Foredrag: Generalmajor Roar Sundseth Sjef Cyberforsvaret «Cyberoperasjoner – Utfordringer i Cyber»

Foredrag i Oslo Militære Samfund

Mandag 18. februar 2013

Generalmajor Roar Sundseth
Sjef Cyberforsvaret

Foto: Kjell Huslid, OMS

«Cyberoperasjoner – Utfordringer i Cyber»

 

Gode kollegaer, mine damer og herrer.

Når jeg står her foran dere i dag er det som sjef for et nytt virksomhetsområde i Forsvaret – Cyberforsvaret. Selv om media har framstilt oss som den nye forsvarsgrenen, er vi ikke formelt etablert som det. Men hvorfor har det da vært nødvendig å ta grepet med å etablere Cyberforsvaret?

La meg starte med å sitere fra Forsvarsjefens foredrag her i Oslo Militære Samfund for ca. en måned siden;

”Vårt samfunn og vår militære evne bruker cyberdomenet på lik linje med land-, luft-, og sjødomenet. Det er i dette området vi er svakest. Ikke bare i Forsvaret, men hele samfunnet. I videreutviklingen av Forsvaret må vi ha kunnskap, forståelse og dybdesyn i forhold til hvordan vi skal møte cyberutfordringen og hvordan vi framover skal handle og opptre i dette domenet”.

 

La meg nå ta dere tilbake til vinterøvelsen i 2005. En F-16 på rekognoseringsoppdrag lokaliserte ett av sambandsknutepunktene til sambandsbataljonen i øvingsområdet. Det ble besluttet å sette inn et spesialstyrke-angrep mot knutepunktet, støttet av to cyberoperatører. Spesialsoldatene sikret knutepunktet, og de to fagspesialistene sikret seg tilgang til kommando og kontrollsystemet til 6 divisjon. De sendte så ut en melding som, kort oppsummert, kunngjorde at de var fienden og at de nå hadde kontroll over K2-systemet. Meldingen ble plukket opp av sambandsoffiseren i brigaden som umiddelbart slo alarm.

La oss stoppe et øyeblikk og vurdere konsekvensene av det som fant sted.

Operative avdelinger kunne nå ikke stole på K2-systemet inntil integriteten var gjenopprettet. En kunne ikke stole på at ordrer som ble sendt var autentiske. Tempo i operasjonene ble i beste fall kraftig redusert, om de ikke stoppet helt opp. Evne til å utøve kommando- og kontroll var sterkt redusert. Alle operasjonsplaner måtte antas å være kompromittert, og all informasjon i nettverket måtte man anta var i motstanderens hender, systemet måtte erklæres som ugradert. Motstanderen hadde, for å si det mildt, alle mulige forutsetninger for å lykkes med sine operasjoner mot Hærens avdelinger i det tidsvinduet 6. divisjon trengte for å isolere fienden i nettverket, rerute sambandet, sette nye kryptonøkler og gjenopprette tilgjengeligheten og integriteten til systemet.

Dette var i 2005 – på de åtte årene som har gått siden den tid har verden endret seg kraftig. En dyktig cyberoperatør kan i dag oppnå de samme effektene som jeg her har skissert, uten å være fysisk til stede på knutepunktet. Behovet for å ha styrker på bakken i en slik operasjon er ikke lenger nødvendigvis til stede og risikoen, både for å ta tap og for å bli oppdaget, er sterkt redusert.

Vi har, siden den gang, sett en kraftig oppbygging av cyberkapasiteter verden over. Både blant våre allierte og blant de som potensielt kan bli våre motstandere.

For et par uker siden ble det forøvrig kjent at amerikanerne har besluttet å fem-doble størrelsen på US Cyber Command.

 

Cyberdomenet er en arena hvor trusler har materialisert seg også hos oss. Ikke minst fordi bruken av det digitale rom og spesielt internett er av vital interesse og betydning for samfunnet vårt. Av den grunn er det også lett å se betydningen av det i en militær sammenheng – vi kan ikke operere effektivt uten tilgang til og beskyttelse av våre ledelsessystemer som alle bruker cyberrommet som transportvei for formidling av informasjon og ordrer.

Jeg ser på cyberdomenet som et globalt menneskeskapt domene som er av like stor viktighet for oss som land-, sjø- og luftdomenet.

