Udenrigspolitik i Cyberspace

Published on

ANALYSE: Cyberspace er tidens varme kartoffel i udenrigspolitik. I takt med, at der er flere og flere aktører, der benytter sig af de muligheder, som cyberangreb, hacking og cyberspionage giver, bliver det mere og mere tydeligt, at cyberspace er ukendt farvand – en hobbesiansk naturtilstand. To nye policy briefs fra Dansk Institut for Internationale Studier (DIIS) spørger, hvordan Danmark som nation skal navigere i dette ny udenrigspolitikkens vilde vesten – og undersøger Danmarks mulighed for at blive en normativ magt.

Cyberspace er kommet på udenrigstjenesters læber verden over. Fra kinesisk industrispionage og israelske hackerangreb på iranske atomcentrifuger til amerikanske cyberangreb på Daesh’s kommunikationsnetværk – det er hævet over enhver tvivl, at cyberspace har en central rolle i international politik anno 2019. Dog er cyberspace stadig nyt udenrigspolitisk farvand, og er således karakteriseret ved fraværet på normfremmende internationalt samarbejde.

Hvad er målbare effekter? Når NATO arbejder med cyberangreb, efterspørger de det, man kalder målbare effekter. Det betyder, at NATO spørger om et konkret målbart resultat, hvorefter et medlemsland byder ind og tager opgaven på sig. Det kunne eksempelvis være, at NATO efterspørger, at Daesh ikke kan hverve medlemmer igennem nogle kommunikationskanaler på internettet, hvorefter et NATO-land påtager sig opgaven for at levere det konkrete resultat.

Dette ’udenrigspolitikkens vilde vesten’ kan dog systematiseres – og nødvendigheden af forsvarspolitisk samarbejde, og udvikling af normer for statslig adfærd, vokser direkte proportionelt med den sikkerhedspolitiske trussel, som cyberspace udgør. Det Udenrigspolitiske Selskab har samlet to nye og indsigtsfulde policy briefs fra Dansk Institut for Internationale Studier (DIIS) for at give et indblik i det, der står på dagsordenen i udenrigsministerier verden over; udenrigspolitik i cyberspace.

Den digitale politiske virkelighed
I cyberspace dominerer efterretningsnormer: altså er det en kampplads, hvor man konstant er i kontakt med både fjender og frænder, hvor der altid arbejdes i gråzoner, og hvor man med et fingerknips kan blive angrebet uventet. Netop fordi cyberspace er præget af efterretningsnormer og mangel på internationalt og forsvarspolitisk samarbejde, er de normale måder, hvorpå stater agerer, sat ud af spil. Dette ses blandt andet ved, at cyber-våben, for eksempel et hackerangreb, ikke kun ofte tager år at udvikle, men også hurtigt kan sættes ud af spil, hvis fjenden opdaterer sine servere. Cyberspace er at sammenligne med en hobbesiansk naturtilstand: der er ingen regler – alle frygter alle. Får en fjende nys om en fejl i en stats netværk eller om en åbning i en cyberwall, kan, i værste fald, et helt lands infrastruktur sættes ud af spil. 

Udfordringer i NATO
Netop som en konsekvens af sårbarheden og faren ved informationslækager, er NATOs operationer i cyberspace forespørgselsdrevne og effektbaserede. Dette betyder, at NATO efterspørger en konkret målbar effekt, hvorefter en medlemsstat byder ind – uden, at der deles information om, hvordan effekten opnås. Ifølge policy-briefet ’Offensive Cyberoperationer i NATO’, forfattet af Jeppe Teglskov Jacobsen, har NATOs strategi dog én stor konsekvens: cyberoperationer vil sjældent tages i brug. I den effektbaserede tilgang har medlemsstaterne selv det juridiske ansvar for succes – altså en konkret og målbar effekt, og det vel og mærke i en tid, hvor stadig flere aktører opbygger defensive cyber-kapaciteter. Dertil kommer, at fremstillingen af cyber-våben tager tid og kan sættes ud af kraft på et splitsekund. Med andre ord; incitamentet for at byde ind er omtrent lige så småt, som det politiske potentiale i cyber-operationer er stort.

