cyberkrig

I daglig tale bruges cyberkrig imidlertid ofte til at beskrive en bredere vifte af aktiviteter og aktører end blot de militære enheder, der kæmper med forskellige cybermidler i konteksten af væbnet konflikt. Det betyder, at forståelsen af cyberkrig også omfatter statslige eller statsstøttede aktører, som i gråzonen under tærsklen for væbnet konflikt forsøger at trænge ind i fremmede computere med henblik på at forstyrre, manipulere eller ødelægge netværk samt sprede mis- og desinformation eller spionere.

Til tider forstås cyberkrig endnu bredere. Her omfatter begrebet også cyberkriminelles ransomwareangreb, whistleblowernes lækager, aktivisters onlinedemonstrationer, og terroristers brug af internettet til eksempelvis rekruttering og propaganda. Denne brug er blevet mødt med en del kritik. Ordet krig insinuerer det meste alvorlige politiske og eksistentielle problem en stat kan stå overfor og kræver ofte, at de sikkerhedspolitiske apparaturer – herunder militæret og efterretningstjenesterne – involveres. Bekymringen er, at en for bred brug begrebet cyberkrig fører til en politisk retfærdiggørelse af unødvendigt indgribende og aggressive modforanstaltninger, der underminerer borgernes fundamentale rettigheder, generelt gør cyberspace mere usikkert og risikerer at eskalere konflikter.

Begrebet cyberkrig blev anvendt for første gang i 1987, da science fiction-magasinet Omni brugte ordet til at beskrive en fiktiv fremtidskrig fyldt med robotter, selvkørende flyvende biler og autonome våbensystemer. Men det var først i 1993, at ordet officielt blev knyttet til hacking. Her stod to prominente forskere, John Acquilla og David Ronfeldt fra den amerikanske tænketanken RAND frem og erklærede, at ”Cyber War is Coming!”. Med det mente de to forskere, at militære hackere i stigende grad ville udnytte staters begyndende afhængighed af sammenkoblede computere i komplekse netværk til at spionere på, forstyrre og angribe fjendens kommando- og kontrolsystemer.

Til trods for en stigende bekymring for et ”Cyber 9/11” holdt den akademiske litteratur imidlertid fast i, at cyberkrig var noget, der foregik mellem stater og primært mellem militære enheder. Den tidligere nationale sikkerhedsrådgiver under præsident Clinton, Richard Clark, og præsident Obamas cybersikkerhedsrådgiver, Robert Knake, skrev i 2010 den ofte citerede bog Cyber War, hvori de fastholdt, at cyberkrig er handlinger, udført at nationalstater, som forsøger at trænge ind i andre nationers computere med henblik på at forårsage skade eller forstyrrelse.

Virkeligheden komplicerede imidlertid den entydige afgrænsning af cyberkrig til militærenes interaktion i cyberspace. Allerede i 2007 oplevede Estland, at mange offentlige og private hjemmesider blev overbelastet af datatrafik i forbindelse med pro-russiske demonstrationer mod beslutningen om at flytte en sovjetisk statue fra en central plads i Tallinn. Forstyrrelserne, der gjorde online-banking og adgang til nyhedssider utilgængelige i kortere perioder, blev udført af aktivister og kriminelle netværk, hvis tilknytning til Kreml stadig er uvis. Alligevel er hændelsen af mange blevet betegnet som den første cyberkrig, mens andre insisterer på, at forstyrrelsen mest af alt bør karakteriseres som optøjer og protester i cyberspace.

I 2008 invaderede Rusland nabolandet Georgien. Også her blev cyberangreb brugt mod statslige hjemmesider og kommunikationsnetværk – denne gang i tættere koordination med de russiske militærenheders bevægelse over grænsen. Og igen blev angrebene efter sigende udført af kriminelle netværk med en uafklaret tilknytning til det russiske forsvar. Endnu engang var eksperter uenige om, hvorvidt der her var tale om egentlig cyberkrig.

To år senere kom det frem, at mere end tusind iranske atomcentrifuger i årevis var blevet ødelagt af en computerorm, som fik navnet Stuxnet. Amerikanske journalister afslørede efterfølgende, at USA og Israel stod bag et forsøg på at forhindre Iran i at udvikle atomvåben.

Iranske hackere uden formel tilknytning til den iranske revolutionsgarde stod i de følgende år bag flere cyberangreb, der eksempelvis slettede alt på mere end 35.000 computere hos Saudi-Arabiens nationale olieselskab, Saudi Aramco, og senere overbelastede stort set alle større amerikanske bankers hjemmesider med trafik, så de i perioder var utilgængelige.

