DIIS Policy Brief
Fælles internationale normer i cyberspace kræver mere åbenhed
Kan cyberdomænet tæmmes?
Mens FN har langstrakte forhandlinger om fremme af cybernormer, kan en selvstændig dansk indsats bidrage med tiltrængte eksempler for ansvarlig statslig adfærd i cyberspace.
ANBEFALINGER
■ Danmark bør i højere grad prioritere deling afinformationer om de danske erfaringer medbrugen af militære cyberoperationer. ■ Danmark bør starte en politisk debat ommulighederne for at bruge cyberkapaciteter i andre sammenhænge end som middel i den militære magtanvendelse, samt om retningslinjer for hvordan det kan og må gøres.
Behovet for at fremme normer for ansvarlig statslig adfærd er et af de foretrukne svar, når politikere, diplomater og forsvarseksperter skal forklare, hvordan vi skaber stabilitet i cyberspace. En lang række internationale processer er sat i gang til formålet: FN oprettede i november 2018 to processer: en russisk-initieret Open-Ended Working Group og en amerikansk-initieret Group of Governmental Experts (UNGGE).
Organization for Security and Co-operation in Europe (OSCE) har i en årrække arbejdet på tillidsskabende foranstaltninger. EU har udviklet en fælles cyberdiplo-matisk værktøjskasse, og en række ikke-statslige organisationer og virksomheder har introduceret og promoveret principper for et sikkert cyberspace.
Selvom det altså ikke skorter på initiativer, er forhåb-ningerne om fremskridt små. Fx frygter Danmark sammen med vores allierede:
■ At Rusland og Kina formår at udvande allerede vedtaget tekst fra tidligere UNGGE-processer om eksisterende international rets anvendelighed i cyberspace.
■ At internationale forhandlinger trækkes i langdrag uden et reelt ønske om at opnå enighed.
■ At luftige fælles deklarationer fra civilsamfund, virksomheder og stater blot puttes i skuffen, når de er blevet præsenteret.
På nær EU-sporet engagerer Danmark sig ikke indgående i de mange internationale initiativer for normfremme i cyberspace. Det betyder imidlertid ikke, at Danmark nødvendigvis behøver at være en passiv aktør på området. Dette brief peger på to strategier, som Danmark med fordel kan prioritere i forsøget på at fremme normer for ansvarlig statslig adfærd i cyberspace.
Større åbenhed omkring cyberoperationer vil uundgåeligt forhøje risikoen for,at it-sårbarheder bliver udbedret og fremtidig spionage vanskeligere. Men da efterretningstjenesterne allerede bruger velkendte teknikker og udnytter sårbarheder, som fx ikke er opdaterede eller kan rettes, burde bekymringen for tabt cyberkapacitet ikke være en uoverkommelig hindring for at fremme cybernormer gennem mere åbenhed.
Det gode eksempel
Det står efterhånden klart, hvad der menes med dårlig (inter-)statslig adfærd i cyberspace:
■ Kina bliver kritiseret for statsstøttet industrispionage i cyberspace.
■ Rusland bliver kritiseret for at påvirke afstemninger i andre lande, for at gemme aktiviteter bag såkaldte ”patriotiske hackere”, for manglende villighed til at assistere den transnationale cyberkriminalitets bekæmpelse, og for at stå bag ikke-diskriminerende ransomware-angreb, som fx angrebet på Mærsk i 2017.
■ Nordkorea fordømmes for at forsøge at tjene penge på ransomware-angreb og for at angribe private virksomheder som Sony.
Det er mere uklart, hvad der menes med god, ansvarlig adfærd i cyberspace. Var den amerikansk-israelske Stuxnet, der saboterede iranske atomcentrifuger, god adfærd? Var den formodede kinesiske indhentning af oplysninger om over 21 millioner offentligt ansatte i USA acceptabel? Og skaber det den ønskede præcedens, når USA fjerner IS-propaganda fra sine allieredes servere uden at koordinere det med dem? Svarene står hen i det uvisse.
USA’s begyndende åbenhed omkring brugen af cyberoperationer mod IS understreger imidlertid en øget anerkendelse af behovet for også positivt at beskrive, hvordan ansvarlig statslig adfærd i cyberspace ser ud i praksis. Det er ikke længere nok bare at gentage, at eksisterende international lov også gælder i cyberspace. Denne erkendelse bør Danmark bygge videre på.
Danmark har også en cyberkapacitet under opbygning, der skal understøtte Danmarks militære indsatser og magtanvendelse. Danmark kan således med fordel overveje i højere grad at dele information offentligt, og i internationale fora, om tankerne bag de militære cyberoperationer, som det danske forsvar har været engageret i. De operationelle overvejelser og juridiske fortolkninger – som Danmark har gjort sig i forbindelse med en cyberoperation, der forstyrrer, intervenerer eller ødelægger fremmede it-systemer – kan meget vel være de meget efterspurgte referencepunkter, som de internationale forhandlingsfora har brug for.
Den svære åbenhed
Mere åbenhed er dog langt fra ukontroversiel. Staters cyberadfærd er omgærdet af et nødvendigt hemmelighedskræmmeri. Cyberspionage samt forberedelse ogudførelse af cyberangreb kræver udnyttelse af programmeringsfejl og sårbarheder i it-produkter, som fx Microsoft Windows software. Efterretningstjenesternes manglende åbenhed omkring denne udnyttelse skyldes, at deling af information giver andre aktører – herunder den der er målet for et cyberangreb – mulighed for at opdatere systemerne og derved umuliggøre spionage eller angreb, ligesom det det kan give fjender mulighed for selv at udnytte fejlen i andre sammenhænge.
