I sist artikkel i Stratagem, skrev jeg om hva trusselbildet er og hva det består av.[1] Trusselen mot Norsk olje- og gass etter Russlands fullskala invasjon av Ukraina, ble benyttet som eksempel for å illustrere hvordan man kan gå frem for å etablere et cybertrusselbilde. Fokuset var i hovedsak på stats-tilknyttede cyberaktører som opererer fra Russland.
Simen Bakke
I denne artikkelen skal vi se nærmere på cybertrusselen fra kriminelle og i særdeleshet, hva som faktisk er å anse som en kriminell aktør fra et rettslig (juridisk) ståsted. Vi skal også se nærmere på motivasjonen til de ulike «kriminelle» aktørene. For til forskjell fra de statlige eller stats-tilknyttede aktørene, som ofte har en eller annen form for relasjon til staters myndigheter – herunder også etterretningstjenestene, så er kriminelle aktører sjeldnere direkte tilknyttet et lands myndigheter. I våre moderne vestlige demokratier som bygger på rettsstatsprinsipper, så står kriminelle aktører og landets egne myndigheter ofte i et konfliktforhold til hverandre. Mennesker vi betegner som kriminelle aktører er «kriminelle» nettopp fordi de begår lovbrudd. Med andre ord, brudd på en lov som er belagt med straff. Slike straffebud finer vi i den norske straffeloven. Statens myndigheter, med politiet og påtalemyndigheten i spissen, er den del av statsapparatet som skal sørge for kriminalitetsbekjempelse. Herunder etterforskning og straffeforfølgning av lovbrudd.
Rent rettslig sett er derfor «kriminelle aktører» individer som har begått lovbrudd. Likevel bruker vi ofte betegnelsen bredere i vår dagligtale enn hva som er tilfellet kun sett fra et rettslig ståsted. Fordi de rettslige kravene er mange og detaljerte. For eksempel at individet skal få sin sak rettferdig behandlet i et uavhengig rettsapparat. Inntil en rettskraftig dom foreligger er alle individer å anse som uskyldig. Derfor er det i mange tilfeller, og spesielt i cyberdomenet, enklere å definere en aktør som «kriminell», uten å gå inn i den tidkrevende og kompliserte prosessen det faktisk innebærer å få et individ som står bak hacking, tjenestenektangrep eller angrep med løsepengevirus – domfelt for den samme aktiviteten. Det er åpenbart for de fleste at russiske cyberkriminelle som utsetter norske virksomheter for angrep med løsepengevirus er lovbrytere. De kan derfor defineres som «kriminelle aktører» til tross for at vi aldri vil se dem bli domfelt i en norsk domstol.
Rettsstater er avgjørende for å definere «kriminelle»
I autoritære regimer og mindre utviklede stater kan derimot relasjonen mellom myndighetene og kriminelle aktører være noe mindre konfliktfylt, og i enkelte tilfeller kan de til og med dele felles interesser. Skillet mellom hvem som er kriminelle og hvem som ikke er kriminelle, er ikke alltid like tydelig som her hjemme i trygge lille Norge. Nettopp fordi vi har en rettsstat, med et tydelig skille mellom lovgivende, håndhevende og dømmende makt, sikres ethvert individ rettferdighet gjennom straffesaksbehandlingen.
Og denne rettferdigheten er viktig sett i lys av hvordan autoritære regimer behandler sine borgere. Et illustrerende eksempel er hvordan Russland og myndighetene har slått ned på borgere som har praktisert grunnleggende demokratiske rettigheter som vi i Norge tar for gitt. Ytringsfriheten og demonstrasjonsfriheten, for eksempel. I Russland blir borgere som benytter seg av disse demokratiske rettighetene kastet i fengsel, bak lås og slå.
