Jacobsen og Liebetrau: Hvorfor udeblev cyberkrigen i Ukraine?

26.03.2022


Cyberkrigen har endnu ikke ramt Ukraine. Og meget tyder på, at vi generelt har overvurderet cyberkrigens rolle i moderne krigsførelse. I stedet blomstrer hacktivismen, som kan føre til misforståelser, utilsigtede cybereffekter i NATO-lande og ultimativt en eskalation af konflikten mellem NATO og Rusland stiger.

Analyse af Jeppe Teglskov Jacobsen, adjunkt, Forsvarsakademiet og Tobias Liebetrau, postdoc, Sciences Po Paris

I de seneste to årtier har diskussionerne om cyberkrig raset. Politikere, journalister, militærfolk og forskere har stået i kø for at forudsige, hvordan den militære anvendelse af cyberoperationer i krig ville ændre fremtidens krigsførelse. Baseret på erfaringerne fra skadelige russiske cyberoperationer – som ved det amerikanske valg i 2016, mod det ukrainske el-net i 2016 og NotPetya i 2017 – var forventningen blandt mange iagttagere, at Rusland ville understøtte invasionen af Ukraine med en bølge af cyberangreb. Cyberangreb, der skulle forringe det ukrainske forsvar ved at blokere kommunikation og navigation og svække samfundets modstandskraft ved at lamme kritisk infrastruktur. I dagene op til invasionen så scenariet ud til at blive til virkelighed. Russiske cyberoperationer slettede data hos ukrainske regeringsorganer og hjemmesider blev oversvømmet med trafik af de såkaldte DDoS-angreb.

Men de kampafgørende og infrastrukturlammende cyberangreb er indtil videre udeblevet. Krigens første måned har dermed sat spørgsmålstegn ved, om Rusland har evnen og viljen til at gøre brug af offensive cybervåben. Mere generelt har krigen også givet os et indblik i, hvilken rolle cyberangreb spiller i moderne krigsførelse og ikke mindst de mange risici, som afhængigheden af globalt sammenkoblende computernetværk, har medført.

Forklaringer på Ruslands ageren i cyberspace
Det korte svar på den udeblevne cyberkrig er ret simpelt: bomber, missiller og soldater på jorden er bare bedre til at forårsage fysisk skade på bygninger, materiel og mennesker end cyberangreb. Og det er nemmere at verificere skaden. Målrettede cyberangreb, der kan integreres med konventionelle angreb, tager tid at planlægge og er svære at koordinere. Det kræver mere end dygtige hackere at udføre lammende og kampafgørende cyberangreb. De militære hackere skal ikke kun kunne snyde uforsigtige slutbrugere eller finde fejl i og udvikle computerkode, de skal også forstå, hvordan et tognetværk, atomkraftværk eller militært system teknisk fungerer. Dette tager tid at afdække. Og det tager tid i smug at få adgang til og kunne kontrollere de dele af computersystemerne, der styrer de sprængfarlige og skadelige processer.

 

Den russiske efterretningstjeneste, der tidligere har vist både evne og vilje til at udføre omfattende, destruktive cyberangreb, holder muligvis cybervåbene i reserven, så der er en mulighed for, at de kan bruges i fremtiden – mod både Ukraine og NATO
_______

 

Selv hvis hackere har haft tid at forberede målrettede cyberangreb, der kan understøtte en eksisterende militær operation, skal det koordineres med de konventionelle militære kapaciteter, så de russiske angrebsmaskiner undgår at forstyrre eller ramme hinanden. Det kræver gode og afprøvede kommunikationskanaler fra det taktiske niveau (soldaterne på jorden) til det operative niveau (planlægningen af de forskellige operationer, som samlet set skal føre til opnåelsen af det strategiske mål). Samtlige stater kæmper i dag med den integrationsproces af militære cyberoperationer. Fra den første måned af krigen i Ukraine tyder alt på, at Rusland endnu ikke har knækket koden.

Den manglende russiske integration kan også meget vel skyldes, at invasionen ikke blot kom som en overraskelse for de mange vestlige militæranalytikere. Flere kilder har rapporteret om russiske officerer, der på grænsen til Ukraine i dagene før startskuddet for invasionen endnu ikke vidste, hvad der skulle ske. De havde med andre ord ikke tilstrækkelig med tid til den faktiske, operative planlægning – og slet ikke den endnu komplekse integration af militære cyberoperationer.

Som krigen har udviklet sig tyder meget ligeledes på, at russiske soldater og officerer i stigende grad har gjort sig afhængige af kommerciel teleinfrastruktur for at kunne opretholde taktisk og operativ situationsforståelse på jorden og give meningsfulde ordrer om angreb eller tilbagetrækning. Sammenholdt med et overraskende robust ukrainsk cyberforsvar, udgør det væsentlige forklaringer på udeblivelsen af selv mere simple cyberangreb, som – hvis folkeretten ikke er en russisk prioritet – relativt nemt burde kunne forstyrre de ukrainske, kommercielle kommunikationsnetværk.

