16. juni 2020

Vi må sikre politisk ansvar og kontrol med Danmarks cyberkrigsførelse

Kronik af postdoc Tobias Liebetrau (Center for Militære Studier) i Berlingske den 16. juni 2020.

Tobias Liebetrau
Tobias Liebetrau

Ved årsskiftet 2019-2020 blev Danmarks militære cyberenhed – Cyber Network Operations-kapaciteten – erklæret fuldt aktiv. Udviklingen af Danmarks militære cyberstyrke har været en markant politisk prioritet det seneste årti. Af de seneste tre forsvarsforlig fremgår det, at udviklingen af enheden sammenlagt har kostet i omegnen af en milliard kr.

Samtidig har skiftende forsvarsministre fremhævet, at dansk økonomi og konkurrencedygtighed dagligt bliver undermineret af cyberspionage. Vores demokrati og offentlige debat bliver destabiliseret af systematiske misinformationskampagner. Og vores myndigheder og samfundsvigtige infrastruktur er mål for forskellige typer af kortlægning og cyberangreb.

Fælles for disse typer af cyberangreb er, at de enkeltstående ikke lever op til de gængse definitioner af krig og væbnet konflikt. De udgør snarere et nyt konfliktrum, hvor særligt stormagter som Rusland og Kina fører en subtil form for magt- og geopolitik ved konstant at udfordre og overskride eksisterende normer og regler.

I dag danner en skarp adskillelse mellem angreb, spionage og forsvar udgangspunktet for anvendelsen af Danmarks cyberstyrke. Det nye konfliktrum tilsiger, at Danmark bør løsne op for adskillelsen. Danmark er rustet til cyberkrig, men vi savner politiske svar på, hvordan vi kan, bør og vil anvende landets cyberstyrke til at forsvare samfundet i den digitale ufredstid. Jeg vil i det følgende kaste lys over de overvejelser og udfordringer, der følger af at skulle give disse svar.

Intensiveret og vedvarende digital ufred

I en tid præget af ufred, stormagtsstrid og en usikker alliancepolitisk situation, er det nødvendigt, at de danske politikere træffer beslutning angående anvendelse af Danmarks cyberstyrke til at forsvare landet mod de mange cyberangreb. Med den beslutning følger en række afledte og uafklarede spørgsmål

Hvilken politisk-strategisk og juridisk ramme opererer cyberstyrken under, når der ikke er tale om krig? Hvordan sikrer vi politisk ansvar og kontrol med anvendelse af de militære cybermidler, hvis de skal benyttes i hurtige og målrettede dag-til-dag-operationer under tærsklen for krig? Hvordan vil vores modstandere opleve og reagere på et intensiveret dansk cyberforsvar? Vil danskerne opleve et mere aktivt dansk cyberforsvar som beskyttende og tryghedsskabende eller aggressivt og konfliktoptrappende?

Det er blot nogle af de spørgsmål, som de danske politikere bør forholde sig til, tænke over og give svar på. Det er ikke risikofrit at anvende cyberstyrken til at forsvare sig mod angreb under tærsklen for krig. Anvendelsen af cybermidler til at imødegå skadelige cyberangreb risikerer at blive mødt af beskyldninger om dobbeltmoral, uberettiget indblanding i andre staters anliggende og gengældelsesaktioner. Omvendt er det ikke en holdbar løsning at lade de skadelige angreb fortsætte uden reaktion.

USAs strategiske skifte

USAs seneste cyberforsvarsstrategi er et eksempel på den erkendelse. Af strategien fremgår det, at den permanente digitale ufredstilstand ændrer den militær-strategiske kontekst for anvendelse af USAs cybermagt. USAs nye strategiske linje er derfor baseret på vedvarende engagement og fremadrettet forsvar. Det betyder kort sagt, at amerikanerne anser det for nødvendigt og legitimt at forsvare sig ved at være til stede i angriberens netværk for at udføre efterretningsoperationer, afbryde igangværende eller planlagte angreb samt straffe angriberen, når denne har forrettet skade.

