Forsvaret skal kunne angribe fjender i cyberspace - hvis Folketinget giver grønt lys
Det danske forsvar skal have kapacitet til at udføre angreb i cyberspace som en del af det militære arsenal. Men cyberkrig skal følge samme regler som almindelig krig, fastslår en tværministeriel arbejdsgruppe, som Forsvarsministeriet har nedsat.
Partierne bag forsvarsaftalen for 2013 til 2017 er enige om, at Forsvaret ikke bare skal kunne forsvare den danske digitale infrastruktur, men også have ‘evnen til at påvirke en fjendtlig aktør gennem militære angreb på dennes digitale infrastruktur’.
Derfor skal Forsvaret etablere såkaldt Computer Network Attack-kapacitet (CNA), meddeler ministeriet.
Det har imidlertid været uklart, om et angreb i cyberspace skulle følge samme parlamentariske proces som et indsats med jægersoldater og kampfly. Det spørgsmål har en arbejdsgruppe med flere ministerier nu besvaret i en redegørelse.
‘Anvendelsen af den militære CNA-kapacitet adskiller sig ikke fra Forsvarets traditionelle militære kapaciteter i forhold til, hvorvidt der skal indhentes samtykke fra Folketinget,’ lyder hovedkonklusionen i redegørelsen.
Magtanvendelse
Det er grundlovens paragraf 19, der kræver, at kongen (læs: regeringen) spørger Folketinget om lov, før der anvendes ‘militære magtmidler mod nogen fremmed stat.’
‘Fremmed stat’-formuleringen er desuden udvidet til at også at gælde ikke-statslige enheder, som Danmark kunne finde på at bekrige.
Det er denne lov, som cyberangreb går ind under ‘i det omfang, sådanne handlinger udgør magtanvendelse’. For at definere, hvad der udgør magtanvendelse, peger redegørelsen på folkeretten:
‘Afgørende vil herefter generelt være omfanget og effekten af de pågældende handlinger, herunder om de er egnede til og kan forventes at føre til tab af menneskeliv, personskade og/eller betydelig skade på eller ødelæggelse af fysiske objekter.’
Cyberspionage falder uden for
Bemærkelsesværdigt dækker den definition ikke umiddelbart indsamling af information og cyberspionage. Redegørelsen skelner da også mellem CNA og CNE, der står for Computer Network Exploitation.
CNE defineres som en offensivt våben, men er i modsætning til egentlige angreb reguleret af Lov om Forsvarets Efterretningstjeneste og Lov om Center for Cybersikkerhed.
‘CNE søger at sikre sig adgang til og indhente informationer fra lukkede it-netværk, it-systemer eller computere. (..) Når CNE udøves med henblik på at imødegå andres offensive handlinger, er det afgørende, at CNE-handlingen har karakter af et afgrænset indgreb mod et specifikt mål, med begrænset virkning og i et 14 begrænset tidsrum. Brugen af CNE har ikke til formål at skabe ødelæggelse, da der i givet fald som udgangspunkt ville være tale om et CNA,’ fremgår det i redegørelsen.
Angrebskode skal specialdesignes
Redegørelsen er udarbejdet af repræsentanter fra Udenrigs-, Justits- og Forsvarsministeriet samt fra Forsvarets Efterretningstjeneste og Værnsfælles Forsvarskommando.
Gruppen vurderer, at cyberkapaciteten på sigt vil blive anvendt side om side med traditionelle våben. Det er mindre sandsynligt at, der kommer til at være militære aktioner, som udelukkende udspiller sig i cyberspace, lyder det i redegørelsen.
Formålet med krigshacking kan for eksempel være at gå efter overvågningssystemer og kommando- og kontrolsystemer. I forbindelse med et bombeangreb kan hacking sørge for at gøre det vanskeligt at reagere koordineret ved at ramme kommunikationskanalerne.
Forud for et egentligt angreb vil Forsvaret udvikle ondsindet kode, der er specialdesignet til de systemer, som man vil ramme.
Konventioner skal overholdes
En betingelse for, at den højteknologiske krigsførelse kan fungere, er dog, at fjenden har teknologi, der kan angribes. Guerillakrigere i grotter er således ikke optimale mål for cyberangreb.
Samtidig skal Danmark stadig leve op til sine forpligtelser i forhold til den humanitære folkeret og Geneve-konventionen.
‘Fokus vil således være på, hvorvidt et objekt er et militært mål, hvorvidt der er taget de nødvendige forsigtighedsforanstaltninger for at minimere risikoen for civile tab, og hvorvidt angrebet er proportionelt mv.,’ står der i redegørelsen.
Det skal derfor sikres, at den ondsindede kode ikke angriber vilkårligt eller, som følge af sin natur, påfører overflødig skade eller unødvendig lidelse, skriver arbejdsgruppen.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
