Hopp til innhold
NUPI skole

- Må tenke nytt om cybersikkerhet

Hvordan drive med avskrekking i en virtuell verden?
Bildet viser Håkon Bergsjø, seksjonsleder ved NorCERT sitt operasjonssenter i Oslo

PASSER PÅ: Håkon Bergsjø er seksjonsleder for Norges nasjonale cybersenter - NorCERT - sitt operasjonssenter i Oslo. Det er den operative delen av Nasjonal sikkerhetsmyndighet (NSM) som håndterer alvorlige dataangrep mot samfunnskritisk infrastruktur og informasjon. Den siste tiden har de jobbet med dataangrepet WannaCry.

Foto: Heiko Junge/NTB Scanpix

PASSER PÅ: Håkon Bergsjø er seksjonsleder for Norges nasjonale cybersenter - NorCERT - sitt operasjonssenter i Oslo. Det er den operative delen av Nasjonal sikkerhetsmyndighet (NSM) som håndterer alvorlige dataangrep mot samfunnskritisk infrastruktur og informasjon. Den siste tiden har de jobbet med dataangrepet WannaCry.

Foto: Heiko Junge/NTB Scanpix

I fjor ble NATO rammet av i snitt 500 dataangrep hver måned – 60 prosent flere enn året før. Forrige helg ble flere enn 230 000 datamaskiner verden over utsatt for løsepengeviruset Wannacry, som angrep blant annet Storbritannias statlige helsevesen (NHS), FedEx og Deutsche Bahn.

Behovet for koordinert innsats for å sikre cyberspace vokser seg stadig større.

Avskrekking i cyberspace

I en ny policy brief har NUPI-forsker Lilly Pijnenburg Muller og Dr. Tim Stevens (King’s College London) sett nærmere på utfordringer og dilemmaer knyttet til begrepet avskrekking i forsvarssammenheng – nærmere bestemt på cyberfeltet.

Avskrekking handler enkelt sagt om å skremme noen fra å angripe deg, enten ved å gi inntrykk av at du kan pålegge fienden betydelige kostnader eller begrense utbyttet fienden har å hente ved et eventuelt angrep. 

- Tradisjonell militær avskrekking fungerer ved at man viser at man har et militær, som ubåter, tanks og soldater, for eksempel gjennom militære øvelser, for.  Å være medlem av NATO er en annen form for avskrekking. Med andre ord er avskrekking alt som hindrer fienden å angripe deg som nasjon, forklarer Muller.

Les også:

Ulike typer avskrekking

Som innenfor tradisjonelle domener er det innen cyberfeltet mange ulike måter å drive avskrekking på.

- USA kan for eksempel gå ut og erkjenne at de har blitt hacket, og dermed vise at landet har kapasitet til faktisk å avsløre hackerangrep. I Stuxnet-tilfellet, der atomanlegg i Iran ble sabotert med et avansert datavirus, har ikke USA innrømmet at de sto bak, men de har heller ikke avkreftet det. Dette kan også sees på som en form for avskrekking. Her får USA andre til å tro at de har kapasiteten til å angripe gjennom cyberspace. Men så fort et cybervåpen blir brukt er og det blir avslørt, senkes verdien av det som avskrekkingsmiddel raskt, sier Muller.

Kompleks skremsel

I den digitale tidsalderen er altså avskrekking mer komplisert enn å vise muskler gjennom stadig større våpenlagre og militærteknologi.

Én utfordring som har fått mye oppmerksomhet i denne sammenhengen handler om det som på fagspråket kalles «attribusjon» - plassering av skyld. Å finne ut hvem som står bak et cyberangrep kan være veldig vanskelig – og hvordan skremmer du en fiende du ikke vet hvem er?

Dette, sammen med stadig mer sofistikerte og omfattende cyberangrep, gjør at tankene om avskrekking med rot i Den kalde krigen må moderniseres, mener Muller og Stevens.

Krever nyorientering

‘Flyktigheten i cyberspace, rekkevidden av trusler, mangfoldet av statlige og ikke-statlige aktører, samt de tekniske utfordringene rundt attribusjon (skyldplassering) krever alle en nyorientering for holdningen til avskrekking og hvordan man utfører det i praksis,’ konkluderer de to i policy briefen Upholding the NATO cyber pledge.

Her anbefaler forskerne at fremtidens cyberavskrekkingsregime i NATO må se lenger enn utelukkende militære aspekter, og ta hensyn til den politiske og sosiale konteksten som en eventuell motstander faktisk tar beslutninger i. Med det som bakteppe bør avskrekking forstås som en prosess som består av offensive og defensive operasjoner som stadig demonstrerer hvilke intensjoner og evner en har.

Enda bedre cyberforsvar?

I fjor signerte alle medlemslandene i NATO den såkalte NATO Cyber Defence Pledge, hvor de på nytt forpliktet seg til å forsterke cyberforsvaret i sine respektive land for å best mulig beskytte infrastruktur og nettverk. Årets NATO-toppmøte finner sted i Brüssel 25. mai.

- Vi kan jo håpe på en forsterkning av NATO Cyber Defence Pledge denne uken. Det kommer nok til å være mye snakk om nettopp dette på møtet. Selve møtet med president Trump vil mest sannsynlig fokusere på USA sin rolle i NATO, men cyber-pledgen er noe av det nyeste på NATOs agenda, og Wannacry er på alles lepper om dagen, sier Muller.

- Har NATO vært for trege med å sette cybersikkerhet på agendaen og ta truslene på alvor?

- Nei. De var relativt tidlig ute, og dette har stått på agendaen deres i to år. Utfordringene er – som vi skriver om – hvordan de skal gjøre dette i praksis.

Se også:

Temaer

  • Forsvar
  • Sikkerhetspolitikk
  • NATO
  • Cyber
  • Internasjonale organisasjoner