Afskrækkelse er et kendt og gennemprøvet koncept indenfor sikkerhedspolitik. Men med tilkomsten af cyberdomænet som en ny front i moderne krigsførsel, er der opstået nye trusler og dynamikker. Senest har den amerikanske regering skrevet afskrækkelse ind i deres cybersikkerhedsstrategi, men når afskrækkelse skal overføres til cyberområdet er der en række udfordringer som man skal være opmærksom på.
Af MaStrategy - Kristian Bischoff
Truslen fra cyberdomænet er nok en af de mest omtalte sikkerhedspolitiske udfordringer i verden i dag. Danmark udgav i sommer en National strategi for cyber- og informationssikkerhed, som har til formål at beskrive de initiativer som skal sikre Danmark på cyberimrådet. Det som imidlertid kun er benævnt kort, og som ligeledes er meget omtalt i øjeblikket, er offensive cyberoperationer. Formanden for Forsvarsudvalget Naser Khader, udtalte den 3. september bl.a. at vi skal kunne ”hacke dem, som hacker os”, og at der skal være nogle ”røde linjer”. Ud fra disse udtalelser kan man forstå, at der skal være en dansk kapacitet på cyberområdet, som kan slå tilbage, hvis vi selv bliver ramt i cyberdomænet. Det er samtidigt med brugen af ”den røde linje” en idé om, at vores modstandere skal forstå at Danmark har en ”hertil og ikke længere”, og hvis den linje overskrides, vil vi reagere. På den måde virker det som om, at den danske offensive cyberkapacitet som Naser Khader taler om, skal kunne afskrække vores modstandere fra at angribe os. Men hvad betyder det i praktis? – og kan det overhovedet lade sig gøre?
Cyber og Afskrækkelse
Tanken om brugen af afskrækkelse som led i cyberoperationer er ikke taget ud af den blå luft. Da den amerikanske regering den 20. september fremlagde sin nye strategi for cyberområdet, var den opstillet omkring fire grundpiller: 1. Protect the American People, the Homeland, and the American Way of Life, 2. Promote American Prosperity, 3. Preserve Peace through Strength, 4. Advance American Influence. Særligt den 3. grundpille er interessant, da to af dens underkapitler kaldes Impose Consequences og Build a Cyber Deterrence Initiative. Begge disse handler grundlæggende om, at gøre det klart, at hvis USA bliver angrebet, kan de slå tilbage. Meget samme koncept som Naser Khader taler om. Igen, det er i sig selv ikke noget nyt, da afskrækkelse som metode for adfærdskontrol i det internationale system er gennemprøvet og velkendt.
Hvis man dykker ned i grundbegrebet afskrækkelse, betyder det at man har en troværdig militær kapacitet til rådighed, som kan afholde en modstander fra at gøre noget igennem frygt for de konsekvenser et angreb med førnævnte kapacitet kan medføre. Begrebet er særligt kendt som en del af tankegangen omkring atomvåben og teorien om mutually assured destruction. Hvis vores modstander angriber os med atomvåben, kan vi garantere at de selv vil blive ramt af atomvåben, og dermed er de afskrækket fra at angibe os. Det førte bl.a. til atomvåbenkapløbet, hvor Øst og Vest ville sikre sig, at såfremt de andre skød først, ville man have kapacitet til, at skyde tilbage. Man skulle altså have en kapacitet, som var kørt i stilling og klar.
Der er dog en ubekendt i forhold til afskrækkelse, når det kommer til cyber. Der står direkte i den amerikanske strategi, at der som led i cyberafskrækkelsen skal være kapacitet til ”imposition of consequences against malign actors”, men der nævnes intet om indholdet af denne kapacitet. Derfor kan det i den amerikanske kontekst, og i tråd med Khaders udtalelser, potentielt være tale om brugen af offensive cybervåben til afskrækkelse.
