CYBERKRIG Får man tro IT-säkerhetsföretagen och militären så är det inte frågan om ”om” utan om ”när” cyberkriget kommer. Lösningen är också given: Större resurser till militära cyberkrigskommandon och till IT-säkerhetsföretagen. Men Erik Lakomaa ser en fara i att dra på för stora växlar. Själva utmålandet av cyberattacker som krigshandlingar kan i sig provocera fram konflikter.
De senaste 25 åren har larmen om det nära förestående cyberkriget varit vanliga. Det mest kända är CIA-chefen Leon Panettas varning från 2011 att nästa Pearl Harbor kunde komma att vara en cyberattack.
Vad som kallas för krig har betydelse: Krig innebär ofta resurser och befogenheter, det visste man exempelvis när man förklarade ”krig” mot drogerna eller terrorismen.
Risken med att kalla sådant som inte är krig för krig är dock inte bara man blir sittande med ett överdimensionerat och kostsamt försvar utan också att man därigenom riskerar söka militära lösningar på icke-militära problem. Detta kan vara direkt kontraproduktivt.
För att kunna fatta rätt policybeslut gäller det inte bara att fundera på vad som verkligen bör betraktas som krigshandlingar utan också på när sådana krigshandlingar kan komma att äga rum. Här kan forskningen vara till hjälp. En klar bild över vad som utgör en krigshandling hjälper oss samtidigt att se vilka skyddsåtgärder som är lämpliga (eller olämpliga).
Vad som beskrivits som cyberkrig har varierat. Överbelastningsattacker (DDOS) mot webbplatser har ibland kallats för krig. Virusangrepp likaså. När jag talade på underrättelse- och säkerhetskonferensen EISIC i Uppsala i augusti, var det till och med någon i publiken som lyfte fram upphovsrättsintrång som en krigshandling.
Andra, som forskaren Thomas Rid, menar att varningarna om cyberkrig är överdrivna och att det, utifrån gängse definitioner av krig, är få cyberattacker som kan ses som krigshandlingar.[1]
I mångt och mycket har Rid rätt. Inom konfliktforskningen brukar man säga att om ingen dör är det inget krig. Rid visar också tämligen övertygande att det aldrig någonsin inträffat något fall av cyberkrig. Det som Rid beskriver som det främsta exemplet på en cyberattack, trojanangreppet som skall ha orsakat en våldsam explosion i den transsibiriska naturgasledningen 1982, räknades inte heller av Sovjet som en krigshandling.[2]
Överbelastningsattacker mot hemsidor ligger ännu längre från att vara krigshandlingar och bör snarast ses som störningar av motsvarande allvarlighetsgrad som krossade skyltfönster. De bör också hanteras därefter.[3]
Att cyberkrig ännu inte inträffat betyder dock inte att risken för sådana kan uteslutas. IT-attacker kan absolut få konsekvenser motsvarande konventionella militära angrepp. Rid nämner själv ett sådant exempel i form av Israels utslagning av Syriens luftförsvarssystem i samband med attacken mot en kärnreaktor 2007. IT-attacken var här en integrerad del av en konventionell militär attack och fick samma effekter (utslaget luftvärn) som om man istället angripit med attackflyg eller robotar.
Men det går att också att tänka sig att fristående cyberattacker skulle kunna få krigsliknande effekter. För att behandla en cyberattack som en krigshandling bör emellertid ett antal kriterier uppfyllas.
Det första kriteriet är att angreppet måste utföras av en statsaktör (eller motsvarande). Detta måste också vara tydligt. Det innebär att exempelvis attacker av hackare som inte agerar på uppdrag av en statsaktör rimligen aldrig bör räknas som krigshandlingar.
För det andra måste angreppet rikta sig mot sådana vitala system att utslagning innebär ”krigsliknande” konsekvenser (i praktiken att människor dör). Det förutsätter att det finns sådana vitala system som går att angripa. Detta är fallet i dagens moderna välfärdsstater där vitala samhällsfunktioner är av sådan natur att de skulle kunna utsättas för angrepp. Det handlar bland annat om betalningssystem, bidragsutbetalningar och el-och vattenförsörjning. Däremot skulle en attack mot elförsörjningen i Kongo inte få så stora konsekvenser eftersom de flesta där saknar elektricitet.
