Offensive cyberoperationer i NATO
NATOs forespørgselsdrevne og effektbaserede tilgang til cyberoperationer står stadig overfor grundlæggende udfordringer, der skal løses, før alliancen kan blive relevant i cyberspace.
■ NATO bør udvikle procedurer for deling af informationer efter cyberoperationer.
Generalsekretær Jens Stoltenberg ser tilføjelsen af aktiviteter i cyberspace til NATOs militære værktøjskas-se som et naturligt skridt i forsøget på at imødegå de nye trusler, som alliancen står overfor. Men hvis NATO skal fremstå seriøs i cyberspace – og derved gøre sig forhåbninger om at sende et stærkt signal til omverdenen – så er det afgørende, at cybereffekterne bliver integreret optimalt.
Integrationen af cybereffekter i NATO-operationer foregår ved en såkaldt forespørgselsdreven og effektbaseret model. Her efterspørger NATOs øverst kommanderende en effekt fra medlemsstater-ne, og disse byder ind – dog uden at dele specifik information om hvordan effekten præcis opnås. Det skyldes, at cyberoperationer ofte er afhængige af våben, værktøjer og klassificeret efterretningsarbejde, som medlemskaberne ikke ønsker at dele.
Der er imidlertid stadig en del udfordringer knyttet til NATOs forsøg på at integrere cybereffekter. Indeværende brief zoomer ind de meste centrale.
Fra forventning til implementering
En række spektakulære cyberangreb har højnet forventninger til integrationen af cybereffekter i militære operationer: Den israelske bombning af et syrisk atomanlæg i 2007 blev efter sigende muliggjort af et cyberangreb, der manipulerede syriske radarsystemer, og USA og Israels sofistikerede cybersabotageaktion, Stuxnet, ødelagde atomcentrifuger i Iran indtil 2010.
Disse begivenheder er vigtige referencepunkter for, hvordan mange strategiske tænkere og praktikere i dag forestiller sig militær brug af cyberangreb.Cyberangreb skal have en mærkbar og målbar effekt på nedkæmpningen af fjenden: enten som en direkte støttefunktion, der muliggør andre kinetiske effekter, eller som selvstændigt strategisk våben, der destruerer vitale infrastrukturer. Men der er flere faktorer, som betyder, at sådanne cyberangreb ikke gnidningsfrit lader sig integrere i den operationelle planlægning.
Cyberspace er et domæne, hvor efterretnings normer dominerer. Det er en kampplads med konstant kontakt mellem egne og fjendens spioner, hvor der altid arbejdes i gråzoner og hvor muligheden for at irritere eller bedrage bruges, når den opstår.
Det passer dårligt til tung operationel planlægning.
Først og fremmest tager fremstillingen af et cybervåben tid. Deres udvikling er afhængig af det it-system, der ønskes angrebet, herunder de specifikke fejl og sårbarheder, som systemet indeholder. De målrettede cyberangreb mod for eksempel en radar kan derfor tage måneder eller år at udvikle og perfektionere. Samtidig er cybervåben sårbare over for det dynamiske miljø, de udvikles i. Hvis fjenden opdaterer, ændrer eller udskifter sine it-systemer, må cybervåbnet også tilpasses. Det betyder, at cybervåben ikke bare kan lægges i den militære værktøjskasse, når de er udviklet eller købt; de skal vedligeholdes løbende.
Derudover er de mere ressourcestærke aktører med defensive cyberkapaciteter i stigende grad begyndt at følge og vildlede fremmede enheder, når de opdages. Det gør det endnu vanskeligere for den angribende medlemsstat at vurdere og verificere effekten af et cyberangreb: er det netværk, man har fået adgang til,virkelig den radar, der kontrollerer fjendens luftrum, eller er det hele blot et blufnummer?
Det er ikke kun udfordringerne med tids nok at udvikle eller købe de rette teknikker og teste cybereffekten, som kan forhindre medlemsstater i at stille målrettede cybereffekter til rådighed for NATO. Medlemsstater kan også meget vel være tilbageholdende, hvis en operations succes afhænger af en cybereffekt. Det skyldes, at en medlemsstat samtidig skal kunne love – og står til juridisk ansvar for – at effekten kan opnås på et specifikt tidspunkt i fremtiden. Kun cyberenheder med stor tro på egne evner vil tilbyde sig her.
Samtidig er overdragelse af ansvaret for vurdering og verificering af effekter sjældent at foretrække for en NATO operationschef. Hvis andre mere velkendte våben, som operationschefen samtidig har mere kontrol over, også er tilgængelige, vil de sandsynligvis prioriteres. Cybereffektens primære bidrag er altså i situationer, hvor eksempelvis luft- eller specialstyrke-operationer vurderes for risikable.
