Mytedræber: Cyberkrig findes ikke – endnu

Der bliver talt meget om cyberkrig, men endnu har verden ikke set eksempler på cyberkrig, siger dansk forsker, der gør op med flere myter om fremtidens digitale krigsførelse.

Godt hjulpet af Hollywood bliver der i disse år blæst dommedagsscenarier om cyberkrig op, med både militæret, politikere og sikkerhedsfolk som afsendere.

Men det er tosset at fokusere på scenarier, som ikke har rod i virkeligheden, og at tale om cyberkrig i dag. For indtil videre eksisterer det ikke.

Sådan lød budskabet fra Jens Ringmose, lektor på Syddansk Universitets Center for War Studies, på et seminar hos Dansk Institut for Internationale Studier tirsdag.

»Hvis man lytter til den offentlige debat om cyber, kan den lyde meget skinger. Men vi skal være meget varsomme med at fokusere for meget på dommedagsscenarierne, for ellers får vi en meget militariseret debat. Meget kan lade sig gøre i dag – men meget er også usandsynligt,« sagde han i sit oplæg, der tog udgangspunkt i en artikel, han har forfattet sammen med Anders Henriksen, lektor i international ret på Københavns Universitet.

Problemet med ord som cyberkrig og cyberangreb er, at der slet ikke er bred enighed om, hvad de dækker over.

»Vi har ikke begreberne klar endnu, så et cyberangreb kan i dag være alt fra en teenager, som udfører et DDoS-angreb, til Stuxnet rettet mod Irans atomprogram. Hele begrebsapparatet er meget umodent, så vi har ikke klarhed om, hvad vi taler om«, sagde Jens Ringmose.

Krig kræver døde og sårede

Først filtrerede han cyberkriminalitet og cyberspionage væk fra definitionen og stod tilbage med cyberangreb.

Disse digitale angreb delte han så op i tre kategorier: Skade på data eller andet ikkefysisk, skade på bygninger og andre fysiske ting, skade på mennesker.

I den 'milde' kategori hører alt fra DDoS-angreb til at slette for eksempel bankdata eller børsdata og dermed skabe kaos i økonomien. Langt de fleste eksempler på cyberangreb er i dag placeret her.

Fysisk skade gennem cyberangreb er for eksempel Stuxnet, hvor USA og Israel gennem meget avanceret malware fik smadret en del af Irans urancentrifuger og dermed forsinkede en eventuel iransk atombombe. Det kunne også være at sætte et radaranlæg ud af spillet med digitale angreb. Men det var stadig ikke krig, mente forskeren.

»De fleste vil sige, at man først taler om krig, når der er døde og sårede. Det kan være, at man får afsporet et tog, eller at man hacker våbensystemer og bruger dem til angreb. Men vi har intet set af det endnu. Stuxnet kommer tæt på, men vi har ikke set cyberkrig endnu, og mange siger, at det er meget usandsynligt, at det vil ske,« sagde Jens Ringmose.

Der er dog den gråzone, at nogle angreb måske er så vigtige, at de ville blive udført med konventionelle våben, hvis ikke det var muligt at ramme dem digitalt.

For eksempel ville Stuxnet-angrebet måske være blevet udført med kampfly, så Stuxnet blev brugt i stedet for egentlig krig. På den måde kan cyberangreb føre til mindre brug af konventionel krig, sagde han.

Kan godt finde afsenderen af cyberangreb

Den normale opfattelse af cyberkrig er, at det bliver meget asymmetrisk og svært at forsvare sig imod, også for stormagter. Men den synsvinkel mente Jens Ringmose, at tiden var løbet fra.

»Der er sket rigtig meget på forsvarssiden. Og det er heller ikke særlig nemt og billigt at angribe, hvis man skal gøre skade. For eksempel gik der enormt mange timer til at skabe Stuxnet,« forklarede han.

Et andet klassisk problem, der bliver påhæftet cyberkrig, er den manglende mulighed for at gøre gengæld, fordi afsenderen modsat i konventionel krig kan være anonym.

»Når man ikke kan identificere en angriber, kan du ikke afskrække en angriber og true med at komme efter dem. Men måske er det ikke så svært at identificere angriberne, som man forestiller sig. Det kræver bare store ressourcer, og hvis angrebet er alvorligt nok, vil man allokere ressourcer nok til at finde dem, der står bag angrebet,« sagde Jens Ringmose.

Han var heller ikke meget for idéen om, at cybervåben var de små og svage staters vidundermiddel mod supermagterne eller lige frem det oplagte våben for terrorister, som ikke har et statsbudget i ryggen.

»Det er en af de mest problematiske påstande. Hvis du skal gennemføre et cyberangreb, som for alvor kan lægge et lands kritiske infrastruktur ned, kræver det store ressourcer, en særlig ekspertise og en stærk efterretningstjeneste. Det har de ikkestatslige aktører ikke. Er angrebet fra en svag stat, kan den stærke stat svare igen med konventionelle våben. Det kan også afholde en svag stat fra at bruge cyberangreb,« sagde han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#4 Kristian Lund

Det synes lidt et sært krav at stille, at en krig skal medføre affyrede kugler i blødt væv - selvom vi ikke have affyrret de der par spredte salver ved grænsen i 1940, så havde det da stadig været en krigshandling at tyskerne gik over grænsen!

Det var da et rent held (og helt irelevant for hvorvidt det var en krigshandling), at der (tilsyneladende) ikke var nogle omkomne ved: http://en.wikipedia.org/wiki/Siberian_pipeline_sabotage Ditto Stuxnet.

Vi kan da godt blive enige om, at terminologien omkring hvad der er cyberkrig er lidt vel uudviklet og vag, men det betyder da ikke, at der ikke er et nyt og interessant fænomen. Og at "krig" er et fint ord at starte med - når det nu drejer sig om nationalstater der laver angreb på hinandens infrastruktur, mm.

Bare fordi den slags tidligere nødvendigvis betød kugler i luften, betyder det vel ikke, at vi skal skal fastholde netop dét kriterie som en nødvendig del af ethvert form for krig? Jeg har også et keyboard på min smartphone, uden keys - det er vel ok at vi bruger ordet når nu softwaren funktionelt udfører det samme arbejde som taster/kugler tidligere gjorde?

  • 5
  • 0
#6 Lars Skovlund

I relation til Stuxnet og vurderingen af om der var tale om krigsførsel er det (som Kristian Lund er inde på) relevant at påpege at Stuxnet spredte sig ud over det forventede (mindelser om Morris-ormen fra 1988)...og kunne have ramt livsvigtige systemer. Collateral Damage må vel generelt kunne forventes at være højere i cyberkrig? Hvor er det element i Jens Ringmoses analyse?

  • 2
  • 0
Log ind eller Opret konto for at kommentere