I fjor ble NATO rammet av i snitt 500 dataangrep hver måned – 60 prosent flere enn året før. Forrige helg ble flere enn 230 000 datamaskiner verden over utsatt for løsepengeviruset Wannacry, som angrep blant annet Storbritannias statlige helsevesen (NHS), FedEx og Deutsche Bahn.

Behovet for koordinert innsats for å sikre cyberspace vokser seg stadig større.

Avskrekking i cyberspace

I en ny rapport har NUPI-forsker Lilly Pijnenburg Muller og forsker Tim Stevens fra King’s College i London sett nærmere på utfordringer og dilemmaer knyttet til begrepet avskrekking i forsvarssammenheng – nærmere bestemt på cyberfeltet.

Avskrekking handler enkelt sagt om å skremme noen fra å angripe deg, enten ved å gi inntrykk av at du kan pålegge fienden betydelige kostnader eller begrense utbyttet fienden har å hente ved et eventuelt angrep.

– Tradisjonell militær avskrekking fungerer ved at man viser at man har et militær, som ubåter, tanks og soldater, for eksempel gjennom militære øvelser.  Å være medlem av NATO er en annen form for avskrekking. Med andre ord er avskrekking alt som hindrer fienden å angripe deg som nasjon, forklarer Muller.

• Les også: Trump utsetter dom over verdens klimaavtale

Ulike typer avskrekking

Som innenfor tradisjonelle domener er det innen cyberfeltet mange ulike måter å drive avskrekking på.

– USA kan for eksempel gå ut og erkjenne at de har blitt hacket og dermed vise at landet har kapasitet til faktisk å avsløre hackerangrep. I Stuxnet-tilfellet, der atomanlegg i Iran ble sabotert med et avansert datavirus, har ikke USA innrømmet at de sto bak, men de har heller ikke avkreftet det. Dette kan også sees på som en form for avskrekking, sier Muller.

– Her får USA andre til å tro at de har kapasiteten til å angripe gjennom cyberspace. Men så fort et cybervåpen blir brukt og det blir avslørt, senkes verdien av det som avskrekkingsmiddel raskt.

• Les også: – Omleggingen av Forsvaret satt langt inne

Kompleks skremsel

I den digitale tidsalderen er altså avskrekking mer komplisert enn å vise muskler gjennom stadig større våpenlagre og militærteknologi.

Én utfordring som har fått mye oppmerksomhet i denne sammenhengen, handler om det som på fagspråket kalles attribusjon, eller plassering av skyld. Å finne ut hvem som står bak et cyberangrep kan være veldig vanskelig – og hvordan skremmer du en fiende du ikke vet hvem er?

Dette, sammen med stadig mer sofistikerte og omfattende cyberangrep, gjør at tankene om avskrekking må moderniseres, mener Muller og Stevens.

De anbefaler at fremtidens cyberavskrekkingsregime i NATO må se lenger enn utelukkende militære aspekter og ta hensyn til den politiske og sosiale konteksten som en eventuell motstander faktisk tar beslutninger i.

• Les også: Norsk våpeneksport ned 20 prosent

Enda bedre cyberforsvar?

I fjor signerte alle medlemslandene i NATO den såkalte NATO Cyber Defence Pledge, hvor de på nytt forpliktet seg til å forsterke cyberforsvaret i sine respektive land for å best mulig beskytte infrastruktur og nettverk. Årets NATO-toppmøte finner sted i Brüssel 25. mai.

– Vi kan jo håpe på en forsterkning av NATO Cyber Defence Pledge denne uken. Det kommer nok til å være mye snakk om nettopp dette på møtet. Selve møtet med president Trump vil mest sannsynlig fokusere på USAs rolle i NATO, men cyber pledgen er noe av det nyeste på NATOs agenda, og Wannacry er på alles lepper om dagen, sier NUPI-forsker Muller.

– Har NATO vært for trege med å sette cybersikkerhet på agendaen og ta truslene på alvor?

– Nei. De var relativt tidlig ute, og dette har stått på agendaen deres i to år. Utfordringene er – som vi skriver om – hvordan de skal gjøre dette i praksis.

Referanse:

Lilly Pijnenburg Muller og Tim Stevens: Upholding the NATO cyber pledge Cyber Deterrence and Resilience: Dilemmas in NATO defence and security politics. NUPI Policy Brief. 2017.