Regeringen offentliggjorde den 15. maj en ny strategi for cyber- og informationssikkerhed.
Strategien ligger i forlængelse af Forsvarsforliget 2018-2023, hvori der blev afsat betydelige økonomiske ressourcer til cyber-området, og den nye strategi skal styrke ”arbejdet yderligere” og binde ”den samlede indsats sammen” (forord, s. 5). Til det formål igangsætter regeringen nu 25 initiativer og seks ”målrettede strategier for de mest kritiske sektorers arbejde med cyber- og informationssikkerhed.” Strategien er med regeringens egne ord udtryk for et ”gearskifte på området.” For, som der står, så udvikler truslerne ”sig med en hast, der kræver, at indsatsen styrkes markant, så den står mål med udfordringerne.” (forord, s. 6).
Strategien illustrerer, at regeringen (som stort set alle andre) ser med stor alvor på de trusler, der manifesterer sig i cyberspace. Som der står på s. 10:
”Den digitale udvikling har i de senere år givet fx statssponsorerede grupperinger, fremmede stater, aktivister og kriminelle nye metoder til at udføre cyberrelaterede angreb mod lande, virksomheder og borgere. Det er en global udfordring, som alle åbne og digitaliserede samfund står over for, og som må forventes at blive større i de kommende år.”
Det primære formål med den nye cyberstrategi er at styrke det danske samfunds generelle modstandskraft (et mere fancy ’buzzword for det samme er ’resiliens’) over for de nye cybertrusler. Strategien er derfor spækket med initiativer om at opruste teknisk, øge virksomheder og borgernes viden, sikre samarbejde og koordination, udvikle sektorspecifikke strategier og lignende. De forskellige initiativer samles under tre pejlemærker, der er henholdsvis ”tryg hverdag”, ”bedre kompetencer” og ”fælles indsats”.
Denne blogger hæfter sig ved især tre forhold.
Den første er, at der ser ud til at være et lovforslag på vej, der vil styrke ”Center for Cybersikkerheds muligheder for at opdage og stoppe cyberangreb samt styrke centerets analytiske arbejde.” (Initiativ 1.3.). En styrkelse af CFCS vil ikke være nogen stor overraskelse i lyset af de mange og stadigt mere indgribende cyberangreb og andre former for ’interferences’, der har ramt især vestlige stater i de senere år. Det er efter min mening oplagt, at der er behov for nye tiltag (og det haster) og det bliver spændende at se indholdet af det nye lovforslag. Det bliver især spændende at se, hvordan regeringen vil balancere hensynet til borgernes retssikkerhed over for hensynet til at beskytte vores samfund mod de nye trusler.
De to andre interessante forhold ved strategien vedrører tiltag og initiativer, der ikke står så meget om. For trods vendingen om, at truslerne i cyberspace er af global karakter, der rammer alle ”åbne og digitaliserede samfund”, rummer strategien ikke specielt meget om, hvordan regeringen vil søge at håndtere eller i det mindste bidrage til at løse de internationale dimensioner af de mange udfordringer. Det bemærkes på s. 42, at regeringen ”vil øge Danmarks engagement i internationale samarbejde (sic)”, og at vi skal ”være stærkere repræsenteret i drøftelser … om cybersikkerhed og styring af internettet, når drøftelserne har direkte betydning for danske borgere, virksomheder og myndigheder.” Det fremgår også på samme side, at regeringen vil ”styrke cyberdiplomatiet ved at etablere en cyberkoordinator-funktion i Udenrigsministeriet, som skal styrke Danmarks engagement i det internationale samarbejde om cybersikkerhed.”
Jeg kan ikke helt gennemskue, hvad disse vendinger mere konkret dækker over.
Men der er ingen tvivl om, at Danmark indtil nu har sat et temmeligt begrænset fodaftryk på de internationale drøftelser om den nuværende og fremtidige regulering af cyberspace. I modsætning til andre stater (herunder flere af vores nabostater), så synes det endnu ikke rigtigt at være gået op for de relevante danske ministerier, at det i høj grad er via internationale fora, hvor man diskuterer regulering og udvikling af normer for god ”cyberopførsel”, at stater i disse år skal gøre deres indflydelse gældende internationalt. Det er de steder, hvor staterne diskuterer væsentlige spørgsmål som: hvad er grænserne for lovlig cyberespionage? Hvad udgør en krænkelse af suverænitet i cyberspace? Hvor går grænsen for, hvordan stater må bruge cybermidler til at blande sig i hinandens anliggender? Hvilke forpligtelser har en stat, hvis der opholder sig hackere på dets territorium, der generer andre stater? Med andre ord ekstremt vigtige spørgsmål, der har stor betydning for, hvordan fremtidens cyberspace vil udvikle sig og hvorledes stater må anvende deres forskellige elektroniske virkemidler til at fremme deres interesser.