Sådan behøver det dog ikke at være. Briefet gør klart, at alliancen kan øge sit potentiale væsentligt hvis man er åbner op overfor såkaldte ’uspecificerede bidrag’. Konkret betyder det, at NATOs operationschef og Center for Cyberoperationer ikke blot bør efterspørge specifikke, målrettede effekter, som nu, men i langt højere grad stiller sig åben overfor uspecificerede bidrag. Uspecificerede bidrag er eksempelvis, når en forsvarstjeneste laver små konstante hackerangreb i terrororganisationers intranet, så kommunikation imellem terrorcellerne bliver vanskeligere eller måske umulig. Sådanne konstante irritationer og forstyrrelser i en fjendes kommunikationsnetværk dræner ressourcer og skaber tvivl hos fjenden. Operationer som dette er næsten umulige at måle en konkret effekt af, men de er effektfulde og ligger i naturlig forlængelse af cyberspaces dynamiske natur.

Policy briefet anbefaler, at NATO åbner op overfor uspecificerede bidrag. Det betyder, at man ikke forventer en målbar effekt, men derimod ser små angreb uden et målbart resultat som en del af ens cyberkapacitet. Et tænkt eksempel kunne være, hvis NATO-landene med hyppige små cyberangreb afbryder strømmen på den russisk annekterede Krim-halvø – ingen konkret effekt af angrebet, men det irriterer og dræner Rusland for ressourcer.

Et gammelt dilemma på nye flasker
Men åbenhed overfor uspecificerede bidrag er dog ikke uproblematisk. Selvom det vil styrke NATOs indsats i cyberspace, vækker en fleksibel brug af cyber-operationer et velkendt militært dilemma: hvordan undgår man sammenstød mellem egne operationelle enheder. Det hemmelighedskræmmeri, der nødvendigvis gør sig gældende for udviklingen og brugen af cyber-våben, medfører en risiko for at beskadige sine allierede.

Dette kan illustreres ved to eksempler. For det første, kan man umuliggøre allieredes efterretningsarbejde. Hvis, i et tænkt eksempel, Norge er i gang med at hacke og infiltrere russiske kommunikationsnetværk for information om russiske luftøvelser, vil et dansk angreb på selvsamme kommunikationskanaler sætte netværket ud af drift. Således vil den norske operation blive afbrudt og norsk sikkerhed beskadiget.

For det andet er der en risiko for at afsløre allieredes sårbarheder, når man afslører fjenders sårbarheder. Eksempelvis kunne man forestille sig, at både Norge og Rusland havde en bestemt fejl i deres firewall (digital beskyttelse). Hvis Danmark lavede et cyberangreb på Rusland igennem den fejl, vil fejlen blive offentligt afsløret og Norge vil dermed, for en periode, være ekstra sårbare overfor cyberangreb, da de har samme fejl.

Udenrigspolitikkens vilde vesten
Dette dilemma viser med al tydelighed, i hvor høj grad efterretningsnormer hersker i cyberspace. Læg dertil, at der ingen internationalt anderkendte regler er for statslig opførsel, og billedet er klart; Cyberspace er lovløst og mistroisk, et udenrigspolitikkens vilde vesten. Af netop den grund skorter det ikke på initiativer, der søger at fremme cybernormer. I FN-regi er to store processer med dette formål sat i søen – det russisk initierede Open-Ended Working Group og det amerikansk initierede Group of Governmental Experts. Ligeledes har organisationen OSCE (Organisation for Security and Cooperation in Europe) i en årrække arbejdet på tillidsskabende foranstaltninger.

