Ulovlig cyberforsvar?

Mens amerikanerne krangler om hva angrepet i Washington kan kalles, har både de og resten av verden et større problem: Definisjonen av 'krig' stemmer ikke med virkeligheten. Vi er under angrep, men internasjonal rett forbyr effektivt forsvar! Hva gjør vi da?

Det høres ut som en dårlig spøk, men er høyst reelt – og omsider godt synlig: I kjølvannet av den omfattende hackingen av sikkerhets-selskapet SolarWinds på senhøsten, fant amerikanske myndigheter seg under veritabelt angrep fra Russland. Beviselig, synlig og alvorlig. En rekke offentlige institusjoner - fra Finansdepartementet til Homeland Security, fra Center for Desease Control (CDC) til Forsvaret og Utenriksdepartementet. Et cyberangrep som har pågått i det skjulte i månedsvis og som fortsetter – til tross for at det ble oppdaget før jul. Viktige samfunnsfunksjoner er fortsatt truet. Med avgreninger til hele den vestlige verden – inklusive på våre kanter. 

En pang-start på 2021 - med en overraskende twist: Å gå til motangrep er brudd på internasjonal lov og rett. Avtaler og traktater på mange nivåer definerer krig, men ikke cyberkrig, og dermed heller ikke dagens situasjon. Forsvar er lovlig, motangrep ulovlig.

Vi tror ikke amerikanerne vil la seg stoppe av 'formaliteter', men problemstillingen er like fullt relevant. For eksempel – NATO-land skal hjelpe hverandre hvis de blir angrepet, men hva om angrepet er digitalt? Og motangrep blir oppfattet som eneste effektive mottiltak? 

Tilsvarende på 'vårt' nivå: Hvis vi er under angrep, hvilke hjelpemidler har vi til rådighet for å 'redde skinnet'? Er motangrep ulovlig? I så fall trenger vi å vite det før vi selv eller en leid partner gjør det som 'må til'.

Ett av mange scenarier der den digitale virkeligheten avviker så sterkt fra den tradisjonelle at vi på mange måter må starte med blanke ark. Ingen ting stemmer, alt må tenkes på nytt og de gamle referanserammene ødelegger i stedet for å hjelpe. På mange måter en turbovariant av hva amerikanernes president har holdt på med i 4 år. Gjøre de tingene ingen hadde forutsett at noen ville komme på. Så langt utenfor de målestokkene som fantes da reglene ble laget at det ikke finnes regler. Og de reglene som finnes, er bremser, de blokkerer for fornuften. 

Forsvar er et godt eksempel. Vi har bygget cyberforvar i årevis. Sterkere, smartere, bedre - virtuelle, digitale murer som skal beskytte mot krig og angrep, mot inntrenging og tyveri, mot terror og vandalisme. Det fungerer - til en viss grad og en kort stund, så kommer nye våpen og angrepsmetoder, og 'muren' må forsterkes i alle retninger. En katt-og-mus lek som er lett å forstå, men kostbar og åpenbart ikke effektiv. Det må finnes andre veier.

De finnes, amerikanerne kaller det 'defend forward' – “disrupt or halt malicious cyber activity at its source.” Men lovligheten i juridisk forstand er tvilsom og definisjonen vag. Vi trenger ikke bare nye metoder, vi trenger å tenke nytt og samtidig omdefinere eller oppdatere gamle begreper  og eksemplene florerer (se for eksempel Wired-atikkelen Russia's Hack Wasn't Cyberwar. That Complicates US Strategy). Er det 'krig' å infiltrere virksomheter, offentlige institusjoner, samfunnsfunksjoner og styrende organer? Nei, dette er 'spionasje'. Er det 'krig' når 'gevinsten' av spionasje brukes til å lamme deler av et lands viktige samfunnsfunksjoner? Nei, det er 'sabotasje', kanskje 'terrorisme'.

Begrepsapparatet passer ikke, og i stedet for å omdefinere de gamle begrepene, trenger vi nye som gir riktige og tydelige assosiasjoner  spontant. Og nye måter å tenke på - frikoblet fra historien. Det haster.