Der er blandt mange af de såkaldte ”ikke-jurister” en ret udbredt opfattelse af, at det dér med jura og regler ikke er så vigtigt i internationale relationer. Og selvom der engang imellem kan være noget om snakken, så gælder det efter min bedste opfattelse ikke i forhold til debatten om jura og international cybersikkerhed. For selvom dén debat i høj grad føres med retlige begreber, så handler den langt fra kun om jura men derimod i meget høj grad om politik, om nationale interesser, om strategi og alle de andre ting, som ikke-juristerne (især politologerne) så godt kan lide at tale om.
Hvis vi som en lille og meget digitaliseret stat vil fremme danske interesser og værdier i cyberspace og bidrage til, at cyberspace udvikler sig uden al for stor risiko for konflikt, så er det på høje tid, at vi kommer ind i den storpolitiske og strategiske debat om, hvordan cyberspace skal reguleres internationalt. Der har indtil nu været et bekymrende fravær af strategisk / politisk diskussion i de relevante danske ministerier om, hvad dansk cyber-policy skal være og hvordan vi bedst fremmer vores interesser internationalt.
Men vi kan jo håbe, at det er dét, der nu sker, når regeringen skriver, at vi skal til at være stærkere repræsenteret internationalt, og at det – med al respekt for de gode folk i Estland – ikke bare handler om at sende en dansk officer til NATO’s cybercenter i Tallinn. Eller for den sags skyld sende endnu en tech-ambassadør til Silicon Valley.
Det andet forhold, der ikke står særlig meget om i strategien vedrører Danmarks reaktioner over for fremmede staters ondsindede brug af cyberspace. Det er muligt, at en national strategi ikke er stedet, hvor man skriver noget om sådanne ting, og jeg vil i så fald være gået lidt galt i byen med denne indvending (det vil ikke være første gang).
Pointen er ikke desto mindre vigtig.
Visse staters øgede brug af cyberspace til at intervenere i andre staters indre anliggende eller på anden måde foretage ulovlige eller illegitime handlinger (host, host, Rusland), har nemlig afsløret, at det er ret svært for stater at finde en passende måde at reagere over for den konkrete adfærd på. Vi ved groft sagt, hvordan vi skal reagere over for militære angreb (i traditionel forstand) men har vanskeligere ved at reagere på andre former for fjendtlige handlinger. Hvordan reagerer en stat som Danmark på en anden stats krænkelser af dansk suverænitet i cyberspace eller dets ulovlige interventioner? Hvordan skal vi i Europa og Vesten reagere på en stat som Ruslands aggressive adfærd i cyberspace? Hvis det er korrekt, at Rusland søger at påvirke demokratiske valg i Vesten, hvad skal vi så gøre ved det?
Der er i sagens natur en væsentlig sikkerhedspolitisk vinkel på det her, der bl.a. handler om teorier om afskrækkelse og behovet for at udvikle mere sofistikerede og gennemarbejdede modeller for, hvordan stater kan søge at imødegå aggressiv adfærd fra andre stater (herunder adfærd i cyberspace), der ikke er tilstrækkelig alvorlig til at udgøre væbnede angreb i traditionel forstand. Og det er her værd at understrege, at problemet ikke er begrænset til cyber-domænet, men er også relevante i forhold til de øvrige mere ”hybrid-krigsagtige” handlinger, som især russerne i stigende grad står bag (for en kort analyse af Skripal-episoden i UK, se her).
Men der er også et væsentligt folkeretligt aspekt og det handler om at grave lidt dybere i begreber som ”modforanstaltninger”. Hvornår kan stater lave modforanstaltninger over for angreb i cyberspace? Hvilken form skal sådanne modforanstaltninger tage? Hvad er en proportionel modforanstaltning? Osv. Jeg har tidligere skrevet lidt om det, men kradsede reelt kun i overfladen (se her og her).
Behovet for at kigge nærmere på begreber som modforanstaltninger (og suverænitet i cyberspace og ikke-interventionsprincippet) bliver ikke mindre af, at regeringens strategi indikerer, at vi også fra dansk side vil komme til at være mere aktive i de mere ‘grålige’ zoner af interstatslig adfærd. Det fremgår i hvert fald af s. 15, at der vil ske en styrkelse af FEs ”arbejde i forhold til påvirkningsoperationer” ligesom man vil fortsætte med at opbygge Forsvarets ”kapacitet til at udføre militære cyberoperationer.”
Det lyder som berørt i indledningen som en god ide, at Danmark er markant mere offensive for at stoppe især russernes adfærd og der er efter alt at dømme også behov for, at vi (også fra vores side) begynder at gå lidt mere ”asymmetrisk” til værks. Folkeretten giver faktisk et ikke ubetydeligt råderum. Men også her kunne det måske være en idé at gå sammen med nogle andre stater i nogle internationale fora og forsøge at udvikle nogle best-practices eller andre retningslinjer for, hvordan stater kan/ må reagere på andre staters fjendtlige adfærd?