I demokratiske rettsstater er det nemlig først når en endelig og rettskraftig avgjørelse er fattet av en uavhengig domstol, hvor den tiltalte har krav på en rekke rettigheter – som for eksempel retten til å ikke forklare seg om lovbruddet og krav på en forsvarer, at vi har grunnlag for å stemple en person som lovbryter i juridisk forstand. Hele prosessen er grundig regulert gjennom den omfattende straffeprosessloven. Før en avgjørelse fra domstolen foreligger, er ikke personen å anse som lovbryter etter prinsippene i en moderne rettsstat som Norge. Utgangspunktet, forankret i Norges Grunnlov § 96, er at «enhver har rett til å bli ansett som uskyldig inntil skyld er bevist etter loven» og videre, «ingen kan dømmes uten etter lov eller straffes uten etter dom». Det må altså foreligge et straffebud som tydelig uttrykker hva som er straffbar aktivitet (lovbrudd). Først når dom foreligger kan personen ansees skyldig. I tillegg fastsetter Grunnlovens § 95 at «enhver har rett til å få sin sak avgjort av en uavhengig og upartisk domstol innen rimelig tid.»[2]
I tillegg skal rettsaken være rettferdig. Alle disse kravene må oppfylles for at et individ skal kunne dømmes for lovbrudd i en moderne rettsstat. Dette skiller oss fra autoritære regimer hvor straffesaker som føres for domstolene fremstår som teater sammenliknet med en grundig rettsprosess som sikrer korrekte og rettferdige avgjørelser. Dette gjelder for alle typer lovbrudd og er ikke noe særegent for kriminalitet utført i cyberdomenet.
«Kriminelle» er en krevende kategori – også i cyberdomenet
Som de fleste forstår, så ligger det både en tidkrevende og komplisert arbeidsprosess bak det å oppnå en rettskraftig avgjørelse gjennom domstolsapparatet. En prosess som starter med politiets etterforskning der spor som både taler til fordel for og imot den mistenkte, skal samles inn og inngå i etterforskningsmaterialet. For de av oss som arbeider med cybersikkerhet, som skal beskytte sine egne IT-systemer fra trusselaktører som opererer fra andre stater – herunder stater som Norge ikke har sikkerhetssamarbeid og utleveringsavtaler med, vil det være lite hensiktsmessig å legge tilsvarende kriterier til grunn før vi kan omtale aktører som opererer i cyberdomenet for kriminelle.
Nettopp fordi det er mange personer som begår lovbrudd i cyberdomenet, men et fåtall av disse blir stilt ansvarlige for en domstol i en moderne rettsstat. Russiske aktører som begår angrep med bruk av løsepengevirus eller som utsetter norske virksomheter for tjenestenektangrep, vil ikke bli stilt for ansvarlige for en norsk domstol. De færreste av dem vil i det hele tatt bli stilt ansvarlige for en russisk domstol. Med andre ord kan de operere fra et annet lands territorium, i dette tilfellet Russland – uten å bli straffeforfulgt. I enkelte tilfeller vil staten selv kunne ha interesse av at enkeltindivider benytter sine cybervirkemidler mot en annen stat, dersom de oppfatter denne som en «motstander».
Et illustrerende eksempel er Russland og Ukrainas bruk av cyberaktører som ikke direkte er tilknyttet staten, men som utfører oppdrag som samsvarer med statens interesser. Tjenestenektangrepene utført av den russiske grupperingen KillNet sommeren 2022 mot nettsidene til norske virksomheter som Altinn, Arbeidstilsynet og Politiet, viser hvordan kriminelle aktører opererer i samsvar med russiske myndigheters interesser. Likevel er det krevende å knytte personene som utfører aktiviteten på vegne av KillNet, direkte tilbake til Russland og russiske myndigheter.[3] Etter norsk lovgivning begår de skadeverk (lovbruddet) mot nettsidene til norske virksomheter, men sannsynligheten for at personene bak aktiviteten vil bli stilt til ansvar for aktiviteten, er tilnærmet null.[4] Fordi individene (trolig) befinner seg i Russland – bak russiske myndigheters beskyttelse. Russland vil følgelig heller ikke utlevere egne borgere for straffeforfølgning i Norge.