Det er nettopp av den grunn jeg vil hevde at det å opprettholde Forsvarets tilgang til, og bruk av, det digitale rom er av vital betydning. Derfor må også militære ledere forstå hva cyberdomenet er og ikke minst erkjenne at den raskt voksende trusselen mot våre datasystemer er en av de alvorligste trusler mot vår nasjonale sikkerhet i årene framover. Hyppige forsøk på inntrenging i våre nettverk og systemer er hverdagen vår. Disse forsøker å kompromittere, stjele, endre eller fullstendig ødelegge informasjon for oss. Derfor er det også av fundamental betydning at våre politiske og militære ledere erkjenner viktigheten av cyberdomenet som et menneskeskapt domene som også er et krigføringsdomene, i likhet med de godt kjente og ”gamle” krigføringsarenaer; land, sjø, luft og rommet.

 

Hva er så dette Cyberdomenet?

Det er et vanskelig spørsmål, og det er utfordrende å gi et presist svar. Jeg skal ikke prøve meg på en definisjon over to setninger, til det eksisterer det fortsatt for mange forskjellige definisjoner, alt avhengig av hvem man spør. Ser vi til vår nye nasjonale strategi for informasjonssikkerhet som ble utgitt av Regjeringen før jul i fjor, så definerer de cybersikkerhet som “Beskyttelse av data og systemer som er koblet til internettet”. I en militær sammenheng så blir dette noe snevert av to primære årsaker. Det ene er at vi har mye IKT som er sårbar, selv om den ikke er knyttet til internett. Det skal jeg komme tilbake til. Det andre forholdet er at vi i militær sammenheng i verste fall står overfor en svært målrettet, ressurssterk og tålmodig motstander som går langt for å få tilgang til systemene våre. Det betyr at de vil bruke, som jeg også kommer tilbake til, metoder for å få tilgang til systemer som også er frakoblet fra internett, og da på en helt annen måte enn det private borgere og næringslivet står overfor.

Jeg drister meg derfor, fra et fagmilitært perspektiv, til å benytte en annen definisjon i dette foredraget. Jeg mener Cyberdomenet er et operativt domene bygd opp av IKT-baserte systemer som bærer og lagrer data og informasjon; eller styrer sentrale militære funksjoner og prosesser i de øvrige fire operative domenene.

Cybersikkerhet vil jeg da si er å bevare integriteten til IKT-baserte systemer som bærer og lagrer data og informasjon, samt å bevare integriteten til de funksjonene og prosessene som styres gjennom Cyberdomenet.

Cyberforsvar eller defensive cyberoperasjoner er i videreføringen av dette de handlinger, rutiner og mekanismer som ivaretar cybersikkerhet, og som gir handlefrihet i samt drifter og utvikler den militære bruk av cyberdomenet.

 

La meg videre gjøre rede for min forståelse av cybertrusselen

Også i det norske samfunnet ser vi at cybertrusselen får mye oppmerksomhet. Vi hører mye snakk om kriminalitet, mobbing og trakassering, om terrorisme, svindel og faren for spionasje og angrep som kan lamme infrastrukturen vår. Jeg har forsøkt å forklare for mange den militære dimensjonen av denne trusselen, men den har hittil fått noe mindre offentlig oppmerksomhet enn de utfordringene som ligger journalister og nasjonens innbyggere nærmere.

Tillat meg innledningsvis, helt kort, å oppsummere de fire hovedmomenter som jeg tidligere har forsøkt å formidle.

  1. Cybertrusslen er økende. Det kan vi ikke komme bort fra. Trusselen øker hurtig, og i et tempo som gjør det svært utfordrende for oss å følge utviklingen. Den er registrert økende fra alle aktører i samfunnet, fra Etterretningstjenesten og Nasjonal sikkerhetsmyndighet til den enkelte borger og bedrift.
  2. Forsvaret blir potensielt mer sårbart. Forsvaret innfører stadig større mengder IKT og høyteknologiske systemer. Den pågående prosessen med å nettverksbasere Forsvaret gjør at vi kan bli mer sårbare og at vi allerede i dag må bygge de sikkerhetsmekanismene som er nødvendig for å gjøre oss tilstrekkelig trygge framover.
  3. Absolutt sikkerhet finnes ikke. Det er, etter vår vurdering, en illusjon å tro at man kan bygge systemer som det er umulig å trenge inn i. Vi må selvsagt gjøre systemene våre så sikre som overhodet mulig. Men, vi må også alltid være bevisst på at systemene våre kan bli infiltrert og derfor ha rutiner for å håndtere inntrenging, degradering og ødeleggelse av nettverk.
  4. Samarbeid er nøkkelen til å imøtekomme trusselen. Alle gode krefter, på tvers av sektorer, offentlig og privat, må samarbeide, og vi må utveksle informasjon og erfaringer med hverandre for derved å gjøre hverandre så trygge som overhodet mulig.