Det amerikanske skift understreger to ting:

  1. øget friktion og konflikt med modstanderen under tærsklen for krig bliver set som den nye normal og afgørende for succes
  2. de traditionelle skillelinjer mellem forsvar, angreb og efterretning er blevet sløret i takt med den tiltagende virtuelle ufred.

Danmark er ikke USA, men det gælder for USA som for Danmark, at de traditionelle skillelinjer mellem forsvar, angreb og efterretning er sløret i det digitale rum. Kombinationen af digital ufred samt den vanskelige skelnen mellem digitale forsvars-, spionage- og angrebsoperationer gør det nødvendigt at svare på, hvordan Danmarks cyberstyrke kan og bør blive anvendt til at forsvare Danmark.

Er det bedste forsvar et angreb?

De danske beslutningstagere skal tage højde for et klassisk sikkerhedsdilemma. Dilemmaet virker på både strategisk og operationelt niveau. Strategisk kan et lands udvikling af cybervåben samt implementering af mindre restriktive regler for deres anvendelse opfattes som en trussel af fremmede nationer. Operationelt kan en praksis som offensivt cyberforsvar til forveksling ligne et egentligt angreb, når man er i den modtagende ende. Den situation kan meget let føre til ustabilitet og konflikt-eskalation. Et forhold, der er særligt vigtigt at overveje, når man som Danmark er gennemdigitaliseret.

Det har længe været en indgroet sandhed, at teknisk tillæggelse af cyberangreb praktisk talt er umuligt. Det er ikke rigtigt. Det er ressource- og tidskrævende, men meget sjældent umuligt. De danske beslutningstagere skal dog tage højde for vanskeligheden ved med sikkerhed at kunne identificere, hvem der står bag en skadelig cyberoperation. Vanskeligheden øger risikoen for, at man straffer de forkerte. Desuden medfører den, at der ofte vil være en forsinkelse på forsvars- og gengældelsesaktioner, hvorved den forsvarsmæssige og strategiske gevinst falder.

De danske politikere og myndigheder står også over for usikkerheden om, hvilken type modreaktion der er proportional med et skadeligt cyberangreb, der falder under grænsen for krig. Skulle det lykkes at etablere proportionalitet, er endnu en udfordring, at effekterne ved modangreb er svære at forudsige og inddæmme. Når det er sagt, er militære cybereksperter i stand til at levere målrettede og præcise nålestiksoperationer, hvor risikoen for, at et angreb spinder ud af kontrol og eskalerer, er minimal.

Danmark som foregangsland

Det er påkrævet, at de danske politikere og myndigheder udstikker et klart politisk mandat, en strategisk ramme og et tidssvarende lovgrundlag, der opstiller mål, midler og måder, hvorpå Danmark kan anvende landets cyberstyrke til at imødegå cyberoperationer i ikke-krigssituationer. Fortsætter vi uden, vil Danmarks mulighed for at forsvare sig og agere strategisk i den verserende cyberufred blive svækket yderligere.

Det er ikke blot afgørende for Danmarks mulighed for at forsvare sig. Det er også påkrævet for at sikre, at den politiske beslutningskraft og demokratiske kontrol med den militære cyberstyrke ikke udvandes på grund af den vanskelige skelnen mellem forsvar, spionage og angreb.

Vi har brug for en oplyst offentlig debat om, hvordan demokratiske lande kan, bør og skal agere i den cyberufred, der i dag er normaltilstanden. Hemmeligholdelse og manglende offentlig debat minimerer desuden chancen for international norm- og regelopbygning på området.

Danmark kan blive foregangsland og standardsætter ved at igangsætte en inkluderende debat om og udarbejdelse af et klart politisk mandat, en strategisk ramme og et tidssvarende lovgrundlag, der kan levere det nødvendige grundlag for anvendelsen af Danmarks militære cyberstyrke i den nye normaltilstand af digital ufred.

Kronikken bygger på rapporten »Dansk offensiv cybermagt mellem angreb, spionage og forsvar: En komparativ analyse på tværs af Europa«, der netop er udgivet på Center for Militære Studier.