Samtidig giver cyberspace særdeles fordelagtige muligheder for spionage. Der er dog store overlap mellem cyberangreb og cyberspionage, da det ofte er de samme tekniske sårbarheder og teknikker, der kan udnyttes både i sofistikerede militære cyberoperationer og til indhentning af vigtige efterretninger. Derfor tyder meget på, at Rusland prioriterer indhentning af information frem for militære cybereffekter. Gives prioritet til efterretningsvirksomhed, kan det dog betyde, at den russiske efterretningstjeneste, der tidligere har vist både evne og vilje til at udføre omfattende, destruktive cyberangreb, muligvis holder cybervåbene i reserven, så der er en mulighed for, at de kan bruges i fremtiden – mod både Ukraine og NATO.

Kampen om narrativet
Til trods for at militære cyberangreb ikke har spillet en nævneværdig rolle, er cyberforstyrrelser ikke helt fraværende. Her er det dog især pro-ukrainske hackere, der har fået opmærksomhed, og hacker-kollektivet Anonymous’ velkendte ”Guy Fawkes” maske ses nu igen på diverse Twitter-feeds og i avisartikler.

I starten af marts opfordrede den ukrainske vicepremiere minister, Mykhalio Fedorov, aktivistiske hackere til at forstyrre og irritere Moskva. De såkaldte hacktivister har siden taget ansvaret for en række cyberhændelser, der flittigt citeres i diverse nyhedsmedier. Hundredvis af russiske hjemmeside er blevet midlertidig lagt ned, fra børsen i Moskva til Ruslands føderale sikkerhedsagentur. Det russiske rumagentur og Ruslands censurorgan har set store mængder af fortrolige data lækket. Og gruppen Cyber Partisan har endnu engang formået af forstyrre jernbanesystemet i Hviderusland.

Men hacktivisme er ikke kampafgørende. De hackede system kan ofte hurtigt genoprettes, og langt størstedelen af Anonymous støtter er ikke hackere men ”informationskrigere”, der hjælper med at dele historierne om de succesfulde drillerier, protester og irritationer. Ukrainsk musik og videoer fra krigen på russiske tv-stationer og hackede elbilladestandere med beskeden ”Putin is a d*ickhead” bringer minder til Anonymous storhedstid – dengang Scientology blev mødt med en strøm af ubetalte pizzabestillinger, nøgenbilleder og sorte papirer i printeren, fordi de ville censurere en penibel video af Tom Cruise.

 

En foreløbig lære af krigen i Ukraine er, at når krigen raser, så bidrager cyberoperationer til at støtte kampen om narrativet snarere end kampen om territorium
_______

 

Selvom den strategiske effekt er tæt på ikke-eksisterende, er drillerierne ikke uden betydning. De indgår i den informationskamp, der foregår på begge sider i forsøget på at styre fortællingen om, hvad der sker i Ukraine og Rusland. En foreløbig lære af krigen i Ukraine er altså, at når krigen raser, så bidrager cyberoperationer til at støtte kampen om narrativet snarere end kampen om territorium.

Cyberrisici og faren for eskalation
Udliciteringen af hacking til ikke-militære enheder er dog ikke uden risiko – og især ikke når krigen er i gang. Hacktivisternes cyberangreb er ofte uforudsigelige. De opnår adgang til og påvirker systemer, hvor det er muligt. Men cyberspace er komplekst. Computere er knyttet sammen på kryds og tværs, og påvirkes én computer i ét land, kan det meget vel sprede sige vidt og bredt.

I 2017 udførte den russiske efterretningstjeneste GRU et cyberangreb, der havde til formål at ødelægge filer hos ukrainske, statslige organer, der havde installeret et bestemt, sårbart bogholdersystem. De russiske hackere havde imidlertid ikke sikret sig, at angrebet ikke kunne sprede sig. Firmaer overalt på kloden blev således påvirket med en milliardregning til følge, herunder hos danske Mærsk, der måtte lukke mange af firmaets havne. Cyberangrebet, der blev døbt NotPetya, er et eksempel på, at det kræver grundighed at undgå utilsigtede følger.

Hacktivisterne, der i øjeblikket mobiliseres, er ikke kendt for deres grundighed. Der er derfor en risiko for, at et cyberangreb foretaget af aktivister i NATO-lande – hvis juridiske status er uafklaret internationalt – løber løbsk og får alvorlige konsekvenser i Rusland. Det kan meget vel tvinge Kreml til at reagere og dermed eskalere konflikten.

Modsat har cyberkriminelle grupper fra Rusland erklæret deres støtte til ”den russiske befrielse af Ukraine”. Indtil nu har disse grupper nydt godt af, at Kreml har set igennem fingre med, at de har tjente styrtende med penge ved at kryptere data hos virksomheder og offentlige institutioner og kræve løsesum for at dekryptere (de såkaldte ransomware-angreb).

