Hvorfor bør vi bry oss om cyber?

Cyberdomenet er en menneskelig konstruksjon og burde derfor vært relativt enkelt å definere. Imidlertid er sannheten tilsynelatende en annen. Definisjonene er mange og begrepet «cyber» kan for mange oppfattes som et uhåndterbart og høytsvevende uttrykk utstrakt over mange ulike sektorer. Cybermakt, cybertrussel, cyberangrep og cybersikkerhet blir daglig omtalt av media, men i hvilken grad berører dette hver og en av oss? Denne artikkelen er et forsøk på å gjøre cyberdomenet til noe mer konkret og håndterbart og å opplyse om hva cyberdomenet har å si for oss. Jeg vil også sette fokus på risikoen dette innebærer for oss som brukere.

For noen består cyberdomenet av systemer og tjenester som er koblet enten direkte eller indirekte til internett, telekommunikasjonssystemer og andre datanettverk (ITU, 2011). For mange, meg inkludert, inneholder cyberdomenet også brukerne. Cyberdomenet er komplekst og består av mange ulike fysiske, logiske og kognitive komponenter. Avhengig av bruken kan cyberdomenet benyttes til både velmente og ondsinnede formål, og det er den praktiske bruken som er «cybermakt». Min kollega beskriver cybermakt som «evnen til å påvirke materielle og ikke-materielle aktiva på digitale måter» (Knox, 2018), og den kan benyttes for å påvirke noe innenfor eller utenfor cyberdomenet. Aktiva er i denne sammenheng noe som har en verdi innenfor den teknologiske verdenen og som gjør det verdt å beskytte, eksempelvis F35, fregattene eller andre systemer som inneholder sensitiv informasjon.

Samfunnets kritiske infrastrukturer (f.eks. helsetjenester, finansielle tjenester, kraftforsyning, kommunikasjonsnett, vannforsyning, Forsvaret mm.) er daglig utsatt for ulike typer av cyberangrep. Eksempelvis hackingen mot Helse Sør-Øst i 2018 og ransomware-angrepet mot Hydro i 2019, som fikk stor omtale i media. Det største flertallet av angrep som detekteres og håndteres er likevel ukjent for mange, og prinsippet om «ingen nyhet er en god nyhet» er så absolutt gjeldene. I Norge har vi en sektordeling basert på de ulike kritiske infrastrukturene. I cyberdomenet betyr det at de ulike sektorene selv har ansvar for sikringen av sine egne nettverk, inkludert Forsvaret. Å håndtere cyberangrep rettet mot militære nettverk er Cyberforsvarets oppgave.

Oppbygging, drift og vedlikehold av de fysiske og logiske komponentene innenfor cyberdomenet er arbeidsområde for blant annet software designere, system administratorer og tjenesteleverandører. Drift og vedlikehold av Forsvarets kommunikasjonsinfrastruktur er også en av de oppgavene som Cyberforsvaret utøver. Å passe på at våre digitale enheter både hjemme og på jobb er oppdaterte og at vi bruker sterke, ulike passord for autentisering (gjerne to-faktor autentisering, når det er muliggjort av tjenestelevandøren). Imidlertid har alle Forsvarets ansatte et ansvar til å bidra til cybersikkerheten, da spesielt beskyttelse av den kognitive delen. For å gjøre dette, er det viktig å forstå hvordan enkeltpersoner er en del av det store globale informasjonssystemet; en del av cyberdomenet.

Menneske – En del av informasjonssystem

Vi er alle del av ett eller flere informasjonssystemer. Vi samler inn informasjon, som vi videre analyserer, lagrer, redigerer og deler. Informasjon inkluderer ikke bare det språklige, muntlige eller skriftlige, men også alt det som er rundt oss som vi fanger opp via våre sensoriske systemer og sanser. Derfor vil all informasjon som vi føler, påvirke oss, enten vi erkjenner den eller ikke (Halász og Cunnington, 2012).

