Trenger Norge en ny nasjonal cyberstrategi?

I Norge har vi i dag ingen militær strategi for bruk av cyberdomenet. Vi har imidlertid en rekke usynkroniserte styringsdokumenter som omhandler norske myndigheters aktivitet i cyberdomenet.[1] Det nyeste nasjonalt forankrede strategidokumentet vi har, er nasjonal strategi for digital sikkerhet, signert av daværende statsminister Erna Solberg i 2019. Strategien er primært defensivt innrettet og fremhever viktigheten av sivil-militært, offentlig-privat og nasjonalt-internasjonalt samarbeid.[2] Den er imidlertid mangelfull når det kommer til å beskrive hvordan norske myndigheter ser for seg å operere offensivt i cyberdomenet. På dette området skiller vi oss dermed fra nasjoner som aktivt opererer i cyberdomenet, herunder noen av våre nærmeste allierte som både Storbritannia og USA.

Kronikken er finansiert av Eckbos legat og første gang publisert på dn.no i samarbeid med Stratagem. 

President Joe Biden gav tidligere i år, i mars 2023, ut amerikanernes nye nasjonale cyberstrategi.[3] Ett år etter at daværende statsminister Boris Johnson i 2022 gav ut britenes nasjonale cyberstrategi.[4] I strategiene fastsetter to av våre nærmeste allierte at de fremover vil operere mer offensivt i cyberdomenet. Blant annet ved å følge, forstyrre og bekjempe trusselaktører, også utenfor britiske og amerikanske IT-systemer. Selv om det historisk sett har vært lite åpenhet knyttet til utførelsen av offensive cyberoperasjoner fra myndighetenes egen side, eksisterer det en rekke godt dokumenterte hendelser i offentlig tilgjengelige kilder. I tillegg har amerikanske forsvarsmyndigheter vist åpenhet i nyere tid om at U.S. Cyber Command har bistått ukrainske myndigheter med å forsvare sine systemer mot russiske angrep. Dette ved å gjennomføre såkalt "hunt forward" operasjoner, hvor de aktivt leter etter tegn på russiske aktørers trusselaktivitet i IT-systemer tilhørende Ukraina.[5]

I de nye strategiene fastslår Storbritannia og USA at de fremover vil ta cyberkampen også på motstandernes banehalvdel. Altså i trusselaktørene egne IT-systemer. På et litt mer cyberfaglig språk, vil kampen føres både i "red-space" og i "gray-space". Der red representerer motstandernes IT-systemer, og gray representerer systemer som verken eies av motstanderen eller av de to nevnte statene. Ett eksempel på "gray-space" kan være infrastruktur som eies av private aktører i Norge, herunder datasentre, som trusselaktøren leier og dermed benytter for å gjennomføre sin trusselaktivitet og ‘angrep’, fra. Dette er imidlertid ikke helt uproblematisk for selskapet som eier IT-infrastrukturen og staten som denne infrastrukturen befinner seg i. Slike problemstillinger har allerede blitt aktualisert. Ett tilfelle som er offentlig kjent, var da U.S. Cyber Command slettet propaganda fra den Islamske staten på servere som stod plassert i Tyskland, uten å gå i dialog med tyske myndigheter på forhånd foruten at de sendte et varsel. Dette skal ha skapt mye frustrasjon.[6]

Denne mer offensive tilnærmingen til bruk av cyberoperasjoner har amerikanske forsvarsmyndigheter gitt offentlig uttrykk for gjennom deres militære cyberstrategier siden 2018. Den gang lanserte Department of Defense konseptene "defending forward" og "persistent engagement". Førstnevnte fokuserer på en offensiv tilnærming til forsvar mens sistnevnte tilsier at det pågår en kontinuerlig maktkamp mellom stater i cyberdomenet.[7] Den pågående maktkampen tilsier ifølge amerikanske forsvarsmyndigheter at man ikke kun bør operere defensivt i egne IT-systemer, i såkalt "blue-space". Men også i red- og grey-space.

Ved å utføre cyber-spionasje og overvåke IT-systemer i "red-space" eller "grey-space", kan de to statene dermed tilegne seg verdifull etterretning som videre kan benyttes i påfølgende operasjoner enten i cyberdomenet eller i den fysiske verden, mot trusselaktørene. Eller de kan utføre cyber-effekt operasjoner som har til hensikt å sabotere eller manipulere IT-infrastrukturen som trusselaktøren opererer ut ifra. Slik at sistnevntes evne til å operere reduseres eller nøytraliseres, med hensikt å forsvare britiske og amerikanske IT-systemer.