Slutligen måste angreppet ske mot ett land där utslagning av sådana system skulle hota samhällsstrukturen, eftersom de annars inte kan antas ha förmåga att leda till att angriparen når sina politiska mål. Det förutsätter att medborgarnas förtroende för statsmakten är skakigt. Statsvetaren Dwight Waldo menar att det som håller samman samhället är följande: legitimitet för staten (förmåga att leverera), statens auktoritet (möjligheten att implementera beslut), kunskap (möjlighet att organisera), kontroll (möjlighet att upprätthålla lagar) och inte minst, förtroende. Militära angrepp syftar ofta till att med fysiska medel övertyga det angripna landets befolkning att deras stat inte längre kan leverera. Budskapet är att ”din stat inte kan försvara dig, du kan inte lita på att staten garanterar din säkerhet”.[4]
Ett land med utbredd korruption eller där demokratin är bristfällig blir därför mer sårbart för attacker. Här har västländerna en relativt stor motståndskraft eftersom förtroendet för staten är högt. Högt förtroende för regeringen innebär att befolkningen är beredd att acceptera uppoffringar och olägenheter.
Stuxnet-attacken – det sofistikerade cybertillslaget mot Irans kärnvapenprogram 2010 där USA och Israel pekats ut som de skyldiga – var enligt detta perspektiv inte en krigshandling eftersom den inte riskerade att leda till samhällskollaps. En amerikansk virusattack mot vattenverken i Iran skulle däremot ha kunnat vara det. Utslagning av vattenförsörjningen skulle kunna leda till dödsfall och dessutom ha potential att allvarligt skada regimen (som av medborgarna skulle kunna uppfattas som oförmögen att skydda befolkningen och förse dem med livsnödvändigheter).
Utifrån detta resonemang kan man ge följande policyrekommendationer; Staten bör se till att vitala samhällsfunktioner har redundans, det vill säga att en attack – oavsett om den utförs av en annan stat eller av en uttråkad högstadielev i Dala-Floda– inte leder till en utslagning av samhällsfunktionen.
Denna typ av åtgärder innebär i normalfallet att man även får en större förmåga att hantera effekterna av naturkatastrofer, bränder, oavsiktliga tekniska fel som buggar etc. Principen är densamma som att brandvarnare och brandkår fungerar oavsett om branden är anlagd eller beror på att blixten slagit ner. När man konstruerar elnät bör man därför se till att det inte finns en central punkt från vilken det kan slås ut (eller att vitala funktioner är åtkomliga från Internet).
Staten bör också se till att upprätthålla förtroendet för statsmakten. Det innebär att man bör bekämpa exempelvis korruption och främja öppenhet och demokratiskt deltagande. Det innebär samtidigt att ”cyberförsvarsåtgärder” som skadar förtroendet för staten är kontraproduktiva. Övervakning, hemliga program och begränsningar av yttrandefrihet och öppenhet (t.ex. när det kommer till att avslöja sårbarheter) kan räknas som sådana. Det är exempelvis uppenbart att den amerikanska (och svenska) övervakningspolitiken skadar förtroendet för statsmakten. Ifall myndigheterna ser medborgarna som fienden så är det rimligt att medborgarna intar samma inställning till staten.
I denna kontext blir militarisering av företags IT-säkerhetsarbete också en säkerhetsrisk. Precis som övervakningssamhället är detta ett reellt problem. Både företag och myndigheter lobbar idag för att militära myndigheter skall ta över (eller komplettera) företags IT-säkerhetsarbete. För företagen kan detta verka lockande eftersom det innebär att skattebetalarna får stå för en del av notan och får möjlighet att använda militära befogenheter för att komma åt exempelvis hackers.
För samhället i stort är däremot utvecklingen farlig. Skulle FRA eller en militär myndighet i jakten på hackers göra intrång hos ett ryskt företag är det inte orimligt att man från rysk sida ser detta som så allvarligt att resultatet blir andra (inte nödvändigtvis IT-relaterade) repressalier. Ett motsvarande intrång utfört av någon på ett svenskt företags IT-avdelning skulle samtidigt sannolikt få passera.