Vår politiske ledelse erkjente i 2012 i den nye Langtidsplanen for Forsvaret at Cyberdomenet er det femte krigføringsdomenet. Denne erkjennelsen var, på mange måter, svært viktig for Forsvaret. Ikke minst fordi det i erkjennelsen ligger en rekke vesentlige konsekvenser for oss. Alle våre operasjoner, all vår øving og all vår trening har fått en ny dimensjon. Vår forvaltning og fredstidsdrift har også fått en ekstra dimensjon å forholde seg til. All vår planlegging, fra skarpe operasjoner til Forsvarets nye IKT-strategi må ta inn over seg og inkludere konsekvensene av denne erkjennelsen. Informasjonssikkerheten og integriteten til Forsvarets kommando- og kontrollsystemer ligger ikke til oss i Cyberforsvaret alene. Hele Forsvarets organisasjon, ned til den enkelte ansatte, må flette dette perspektivet inn i sin daglige aktivitet og sitt daglige virke. Ellers kan konsekvensene bli store.
Jeg og min organisasjon har selvsagt en viktig rolle i dette. Vi skal utvikle bestemmelser, bygge forsvarbare strukturer og planlegge og utvikle de strukturene som vi har behov for i fremtiden. Vi skal også være i stand til å håndtere truslene når og hvor de måtte oppstå i Forsvarets systemer, men det er fortsatt den enkelte ansatte i Forsvaret som er vårt førstelinjes forsvar mot truslene som eksisterer der ute – både sivile og militære trusler.

La meg her også benytte anledningen til å understreke at jeg nok har en mer takknemlig jobb enn mange av mine samarbeidspartnere på dette området. Sikkerhetstenkingen i Forsvaret er god. Bevisstheten er god. Vi er nok den delen av samfunnet som er best når det kommer til denne type trusler. Det forebyggende sikkerhetsarbeidet som har blitt gjort i Forsvaret i all sin tid, og spesielt kanskje under den kalde krigen, gjør at vi er en sikkerhetsbevisst organisasjon.

 

Så noen ord om trusselen – dette fra et militært perspektiv

La oss starte med det åpenbare. De aller fleste militære aktører i verden har tatt inn over seg at det finnes muligheter og utfordringer i det digitale rom. De aller fleste moderne militære organisasjoner har, på lik linje med oss, etablert en kapasitet for å kunne forsvare seg mot trusler i dette nye domenet.

Mange nasjoner har også etablert avanserte organisasjoner som kan drive etterretningshenting og angrep i det nye domenet. Jeg anser det som naturlig, i det at man ser som jeg nevnte, muligheter i det nye domenet, men i det at man ser muligheter i det nye domenet ligger det også en usikkerhet for hvordan trusselen vil utvikle seg. Det sitter tusener av kloke hoder og jobber med metoder for å skaffe seg tilgang til militære datasystemer og for å analysere hva de kan oppnå hvis de får tilgang.

Vi vet ikke hvilke muligheter de kommer til å finne i fremtiden. Det i seg selv er et meget godt argument for å utvikle solide defensive militære kapasiteter. Det har da også, som tidligere nevnt, de fleste væpnede styrker i dag erkjent, og tatt grep for å utvikle.

Jeg leser dette som en erkjennelse av en trussel. Mer spesifikt, en erkjennelse av en trussel med flere fasetter. Skal vi se det fra et norsk perspektiv så snakker vi om en trussel som kan brytes ned til tre primære trusselaktører: Aktivister, kriminelle og nasjonalstater.

