Når krigen rykker ind i det virtuelle rum

Nye teknologier ændrer den måde, krige udkæmpes på. Her er det soldater, der anvender en drone. Arkivfoto: Scanpix Fold sammen
Læs mere

Hvis fremtidens krige og konflikter ikke skal tabes, skal flanken ud mod cyberspace forsvares. Et sådan forsvar handler ikke kun om at ansætte flere hackere og IT-sikkerhedsspecialister, end vores modstandere gør. Cyberspace er et miljø med sine egne naturlove, og ikke før vi er fortrolige med disse naturlove, kan vi forudsige eller kontrollere effekten af de handlinger, vi foretager os der.

Effekterne af cyberangreb kan i højere grad end tidligere påvirke økonomiske, politiske, militære og sociale systemer uden for cyberspace. For når cyberspace og samfund vokser tættere sammen, skifter cybervåben fra at være »weapons of mass annoyance« til at blive potente magtinstrumenter. Det betyder også, at man i højere grad end tidligere kan udnytte cyberspace til at nå militære mål. Cybervåbnene får mulighed for at overtage nogle af de klassiske våbens opgaver, hvilket åbner en interessant mulighed for at føre krig i, og gennem, cyberspace.

I løbet af 2017 var vi vidner til flere effektfulde cyberangreb, som f.eks. gik hårdt ud over det engelske sygehusvæsen og danske Mærsk. Disse angreb resulterede bl.a. i voksende ventelister på hospitaler og store økonomiske tab. Angrebene blev angiveligt gennemført af amatører med kriminelle hensigter. Men de skadelige computerprogrammer, der blev anvendt i angrebene, var udviklet af professionelle statsansatte hackere til brug som cybervåben. Eksemplerne viser, hvor effektfulde cyberangreb kan være, men de antyder også en vis umodenhed i staternes udvikling og håndtering af dem.

Cyberspace er en væsentlig og uundgåelig del af fremtidens slagmark. Krigsteoretikeren Carl von Clausewitz beskriver bl.a., hvordan krig kan forstås som et politisk værktøj, hvor parterne gennem anvendelse af vold eller trussel herom hver især søger at påtvinge modstanderen sin egen vilje. Og fordi cyberangreb kan svække staters evne til at forsvare sig mod militære angreb, kan de udgøre en del af volden, om end der kan synes langt fra de ovennævnte eksempler til egentlig vold.

Cyberangreb som en del af et voldeligt angreb er der gode eksempler på, f.eks. fra Ruslands krig i Georgien i 2008 og på Krim i 2014. I begge krige blev de konventionelle militære operationer suppleret af forskellige cyberangreb. Nogle af disse angreb var rettet mod kritisk infrastruktur som kraftværker, mens andre var rettet mod mere abstrakte mål, f.eks. meningsdannelse og situationsforståelse. Langt de fleste angreb blev rettet mod mailservere, hjemmesider m.v. for at vanskeliggøre kommunikation og adgang til pålidelige informationer. Under krigen i Ukraine så man endda ukrainske artillerisystemer blive angrebet og nedkæmpet ved hjælp af en kombination af cyberangreb og fysiske angreb.

Forstå cybervåbens natur

Et cyberangreb er simpelt anskuet et angreb på modstanderens kontrol med, og adgang til, digitale informationer. Når man ved hjælp af cybervåben kan påvirke modstanderens information, kan man også påvirke de processer, beslutninger, systemer og tanker, som baserer sig på informationen. Målrettede påvirkninger via cyberangreb kan bidrage til, at man i sidste ende påtvinger fjenden sin egen vilje og dermed vinder krigen.

Når samfundets afhængighed af cyberspace vokser, vil cybervåbnene i stigende grad kunne opnå selvstændige effekter. Et cyberangreb på et kraftværk kan umiddelbart have samme effekt som et flyangreb mod samme kraftværk. Godt nok udebliver den chokerende effekt af ild, ødelæggelse og død. Men effekten af at mangle elektricitet er den samme. Industrien får sværere ved at understøtte statens evne til at forsvare sig, og befolkningen vil måske blive belastet af kulde, sult og manglende mulighed for at orientere sig via medierne.

På samme måde kan angreb mod staters militær svække militærets kampkraft og sammenhængskraft – både gennem angreb på IT-systemer og IT-afhængigt materiel, og gennem psykisk påvirkning af soldater, befolkning og beslutningstagere.