Vedvarende irritation som støttefunktion
Ovenstående betyder imidlertid ikke nødvendigvis, at cybereffekter kun sjældent vil blive brugt i NATO. Hvis alliancen tilpasser sin operative planlægning tilegenskaberne i cyberspace, kan alliancen øge potentialet ved medlemsstaternes cyberoperationer. Cyberspace er et domæne, hvor efterretningsnormer dominerer. Det er en kampplads, hvor der er konstant kontakt mellem fjendens spioner og egne spioner, men hvor det er vanskeligt at afgøre, hvem der står bag cyberaktiviteterne; hvor der altid arbejdes i gråzoner; og hvor muligheden for at indhente, irritere eller bedrage tages, når de opstår. De karakteristika passer dårligt til tung operationel planlægning.
Derfor bør NATOs integration af cybereffekter gøre de måder, medlemsstaterne kan bidrage på, mere fleksible. Det betyder konkret, at NATOs operationschef og Cyber Operations Centre ikke blot bør efterspørge specifikke, målrettede effekter, men også introducere åbne, uspecificerede forespørgsler, der giver medlemsstaterne mulighed for at byde ind med mindre bidrag, som vedvarende søger at irriterefjendens netværk. Konstante nedbrud af servere og forstyrrelse af kommunikationsnetværk, som ikke indgår i en specifik operation, dræner ressourcer og skaber tvivl hos fjenden. Disse irritationer er godt nok svære at måle, men de ligger i naturlig forlængelse af den måde, cyberspace allerede bliver brugt på, og kan samtidig være en værdifuld støtte til de langsigtede strategiske mål.
Men det betyder også, at det beslutningstagende militære personel i højere grad skal have kendskab til og forståelse for det fulde potentiale i cyberspace. Det kan de kun få med flere øvelser og virkelige erfaringer.
Kollisioner
Selv mere fleksibel brug af cyberoperationer er dog ikke uproblematisk. Cyberoperationer knytter an til en velkendt udfordring for den militære planlægning, nemlig behovet for at minimere risikoen for sammenstød mellem egne operationelle enheder. Udvikling af cybervåben er forbundet med et nødvendigt hemmelighedskræmmeri. Hvis man fortæller omverdenen, hvilke it-sårbarheder man angriber, kan andre udnytte samme sårbarhed eller fjenden kan rette dem, så den ønskede effekt ikke længere kan opnås.
Grunden til at NATO har indført en forespørgselsdreven og effektbaseret tilgang til cyberoperationer er, at medlemsstaterne blandt andet ikke ønsker at dele viden om it-sårbarheder og hvordan man forsøger at udnytte dem. Denne tilbageholdenhed øger risikoen for, at den cybereffekt, en medlemsstat stiller til rådighed, har negative implikationer for andre medlemsstaters indhentningsarbejde og måske endda for allieredes generelle netværkssikkerhed. Det skyldes, at de militære enheder, der påfører en cybereffekt, ikke altid formår at bibeholde adgang til de påvirkede netværk, efter effekten er påført. Det handler primært om effekt, ikke spionage.
Det betyder, at hvis Danmark eksempelvis tilbyder at bidrage med en cybereffekt, kan det meget vel føre til, at de it-sårbarheder, der bliver offentlige (og efterfølgende rettet), ikke længere kan bruges i fx de britiske eller amerikanske indhentningsoperationer, der udnytter samme sårbarheder. Samtidig kan offentligt kendskab til sårbarheder i et it-system, fx i et kommercielt produkt som Windows XP, der bruges hos allierede, give kriminelle eller fjendtligt indstillede aktører mulighed for at udnytte de samme sårbarheder i andre sammenhænge. Det kan eksempelvis føre til de nedbrud, der ramte Mærsk og det britiske sundhedssystem i 2017, fordi private og offentlige systemer ikke har nået at forsvare sig imod de teknikker, der nu er blevet offentlig kendt.
NATO arbejder stadig på metoder, der kan minimere kollisioner i cyberoperationer. Men de metoder må nødvendigvis indeholde en fælles procedure for deling af information omkring udnyttelse af it-sårbarheder – i det mindste umiddelbart efter påføring af en cyber effekt. En sådan procedure for deling af information giver allierede mulighed for at tilpasse egne indhentnings- og angrebsværktøjer eller beskytte egne netværk.
Jeppe Teglskov Jacobsen, adjunkt ved Forsvarsakademiet (jeja@fak.dk)