Ransomware-angrebet på Colonial Pipeline, der i nogle få dage i maj 2021 stoppede for transporten af olie på den amerikanske østkyst, understregede imidlertid uhensigtsmæssigheden ved, at kriminelle grupper bevæger sig ind på den sikkerhedspolitiske spillebane. FBI formåede at få nogle af pengene tilbage, politisk pres opløste gruppen kortvarigt, og præsident Biden opprioriterede indsatsen mod cyber kriminalitet. Det er med andre ord mere sikkert og mere bæredygtigt for kriminelle at ramme ikkesamfundskritiske funktioner.

Med krig i Europa og de russiske cyberkriminelles udmeldinger er det dog langt fra sikkert, at fortolkningen af, hvad der er kriminalitet, og hvad der er en krigshandling i cyberspace, er den samme som i maj 2021. En sådan uklarhed om fortolkningen af cyberangreb i krig samt det tilspidsede geopolitiske landskab gør det endnu mindre sandsynligt, at de igangværende forhandlinger om internationale normerne for god statslig adfærd i cyberspace vil føre fremskridt med sig. Det betyder kort sagt, at det er op til den enkelte stat at fortolke, hvornår et ransomeware-angreb fra russiske kriminelle – hvis forbindelse til Kreml er uafklaret – vil være en handling, der kræver et alvorligt sikkerhedspolitisk svar. Det uafklaret fortolkningsrum øger risikoen for misforståelser og ultimativt eskalation.

Den manglende juridiske afklaring af, hvem der faktisk kan siges at være ”cyberkombattanter” og derved mål for militære angreb kompliceres yderligere af, at USA har udsendt en ”cybermission” til Ukraine. Missionen skal efter alt at dømme spionere, men den kan også meget vel skulle støtte cyberforsvaret af den ukrainske infrastruktur. Med den amerikanske cyberforsvarsstrategi, der er kendetegnet ved ”fremadrettet forsvar” og ”vedvarende engagement” (dvs. tilstedeværelse i modstanderens netværk og forhindring af cyberangreb, inden de finder sted), udgør de amerikanske cybermissionshold endnu en kilde til mulig eskalation.

Placeringen mellem krig og fred
Vi kan drage tre foreløbige konklusioner fra Ukraine-Rusland krigen, når det kommer til cybertruslen. Den første er, at virakken om cyberkrig som et selvstændigt fænomen, hvor den kritiske infrastruktur kollapser og nationer paralyseres, har været præget af hyperbolske dommedagsscenarier. Den anden er, at krigen har understreget udfordringerne ved integration mellem konventionelle militære operationer og cyberoperationer. Det tredje konklusion er, at skadelige cyberangreb primært fungerer som gråzonevåben, som bliver brugt, når lande vil undgå eskalation til krig, men stadig gerne vil styrke deres langsigtede strategiske position (ofte i det skjulte med mulighed for at benægte et hvert kendskab til cyberaktiviteterne) eller sende et politisk signal (som ikke er sanktioner).

Selv med et betydeligt forbehold for den specifikke kontekst for krigen, peger konklusionerne i retning af, at cyberkrig ikke er den primære cybersikkerhedsudfordring, Danmark står overfor. Det synes langt mere sandsynligt, at Danmark i fremtiden vil være mål for hyppige cyberangreb, der ikke lever op til definitionen af krig eller væbnet konflikt. Rusland, Kina, Nordkorea og Iran har længe udført cyberspionage og støttet eller set igennem fingre med cyberkriminelle, der underminerer dansk økonomi og konkurrencedygtighed. Og de har systematisk forsøgt at svække tilliden til vores demokrati og offentlige debat gennem misinformationskampagner og datalæk.

Hvad end udfaldet af krigen mellem Rusland og Ukraine bliver, er det forventeligt, at Rusland i en situation, hvor landet vil være voldsomt presset af langvarige vestlige sanktioner, vil bruge cyberaktiviteter, der placerer sig på grænsen mellem krig og fred til at signalere utilfredshed med og opposition til Vesten på en måde, der undgår at eskalere til konventionel krig mellem NATO og Rusland. ■

 

Med krig i Europa og de russiske cyberkriminelles udmeldinger er det langt fra sikkert, at fortolkningen af, hvad der er kriminalitet, og hvad der er en krigshandling i cyberspace, er den samme som i maj 2021
_______

 



Jeppe Teglskov Jacobsen (f. 1985) er adjunkt ved Forsvarsakademiets Institut for Militær Teknologi, hvor han koncentrerer sin forskning og undervisning om staters politiske og militære adfærd i cyberspace, samt muligheder og udfordringer ved fremtidens datadrevne kampplads.

 Tobias Liebetrau (f. 1986) er postdoc på Sciences Po Paris og associeret forsker på Dansk Institut for Internationale Studier. Han forsker i politiske og strategiske aspekter af cybersikkerhed, digitalisering og teknologiudvikling. ILLUSTRATION: En brændstoflager brænder efter rusissk angreb på området, Kalynivka, 25. marts 2022. [FOTO: Fadel Senna/AFP/Ritzau Scanpix].