheder« ville bukke under for et angreb som det aktuelle. Sikkerhedsafdelingen i Sony Pictures er formentlig ikke værre eller bedre end andre tilsvarende virksomheders – den består ifølge Fusion af tre praktiske analytikere og fem mellemledere og chefer, og når hackere angriber, står de som en toptung spejdertrup over for en pansereskadron.
Det er den første udfordring: Enten at de enkelte virksomheder får en bedre sikkerhed, eller at de – som et Danmark i NATO – søger sikkerhed i et cyberfællesskab.
Den anden udfordring er at få defineret parametrene for cyberterrorisme. Den amerikanske regering behandlede torsdag angrebet som et kriminelt angreb – den slags, som FBI-agenterne efterforsker, og måske vil vi om et par måneder opleve anholdelsen af en kikset bøv iklædt en badekåbe fra St. Regis i Bangkok.
Pentagon har tidligere defineret cyberangreb på amerikanske mål »som en krigshandling«, men militæret og regeringen har ikke handlet efter det. De har behandlet angrebene som forbrydelser og ikke som krigshandlinger, og ifølge New York Times diskuterer Pentagon og Obama-regeringen, hvordan de p.t. skal reagere.
Hardlinerne vil have et cyber-modangreb mod Nordkorea eller en offentlig bandbulle mod Pyongyang, mens realisterne siger, at der er nok internationale konflikter i øjeblikket og ingen grund til at skabe en ny.
Sådan en vankelmodig linje skaber en forventning hos cyberterroristerne om, at USA ikke gør noget, som Dave Aitel siger til Business Insider. Han er tidligere cybersikkerhedsanalytiker hos efterretningstjenesten NSA, og som han siger – hvis Nordkorea sendte et missil, som udslettede amerikansk infrastruktur, ville USA slå hårdt igen. Et cyberangreb kan forvolde lige så meget skade som et missil, og det er på tide at sidestille dem.
»Guardians of Peace« har advaret os.