For å starte med den mest grunnleggende trusselen: de kriminelle miljøene. Jeg velger å se kriminalitet som en digital trussel som rettes bredt mot hele samfunnet. Her blir Forsvaret i hovedsak et mål som alle andre. De aller fleste kriminelle hendelsene rettes ikke spesifikt mot oss, men bredt mot hele samfunnet. De aller fleste tilfeller av kriminell aktivitet har som mål å sikre økonomisk vinning, være det seg gjennom ulovlig tilegning av persondata, utpressing eller tyveri av kreditkortinformasjon. Vi har også registrert og avverget noen hendelser hvor målet for det som vi antar er kriminelle elementer, har vært å tilegne seg informasjon og kunnskap som så kan selges. Altså grunnleggende spionasje med økonomisk vinning som mål.

Dette er, på mange måter, ikke en trussel som Forsvaret har spesielt stor eierskap til, eller nærer stor frykt for. Det er likevel den trusselen som i omfang er størst. Det er også, av den grunn, den trusselen som krever mest ressurser å håndtere. Samtidig er det også slik at denne trusselen genererer en bakgrunnsstøy som kan gjøre det lettere å gjennomføre mer alvorlige angrep.

Går vi ett steg opp på trusselaktør-listen så finner vi aktivist-organisasjonene. Disse er noe mer kompliserte å forholde seg til. Der hvor kriminelle miljøer, som sagt, stort sett forholder seg til uadresserte trusler, så vil aktivistene som regel ha et klart målrettet fokus. Basert på forskjellige idealistiske motiver, grupperer de seg sammen for å gjennomføre målrettede angrep mot organisasjoner, nettsider eller andre som igjen fremmer oppmerksomhet mot eller i ønsket retning og sånn sett fremmer deres sak. Den mest kjente av aktivistorganisasjonene på nettet er Anonymous, som i situasjoner kan mobilisere tusenvis av data-aktivister. På den andre yttersiden kan vi nevne menig Bradley Manning, den amerikanske soldaten som stjal store mengder dokumenter fra det amerikanske forsvaret og leverte disse til Wikileaks i 2010. Om det er individer eller store grupperinger, aktivistene er en større utfordring for oss, siden de ofte målrettet peker ut Forsvaret som mål, systematisk leter etter svakheter i forsvarssystemene våre og så etterstreber å ramme oss.

Samtidig er aktivistene heller ikke en trussel som i overveldende stor grad truer oss eller kjernen i vår virksomhet. De har evner og ferdigheter til å trenge seg inn i til dels avanserte systemer, om ikke annet fordi de kollektivt bygger seg opp mye kunnskap. De har også systemer som gjør dem i stand til å bruke sin felles datakraft til å ramme systemer som et organisert kollektiv, på en helt annen måte enn det kriminelle miljøer evner. Når heller ikke aktivistene er en stor trussel mot en militær aktør så er det fordi de mangler to sentrale kapasiteter som skal til for å være en tung trusselaktør i Cyberdomenet; organisering og tålmodighet. Siden disse aktivistgruppene som regel er løst organiserte så er langsiktig og detaljert planlegging, etterretning, rekognosering og koordinering sjelden til stede. Snarere tvert om så velger disse aktørene som regel ut et mål, hamrer løs på det i fellesskap for deretter å erklære seier og bevege seg videre mot nye mål.

Likeledes har medlemmene i slike grupperinger, siden de er løst organiserte og ikke lønnes eller tjener penger på aktiviteten, en tendens til å miste fokus etter en kortere periode. Det er sjelden man ser aktivister opprettholde fokus ut over en uke.

Dette står i motsetning til det som er, etter min mening, den virkelig store trusselen i cyber: Advanced Persistant Threats, eller avanserte, gjentagende trusler. Aktivistene kan være avanserte, men de har sjelden tålmodighet til å holde ut over tid. Kriminelle er en kontinuerlig utfordring, men de er sjelden spesielt avanserte i angrepene sine.

Dette skyldes i hovedsak at det kreves store ressurser for å opprettholde avanserte angrep, helst i det skjulte, over tid. Vi lander derfor på at det er nasjonalstater som utgjør den største trusselen, også i det digitale rom.

