Vi skal tage debatten om rammerne for cyberforsvar

Debatindlæg af postdoc Tobias Liebetrau (Institut for Statskundskab i Altinget den 2. november 2020.

Forsvarets Efterretningstjeneste samt skiftende forsvarsministre har i en årrække fremhævet, at dansk økonomi og konkurrencedygtighed dagligt bliver undermineret af cyberspionage.

Vores demokrati og offentlige debat bliver destabiliseret af systematiske misinformationskampagner.

Og vores statslige myndigheder og samfundsvigtige infrastruktur er udsat for målrettede og strategiske cyberangreb.

Danmark er rustet til cyberkrig, men vi savner politiske-strategiske svar på, hvor fremadlænet Danmark bør være, når det kommer til anvendelse af cybermagt i konflikter under grænsen for krig? .

Fælles for disser typer af cyberangreb er, at de enkeltstående angreb ikke lever op til de gængse definitioner af krig og væbnet konflikt, men akkumuleret og over tid medfører betydelige omkostninger for Danmark og vores allierede.

Det understreger, at Danmark befinder sig i en ufredstid, hvor et nyt konfliktrum har kilet sig ind i mellem krig og fred.

I dette konfliktrum fører lande som Rusland, Kina, Iran og Nordkorea en subtil form for magt- og geopolitik ved konstant at udfordre eksisterende normer og regler.

Digital krig

I Danmark har fokus primært været på at imødegå denne type cyberangreb ved at styrke samfundets generelle robusthed og modstandsdygtighed.

Kommissoriet for den varslede strategi for cyber- og informationssikkerhed peger imidlertid på, at det er nødvendigt at hæve omkostninger for aktører, der gennemfører cyberangreb mod Danmark og vores nære allierede.

Det nødvendiggør en politisk-strategisk diskussion af hvordan vi gør det, herunder en afvejning af mål, midler og risici.

Danmark og en række af vores allierede har over de seneste år øget omkostningerne for angribere ved i stigende grad at benytte politisk, juridisk og teknisk attribuering som svar på skadelige cyberaktiviteter, hvilket medfører offentlig ’naming, blaming og shaming’.

Desuden har USA i en årrække retsforfulgt individer fra Iran, Nordkorea, Kina og Rusland for at stå bag hackerangreb mod USA. Ligesom EU i sommer indførte sanktioner som følge af cyberangreb.

Det er imidlertid også muligt at øge (de forventede) omkostninger ved cyberangreb ved at anvende militær cyberstyrke. I efteråret 2019 blev ’Forsvarets Værnsfælles Doktrin for Militære Cyberspaceoperationer’ lanceret.

Et par måneder senere ved årsskiftet 2019-2020 blev Danmarks militære cyberenhed - Cyber Network Operations kapaciteten – erklæret fuldt aktiv. Danmark er dermed rustet til at udføre digitale krigsoperationer.

Svar på hvordan vi skal bruge cybermagt

I dag danner en skarp adskillelse mellem angreb, spionage og forsvar udgangspunktet for anvendelsen af Danmarks cyberstyrke. Den digital ufred tilsiger, at Danmark bør overveje at løsne op for adskillelsen.

Danmark er rustet til cyberkrig, men vi savner politiske-strategiske svar på, hvor fremadlænet Danmark bør være, når det kommer til anvendelse af cybermagt i konflikter under grænsen for krig? Og i hvilken grad vi vil og kan handle sammen med vores allierede?

De svar bør den kommende strategi være med til at levere.

Det er ikke blot afgørende for Danmarks mulighed for at forsvare sig. Det er også påkrævet for at sikre, at den politiske beslutningskraft og demokratiske kontrol med den militære cyberstyrke ikke udvandes på grund af den vanskelige skelnen mellem forsvar-, spionage og angreb.

Vi har brug for offentlig debat om, hvordan vestlige, demokratiske lande kan, bør og skal agere i den ufredstid, der i dag er normaltilstand.

Hemmeligholdelse og manglende offentlig debat minimerer desuden chancen for international norm- og regelopbygning på området.

Danmark kan blive foregangsland og standardsætter ved at cyber- og informationssikkerhedsstrategien igangsætter en debat om og udarbejdelse af et klart politisk mandat, en strategisk ramme og en tidssvarende regulering, der leverer de nødvendige rammer for, at landets militære cyberstyrke kan bruges til at beskytte samfundet og øge omkostninger for aktører, som udfører skadelige cyberangreb.