I dag ser vi en utvikling der digital teknologi kan skape skadelige sansekontekster. Per dags dato er direkte effekter sjeldne, men negative effekter som kommer fra kontinuerlig bruk av digitale midler blir mer og mer vanlig. Eksempelvis er det rapportert om at hørsel og syn kan endre seg som en konsekvens av kontinuerlig bruk. Når bruken av teknologi påvirker alt annet i personens liv (familie, penger, arbeid mm.) snakker vi om avhengighet. Disse plagene blir sett på som selvpåført, men i fremtiden er det sannsynlig å tro at eksisterende digitale metoder kan benyttes til å fremme disse fysiske plagene i større grad.

Imidlertid er verken kroppen vår den mest utsatte eller mest ettertraktede delen å ramme -det er sinnet vårt. Hvis vi tar utgangspunktet i definisjonen av cybermakt som en evne til å påvirke menneske via digitale midler er påvirkning av menneskets sinn en direkte innvirkning av cybermakt. Forskjellen mellom påvirkningstilfeller avhenger av hvem som bruker cybermakt, over hvilken målgruppe og med hvilket formål. Dette vil forsterkes ved bruke av en multisensorisk tilnærming.

I kommersiell sammenheng kalles det sensorisk markedsføring. Farger, mønster, lys- og lyd brukes i kombinasjon for å trekke oppmerksomhet, imponere oss og manipulere humøret. Alt i den hensikt å få oss til å kjøpe et bestemt produkt. Sensorisk markedsføring, spesielt audiovisuelle effekter, brukes også i markedsføring i sosiale medier. Elektronisk markedsføring er også gjort interaktivt ved at forbrukere kan diskutere produkter med de andre forbrukerne og produsenten online.

«Likes», poster og oppfølging av forskjellige profiler, grupper og sider i sosiale medier gir verdifull informasjon om oss som blir benyttet i den kommersielle sektor. Forbrukerrådets rapport «Out of control» (2020) trekker frem hvordan applikasjoner på mobilen fanger opp og sender personlig informasjon til forskjellige selskaper, som igjen selger det videre. Naivt nok er det mange som tenker at slik informasjon er ubetydelig, men det er summen av all informasjon som kan bli skadelig. For Forsvarets ansatte må vi huske at summen av ugraderte informasjon fort kan bli gradert informasjon. For eksempel kan treningsdata, fra mobilapper brukt på jobb av deg og dine kollegaer, avsløre plasseringer av hemmelige militærbaser. Dette har vi sett fra tidligere operasjoner (The Morning Call, 2018).

Det er viktig å huske at mottakerene av informasjonen vi sender ut ikke nødvendigvis blir benyttet innenfor den kommersiell sektoren. Informasjonen er ukontrollerbar og kan derfor bli brukt i påvirkningsoperasjoner for å endre våre tanker, meninger, og etterhvert vår atferd – uten at du som sender kan kontrollere det.

Målrettet trussel mot masser

En studie rundt innlegg på nettstedet Facebook har vist at emosjonell smitte er et faktum. Med andre ord er dette overføring av følelsesmessige tilstander fra en person til en annen over nett, uten fysisk interaksjon mellom personer (Kramer et al., 2014). Dette gir Facebook og profesjonelle «nettroll» en mulighet til å manipulere deg. Profesjonelle nettroll er kjent for å bruke passende emosjonelt innhold, gjennom bilder, tekst og film, for å vekke følelser og forherde holdninger til mottakeren. Under riktige omstendigheter kan den samme handlingen utføres av et helt vanlig individ (Cheng et al., 2017). Noen av de sterke hatytringer i kommentarfelter kan være resulter av dette.