Det mest kjente angrepet som har funnet sted er Stuxnet-angrepet som ble oppdaget i 2010. Stuxnet var en dataorm, infiltrert inn i kontrollsystemene til det iranske atomvåpenprogrammet med det mål for øye å ødelegge sentrifugene som ble brukt til å anrike uran. Over en periode på mange måneder ble utallige av sentrifugene til iranerne ødelagt. Stuxnet hadde angivelig manipulert spin-syklusene til sentrifugene slik at de for alle praktiske formål ristet seg selv i stykker.

Hvem som står bak er ukjent, og selv om medierapporter hevder det er USA og Israel som står bak, så er ikke dette bekreftet fra offisielt hold. Noe som heller ikke vil skje. Grunnen til at jeg bringer Stuxnet-angrepet på bane er at jeg ønsker å gjøre rede for hva som kreves for å kunne gjennomføre en slik operasjon. Den som er ansvarlig for Stuxnet har måttet drive utstrakt etterretningsvirksomhet for å få kunnskap om hvor anleggene til iranerne ligger, hvilke sentrifuger de bruker, hvilke datamaskiner som styrer de og hvordan disse systemene kan påvirkes. Deretter har man måttet gjennomføre digital etterretning for å finne sårbarheter i sikkerhetsmekanismene til anlegget for å kunne finne ut hvordan man skal infiltrere koden. Videre har man måttet bygge selve våpenet, Stuxnet-koden, og prøvd den ut over tid for å sikre at den hadde effekten man ønsket. Og la meg understreke at dette er ekstremt komplisert kildekode. Svært mye testing ligger bak. Etter tilstrekkelig prøving og testing har så koden blitt infiltrert og deretter har den ansvarlige ventet på resultater som har kommet over lengre tid. For å oppsummere kort: Svært mange mennesker har brukt meget store ressurser over flere år fra ideen ble unnfanget til det første angrepet ble oppdaget. Og, selvsagt, uten at det ligger økonomisk gevinst og venter i andre enden.

Det er bare nasjonalstater som evner å forplikte så store ressurser over tid.

Så nasjonalstater er den største trusselen vi står overfor, og de aller fleste har fått øynene opp for mulighetene i Cyberdomenet. Mange utvikler kapasiteter for å drive operasjoner i det nye domenet, og de fleste av oss jobber også aktivt for å få på plass de nødvendige sikringsmekanismene for effektivt å kunne drive cyberforsvar. Samtidig drøftes de juridiske bindingene og utfordringene knyttet til det nye domenet. Det er mye nytt tankegods som skal frembringes, drøftes og belyses. Samtidig er jeg av den oppfatning at vi allerede har et juridisk rammeverk som er godt nok til å kunne regulere den militære bruken av Cyberdomenet, både hva gjelder defensive og offensive cyberoperasjoner.
Den juridiske utfordringen er ikke ny for oss fagmilitære

Vi snakker, i militær sammenheng, i hovedsak om nasjonal lovgivning og folkeretten, herunder også FN-pakten og de til enhver tid gjeldende konvensjoner og avtaler som Norge har forpliktet seg til å følge.

Noen av disse er av nyere dato, andre er gamle. Moderne militære konsepter passer ikke alltid inn direkte i jussen, og man må se nye konsepter opp mot lovverket og folkerettens intensjon. For oss fagmilitære har vi uansett alltid hatt som praksis å tolke nye fagmilitære konsepter og kapasiteter opp mot gjeldende regelverk og intensjonen som ligger til grunn for dette.

Jeg tror, oppriktig, at regelverket og jussen som vi har er godt nok til å gjøre disse vurderingene. Jeg tillater meg en rask gjennomgang med utgangspunkt i min organisasjons gjøremål, altså defensive cyberoperasjoner.

Tillat meg å starte med det enkle. Selvforsvar. Dersom noen angriper Norge i cyber har vi anledning til å forsvare oss mot angrepet. Det er i utgangspunktet enkelt, selv om det i praksis selvsagt er noe mer komplisert i det at angriperen ikke krysser noen fysisk grense, men kan befinne seg på andre siden av jordkloden – om vi i det hele tatt vet hvem det er. Attribusjon – peke ut den ansvarlige – i Cyberdomenet er svært utfordrende.