Mere åbenhed er dog langt fra ukontroversiel. Staters cyberadfærd er omgærdet af et nødvendigt hemmelighedskræmmeri. Cyberspionage samt forberedelse ogudførelse af cyberangreb kræver udnyttelse af programmeringsfejl og sårbarheder i it-produkter, som fx Microsoft Windows software. Efterretningstjenesternes manglende åbenhed omkring denne udnyttelse skyldes, at deling af information giver andre aktører – herunder den der er målet for et cyberangreb – mulighed for at opdatere systemerne og derved umuliggøre spionage eller angreb, ligesom det det kan give fjender mulighed for selv at udnytte fejlen i andre sammenhænge.
Der eksisterer således en interessekonflikt mellem de militære enheder, der ønsker at ødelægge eller forstyrre fjendens it-systemer ved hjælp af cyberangreb, og efterretningsarbejdet, der ønsker at holde sine teknikker hemmelige med henblik på fremtidige aktiviteter. Men da Danmark har besluttet sig for at gøre brug af cyberangreb i militære operationer, accepterer vi allerede risikoen for, at andre kan udbedre eller udnytte it-sårbarheder – efter vi har udnyttet dem. Inkluderer Danmark de normfremmende muligheder, der følger med mere åbenhed omkring cyberoperationer, vil det uundgåeligt forhøje risikoen for, at it-sårbarheder bliver udbedret og spionage dermed vanskeliggjort. Men da efterretningstjenesterne allerede bruger velkendte teknikker og udnytter sårbarheder, der er rettet, men endnu ikke opdaterethos slutbrugere eller som ikke kan rettes, så burde bekymringen for tabt cyberkapacitet ikke være en uoverkommelig hindring for at fremme cybernormer gennem mere åbenhed.
Cyberspaces politiske potentiale
Den anden strategi, som Danmark med fordel kan prioritere i forsøget på at fremme normdagsordenen i cyberspace, drejer sig om at anerkende og drøfte cyberspaces potentiale som værktøj – også uden for den militære søjle. Danmarks og Danmarks allieredes strategi for normfremme har indtil nu hovedsageligt koncentreret sig om at gentage, at egne aktiviteter
i cyberspace holder sig inden for international ret. Ageren i gråzonerne er forbeholdt andre aktører
– i hvert fald officielt.
Den anden strategi, som Danmark med fordel kan prioritere i forsøget på at fremme normdagsordenen i cyberspace, drejer sig om at anerkende og drøfte cyberspaces potentiale som værktøj – også uden for den militære søjle. Danmarks og Danmarks allieredes strategi for normfremme har indtil nu hovedsageligt koncentreret sig om at gentage, at egne aktiviteter
i cyberspace holder sig inden for international ret. Ageren i gråzonerne er forbeholdt andre aktører
– i hvert fald officielt.
Statslig interaktion i cyberspace har dog alle dage været karakteriseret af en efterretningsnorm, hvor der er konstant kontakt mellem fjendens spioner og egne spioner. Der er altid risici, og der arbejdes ofte i juridiske gråzoner, hvor muligheder for at irritere og bedrage hinanden tages, når de opstår. Hvis den diplomatiske opmærksomhed udelukkende rettes mod normer for den militære magtanvendelse i cyberspace, ignorerer man den virkelighed, hvor efterretningstjenester faktisk tilbyder en bred vifte af politiske værktøjer i cyberspace. Samtidig risikerer man i højere grad at misforstå efterretningsarbejde som indledende stadier til en militær konfrontation, og det kan resultere i en utilsigtet og uønsket eskalering.
Hvis Danmark skal støtte den normfremmende dagsorden, bør man i højere grad starte en seriøs diskussion om, hvorvidt og under hvilke regelsæt Danmark ønsker at bruge cyberspace uden for den militære søjle. Diskussionen må nødvendigvis adressere flere konkrete spørgsmål: For eksempel under hvilke omstændigheder vi vil forstyrre eller manipulere udenlandske servere, hvorfra statsstøttede spionagekampagner finder sted, hvorfra ulovligt, falskt eller farligt indhold opbevares, eller hvorfra overbelastningsangreb mod danske interesser finder sted? Er vi villige til at lække indhentede informationer om fx fremmede statslederes korruption, og i så fald hvilken type og under hvilke forhold? Ønsker vi at støtte systemkritikere, der censureres og forfølges i andre lande, eksempelvis ved aktivt at sikre åben adgang til internettet globalt, eller bevise disse kritikeres uskyld, når de står over for fabrikerede anklager? Og i hvilken grad vil vi koordinere vores aktiviteter med vores allierede eller med de danske virksomheder, som på nuværende tidspunkt udøver selvtægt i cyberspace?
Sådanne spørgsmål bør adresseres mere åbent, hvis Danmark skal fremstå som en moden aktør i cyberspace. Mere åbenhed bidrager samtidig til at imødegå den kritik, som blandt andet Rusland og Kina retter mod vestlige stater i forsøget på at opnå støtte fra det globale syd, nemlig at EU og USA er utroværdige og dobbeltmoralske i deres forsøg på at fremme normer i cyberspace.
Jeppe Teglskov Jacobsen, adjunkt ved Forsvarsakademiet (jeja@fak.dk)
Topics
Fælles internationale normer i cyberspace kræver mere åbenhed
Kan cyberdomænet tæmmes?
