En digital Geneve-konvensjon?

Under åpningen av årets RSA Conference 2017 kom Brad Smith, President og Chief Legal Officer i Microsoft på scenen. Han leverte et sterkt argument for at verden nå er moden for en Digital Geneve-konvensjon.

Men; er verden virkelig moden for det, og hvorfor var det nettopp Microsoft som foreslo dette?

Geneve-konvensjonene består av fire traktater. Den første, som omhandler Forbedring av sårede og sykes kår i de væpnede styrker i felten, ble vedtatt helt tilbake i 1864 etter den brutale krigen mellom Sardinia, Frankrike og Østerrike. De tre andre konvensjonene er Konvensjonen om forbedring av sårede, syke og skibbrudnes kår i de væpnede styrker til sjøs, Konvensjonen om behandling av krigsfanger og Konvensjonen om beskyttelse av sivile i krigstid. Sistnevte er den konvensjonen som er relevant for forslaget fra Microsoft.

Hensikten med konvensjonene er å sørge for at alle nasjoner som har signert dem, er pålagt å vedta et lovverk som gjør brudd på konvensjonene straffbare. Tanken er altså å komme frem til internasjonalt vedtatte spilleregler for konflikt i det digitale rom. På den måten kan verdenssamfunnet unngå store globale, regionale eller lokale skadevirkninger som følge av angrep på digital infrastruktur.

Tilbake til forslaget fra Microsoft. De setter opp seks punkter :

1. No targeting of tech companies, private sector or critical infrastructure
2. Assist private sector efforts to detect, contain, respond to and recover from events
3. Report vulnerabilities to vendors rather than to stockpile, sell or exploit them
4. Exercise restraint in developing cyber weapons and ensure that any developed are limited, precise and not reusable
5. Commit to nonproliferation activities to cyberweapons
6. Limit offensive operations to avoid a mass event

Det første en kan spørre seg om, er om dette vil kunne fungere i praksis. Vil nasjonalstater virkelig innrette seg etter slike regler? What's in it for them?

Det er en generell enighet om at sikkerhet på internett i hovedsak er et anliggende for privat sektor. Privat sektor eier det aller meste av infrastrukturen, og det er i hovedsak privat sektor som både bruker og som blir angrepet gjennom internett. Nasjonale myndigheters rolle er i hovedsak avgrenset til å etterse at privat og offentlig sektor følger de spillereglene som er satt opp. Vil en Digital Geneve-konvensjon endre på dette? Ja, jeg tror det. Hvis nasjonalstatene gjøres mer ansvarlig for sikkerheten i det digitale rom, må vi forvente at de også vil ta en større rolle i sikringen av det. Hva det eventuelt kan bety vet vi ikke enda.

Et annet spørsmål her er om alle nasjonalstater faktisk ønsker en slik konvensjon. Foreløpig er det enorme forskjeller i nasjonale kapasiteter for krigføring i det digitale rom. Cyberoperasjoner er asymmetriske, billige og de gir effekt. Attribusjon er vanskelig, i alle fall vanskeligere enn ved tradisjonelle operasjoner. De nasjonene som har opparbeidet seg et fortrinn, hvorfor skal de ville gi slipp på det? 

Det er heller ikke slik at all sivil infrastruktur i det fysiske rom er beskyttet mot andre nasjoners krigføring. Veier, broer, strømlinjer, toglinjer osv kan være lovlige mål, dersom de direkte understøtter militære operasjoner. Generaladvokat Arne Willy Dahl skriver i sin Håndbok i militær folkerett at operasjoner i digital infrastruktur også kan være lovlige.

Poenget er at en Digital Geneve-konvensjon neppe vil kunne helt fjerne risikoen for at nasjonalstater angriper både sivil og militær digital infrastruktur. Men; en slik konvensjon kan trekke opp nye spilleregler som forhåpentligvis kan bidra til å forhindre at slike angrep får større skadevirkninger enn det som er nødvendig.

Et helt annet, og veldig interessant spørsmål er: Hvorfor er det nettopp Microsoft som kommer med dette forslaget? Hvorfor er det ikke en nasjonalstat som har foreslår det?

At globale IT-selskaper har blitt en betydelig maktfaktor er det ingen tvil om. Produktene deres styrer og utvikler hvordan vi lever livene våre, og både vi som enkeltpersoner og nasjonalstater må forholde oss til dem nærmest som om de er stater i det digitale rom.

