Søg

Artikel

Ny erklæring overser cybertrussel mod Danmark

I en erklæring om folkerettens anvendelse i cyberspace sætter Danmark tærsklen opsigtsvækkende lavt for, hvornår en fremmed stat via cyberoperationer krænker dansk suverænitet, skriver Asbjørn Thranov.
Asbjørn Thranov
Billede der viser cyberangreb
Illustration © Christiaan Colen, Norse Attack Map copyright-licens
Omvendt, og mindst lige så opsigtsvækkende, er den danske udtalelse tavs om, hvorvidt folkeretten sætter grænser for staters cyberspionage. Det kan undre, når Center for Cybersikkerhed i sin seneste trusselsvurdering skriver, at truslen fra cyberspionage mod Danmark er meget høj, skriver Asbjørn Thranov. Foto: Christiaan Colen via Flickr.com, CC ASA 2.0

Invasioner, uprovokerede militære angreb og overgreb på krigsfanger er alle eksempler på klare brud på folkeretten; de internationale regler der gælder mellem stater. Men hvordan skal folkeretten forholde sig til cyberspace? Hvordan definerer man de digitale grænser, og hvornår bliver de overtrådt?

Det spørgsmål har Danmark indtil nu undladt at forholde sig officielt til, men i starten af juli 2023 fremlagde den danske regering, efter lang tids overvejelser, sin officielle holdning til, hvordan en række centrale folkeretlige regler og principper finder anvendelse i cyberspace i både krig og fred.

Danmark slutter sig dermed til de cirka 30 lande, som har udtalt sig om den folkeretlige regulering af cyberspace. Flere af disse lande tæller Danmarks vigtigste allierede, såsom USA, Storbritannien og Frankrig samt de øvrige nordiske lande.

Disse statsudtalelser udgør centrale bidrag til at forstå, hvilke rammer international ret sætter for staters aktiviteter i cyberspace.

Værn mod cyberoperationer

Det mest opsigtsvækkende i udtalelsen er, at Danmark sætter tærsklen lavt for, hvornår en fremmed stat via cyberoperationer krænker dansk suverænitet.

Suverænitetsprincippet er et fundamentalt princip i folkeretten, men stater og akademiske eksperter er uenige om, hvordan princippet præcist skal fortolkes i et digitalt domæne, som ikke er klart defineret af geografiske og territorielle grænser.

I sin fortolkning af suverænitetsprincippet gør Danmark det klart, at det ikke alene er destruktive cyberangreb, der forvolder fysisk skade på personer eller ejendom, som bryder dansk suverænitet. Det er også en krænkelse af Danmarks suverænitet, hvis en fremmed stat sætter computersystemer ud af drift eller gennemfører cyberoperationer, der sletter eller ændrer data.

Det betyder, at man fra dansk side kan være berettiget til at svare igen mod stater, der for eksempel forårsager strømudfald, som Rusland angivelig har gjort det i Ukraine, eller udfører økonomisk afpresning ved at kryptere filer og kræve en løsesum for at låse systemet op, som det var tilfældet i Nordkoreas globale WannaCry-kampagne fra 2017.

Omvendt, og mindst lige så opsigtsvækkende, er den danske udtalelse tavs om, hvorvidt folkeretten sætter grænser for staters cyberspionage. Det kan undre, når Center for Cybersikkerhed i sin seneste trusselsvurdering skriver, at truslen fra cyberspionage mod Danmark er meget høj.

Den danske regering kunne for eksempel have udtalt, at cyberspionage kan krænke Danmarks suverænitet i visse situationer uden at tage eksplicit stilling til, hvornår det er tilfældet.

Regeringen kunne også have forsøgt at skubbe den folkeretlige udvikling i en retning, hvor nogle former for cyberspionage skal ses som uacceptable eller helt ulovlige. Det kunne for eksempel være tyveri af forretningshemmeligheder eller cyberspionage, som er rettet mod samfundskritiske it-systemer eller særligt følsomme statshemmeligheder.

Det er selvsagt tvivlsomt om en sådan udtalelse vil afskrække andre stater fra at spionere mod Danmark. Men en mere tydelig position om cyberspionage vil dog kunne give Danmark flere muligheder for at reagere over for andre staters cyberspionage aktiviteter.  

Vanskeligt strategisk dilemma

Danmarks position skal overordnet ses i lyset af, at regeringen forsøger at balancere et for Danmark vanskeligt strategisk dilemma i forhold til den internationale regulering af cyberspace.

På den ene side har Danmark en interesse i at skabe juridisk klarhed om spillereglerne i cyberspace. Klarhed kan være med til at danne et retligt værn mod fjendtlige cyberoperationer, da andre stater kan holdes juridisk ansvarlige for folkeretsstridige handlinger i cyberspace.

På den anden side er Danmark en lille, men robust cyberaktør, som har en interesse i ikke at begrænse egne muligheder for at udføre operationer i cyberspace ved at vælge en for restriktiv fortolkning af de gældende regler.

Den danske udtalelse balancerer disse modstridende hensyn ved i flere tilfælde at åbne op for forskellige fortolkninger af retsreglerne uden dog at lægge sig fast på bestemte eller ultimative fortolkninger.

Når det er sagt kunne man godt have håbet på en mere progressiv påvirkning af den folkeretlige udvikling i cyberspace. Danmarks udtalelse kommer efter at andre lande har offentliggjort deres nationale positioner.

Udtalelsen lægger sig da også ofte lidt for bekvemt i slipstrømmen af flere af disse landes positioner, og nøjes ofte blot med at vælge standpunkter i debatten.

Danmark kunne for eksempel have bidraget mere aktivt til den internationale diskussion ved at give flere illustrative og konkrete eksempler på, hvordan de ret diffuse regler og juridiske figurer skal fortolkes i praksis. Det ville have sendt et stærkere signal omkring Danmarks position, både i forhold til potentielt fjendtlige stater og vores allierede.

Den danske udtalelse blev offentliggjort i det juridiske tidsskrift Nordic Journal of International Law 4. juli 2023 med overskriften ”Denmark’s Position Paper on the Application of International Law in Cyberspace”

Emner

Måske vil du også synes om:

Forsker: Ny erklæring overser kæmpe cybertrussel mod Danmark
Asbjørn Thranov
Altinget, 2023
Læs artiklen på altinget.dk