En mer offensiv tilnærming til forsvar i kombinasjon med det defensive cybersikkerhetsarbeidet som foregår hos alle de private og offentlige virksomhetene som har ansvar for å sikre egne IT-systemer gir ifølge amerikanerne bedre evne til å forhindre, avdekke og håndtere både staters cyberoperasjoner og ikke-statlig kriminell trussel aktivitet. Også Britene ser i sin nye nasjonale cyberstrategi ut til å ha latt seg inspirere av amerikanernes mer offensive tilnærming, og stadfester nå at de vil benytte National Cyber Force (NCF), en enhet som ble opprettet i 2020 bestående av personell fra både militæret og etterretningstjenesten(e), til å utføre offensive cyberoperasjoner. Også cyber-effektoperasjoner som har til hensikt å sabotere eller manipulere motstanderens IT-systemer.[8]

I Norge har det historisk sett vært relativt lite åpenhet om hvordan myndighetene ser for seg å benytte offensive cyberoperasjoner. Likevel er det i langtidsplanen for forsvarssektoren (Prop. 14S, 2021) beskrevet at Etterretningstjenesten, som i dag er den statlige enheten i Norge som innehar mandat til å utføre offensive cyberoperasjoner, skal øke sin evne og kompetanse.[9] I tillegg har VG tidligere i år publisert en lengre artikkel hvor Etterretningstjenesten viser hvordan de kan operere offensivt for å forsvare det norske strømnettet mot fremmede aktørers operasjoner. Blant annet ved å "hacke" inntrengerens IT-infrastruktur og dermed avverge en potensiell strømstans i deler av Norge.[10] Dette er en mer offensiv tilnærming til forsvar, og i tråd med amerikanernes "defending forward" strategi.

En cybersikkerhetsstrategi bidrar til å angi retning på arbeidet med cybersikkerhet for alle aktører internt innenfor statens grenser. I tillegg kan det å kommunisere offentlig at Norge er villig til å benytte offensive cyberkapabiliteter mot en potensiell angriper, bidra til avskrekking. Dette til tross for at effekten av avskrekking i cyberdomenet både er usikker og kan være vanskelig å fastslå.[11] For virksomheter i Norge som står ansvarlig for å beskytte egne IT-systemer og data og som i tillegg kan være mål for avanserte trusselaktører fra fremmede stater, vil det kunne bidra til forutsigbarhet å vite hvilken støtte man kan forvente å motta fra de nasjonale aktørene som innehar mandat til å benytte offensive virkemidler.

Det er derfor et betimelig spørsmål om ikke også norske myndigheter snart bør flagge sitt strategiske standpunkt til bruk av offensive cyberoperasjoner, i en ny nasjonal cyberstrategi.

NOTER

[1] Wilhelmsen, V., Larsen, T., Lund, M., Svenungsen, B. & Aannø, S., (2021). Jakten på Norges militære cyberstrategi. I T. Heier (Red.), Militærmakt i Nord. Universitetsforlaget.

[2] Regjeringen. (2019a). Nasjonal strategi for digital sikkerhet. https://www.regjeringen.no/contentassets/c57a0733652f47688294934ffd93fc53/nasjonal-strategi-for-digital-sikkerhet.pdf

[3] The White House. (2023). National Cybersecurity Strategy. https://www.whitehouse.gov/wp-content/uploads/2023/03/National-Cybersecurity-Strategy-2023.pdf

[4] HM Government. (2022). National Cyber Strategy 2022. https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/1053023/national-cyber-strategy-amend.pdf

[5] U.S. Cyber Command (28. november, 2022). Before the Invasion: Hunt Forward Operations in Ukraine. https://www.cybercom.mil/Media/News/Article/3229136/before-the-invasion-hunt-forward-operations-in-ukraine/

[6] 6 Smeets, M. (2020). U.S. cyber strategy of persistent engagement & defend forward: implications for the alliance and intelligence collection. Intelligence and National Security, 35:3, s. 444-453.

[7] Department of Defense. (2018). Summary Cyber Strategy. https://media.defense.gov/2018/Sep/18/2002041658/-1/-1/1/CYBER_STRATEGY_SUMMARY_FINAL.PDF

[8] HM Government. (2022). National Cyber Strategy 2022. https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/1053023/national-cyber-strategy-amend.pdf

[9] Prop. 14 S (2020 - 2021). Evne til forsvar – vilje til beredskap – Langtidsplan for forsvarssektoren. Forsvarsdepartementet.

[10] Haram, O. & Hoen, E. (12, januar 2023). E-tjenesten på hemmelig øvelse: – Forberedt på angrep mot det norske strømnettet. VG.https://www.vg.no/nyheter/innenriks/i/onk5xR/e-tjenesten-paa-hemmelig-oevelse-forberedt-paa-angrep-mot-det-norske-stroemnettet

[11] Strand, S. (2022). Strategisk kommunikasjon av cyberkapasiteter. I K. Friis & H. Bergsjø (Red.), Digitalisering og Internasjonal politikk (1. utg., s. 43-59). Universitetsforlaget.


Foto: Hentet fra forsiden til Norges nye cyberstrategi utgitt av utenriksdepartementet i 2017