Godt hjulpet af Hollywood bliver der i disse år blæst dommedagsscenarier om cyberkrig op, med både militæret, politikere og sikkerhedsfolk som afsendere.
Men det er tosset at fokusere på scenarier, som ikke har rod i virkeligheden, og at tale om cyberkrig i dag. For indtil videre eksisterer det ikke.
Sådan lød budskabet fra Jens Ringmose, lektor på Syddansk Universitets Center for War Studies, på et seminar hos Dansk Institut for Internationale Studier tirsdag.
»Hvis man lytter til den offentlige debat om cyber, kan den lyde meget skinger. Men vi skal være meget varsomme med at fokusere for meget på dommedagsscenarierne, for ellers får vi en meget militariseret debat. Meget kan lade sig gøre i dag – men meget er også usandsynligt,« sagde han i sit oplæg, der tog udgangspunkt i en artikel, han har forfattet sammen med Anders Henriksen, lektor i international ret på Københavns Universitet.
Problemet med ord som cyberkrig og cyberangreb er, at der slet ikke er bred enighed om, hvad de dækker over.
»Vi har ikke begreberne klar endnu, så et cyberangreb kan i dag være alt fra en teenager, som udfører et DDoS-angreb, til Stuxnet rettet mod Irans atomprogram. Hele begrebsapparatet er meget umodent, så vi har ikke klarhed om, hvad vi taler om«, sagde Jens Ringmose.
Krig kræver døde og sårede
Først filtrerede han cyberkriminalitet og cyberspionage væk fra definitionen og stod tilbage med cyberangreb.
Disse digitale angreb delte han så op i tre kategorier: Skade på data eller andet ikkefysisk, skade på bygninger og andre fysiske ting, skade på mennesker.
I den ‘milde’ kategori hører alt fra DDoS-angreb til at slette for eksempel bankdata eller børsdata og dermed skabe kaos i økonomien. Langt de fleste eksempler på cyberangreb er i dag placeret her.
Fysisk skade gennem cyberangreb er for eksempel Stuxnet, hvor USA og Israel gennem meget avanceret malware fik smadret en del af Irans urancentrifuger og dermed forsinkede en eventuel iransk atombombe. Det kunne også være at sætte et radaranlæg ud af spillet med digitale angreb. Men det var stadig ikke krig, mente forskeren.
»De fleste vil sige, at man først taler om krig, når der er døde og sårede. Det kan være, at man får afsporet et tog, eller at man hacker våbensystemer og bruger dem til angreb. Men vi har intet set af det endnu. Stuxnet kommer tæt på, men vi har ikke set cyberkrig endnu, og mange siger, at det er meget usandsynligt, at det vil ske,« sagde Jens Ringmose.
Der er dog den gråzone, at nogle angreb måske er så vigtige, at de ville blive udført med konventionelle våben, hvis ikke det var muligt at ramme dem digitalt.
For eksempel ville Stuxnet-angrebet måske være blevet udført med kampfly, så Stuxnet blev brugt i stedet for egentlig krig. På den måde kan cyberangreb føre til mindre brug af konventionel krig, sagde han.
Kan godt finde afsenderen af cyberangreb
Den normale opfattelse af cyberkrig er, at det bliver meget asymmetrisk og svært at forsvare sig imod, også for stormagter. Men den synsvinkel mente Jens Ringmose, at tiden var løbet fra.
»Der er sket rigtig meget på forsvarssiden. Og det er heller ikke særlig nemt og billigt at angribe, hvis man skal gøre skade. For eksempel gik der enormt mange timer til at skabe Stuxnet,« forklarede han.
Et andet klassisk problem, der bliver påhæftet cyberkrig, er den manglende mulighed for at gøre gengæld, fordi afsenderen modsat i konventionel krig kan være anonym.
»Når man ikke kan identificere en angriber, kan du ikke afskrække en angriber og true med at komme efter dem. Men måske er det ikke så svært at identificere angriberne, som man forestiller sig. Det kræver bare store ressourcer, og hvis angrebet er alvorligt nok, vil man allokere ressourcer nok til at finde dem, der står bag angrebet,« sagde Jens Ringmose.
Han var heller ikke meget for idéen om, at cybervåben var de små og svage staters vidundermiddel mod supermagterne eller lige frem det oplagte våben for terrorister, som ikke har et statsbudget i ryggen.
»Det er en af de mest problematiske påstande. Hvis du skal gennemføre et cyberangreb, som for alvor kan lægge et lands kritiske infrastruktur ned, kræver det store ressourcer, en særlig ekspertise og en stærk efterretningstjeneste. Det har de ikkestatslige aktører ikke. Er angrebet fra en svag stat, kan den stærke stat svare igen med konventionelle våben. Det kan også afholde en svag stat fra at bruge cyberangreb,« sagde han.
Leave a Reply