En af de centrale udfordringer, når man taler om offensive cyberkapaciteter, handler om de tekniske forudsætninger for at lave en cyberoperation eller Cyber Network Operation (CNO). For at kunne lave CNOer, skal man ind i modstanderens systemer. Det betyder rent praktisk, at første trin i en cyberoperation er identifikationen af den modstander man er oppe imod. Herefter skal man skabe adgang til modstanderens system. Dette foregår ved at udnytte en svaghed i systemets sikkerhed, eller rent ud sagt ved at hacke systemet. Når man er inde i systemet har man relativt stort råderum. Man kan ødelægge systemet, hvad der vil betegnes som et Cyber Network Attack (CNA), eller man kan udtrække informationer eller plante sin egen kode i systemet til brug senere, hvilket kaldes for Cyber Network Exploitation (CNE).
Selvom ovenstående kan lyde som en banal ting, er der pga. cyberområdets gråzoner nogle juridiske problemer forbundet med dette, hvis det skal være en kapacitet til afskrækkelse. I international lov findes begrebet Duty of non-intervention, som i bund og grund handler om, at stater ikke må blande sig i andre stater, på en måde som kan påvirke økonomiske, politiske, militære forhold mm.. Det står nedskrevet i FN-Pagten artikel 2.4, og har til formål at sikre nationers territoriale suverænitet.
Artikel 2.4 har ikke været et udpræget problem i forbindelse med afskrækkelse, da man tidligere kunne nøjes med at have et våben (f.eks. et atommissil) på sit eget eller internationalt territorium, som man kunne aktivere og sende i retning af modstanderen, hvis det skulle blive nødvendigt. Man behøvede altså ikke at bryde pligten til ikke-intervention, medmindre der allerede var tale om en konflikt, fordi fjenden med al sandsynlighed allerede havde gjort noget, som kunne besvares med et lovligt militært svar. Cybervåben ændrer denne dynamik betragteligt. Hvis man skal have en kapacitet klar til et CNA på et af modstanderens IT-systemer, skal man have plantet en kapacitet som kan ødelægge systemet på forhånd. Det betyder juridisk, at man i fredstid skal lave et indgreb modstanderens IT-systemer, hvilket er problematisk jævnfør FN-Pagten, fordi man i teorien bryder det pågældene lands suverænitet.
Samtidigt er der et grundlæggende problem forbundet med CNOer og afskrækkelse; en afskrækkelseskapacitet skal være troværdig, og fjenden skal vide at den er der. Selv hvis man forbryder sig imod FN-Pagten og planter en CNA-kapacitet i en modstanders system i fredstid, så virker det ikke afskrækkende på modstanderen, medmindre modstanderen er bekendt med CNA-kapaciteten. På den måde er kommunikation af egne kapaciteter en central del af effektiv afskrækkelse.
Denne dynamik var ikke tidligere den største udfordring i forbindelse med afskrækkelse: fjenden måtte f.eks. gerne være klar over, at man havde missiler i både siloer, på fly og på ubåde, så længe man operationelt kunne sikre, at fjenden ikke var bekendt med, hvordan de fungerede eller befandt sig. På den måde sikrede man sig, at fjenden var fuldt ud klar over, hvad der ventede dem i tilfælde af konflikt. Også her er cyberområdet anderledes. Selv hvis man har overskredet de juridiske gråzoner angående CNOer i fredstid, skal modstanderen stadig være klar over, hvad der kan ske, hvis hun overtræder ”den røde linje”. Men den kommunikation i sig selv, risikerer at underminere hele konceptet med afskrækkelse: Hvis modstanderen er bekendt med, hvad ens offensive cyberkapacitet er, så kan de patche deres systemer, så de ikke længere er sårbare. Det betyder alt i alt, at kommunikation af troværdigheden af ens afskrækkelseskapacitet, kan ødelægge den operative effekt af selv samme afskrækkelse.
Danmark har siden 2016 arbejdet med at etablere en offensiv cyberkapacitet, og det er nu meldt ind ind NATO-systemet. Tilbage står diskussionen om, hvornår og hvordan denne kapacitet kan og skal tages i anvendelse, og ikke mindst, hvordan den bruges bedst muligt, som afskrækkelse, så den ikke skal aktiveres.