Bevisstgjøringskampanjer, som vaksinasjonskampanjer, er et eksempel på planlagt massemålretting med formål om å fremme befolkningens beste. Vi ser også at ikke- planlagte massemålrettede hendelser kan ha stor påvirkning. Dette så vi i 2018 da et modifisert klipp av en sikkerhetsdemonstrasjonsvideo ble spredt og medførte at borgervernere drepte flere personer som ble anklaget for bortføringen av flere barn i India, uten at disse hadde vært bevist skyldige (BBC, 2018).

«Phishing» e-poster er også eksempel om massemålretting, der e-post blir sendt til mange i håp om at flere vil reagere på den. Phishing e-poster hører til så kalt «social engineering» angrep, og brukes til å overbevise folk til å avsløre tilgangsinformasjon, gi konfidensielle data, og/ eller gjøre handlinger som infiserer datamaskiner med skadelig programvare. Det må sies at «social engineering» ikke er et nytt fenomen. Det å lure mennesker kan gjennomføres på alle samhandlingsmåter: ansikt til ansikt, over telefon, brev, chatterom, innlegg, osv.

Målrettede trussel mot individer

Studier har vist at vi deler informasjon lettere hvis vi blir emosjonelt påvirket (Berger, 2011). Villigheten til å dele personlig informasjon danner grunnlaget for individrettet «spear phishing»-angrep. Dette er blant annet meldinger som tilsynelatende virker legitime og gir et inntrykk av at de er sendt fra en arbeidsgiver, en kollega eller en venn. Ukjente profiler, som oppfattes visuelt attraktive og har en emosjonell historie, er også ofte benyttet. Voksne som er utsatt for slike angrep er ofte offer for økonomisk svindel. Et mål kan være å få tak i brukertilgangen til systemene som enten brukes av angriperen selv eller blir solgt videre. Slik informasjon kan brukes i utpressing, og det er ofte et mål når offeret er et barn.

Som soldat har man tilgang til varierende mengder med gradert informasjon. Man blir dermed ansett som attraktive etterretnings- og påvirkningsmål, uavhengig av stilling, grad eller avdeling. Som enkeltindivid kan dette være lett å glemme i en travel hverdag. Det er flere eksempler der falske profiler har prøvd å fiske ut gradert informasjon eller drive utpressing ved å innblande informasjon fra/om familie og venner. Det finnes eksempler der soldater har mottatt trusselmeldinger vedrørende deres nærmeste (Military Times, 2020).

Det finnes flere tekniske tiltak som kan redusere antallet «phishing»-forsøk. Spamfiltre, brannmurer og sikre nettlesere vil, sammen med stramme personvernregler, bidra til å redusere risikoen for målrettede forsøk. Imidlertid er det mest effektive verktøyet for å motvirke informasjonsinnflytelse og tankemanipulasjon vår egen evne til å tenke.

Kritisk tenking

Det at vi har evne til å tenke er ikke nok. Soldater må inneha en forståelse for risikoen man tar ved å benytte seg av sosiale medier, og aktivt gå inn for å forebygge. Det kan være krevende og slitsomt, men jo mer man øver, jo bedre blir man. Vi må ta oss tid til å tenke kritisk og stille oss selv spørsmål som «hva», «hvem», «hvordan», «hvorfor», «hvorfor akkurat nå» og «hva skjer hvis...». I tillegg må vi lære av egne og andres feil for sammen å bygge opp vår evne til å håndtere utfordringene som kommer parallelt med utviklingen av teknologiens voksende rolle i hverdagen. Sammen må vi lære å ta hensyn og forstå at hver sak har sine særegne synspunkter. Vi må derfor analysere begreper, teorier og forklaringer, samt utforske implikasjoner og konsekvenser til hver sak.

Kritiske forbrukere av informasjon er innforstått med at i et hvert samfunn vil enkelte synspunkter innenfor informasjonsstrømmen oppfattes som mer dominerende enn andre. Som et resultat av dette vil deler av informasjonen bli publisert på et mer privilegert og befalende utgivelsessted. Det er derfor viktig å fremme at ettertraktet informasjon som blir publisert kort tid etter en hendelse ikke nødvendigvis inneholder hele sannheten. Dette er eksemplifisert gjennom en rekke større nyhetssaker nasjonalt og internasjonalt. Dette tvinger oss til å kontinuerlig søke mer informasjon, fra ulike kilder, og forholde seg objektiv til hva man leser (Paul og elder, 2005).

