Ekspert-tip ved cyberangreb fra en nationalstat: Ring og bed dem stoppe

Illustration: Jakob Møllerhøj
Kommunikation kan være en måde at dæmme op for cyberangreb på, fortæller amerikansk toprådgiver.

Black Hat Europe, London Retningslinjer for cyberangreb mellem nationalstater er et tilbagevendende diskussionsemne. Og hvordan ved et land, at det overhovedet er et andet land, der står bag et angreb, og eksempelvis ikke bare en teenager i sine forældres kælder?

Og hvornår giver det mening at besvare et cyberangreb med et misilangreb?

Det var nogle af emnerne, som Chris Painter berørte i forbindelse med en keynote-tale på it-sikkerhedskonferencen Black Hat Europe, der finder sted i London.

Han har en fortid som amerikansk anklager i nogle højtprofilerede cybercrime-sager, senere har han været tilknyttet det amerikanske justitsministerium.

Desuden har Painter i regi af det amerikanske udenrigsministerium arbejdet med at udvikle politik på cyberområdet. Painter har også været med til at forhandle en aftale med Kina i forhold til at begrænse tyveri af intellektuel ejendom.

Men hvordan ved et land overhovedet, at et andet land står bag cyberangreb, der eksempelvis går ud på at stjæle intellektuel ejendom?

Det handler om det, der på engelsk kaldes attribution, som kan oversættes til tilskrivning - det vil sige: Hvem står bag?

Det kan dog være svært at afgøre i cyberspace, hvor en ip-adresse i en log ikke nødvendigvis er retvisende i forhold til, hvor det faktiske angreb kommer fra

I princippet kan en statssponseret hacker godt gå via en computer i Danmark og derfra hacke sig videre ind i et andet lands system. Resultatet kan være, at der ligger en dansk ip-adresse i loggen, selvom angrebets oprindelse ikke er fra Danmark.

Og når det gælder cyberangreb mellem nationer, så er det selvsagt vigtigt med nogenlunde sikkerhed at kunne sige, hvem der står bag - så eksempelvis USA ikke beskylder Danmark for et angreb, der kommer et helt andet sted fra.

Chris Painter forklarer i et interview med Version2, at fejlagtig attribution dels går ud over et lands troværdighed, og samtidig ender man måske med at straffe et andet land for noget, det ikke står bag.

Motivet

Derfor bliver der i den slags sager også kigget på, hvem der kunne have motivet til et angreb. Derudover peger Painter på, at jo flere incidents der kan kædes sammen, jo lettere bliver det at identificere, hvilket land der kunne tænkes at stå bag et angreb.

»Vi er bedre til det, end folk tror. Men det er stadig en udfordring (red. attribution). Smarte angribere er gode til at skjule deres spor, men der er stadig måder at gøre dette på.«

Selvom pilen peger på et bestemt land, så er det ikke ensbetydende med, at alle beviser nødvendigvis bliver fremlagt af det anklagende land.

»Man har måske ikke lyst til at dele al sin information, fordi det kan kompromittere ens evne til at håndtere det næste gange. Det kan også være følsomme ting, man har.«

Ikke nødvendigvis offentlig attribution.

Derudover er det slet ikke sikkert, at attribution foregår i fuld offentlighed. Det kan i princippet være i form at et opkald fra det ene land til det andet.

Samtalen kunne ifølge Painter gå noget i retning af:

»Hør her, vi kan se, det kommer fra jeres land. Vi er ligeglade med, om det er kriminelle eller ... du ved ... stop det. I kan få det til at stoppe.«

Og hvis det andet land så ikke stopper, så kan der være konsekvenser. Painter nævner økonomiske sanktioner som en mulighed.

Her har Chris Painter umiddelbart svært ved at forestille sig situationer, hvor svaret på et cyberangreb ville være et misilangreb.

»Det er svært at forestille sig brugen af et kinetisk værktøj (eksempelvis et missil, red.), hvis cyberbegivenheden ikke forårsager samme form for død eller omfattende ejendomsskade, som en fysisk begivenhed vil gøre,« siger han.

Hvis et cyberangreb forårsager sådan en skade, så mener Chris Painter, det svarer til et fysisk angreb.

Kommunikation

For at undgå, at det kommer så vidt, så er kommunikation et vigtigt værktøj, mener Chris Painter.

Han drager paralleller til, hvordan kommunikation tidligere har kunnet forhindre en anspændt situation mellem atommagter i at eskalere.

Her taler Chris Painter om confidence building eller på dansk tillidsopbygning.

»Hele idéen med tillidsopbygningstiltag er, at man ønsker at skrue ned for risikoen for en utilsigtet eskalering på grund af misforståelser og fejlkommunikation,« siger han.

Det vil sige, man gerne vil have en højtstående kommunikationskanal på den anden side, forklarer Chris Painter.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
John Foley

Indtil der evt. kommer internationale regler, aftaler og konventioner om brug/ikke brug af cyberangreb kan Tallinn Manualen I og II, udarbejdet af det internationale Cyber Center of Execellence (CCDCOE), i Tallinn, Estland, give gode svar på mange af de spørgsmål, som der stilles og debatteres i denne artikel.
Desværre har DK ikke deltaget i udarbejdelsen af manuallerne, idet vi ikke er en del af eller med i CCDCOE, til trods for gentagne invitationer og opfordringer. Tankevækkende!

  • 4
  • 0
Log ind eller Opret konto for at kommentere