Et liknende eksempel sett fra et juridisk ståsted, men som belyser en annen utfordring relatert til hvem som er å anse som «kriminelle» – er NRKs sak fra 2022 om de to norske studentene som deltok i «IT Army of Ukraine». «Sigurd» på 19 år og «Henrik» på 18 år deltok sammen med over 300,000 andre frivillige personer i tjenestenektangrep mot Russiske mål, organisert gjennom Telegram grupperingen til «IT Army of Ukraine». Til og med Ukrainas digitaliseringsminister, Mykhailo Fedorov, oppfordret til deltakelsen. [5]
Motivasjonen til studentene var «å stanse nettsider som russiske myndigheter trenger for å drifte og finansiere krigen». Tjenestenektangrepene førte blant annet til nedetid på nettsidene til russiske banker. Sett fra norsk lovgivning er dette straffbar virksomhet som rammes av akkurat det samme straffebudet (skadeverk) – som KillNets aktivitet mot de norske virksomhetene. Men selv om aktiviteten er belagt med straff etter norsk lov, er det ikke gitt at etterforskning og straffeforfølgning av norske individer som bistår Ukraina i cyberdomenet vil prioriteres for straffeforfølgning fra norsk påtalemyndighets side. Dette til tross for at det er betydelig enklere å etterforske norske borgere for straffbare forhold.
Sett ut ifra et moralsk ståsted er det ikke vanskelig i dagens sikkerhetspolitiske anspente situasjon å argumentere for at aktiviteten ikke bør straffeforfølges. Aktiviteten er likevel per definisjon å anse som et lovbrudd i rettslig forstand. Dette illustrerer imidlertid godt noen av utfordringene som kan oppstå ved å stemple aktører som «kriminelle», dersom de begår lovbrudd. En mer passende betegnelse på de to norske studentene vil være «frivillige cyberkrigere» eller «hacktivister» som deltar i en ideologisk forsvarskamp mot Russlands brutale krigføring i Ukraina, fremfor å stemple dem som «kriminelle aktører».
Russiske cyberkriminelle føres ikke for norske domstoler
Til tross for sine ulikheter, har eksempelet med de to norske studentene som deltar i «IT Army of Ukraine», også likhetstrekk med at Russland ikke prioriterer etterforskning og straffeforfølgning av russiske borgere som utfører angrep med bruk av løsepengevirus. Men sett fra Norge og norske virksomheters ståsted, er russiske borgere som utfører angrep med bruk av løsepengevirus, åpenbart å anse som kriminelle aktører. Dette til tross for at en uavhengig domstol aldri har avsagt noen dom mot russerne som står bak aktiviteten. All den tid Russland ikke utleverer sine egne borgere til Norge eller andre vestlige rettsstater for straffeforfølgning, så vil en slik dom trolig heller aldri bli avsagt.
Det eksisterer imidlertid ett kjent eksempel hvor russiske myndigheter selv, i januar 2022, pågrep og straffeforfulgte flere personer bak den russiske løsepengevirus-grupperingen, REvil.[6] Over to år senere, i oktober 2024, ble fire av russerne dømt opptil seks og et halvt år i fengsel av en militærdomstol i St. Petersburg. De ble også domfelt for hvitvasking av utbytte fra de straffbare handlingene.[7] Svært mange av de kriminelle aktørene som opererer i cyberdomenet, har økonomisk inntjening som primær motivasjon for å utføre lovbruddene – slik som REvil. Dette gjelder i særdeleshet aktører som benytter løsepengevirus og bedriver utpressing av sine ofre. De er ofte organiserte kriminelle grupperinger som henter ut store mengder sensitive data og i tillegg krypterer ofrenes IT-systemer. Hensikten er å presse offeret til å betale løsepenger i kryptovaluta. Ofrene kan være alt fra små norske kommuner til store globale kommersielle selskaper.