Retten til selvforsvar er, med andre ord, ikke nødvendigvis et spørsmål om å bruke makt som reaksjon på et digitalt angrep, men det kan være nødvendig å komme med andre former for reaksjoner. Kanskje Norge må vurdere å stenge tilgangen fra enkelte dataterminaler til norske nettadresser. Kanskje vi må stenge all trafikk fra en annen stat eller stenge enkelte brukere ute fra å kunne kommunisere med våre systemer. Uansett så er vår rett til å forsvare våre interesser, systemer og vår operative evne, rimelig ubestridelig. Jeg ser lite grunnlag for å problematisere dette ytterligere fra et militært perspektiv. Utfordringen derimot ligger i den juridiske og politiske vurderingen og tolkningen av hva som har funnet sted.

Maktforbudet i FN-pakten er, slik jeg tolker det, også dekkende for offensive cyberoperasjoner. Det vil si at bruk av cybermakt, eller trussel om bruk av cybermakt, mot andre nasjoner er forbudt. Forbudet mot maktbruk dekker ikke bare fysisk ødeleggelse som følge av maktbruk, men også ikke-kinetiske konsekvenser som f.eks. manglende evne til nasjonal suverenitetshevdelse, store økonomiske tap, tap av intellektuell eiendom i stor skala eller tap av nasjonal infrastruktur eller naturressurser. Der det brukes ikke-kinetiske virkemidler, for eksempel cybervåpen er det vurderingen av følgeskaden/effekten som er sentral når det skal vurderes om maktforbudet er brutt.

Tillat meg å problematisere dette: Et angrep på styringssystemene for norsk petroleumsindustri i Nordsjøen, kan føre til en stans i produksjonen for en periode. Hvor lang tid, avhenger selvsagt av den tid det tar å identifisere, isolere og rense systemene og gjenopprette normal drift. Et slikt angrep har opplagt konsekvenser for Norge som nasjon. Tap av oljeinntekter, økt risiko for norske borgere som jobber på anleggene, inngrep i nasjonal suverenitet, mulig miljøkatastrofe, med mer. Som ofte er tilfelle, er det vanskelig å bevise hvem som står bak hendelsen. Vi klarer kanskje å spore utgangspunktet for hendelsen til et fremmed land, men evner ikke å påvise hvorvidt det er kriminelle, aktivister eller en stat som står bak. Spørsmålet som blir hengende i luften er selvsagt: Er Norge i krig?

I slike gråsonetilfeller er det vi møter den juridiske og folkerettslige utfordringen i størst grad. Hadde dette vært en hendelse i land- eller sjødomenet hadde det vært ganske så enkelt. Hadde kriminelle eller aktivister inntatt en norsk oljeplattform og med makt stengt ned produksjonen så hadde det, mest sannsynlig, vært ansett som terrorisme. En sak for politiet og med støtte fra Forsvaret. Hadde det vært en annen nasjonalstats væpnede styrker som utførte samme handling hadde nok Norge sett det som et angrep på norsk suverenitet.

Men i grenselandet mellom utfordringen med å koble hendelser i Cyberdomenet til spesifikke aktører, og den distansen som man oppnår mellom handling og trusselaktør i domenet, gjør at det blir vanskelig å komme med absolutte handlings- og reaksjonsmønstre som dekker enhver hendelse. I bunn og grunn vil det måtte være to forhold som legger grunnlaget for nasjonal reaksjon på denne type hendelser. På den ene siden etterretningsinnsamling og analyse av hendelsen som vil kunne gjøre rede for hva målsetningen med handlingen var. Det andre forholdet er, hvilken konsekvens hendelsen har fått? Med utgangspunkt i målsetting og konsekvens vil politiske myndigheter fra sak til sak måtte vurdere hvilke tilsvar Norge som nasjon skal gi på denne type hendelser.

Dette vil også, i gitte tilfeller, kunne føre til at ikke-statlige aktører vil måtte stilles til ansvar gjennom politisk dialog mellom Norge og andre stater hvor disse aktørene har sitt virke. Jeg ser ikke bort fra at det vil oppstå tilfeller hvor Norge må stille krav til at andre nasjoner følger opp sitt ansvar om å sikre at deres innbyggere eller grupperinger innenfor deres grenser ikke aktivt bryter norsk og internasjonal lov.