Men på trods af disse mange initiativer er forhåbningerne om fremskridt små. Det frygtes blandt andet, at Rusland og Kina formår at udvande processerne, at de internationale processer trækkes i langdrag uden et reelt ønske om at opnå enighed, og at luftige fællesdeklarationer blot lægges i skuffen efter de er blevet præsenteret. Ifølge policy-briefet ’Fælles internationale normer i cyberspace’ af Jeppe Tegelskov Jacobsen kan Danmark få en positiv rolle at spille i denne sammenhæng.

Hvis man engagerer sig, kan Danmark få en stor rolle i at fastlægge regeler og normer i cyberspace. Og det er der brug for. Senest har Kina hacket sig til information om 21 millioner amerikanske offentligt ansatte, Israel har saboteret iranske atomcentrifuger og USA har hacket sig ind på sine allieredes servere for at fjerne internetmateriale, de anså for farligt. Hvad er acceptabelt? Hvor skal grænsen gå?

Danmarks rolle i normfremme
Danmark har, som så mange andre lande, en cyber-kapacitet under opbygning, der skal understøtte Danmarks militære indsatser. I den forbindelse argumenterer Jacobsen for, at Danmark i højere grad skal dele information offentligt og i internationale fora om tankerne bag dets militære cyber-operationer. Selvom dette ikke ændrer ved det allerede benævnte dilemma i åbenhed omkring cyber-operationer, er det dog værd at bemærke et andet paradoks: Hemmelighedskræmmeriet. For når Danmark beslutter sig for at gøre brug af cyber-angreb, er der en stor risiko for, at den bestemte it-sårbarhed offentligt afsløres uanset hvad.

Først og fremmest fordi efterretningstjenester allerede bruger velkendte teknikker og udnytter fejl i fjendtlige netværk og systemer, der er rettet, men endnu ikke opdateret. Derfor er det ikke altid, at en stats hackere opfinder den dybe tallerken, når de udfører et cyberangreb, og således kan erfaringen deles uden at miste for stor cyberkapacitet. Derudover vil en bestemt it-sårbarhed som regel blive alment kendt umildbart efter et cyberangreb. Hvis Danmark eksempelvis finder en måde, hvorpå man kan komme ind i en fjendes databaser og hente vigtig information, vil andre aktører nemt kunne kende til denne mulighed og den svaghed i et netværk Danmark har udnyttet.

Hvis Danmark arbejder for normfremme og således ønsker at være mere åbne omkring sine cyber-operationer, vil det selvsagt forhøje risikoen for, at it-sårbarheder bliver udbedret og dansk cyberspionage vanskeliggjort. Ikke desto mindre kan bekymringen for tabt cyber-kapacitet være en overkommelig hindring i den større sags tjeneste: at fremme cyber-normer gennem åbenhed.

Aktiv cyber-internationalisme?
Ifølge policy-briefet må Danmark derfor gå væk fra den position, hvor man er hemmelighedsfulde og kun koncentrerer sig om, at egne aktiviteter i cyberspace holder sig inden for international ret. Denne position ignorerer cyberspaces virkelighed: netop at efterretningstjenester faktisk tilbyder et hav af politiske værktøjer. Således anbefales det, at Danmark for at støtte den normfremmende dagsorden må påbegynde en åbenhjertig diskussion om, hvilke regelsæt man ønsker at bruge i cyberspace, når man går uden for den militære søjle (altså hybrid krigsførelse).

Hvornår må aktører forstyrre udenlandske servere, hvorfra statsstøttede spionage finder sted og ulovligt og falskt indhold opbevares? Må aktører lække indhentede informationer om eksempelvis fremmede statslederes korruption – og i så fald hvornår? Er det acceptabelt, at systemkritikere, der censureres og forfølges i andre lande, sikres åben adgang til internettet globalt eller bevises uskyldige af andre aktører? Gråzoner er der nok af i cyberspace, men diskussionerne mangler – hér har Danmark en rolle at spille, hvis vi sætter normfremme før nationale særinteresser.

Læs selv DIIS’ policy briefs her og her. Hvis du vil vide mere, kan du også læse eller genlæse Det Udenrigspolitiske Selskabs analyse om det nye hybride trusselsbillede fra sidste måned her.