torsdag 28. mars 2013

Cybersecurity and cyber war hysteria

Tidligere publisert på G+ oktober 2012:

http://www.crikey.com.au/2012/10/03/can-govts-ever-discuss-cybersecurity-without-going-over-the-top/

Denne artikkelen tiltrakk seg min oppmerksomhet, men dessverre tilfører den lite nytt til debatten. Kort oppsummert: Myndighetene er "dumme" fordi de overdriver cybertrusselen. 

I det korte perspektivet er det vanskelig å vite hvem som sitter med "det sanne bildet". Vi kan alle observere de åpenbare effektene av et cyberangrep, men hva med effektene som ikke er åpenbare? Hva med trusler som ble avverget pga god etterretning og effektivt forsvar mot slike angrep? Er disse åpenbare for blogosfæren? I det lengre perspektivet er det myndighetenes (Forsvarets) oppgave å se lengre frem, og bygge strukturer og kapasiteter som skal brukes dersom fremtidens trusler materialiserer seg. Kan vi virkelig si at en cyberkrig aldri vil bli utkjempet?
Si vis pacem, para bellum - If you want peace, prepare for war.

Det som kanskje er mest skuffende med denne type artikler, er at de sjelden diskuterer hva, om noe, som skiller nettopp cybersecurity og cyber war. Er det virkelig slik at dersom vi fjerner all staffasje, så handler det jo bare om cybersikkerhet? Noen mener dette. Jeg mener at de tar feil, og at grunnen til at man tror at alt egentlig bare er cybersikkerhet er at de fokuserer nesten bare på den tekniske dimensjonen. Hvis en bare ser på det tekniske, så kan jeg forestille meg at det er vanskelig å se forskjell. Man bruker gjerne det samme tekniske utstyret, som brannmurer, tilgangsstyring, overvåkingsutstyr, for å nevne noe. Forskjellene derimot, finner vi i hensikten og hjemmelsgrunnlaget for det en gjør. 

Hensikten med cybersikkerhet er å ivareta konfidensialitet, integritet og tilgjengelighet. Hjemmelsgrunnlaget finner vi i en rekke lover og forskrifter som f.eks. personopplysningsloven, sikkerhetsloven m.fl.
Hensikten med militære cyberoperasjoner er imidlertid å skape eller opprettholde egen handlefrihet i operasjonene. (Cyberoperasjoner er viktige fordi militære operasjoner er helt avhengig av informasjonsteknologi). Hjemmelsgrunnlaget finner vi IKKE i det samme lovverket, men i folkeretten og det lovverket som regulerer den militære aktiviteten. Det betyr at det er helt andre virkemidler, altså det vi bruker teknologien til, enn det vi har for cybersikkerhet. En cyberoperasjon er med andre ord en del av den makt Forsvaret kan utøve, når forutsetningene tillater det.

Så spørsmålet i slike artikler burde jo være: Vil det noen gang være slike forutsetninger? Vil et cyberangrep kunne sidestilles med væpnede angrep, og således utløse bruk av militær makt?

Det korte svaret er ja. Jeg anbefaler å lese "Håndbok i militær folkerett", men vent gjerne til den reviderte utgaven gis ut siden den på en enda bedre måte drøfter "cyber war".

Ingen kommentarer:

Legg inn en kommentar