Skeptikere fastholdt imidlertid, at vi stadig ikke havde oplevet en cyberkrig. ”Cyber Pearl Harbor”- og ”Cyber 9/11”-metaforerne var fantasier og unødvendige overdrivelser. Forskeren Thomas Rid skrev i 2013 bogen Cyber War Will Not Take Place, hvori han insisterede på, at ingen cyberangreb til dato levede op til den anerkendte tyske krigsteoretiker Carl von Clausewitz’ definition fra 1832 af krig som både politisk, instrumentel og voldeligt.

Samtidig indeholder krig altid en gensidighed, hvor to eller flere sider åbent kæmper en eksistentiel kamp for at få sin politiske vilje. Krig er derfor aldrig blot en enkelt handling, men en vekselvirkning – med volden som redskab – mellem angreb og forsvar.

De skeptiske cyberkrigsforskere understregede i forlængelse heraf, at cyberkrigen ikke ville finde sted af den simple grund, at de involverede parters forsøg på med vold at knække den andens vilje til at kæmpe altid hurtigt vil bevæge sig uden for cyberspace. Almindelige våben er simpelthen mere voldelige, når man kæmper en eksistentiel, politisk kamp for overlevelse. Forventningen er derfor, at en krig ikke kan isoleres til cyberspace. Derfor vil den, hvis konflikten ikke løses, udvikle sig til en krig med fysisk vold og almindelige våben.

I stedet for at tale om cyberkrig, argumenterede Thomas Rid for, at vi i stedet bør karakterisere cyberangreb som enten sabotage, spionage eller undergravende virksomhed. Disse aktiviteter kan meget vel være brugbare både i og uden for krig. De kan støtte, komplementere eller erstatte konventionelle militære angreb. Og de kan bruges i fredstid til at indhente vigtige efterretninger eller som understøttende redskab i påvirkningskampagner og informationsoperationer.

Derfor begyndte flere og flere stater i slutningen af 00'erne at investere i militære enheder, der skulle føje offensive cyberspaceoperationer til de militære og udenrigspolitiske værktøjskasser.

Med Ruslands annektering af Krim i 2014 eksploderede interessen for hybridkrig. I EU og NATO blev der kigget indad. Man havde været for naiv over for Rusland og deres villighed til at udnytte eksisterende kategorier og definitioner af krig og væbnet konflikt. I 2000-tallet var krig og fred ikke længere sort-hvid, og cyberkrig afspejlede det faktum, at der pågår alvorlige aktiviteter i gråzonen mellem de to.

Og den russiske cyberkrig blev ikke blot udlevet i Ukraine, men også mod Vesten. Her blev især hacking af e-mails i forbindelse med Det Demokratiske Partis nationale konvent under den amerikanske primærvalgkamp i sommeren 2016 startskuddet til en revurdering af betydningen af cyberkrig. Indtil nu havde cyberkrig og informationskrigsførelse være klart adskilt i den vestlige akademiske og politiske tænkning. Cyberkrig var ikke længere blot destruktive cyberangreb mod kritiske samfundsmæssige systemer, men var nu pludselig også en del af det kognitive domæne og muligheden for at påvirke befolkningers holdninger og tænkning gennem onlinepropaganda. Hack og læk af fortrolig information blev en alvorlig national sikkerhedspolitisk trussel, hvor flere eksperter insisterede på, at Ruslands påvirkning af det amerikanske valg burde kategoriseres som et ”Cyber 9/11”.

Den langsommere underminering af demokratiske institutioner, understøttet af cyberangreb, pustede liv til ideen om cyberkrig som ”de 1.000 snits død”. Idéen om, at truslen fra cyberangreb ikke primært knytter sig til det spektakulære ”Cyber Pearl Harbor”, men i stedet til de mange usynlige ”cyberstik”, var allerede blevet introduceret små ti år tidligere af den daværende chef for det amerikanske National Security Agency (NSA) og US Cyber Command, General Keith Alexander. Dengang var den påståede trussel ikke cyber-støttede påvirkningskampagner, men statsstøttet kinesisk cybertyveri af vestlige firmaers intellektuelle rettigheder. Den stigende interesse for krig, som noget der finder sted under tærsklen for væbnet konflikt, førte til, at cyberkrig i stigende grad blev accepteret som noget bredere end militær anvendelse af cyberspaceoperationer på kamppladsen.