Jeg utelukker heller ikke at det kan være nødvendig med bruk av myke maktmidler, gjerne i samarbeid med andre påvirkede nasjoner, for å presse nasjonalstater til å ta ansvar for grupperingers handling som har utgangspunkt i deres territorium. Økonomisk press eller blokade er ikke unaturlige reaksjoner dersom hendelser blir alvorlige nok til at det er en rettmessig og proporsjonal respons.

Uavhengig av hvilke respons man ser som naturlig eller relevant, så er det viktig å understreke at det til enhver tid vil være snakk om en politisk kontroll med responsen i dette domenet på samme måte som i de andre fire domenene hvor man driver militære operasjoner.
Hva er så et angrep fra det digitale rom?

Vi ser, i mediene og andre steder, at begrepet «angrep» ofte brukes om de fleste cyberhendelser. Vi ser også at aktivistbevegelser liker å bruke militære begreper når de snakker om sin aktivitet, og sivile aktører bruker også begrepet når de har blitt rammet av denne type hendelser.

For oss fagmilitære er det slik at begrepet angrep veier tungt. Det å bli angrepet er ikke noe som vi tar lett på, og det er en handling som hos oss møtes med klar respons. Det er, med andre ord, et tyngre vektet begrep i den fagmilitære verden enn det er i resten av samfunnet.

Samtidig er det også slik at begrepet angrep i en folkerettslig kontekst er en handling som berettiger legitim bruk av selvforsvarsretten til å gjengjelde med væpnet makt og militære operasjoner. Det varierer selvsagt fra den bruken av begrepet angrep som man benytter i det daglige og som man ser i mediene knyttet til datavirus eller tyveri av persondata og økonomiske verdier.

Jeg finner det derfor hensiktsmessig å drøfte bruken av begrepet angrep. Det er flere utfordringer koblet til dette begrepet. På den ene siden er det utfordrende innenfor vårt virkeområde – cyber å knytte en handling til en spesifikk trusselaktør. Det betyr at vi i praksis sjelden kan si 100 prosent sikkert hvem som står bak en handling. Dette gjør at det uansett vil være vanskelig å utforme en respons på et angrep – i hvert fall i de aller fleste tilfeller.

Samtidig er det også slik at det er viktig å kunne klassifisere alvorsgraden av cyberoperasjoner rettet mot Norge. Om ikke annet så for å vite når man utsettes for hendelser hvor man må orientere og involvere politisk- og militærstrategisk nivå. I sin minst kompliserte form er et angrep en handling som medfører fysisk ødeleggelse, dødsfall eller opprettelig skade på viktige systemer. I slike tilfeller er det få som vil diskutere hvorvidt et angrep har funnet sted. Her finnes naturlig nok også kompliserende faktorer, som hvorvidt konsekvensen var villet og planlagt, eller om den skjedde som en ikke planlagt bivirkning.

Samtidig finnes det også handlinger hvor man ser permanente effekter, men kanskje ikke ødeleggelse eller dødsfall. Storstilt industrispionasje er et eksempel på alvorlige handlinger som kan forsvare en respons fra norsk side, men som ikke utløser selvforsvarsretten i henhold til FN-pakten.

I Forsvaret opplever vi hendelser som faller inn under den sivile bruken av ordet angrep hver eneste dag. Til dels utallige ganger daglig. Men dersom vi skulle brukt angreps-begrepet, som militære, hver gang dette fant sted så ville vi vært i vesentlig trøbbel. Dels fordi vi da bruker upresise begrep som lett kan feiltolkes i våre egne rekker, men også fordi vi vanner ut det som for oss som kollegium er et alvorstynget begrep.

I Cyberforsvaret har vi derfor forsøkt å benytte begrepet uønskede hendelser eller cyberhendelser for å beskrive mindre alvorlige hendelser, og bevart begrepet angrep i sin folkerettslige betydning.

 

Cyberangrep i konvensjonelle militære operasjoner

Et annet belastet begrep som vi ser dukke opp jevnlig i nasjonale og internasjonale medier er cyberkrig. La meg først si at jeg ikke er begeistret for begrepet. Ikke fordi cyberangrep ikke er en del av krigføring, men fordi det gir inntrykk av at det finnes en mulighet for krig og konflikter som utelukkende utkjempes i cyberdomenet. Det tror jeg ikke vil være tilfelle, og det er helt klart ikke tilfelle der vi står i dag.

