Viser innlegg med etiketten USA. Vis alle innlegg
Viser innlegg med etiketten USA. Vis alle innlegg

onsdag 22. februar 2017

En digital Geneve-konvensjon?

Under åpningen av årets RSA Conference 2017 kom Brad Smith, President og Chief Legal Officer i Microsoft på scenen. Han leverte et sterkt argument for at verden nå er moden for en Digital Geneve-konvensjon.

 Men; er verden virkelig moden for det, og hvorfor var det nettopp Microsoft som foreslo dette?

 Geneve-konvensjonene består av fire traktater. Den første, som omhandler Forbedring av sårede og sykes kår i de væpnede styrker i felten, ble vedtatt helt tilbake i 1864 etter den brutale krigen mellom Sardinia, Frankrike og Østerrike. De tre andre konvensjonene er Konvensjonen om forbedring av sårede, syke og skibbrudnes kår i de væpnede styrker til sjøs, Konvensjonen om behandling av krigsfanger og Konvensjonen om beskyttelse av sivile i krigstid. Sistnevte er den konvensjonen som er relevant for forslaget fra Microsoft.

 Hensikten med konvensjonene er å sørge for at alle nasjoner som har signert dem, er pålagt å vedta et lovverk som gjør brudd på konvensjonene straffbare. Tanken er altså å komme frem til internasjonalt vedtatte spilleregler for konflikt i det digitale rom. På den måten kan verdenssamfunnet unngå store globale, regionale eller lokale skadevirkninger som følge av angrep på digital infrastruktur.

 Tilbake til forslaget fra Microsoft. De setter opp seks punkter :
  1. No targeting of tech companies, private sector or critical infrastructure
  2. Assist private sector efforts to detect, contain, respond to and recover from events
  3. Report vulnerabilities to vendors rather than to stockpile, sell or exploit them
  4. Exercise restraint in developing cyber weapons and ensure that any developed are limited, precise and not reusable
  5. Commit to nonproliferation activities to cyberweapons
  6. Limit offensive operations to avoid a mass event
Det første en kan spørre seg om, er om dette vil kunne fungere i praksis. Vil nasjonalstater virkelig innrette seg etter slike regler? What's in it for them?

 Det er en generell enighet om at sikkerhet på internett i hovedsak er et anliggende for privat sektor. Privat sektor eier det aller meste av infrastrukturen, og det er i hovedsak privat sektor som både bruker og som blir angrepet gjennom internett. Nasjonale myndigheters rolle er i hovedsak avgrenset til å etterse at privat og offentlig sektor følger de spillereglene som er satt opp. Vil en Digital Geneve-konvensjon endre på dette? Ja, jeg tror det. Hvis nasjonalstatene gjøres mer ansvarlig for sikkerheten i det digitale rom, må vi forvente at de også vil ta en større rolle i sikringen av det. Hva det eventuelt kan bety vet vi ikke enda.

 Et annet spørsmål her er om alle nasjonalstater faktisk ønsker en slik konvensjon. Foreløpig er det enorme forskjeller i nasjonale kapasiteter for krigføring i det digitale rom. Cyberoperasjoner er asymmetriske, billige og de gir effekt. Attribusjon er vanskelig, i alle fall vanskeligere enn ved tradisjonelle operasjoner. De nasjonene som har opparbeidet seg et fortrinn, hvorfor skal de ville gi slipp på det? 

 Det er heller ikke slik at all sivil infrastruktur i det fysiske rom er beskyttet mot andre nasjoners krigføring. Veier, broer, strømlinjer, toglinjer osv kan være lovlige mål, dersom de direkte understøtter militære operasjoner. Generaladvokat Arne Willy Dahl skriver i sin Håndbok i militær folkerett at operasjoner i digital infrastruktur også kan være lovlige.

 Poenget er at en Digital Geneve-konvensjon neppe vil kunne helt fjerne risikoen for at nasjonalstater angriper både sivil og militær digital infrastruktur. Men; en slik konvensjon kan trekke opp nye spilleregler som forhåpentligvis kan bidra til å forhindre at slike angrep får større skadevirkninger enn det som er nødvendig.

 Et helt annet, og veldig interessant spørsmål er: Hvorfor er det nettopp Microsoft som kommer med dette forslaget? Hvorfor er det ikke en nasjonalstat som har foreslår det?

At globale IT-selskaper har blitt en betydelig maktfaktor er det ingen tvil om. Produktene deres styrer og utvikler hvordan vi lever livene våre, og både vi som enkeltpersoner og nasjonalstater må forholde oss til dem nærmest som om de er stater i det digitale rom.

Microsoft vil nok helst at vi tenker på deres Corporate Social Responsibility, altså at de nå tar ansvar for verdensfreden. I alle fall i det digitale rom. Og det skal vi absolutt tenke på. Vi er avhengige av at de har intensjon om å ivareta våre behov, også det for trygghet.

Men; til syvende og sist tror jeg at vi ser dette fra Microsoft fordi det er i deres egen interesse å få på plass en Digital Geneve-konvensjon. Cyberkrig og cyberkriminalitet skaper frykt og reduserer tillit, og er derfor en motkraft til den globale digitaliseringen. Det er dårlig nytt for Microsoft, Apple og alle de andre globale IT-gigantene. De er avhengig av et miljø som muliggjør vekst. 

Heldigvis er det sammenfallende med våre egne interesser. Eller? 



Lagt inn av kl. 1 kommentar:
Etiketter: , , , , , ,

onsdag 29. april 2015

Ny US DoD Cyber Strategi

Det er 4 år siden US Department of Defence ga ut sin "Strategy for Operating in Cyberspace". Strategien fra 2011 er generelt oppfattet som en relativt vag strategi, og hendelser og avsløringer i årene etter har vist at det lå langt mer under panseret enn det strategien ga inntrykk av.