Man kan stille spørsmål ved upartiskheten til en russisk militærdomstol i forbindelse med straffesaken mot individene bak REvil. Likevel viser domsavsigelsen at russiske myndigheter har mulighet til å straffeforfølge russiske cyberkriminelle, dersom de har interesse av det. Selv om dette sjeldent utføres. For vår del er det likevel hensiktsmessig å omtale russiske cyberaktører som kriminelle selv om de ikke har fått en rettskraftig avgjørelse i en uavhengig domstol. Dette er en måte å skille «de kriminelle» som primært opererer med økonomisk inntjening som motivasjon, fra aktørene som har en sterkere tilknytning til en annen stats myndigheter. Der sistnevnte oftere har uthenting av sensitiv informasjon/spionasje eller driftsforstyrrelser/sabotasje som primærmotivasjon. Det som likevel er verdt å merke seg, er at i domstolsapparatet, så er det enkeltindividet som vil bli stilt til ansvar for sine handlinger. Enten man tilhører en organisert kriminell gruppering eller utfører oppdrag på vegne av en annen stat, så er det personen(e) som står bak, medvirker til, eller som utfører handlingene – som vil bli straffeforfulgt.
Dette gjelder også i cyberdomenet. Den amerikanske politimyndigheten FBI har ved flere anledninger tatt ut tiltale mot russiske og kinesiske borgere i etterkant av lovbrudd i USA. Selv om aktiviteten er utført på vegne av stater, er det likefult enkeltindividene som blir stilt til ansvar for sine handlinger. Undertegnede har tidligere skrevet i Stratagem om Su Bin, kineseren som ble tiltalt for å hjelpe hackere fra Peoples Liberation Army (PLA) med å utføre spionasje mot kampflyprodusenten Lockheed Martin, mellom 2008 og 2014.[8]
Skillet mellom «kriminell» og «statstilknyttet» aktør
En utfordring når det gjelder å operere med absolutte kategorier for hva som er «kriminelle» aktører og hva som er å anse som «statstilknyttede aktører», er at skillet mellom de to kan være mindre enn hva man vanligvis ser for seg. Er et enkeltindivid som utfører spionasje på vegne av en annen stat primært å anse som en kriminell aktør, ettersom vedkommende begår lovbrudd? Hvordan kategorisere et kinesisk selskap som leverer IT-tjenester, og dermed medvirker, til de kinesiske etterretningstjenestenes offensive cyberoperasjoner? Hva med løsepengevirus-grupperinger som angivelig skal ha koblinger til personer i Russlands sikkerhets- og etterretningstjenester, som i tillegg erklærer støtte til Russlands krigføring og vil angripe kritisk infrastruktur hos «fienden»?
Det finnes mange reelle eksempler fra virkeligheten på alle disse problemstillingene. For eksempel løsepengevirus-grupperingen Conti, som i februar 2022 gikk offentlig ut med støtte til Russland, rett i etterkant av fullskala invasjonen. Angivelig skal lederskikkelsen i Conti, under pseudonymet Stern, hatt tilknytning til den russiske sikkerhetstjenesten FSB. Dette ble offentlig kjent etter at chatte-logger fra Conti ble lekket ut på internett.[9]
Hvorvidt flere av de øvrige russiske løsepengevirus-aktørene har hatt tilsvarende kontakt med myndighetene, er ikke offentlig kjent. Men at Russland ser seg tjent med å benytte kriminelle aktører for å understøtte staten, også i cyberdomenet – er høyst sannsynlig.
Derfor kan én og samme person både være statstilknyttet og kriminell (lovbryter), samtidig. Den ene kategorien utelukker ikke den andre. Men graden av tilknytning til staten vil variere – slik at noen vil operere direkte på oppdrag fra en stat, mens andre vil operere i tråd med statens interesser. I begge tilfeller kan aktørene være å anse som kriminelle. Hvorvidt de involverte vil bli domfelt for aktiviteten, er en helt annen sak.
Det er alltid enkeltindivider som står bak lovbruddene
Til syvende og sist er det alltid enkeltindivider som begår handlingene som er å anse som lovbrudd. Disse enkeltindividene kan operere alene eller de kan operere sammen med andre. I de tilfellene hvor grupperingen ikke opererer direkte på ordre fra en annen stat, omtaler vi de ofte som organiserte kriminelle aktører. Dette forutsetter imidlertid at det er en form for organisering mellom individene som deltar i den kriminelle aktiviteten.