Følgelig er det like aktuelt å være seg bevist når man inntar rollen som sender. Ved å videresende eller produsere informasjon må man stille seg kritisk til hvilket narrativ man ønsker å skape, eller ta del i. Spesielt som soldat, da man representerer noe større en selg selv, uavhengig av intensjon eller hensikt. Er det sann informasjon som jeg publiserer? Har jeg lov til å publisere dette? Er dette noe jeg virkelig står for? Cyberdomenet gir oss muligheten til å spre informasjon til et stort antall i løpet av kort tid, og vi vil aldri ha kontroll over hvem som blir mottakeren. Alt vi legger ut påvirker andre, spørsmål er bare i hvor stor grad og på hvilken måte.

Selvregulering er evnen til å kontrollere egne tanker, følelser og handlinger. (Baumeister, Heatherton og Tice,1995). Ved å mestre god selvregulering vil vi oppnå den nødvendige, kritiske tankeprosessen som forhåpentligvis forhindrer oss i å dele sensitive informasjon når vi er følelsesmessig vekket. Dette er også en motkraft for å dempe avhengighetsskapende atferd. Selv om selvregulering antas å være et relativt stabilt trekk, kan det utvikles ved ekstern påvirkning, f.eks med veiledning og myndiggjøring (Bandura, 1986). Her er konstruktive og motiverende tilbakemeldinger og mentoreringviktigepunkter.Mentoreringerenvanligdel av militære øvelser, og dermed har vi en gyllen mulighet å utvide praksisen i forhold tilcyberdomenet, for å styrke selvregulering og kritisk tenking.

Cybersikkerhet

Definisjonen av cybersikkerhet varierer avhengig av hvem man spør. Personlig vil jeg beskrive det som en verktøykasse av mottiltak som brukes til å hindre cybertruslene rettet mot materielle og ikke-materiell aktiva. Dette innebærer tekniske og logiske mottiltak, men også menneskelige. Dermed er kognitive aktiviteter også en del av cybersikkerheten, og noe alle kan utføre. Å stille kritiske spørsmål og se den større sammenhengen er del av cybersikkerheten. Var det tilfeldig at jeg så en filmsnutt om grovt menneskerettighetsbrudd, når jeg få dager senere skulle reise ned og bidra i en nøytral fredsbevarende operasjon?

Til slutt vil jeg minne om at vi alle må ta del av det ansvaret det foreligger i å benytte seg av dagens teknologi, enten i sammenheng med jobb, skole eller fritid. Vi må opprettholde makkersjekk og passe på at alle rundt oss utviser varsomhet. En overtredelse kan fort få konsekvenser for flere. Forsvarets kjerneverdier: respekt, ansvar og mot, gjelder også i den digitale verden. Jegviloppfordrealletilåtenkeoverihvilkengradduer avhengige av digitale tjenester og reflektere over hva som ville skjedd dersom disse hjelpemidlene ikke lengre var tilgjengelige. Hva er din «back-up» plan?

Jeg vil oppfordre alle til å gjøre sin egen risikoanalyse og lage en beredskapsplan. Ved å ha en velfungerende beredskapsplan er vi som soldater mer resistente mot effekten av cyberangrep, både individuelt og som del av et større fellesskap. Dette er også i seg selv et tiltak mot cybertrussel og dermed del av cybersikkerhet.


Foto: Elevene ved Cyberforsvarets (våpenskoles) cyberteknikerutdanning i klasserommet for undervisning (Anette Ask / Forsvaret)


Artikkelen er publisert i Forposten 4/2019