23. april 2015 presenterte Ash Carter (Secretary of Defense) en ny strategi som er langt mer eksplisitt enn den forrige. Den både utpeker hvilke nasjoner som er hovedmotstandere i cyberkonfliktene (Russland, Kina, Nord Korea og Iran), hvilke cyberkapabiliteter USA skal ha og hvordan disse skal brukes.

Det er åpenbart at hele strategien skal bidra til å oppnå et overordnet strategisk mål: Den skal forsterke avskrekking som et utenrikspolitisk virkemiddel.




Hvorfor skal Norge bry seg om at USA har fornyet sin strategi?

Det er det flere grunner til. For det første er det klokt å vite hvordan våre allierte tenker i sin forsvars og utenrikspolitikk. Men mer nærliggende handler det om at vi ser til USA når vi selv skal utvikle doktriner og kapasiteter. Vår egen Nasjonale strategi for informasjonssikkerhet fra 2012 kan ikke sammenlignes direkte med den amerikanske (Forsvaret er ikke en del av vår strategi), men det er åpenbart at man har sett til den amerikanske strategien da den ble skrevet. Vil vi se en endring i retning av den nye amerikanske strategien når Norge skal revidere sin cyberstrategi?

Strategien definerer tre hovedaktiviteter innen cybersikkerhet:
  1. Information sharing and interagency coordination
    Deling av trussel- og sårbarhetsinformasjon står sentralt, men det handler også om å dele kunnskap om "best practice" innen forebygging og håndtering.
  2. Build bridges to the private sector
    Internett eies og opereres først og fremst av privat sektor. DoD vil gjennom samarbeid bidra til at privat sektor settes i stand til å beskytte seg selv. Parallellene til våre egne forhold er åpenbare.
  3. Building alliances, coalitions and partnerships abroad
    Samarbeid med allierte skal bidra til å motvirke trusler utenfor USA. "Five-eyes" nasjonene er nevnt, men også Midtøsten, Asia-Pacific og Europa.
Strategien definerer tre primære oppdrag:
  1. DoD must defend its own networks, systems and information
  2. DoD must be prepared to defend the United States and its interests against cyberattacks of significant consequence
  3. If directed by The President or the Secretary of Defence, DoD must be able to provide integrated cyber capabilities to support military operations and contingency plans.

Deretter beskrives en ny "Cyber Mission Force" og det defineres fem strategiske målsettinger:

  1. Build and maintain ready forces and capabilities to conduct cyberspace operations
    DoD må ha styrker og personell som er utdannet, trent og utrustet til å kunne utføre cyberoperasjoner.
  2. Defend the DoD networks, secure DoD data and mitigate risks to DoD missions
    DoD sine nettverk er for store og komplekse til at alle sårbarheter kan fjernes eller til at alle trusler kan motstås (Høres dette kjent ut?). En skal derfor identifisere, prioritere og forsvare de nettverk og data som er mest kritiske for operasjonene.
  3. Be prepared to defend the U.S. homeland and U.S. vital interests from disruptive or destructive cyberattacks of significant consequence
    DoD kan ikke alene beskytte hele USA og alle dets virksomheter og interesser. Det skal derfor satses på å bygge sterke partnerskap med alle aktører som kan bidra til å forsvare nasjonen.
  4. Build and maintain viable cyber options and plan to use those options to control conflict escalation and to shape the conflict environment at all stages
    USA skal kunne bruke offensive cyberkapasiteter til å kontrollere eskalering av enhver konflikt. Bruken av kapasitetene skal planlegges og synkroniseres med kinetiske operasjoner av alle typer.
  5. Build and maintain robust internationally alliances and partnerships to deter shared threats and increase international security and stability.
    Alle tre overnevnte oppdrag krever et tett samarbeid med allierte, og USA vil utvikle et dypere operativt samarbeid der de ser det som hensiktsmessig.
Mye i strategien krever mer utdypende vurderinger og kommentarer, og det tenker jeg å gjøre. Avslutningsvis noen sitater fra dokumentet:
Attribution is a fundamental part of an effective cyber deterrence strategy as anonymity enables malicious cyber activity by state and non-state groups. On matters of intelligence, attribution, and warning, DoD and the intelligence community have invested significantly in all source collection, analysis, and dissemination capabilities, all of which reduce the anonymity of state and non-state actor activity in cyberspace. Intelligence and attribution capabilities help to unmask an actor’s cyber persona, identify the attack’s point of origin, and determine tactics, techniques, and procedures. Attribution enables the Defense Department or other agencies to conduct response and denial operations against an incoming cyberattack.  
To operate effectively in cyberspace DoD requires cyber intelligence and warning and shared situational awareness through all phases of a potential operation.
As DoD builds its Cyber Mission Force and overall capabilities, DoD assumes that the deterrence of cyberattacks on U.S. interests will not be achieved through the articulation of cyber policies alone, but through the totality of U.S. actions, including declaratory policy, substantial indications and warning capabilities, defensive posture, effective response procedures, and the overall resiliency of U.S. networks and systems. 
Linker:
The DoD Cyber Strategy (2015)
U.S. Department of Defense Strategy for Operating in Cyberspace (2011)
Nasjonal Strategi for Informasjonssikkerhet

Min kommentar til den nasjonale strategien for informasjonssikkerhet
Lagt inn av kl. Ingen kommentarer:
Etiketter: , , ,
Abonner på: Innlegg (Atom)