Dette må være grunnleggende også når vi vurderer hva som er cyberkriminalitet, der mange av lovbryterne opererer i et nært samarbeid med hverandre. I denne artikkelen har vi sett nærmere på noen av utfordringene knyttet til å stemple individer som «kriminelle», selv når de utfører det som vi per definisjon – etter lovverket – anser som lovbrudd. Cyberkriminalitet har imidlertid en tendens til å bli en sekkepost hvor vi kaster «alt» som har med lovbrudd i cyberdomenet å gjøre, utført av aktører som vi ikke kjenner motivasjonen til – og som vi heller ikke får straffeforfulgt i en uavhengig domstol. Likevel, og til tross for utfordringene, er vi nødt til å ha et begrep for å omtale den uønskede – og i noen tilfeller – destruktive aktiviteten som begås mot norske borgere og virksomheters IT-systemer. «Cyberkriminelle» og «cyberkriminalitet» er to begreper som ofte benyttes.
Ved at en handling er definert som lovbrudd etter norsk straffelovgivning og aktøren som utfører handlingen derfor er å anse som «kriminell» – er det tydelig uttrykt fra Stortinget, vårt lovgivende organ, at aktiviteten er både uønsket og belagt med straff. Dette bidrar til klarhet for aktørene som har ansvar for å iverksette tiltak dersom lovbrudd blir begått. Herunder etterforskning og straffeforfølgning fra politi og påtalemyndighetens side.
Hvorvidt cyberkriminaliteten faktisk vil bli prioritert og etterforsket av politiet og senere behandlet av en uavhengig domstol, er imidlertid et annet spørsmål. Og som vi har sett i denne artikkelen, er det flere humper på veien til en rettskraftig avgjørelse i domstolen.
Likevel vil jeg avslutte med en viktig oppfordring: Anmeld all cyberkriminalitet, alltid! Det vil på lengre sikt sette oss i stand til å bekjempe denne samfunnsskadelige aktiviteten.
FOTNOTER
[1] Bakke, S. (1. desember, 2024). Cybertrusselbildet - Hva er det og hvordan forholde seg til det?. Stratagem. https://www.stratagem.no/cybertrusselbildet-hva-er-det-og-hvordan-forholde-seg-til-det/
[2] Kongeriket Norges Grunnlov. (1814). https://lovdata.no/dokument/NL/lov/1814-05-17/KAPITTEL_5#KAPITTEL_5
[3] Bakke, S. (16. november, 2023). Samarbeider russiske cyberaktører?. Dagens Næringsliv. https://www.dn.no/innlegg/cybersikkerhet/cyberkriminalitet/gru/samarbeider-russiske-cyberaktorer/2-1-1555461
[4] Sveinbjørnsson, S. (13. desember 2013). DDoS er skadeverk. Digi. https://www.digi.no/artikler/ddos-er-skadeverk/288126
[5] Halvorsen, M. (10. mars, 2022). Norske tenåringer deltar i cyberkrigføring. NRK. https://www.nrk.no/norge/norske-tenaringer-deltar-i-cyberkrigforing-1.15884045
[6] BBC. (14. januar, 2022). REvil ransomware gang arrested in Russia. https://www.bbc.com/news/technology-59998925
[7] Grieg, J. (25. oktober, 2024). Four REvil members sentenced to more than four years in prison. Recorded Future News. https://therecord.media/four-revil-ransomware-gang-members-sentenced-prison-russia
[8] Bakke, S. (29. september, 2024). Kinesiske cyberoperasjoner – alle samfunnets ressurser i bruk. Stratagem. https://www.stratagem.no/kinesiske-cyberoperasjoner-alle-samfunnets-ressurser-i-bruk/
[9] Fokker, J. & Tologonov, J. (31. mars, 2022). Conti Leaks: Examining the Panama Papers of Ransomware. Trellix. https://www.trellix.com/blogs/research/conti-leaks-examining-the-panama-papers-of-ransomware/
Foto: Wikimedia commons