Men hvis man ikke forstår cyberspace, skyder man i blinde med sine cybervåben.

Før vi lader os drage af muligheden for selv at anvende cyberangrebets tilsyneladende effektive, billige og måske endda mere humane alternativ til bomber og kanoner, er det dog absolut nødvendigt at blive fortrolig med cyberspaces komplekse og ikke-lineære natur. Forstår man ikke cyberdomænets særlige miljø, risikerer man ukontrollable og uforudsete indirekte skader på udenforstående mennesker og systemer. I værste tilfælde kan et cybervåben give bagslag og blive vendt mod sin egen skaber.

Et eksempel på et cyberangreb, der gav bagslag, er »Operation Olympic Games«, som blev gennemført omkring 2010. I denne operation plantede angriberen et skjult computerprogram på et iransk atomforskningscenter. Programmet var et cybervåben, som ødelagde de centrifuger, der blev anvendt til berigelse af uran. Våbnets umiddelbare succes blev dog i nogen grad overskygget af det, der skete efterfølgende.

Cyberspace er et særligt miljø

For til forskel fra almindelige bomber går cybervåben ikke nødvendigvis i stykker, når de bliver brugt. Efter angrebet blev cybervåbnet offentligt kendt som computervirussen Stuxnet, hvis avancerede kildekode i dag er frit tilgængeligt på internettet samtidig med, at nye varianter af Stuxnet løbende dukker op. Disse nye generationer af vor tids mest effektfulde kendte cybervåben udgør stadig en betydelig og ukontrollabel sikkerhedsrisiko over hele verden.

Som en naturlig følge af de cybertrusler, man skal imødegå, og de effekter, man kan opnå gennem cyberspace, udvikler flere lande, herunder Danmark, i øjeblikket militære kapaciteter, der kan operere i cyberspace. Om, og hvordan, disse kapaciteter vil blive anvendt, er der, i hvert fald for Danmarks vedkommende, særligt to modsatrettede vektorer, der har indflydelse på.

Den ene vektor, som fremmer anvendelsen, er udviklingen af den tekniske kompetence til rent faktisk at kunne gennemføre cyberangreb – f.eks. hvor dygtige vores hackere er i forhold til de systemer, de skal bryde ind i. Den anden vektor, som derimod begrænser anvendelsen, er den etisk/juridiske – altså om man bør eller kan anvende forskellige typer af cybervåben set i lyset af internationale konventioner, menneskerettigheder m.v.

Der er dog i udpræget grad brug for at tilføje en tredje vektor, nemlig at man udbygger forståelsen for cyberspace som et særligt miljø. Denne vektor vil i første omgang være begrænsende, men vil ændre sig til at have en fremmende effekt, når kendskabet til cyberspace udvikles.

Cyberspace er et virtuelt rum, der i kompleksitet og udstrækning er væsentligt forskellig fra de fysiske rum, som vi er vant til at bevæge os rundt i. Den ukontrollerede spredning af cybervåbnet Stuxnet er et eksempel på en fejl, der udsprang af manglende forståelse for cyberspace. Det er derfor bydende nødvendigt, at vi udforsker cyberspaces unikke karakter, så vi kan kæmpe effektivt og undgå fremtidige vådeskud. Cyberkrig er noget andet end landkrig på samme måde, som landkrig er forskelligt fra søkrig og luftkrig. Netop fordi de fire domæner land, sø, luft og cyberspace er forskellige, kan man ikke anvende de samme teknikker og taktikker på tværs af domænerne.

Cyberangreb vil i voksende grad kunne skabe relevante militære og politiske effekter. Men krige og konflikter i cyberspace vil ikke nødvendigvis blive vundet af den, der har den mest udviklede teknologi, eller den, der har den mest effektive cybersikkerhed. Den største fordel vil blive givet til den, som har den bedste forståelse for den arena, som krigen skal udkæmpes i.

Budskabet her skal være, at en dybere forståelse for cyberspaces unikke karakter er lige så vigtig i bestræbelserne på at opbygge et stærkt cyberforsvar som udviklingen af avancerede teknologier. Samtidig skal vi afstå fra at anvende offensive cybervåben, indtil vi har opnået en så dyb forståelse for cyberspace, at vi ikke kommer til at affyre vores cybervåben ned i foden på os selv.

Lasse Kronborg er kaptajn, Cyberoperationer, Forsvarsakademiet.