DIIS til Forsvaret: Udvis større ansvar - vær mere åben omkring militære cyberangreb
Det er uansvarligt og ubegrundet, at Forsvaret er så lukket omkring cyberangreb på andre landes it-systemer.
Det er essensen i et opsigtsvækkende brief, som adjunkt Jeppe Teglskov Jacobsen, Forsvarsakademiet, har forfattet, og som ligger på DIIS.dk.
»Danmark har også en cyberkapacitet under opbygning, der skal understøtte Danmarks militære indsatser og magtanvendelse. Danmark kan således med fordel overveje i højere grad at dele information offentligt, og i internationale fora, om tankerne bag de militære cyberoperationer, som det danske forsvar har været engageret i,« skriver adjunkten i et brief fra DIIS.
Argumentet er, at lande som Danmark bør gå forrest og vise vejen for, hvad han kalder »ansvarlig statslig adfærd i praksis«.
Baggrunden for opfordringen og diskussionsoplægget er en række tilfælde af dårlig statslig cyberadfærd, som har affødt international kritik. Eksempelvis statsstøttet kinesisk industrispionage, nordkoreanske og russiske ransomware-angreb samt påvirkning af valghandlinger, også fra Rusland.
Indlægget rammer lige ned i en diskussion om netop lukketheden i Forsvarets Efterretningstjeneste og Center for Cybersikkerhed, som har været rejst flere gange på Version2
»Der er kort sagt stadig stor uklarhed på området. Hvem der skal gøre hvad hvornår i forhold til cybertruslen er stadig indhyllet i tåge,« skrev ph.d. Tobias Liebetrau, Institut for Statskundskab, Københavns Universitet, om den strategisk-politiske prioritering på cybersikkerhedsområdetsidste år i et blogindlæg på Version2.
USA har taget første skridt til åbenhed - Danmark er passiv
USA har allerede vist en begyndende åbenhed omkring brugen af cyberoperationer mod IS - og her kunne Danmark med rette følge trop, anfører DIIS-forskeren.
»På nær EU-sporet (en fælles EU-cyberdiplomatisk værktøjskasse, red.) engagerer Danmark sig ikke indgående i de mange internationale initiativer for normfremme i cyberspace. Det betyder imidlertid ikke, at Danmark nødvendigvis behøver at være en passiv aktør på området,« skriver Jeppe Teglskov Jacobsen.
Han fastslår dog samtidig, at mere åbenhed om cyberangreb langtfra er ukontroversielt. Specielt taget i betragtning, at man i angrebene udnytter sårbarheder i software og it-produkter som f.eks. Microsoft Windows.
Hvis man er åben omkring, hvor og hvordan man vil angribe, vil den der er målet for et angreb kunne opdatere systemerne "og derved umuliggøre spionage eller angreb, ligesom det det kan give fjender mulighed for selv at udnytte fejlen i andre sammenhænge", erkender Jeppe Teglskov Jacobsen.
Med andre ord vil åbenhed øge risikoen for at den angrebne når at udbedre en sårbarhed, hvilke gør angrebet vanskeligere at gennemføre.
Der er bare et stort men her - nemlig at der ikke er tale om ukendte sårbarheder:
»(...) da efterretningstjenesterne allerede bruger velkendte teknikker og udnytter sårbarheder, der er rettet, men endnu ikke opdateret hos slutbrugere eller som ikke kan rettes, så burde bekymringen for tabt cyberkapacitet ikke være en uoverkommelig hindring for at fremme cybernormer gennem mere åbenhed,« siger Jeppe Teglskov.
Cyberværktøjer kan afsløre korruption og understøtte systemkritikere
Udover en øget åbenhed, argumenterer DIIS-forskeren for, at Danmark kunne starte en seriøs diskussion om, hvordan cyberværktøjer kan anvendes til ikke-militære eller mere politiske påvirkninger, herunder
Under hvilke omstændigheder vi vil forstyrre eller manipulere udenlandske servere, hvorfra statsstøttede spionagekampagner finder sted, hvorfra ulovligt, falskt eller farligt indhold opbevares, eller hvorfra overbelastningsangreb mod danske interesser finder sted?
Om vi vil lække indhentede informationer om fx fremmede statslederes korruption, og i så fald hvilken type og under hvilke forhold
Og om vi vil støtte systemkritikere, der censureres og forfølges i andre lande, eksempelvis ved aktivt at sikre åben adgang til internettet globalt
»Sådanne spørgsmål bør adresseres mere åbent, hvis Danmark skal fremstå som en moden aktør i cyberspace,« skriver Jeppe Teglskov Jacobsen.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
