Har vi brug for et våbenkapløb i cyberspace?

Af Sten Løck 0

Krigsførelse i cyberspace er et hot emne i disse år, ikke mindst i medierne, inklusive denne blog, der fortæller om alskens eksotiske angreb og tiltag.

Der er selvfølgelig Stuxnet, computerormen der i 2010 saboterede iranske atomanlæg. Senere kom virussen Flame, der ligeledes formodes at være lanceret af USA og Israel. Tilbage i 2007 havde vi angrebet mod Estlands institutioner, angiveligt fordi den baltiske stat var raget uklar med russerne.

Resultatet har været en voldsom oprustning i først opmærksomhed og siden investeringer i cyberforsvar. Det gælder især lande som USA, UK, Frankrig og Rusland, men også i Danmark skrues der for op for cyberindsatsen. Det sker blandt andet på baggrund af en nylig rapport fra Forsvarets Efterretningstjeneste, der fastslår, at digitale angreb er den største trussel mod Danmark.

Men i en artikel i det ansete Foreign Affairs advarer Brandon Valeriano og Ryan Maness mod at tillægge cyberkrig-fænomenet for stor betydning. De to forskere antyder, at det amerikanske militær har en interesse i at overvurdere truslen for på den måde at få tilført flere midler.

Valeriano og Maness er i gang med en bog om cyberkrig, og deres research fortæller, at det reelle antal cyberangreb er yderst beskedent, og kun et fåtal af nationer er aktive på denne front. De konkluderer, at det er 600 gange mere sandsynligt, at en stat bliver udsat for et terrorangreb end en cyberkampagne.

Artiklen rejser således to spørgsmål: Er cybertruslen overvurderet, og hvor mange penge skal der allokeres til formålet?

Jeg har ikke noget fuldgyligt svar på hverken det ene eller andet, men jeg vil komme med et par overvejelser.

Det er rigtigt, at cyberkrig fylder mere i medierne end on the ground, i virkeligheden. Ingen af de vidt beskrevne anslag gjorde nogen større skade, hverken i Iran eller Estland. Meget af ængsteligheden er således baseret på forventninger, om hvad der kunne ske.

Det er imidlertid ikke ensbetydende med, at man skal forsømme området. Men pengene skal bruges rigtigt og ikke være styret af traditionelle oprustningsprincipper.

For eksempel er det ikke nødvendigvis de dyreste våben, der gør den største forskel. Således har den syriske regering i den aktuelle konflikt haft stort held med angreb baseret på gratis eller meget billige viruspakker.

Ifølge Eva Galperin fra Electronic Frontier Foundation er forskellen på Stuxnet, der kostede mellem 5 og 10 millioner dollar, og gratis malware primært lidt højere træfsikkerhed og muligheden for teknisk support.

I modsætning til den kolde krig handler det denne gang ikke udelukkende om at have de teknologisk mest overlegne våben, men om en gennemført strategi hvor man fokuserer på de sande svagheder, ikke mindst den menneskelige faktor.

Cyberangreb lykkes som regel, fordi man via en menneskelig fejl finder en indgang til at udrette skade. Derfor skal både angreb og forsvar i en cyberverden fokusere på efterretninger, social engineering, koordination af aktiviteter, men selvfølgelig også et højt teknologisk niveau.

Ligeledes skal den cyberkrig heller ikke kun handle om det militære, men hvor cyberanslag i dag gør størst skade, i det civile, i form af industrispionage, afpresning og lignende. Udvikler man intelligente værktøjer og metoder til at bekæmpe den slags uvæsen, giver et cyberforsvar god mening.

Tilføjelse:

Efter at have publiceret indlægget blev jeg opmærksom på denne udmærkede artikel i det nye The Economist, som kigger på samme emne og spørgsmål, plus det løse.

 

 

Skriv kommentar

Kun fornavn og efternavn bliver vist i forbindelse med kommentaren. Dog skal alle felter med * (stjerne) udfyldes

Læs vilkår for kommentarer og debat på Berlingske Tidendes websites

RETNINGSLINJER

Berlingske ønsker at sikre, at debatten på b.dk føres i en ordentlig tone, som gør det inspirerende og udfordrende for alle at bidrage og deltage. Vi efterlyser gerne klare, skarpe, holdningsmæssige stærke indlæg med stor bredde og mangfoldighed og kritisk blik på sagen. Men vi accepterer ikke indlæg, som er åbenlyst injurierende, racistiske, personligt nedgørende. Sådanne indlæg vil fremover blive slettet. Det samme gælder indlæg, der ikke er forsynet med fuldt og korrekt navn på afsenderen, men som indeholder forkortede navne, opdigtede eller falske navne.

Vi opfordrer samtidig alle debattører til at gøre redaktionen opmærksom på indlæg, som ikke overholder disse retningslinjer.

Redaktionen

Yderligere info