Microsoft vil nok helst at vi tenker på deres Corporate Social Responsibility, altså at de nå tar ansvar for verdensfreden. I alle fall i det digitale rom. Og det skal vi absolutt tenke på. Vi er avhengige av at de har intensjon om å ivareta våre behov, også det for trygghet.

Men; til syvende og sist tror jeg at vi ser dette fra Microsoft fordi det er i deres egen interesse å få på plass en Digital Geneve-konvensjon. Cyberkrig og cyberkriminalitet skaper frykt og reduserer tillit, og er derfor en motkraft til den globale digitaliseringen. Det er dårlig nytt for Microsoft, Apple og alle de andre globale IT-gigantene. De er avhengig av et miljø som muliggjør vekst. 

Heldigvis er det sammenfallende med våre egne interesser. Eller? 

DGF eller VDI, er det egentlig spørsmålet?

Etter at Lysne II-utvalget la frem sin anbefaling om et Digitalt Grenseforsvar (DGF) har debatten ikke latt vente på seg. Heldigvis.

Et stort antall etater, virksomheter og privatpersoner har gitt sitt høringssvar, disse kan du lese her: https://www.regjeringen.no/no/dokumenter/horing-av-rapport-avgitt-av-lysne-ii-utvalget-om-digitalt-grenseforsvar/id2513635/

Jeg har selv fått bidratt til høringssvaret fra NorSIS, og skal ikke kommentere hverken det eller andre høringssvar direkte. Men; I debatten som har fulgt har det kommet frem noen påstander og synspunkter som jeg vil kommentere. Som privatperson selvsagt.

"DGF skal ikke stanse noen digitale angrep, så det blir feil å kalle det et forsvar. Grenseovervåking er et mer korrekt begrep".

Jeg leser mye mer inn i utvalgets rapport enn tekniske sensorer. Poenget er vel at nasjonen trenger et digitalt forsvar mot fremmed etterretning. Radarkjeden som overvåker luftrommet vårt forhindrer selvsagt ingen fiendtlige fly å fly inn i vårt luftrom. Det er imidlertid en helt nødvendig del av vårt "grenseforsvar". En mer nyttig diskusjon ville være hvilken informasjon sikkerhetsmyndighetene skal få tilgang til, og hvilke kapasiteter Norge skal ha for å "forsvare" seg i det digitale rom.

"Det er ingen grenser i det digitale rom, bare ulike nettverk som er koblet sammen". 

På et tidspunkt passerer kabelen vår landegrense. Etter mitt syn er det vesentlig, for våre beredskapssystemer (Forsvarets beredskapssystem og Sivilt beredskapssystem) muliggjør visse pålegg og "tvangsmidler" i krise og krig. Disse gjelder naturlig nok bare for infrastruktur i Norge. I fredstid kan politiet gjennomføre etterforskning i infrastruktur i Norge. Jeg tror derfor at de digitale gensene er ganske overlappende med de digitale. Med ett viktig unntak. Kritiske samfunnsfunksjoner kan være avhengig av infrastruktur utenfor Norge.

"VDI er et digitalt grenseforsvar nok, vi trenger ikke det Lysne-II foreslår".

Helt uenig, av flere grunner. Men først; vi vet ikke i detalj hvilken teknologi eller teknisk tilnærming et DGF kan ha. Å sammenligne det med VDI som er en helt konkret teknisk løsning, blir derfor vanskelig. I tillegg er mange detaljer om VDI's oppbygging sikkerhetsgradert informasjon, slik at vi heller ikke kan diskutere detaljene omkring det.

En vesentlig ulikhet mellom VDI og DGF er imidlertid de strategiske tilnærmingene. VDI er et "verdiorientert" sensorsystem som plasseres tett mot virksomheten som skal beskyttes. Dette gir mening når du har god kontroll på hva som er viktig å passe på. DGF er på sin side et "trusselorientert" sensorsystem, som plasseres der du tror at angriperen vil passere. Dette gir mening når du har god kontroll på hvor trusselen er, men ikke er helt sikker på hva han kan finne på å angripe.

Lysne I-utvalget ga oss en god beskrivelse av vårt digitaliserte samfunn, preget av kompleksitet og lange digitale verdikjeder. Med andre ord, viktige samfunnsfunksjoner er bygget opp av mange deler som er spredt geografisk og over ulike sektorer og virksomheter.  Det er lett å se at en verdiorientert tilnærming til overvåking blir svært vanskelig å realisere i praksis. Trolig umulig.

Den eneste fornuftige tilnærmingen er derfor trusselorientert, og selv om et sensorsystem langs grensen ikke vil fange opp ALLE trusler, så er det likevel det beste valget av de to.