Derimot er det viktig å erkjenne at angrep i cyberdomenet, og da mener jeg angrep i folkerettslig forstand, vil være en trussel som er og vil forbli en naturlig del av enhver konvensjonell militær konflikt og krig i fremtiden.

Jeg tror også at en av de første indikasjonene vi i fremtiden vil ha av at nasjonen er i fare for å bli angrepet, vil være når vi ser en opptrapping av cyberhendelser mot Forsvaret og kritisk samfunnsinfrastruktur.
Dersom vi skal forsøke å se dette som en del av en større operasjonsplan med en serie parallelle operasjonslinjer, så vil nok planlegging og tilrettelegging for digitale angrep igangsettes tidlig – kanskje før en beslutning om å igangsette et væpnet angrep mot Norge har blitt fattet. Den første indikasjonen på at noe er i gang vil være infiltrasjonsforsøk, kall det digital oppklaringsvirksomhet, mot nettverkene våre. Disse vil ta form ved at man forsøker å finne sårbarheter i nettverkene, finne måter å infiltrere kode på eller forsøk på å få våre ansatte til å gi trusselaktøren tilgang ved hjelp av forskjellige metoder.

Disse forsøkene vil i stor grad være skjult, og en motstander vil mest sannsynlig etterstrebe å skjule seg i bakgrunns-støyen som kriminell aktivitet utgjør hver dag. Dersom de finner hull i systemene våre vil de infiltrere ondsinnet kode som så kan spre seg innenfor nettverket, søke å sikre motstanderen tilgang til høyere graderte systemer eller systemer av høyere viktighet enn de som de i utgangspunktet har sikret seg tilgang til.

Dersom de lykkes med å få tilgang til systemene uten at det blir oppdaget vil de ha to valgmuligheter. Det første alternativet er å avvente til de er klare til å innlede et konvensjonelt militært angrep, og så bruke tilgangen sin til å skape forvirring og kaos umiddelbart i forkant av et angrep. Det er mange former for mål som kan være relevante å ta ut i en slik situasjon. Strømproduksjon og mobiltelefoni vil bidra til å spre usikkerhet og forvirring, samt påvirke logistikk, mobilisering og annen støttevirksomhet som man er avhengig av for å avverge et væpnet angrep. Når man beveger seg over i denne form for angrepsoperasjoner evner man selvsagt ikke lenger å operere skjult, og det vil nok bare være et tidsspørsmål før vi får gjenopprettet en normalsituasjon og kastet motstanderen ut av systemet. Hvor lang tid det vil ta er selvsagt umulig å forutsi, men det vil uansett gi motstanderen et handlingsrom i tid som han kan operere i.
Det andre alternativet for motstanderen vil være å drive forstyrrelsesoperasjoner i nettverkene i en konflikteskalerende fase. Dette kan være hensiktsmessig dersom man ønsker å legge press på motstanderen eller at man velger å bruke cyberforstyrrelser som et mykt maktmiddel i et forsøk på å presse igjennom sin politiske vilje. Utfordringen med å drive forstyrrelsesoperasjoner er å holde tilstedeværelsen i nettverkene skjult, for derigjennom å kunne ha muligheten for å utføre direkte angrep senere. Jo større grad av forstyrrelser man bedriver og aktivitet man har i nettverkene, jo større er faren for at vi blir bevisst på at noen har infiltrert systemet og starter tiltak for å sikre det.

Om vi setter disse operasjonene på en tidslinje fra venstre mot høyre, så vil disse operasjonene i stort foregå tidlig i en operasjon. Cyberangrep vil videre kunne brukes for å understøtte taktiske konvensjonelle operasjoner, også senere i en kampanje.

For Cyberforsvaret som en defensiv aktør er det selvsagt viktig å ha tilstrekkelig kontroll for å kunne avverge denne type angrep allerede i infiltreringsfasen. Det er utfordrende siden motstanderen i et slikt tilfelle vil være en meget profesjonell, kunnskapsrik og ressurssterk aktør. Evnen til å bringe det skjulte frem i lyset og identifisere den avanserte trusselaktøren i en høystakk av støy og cyberhendelser vil være viktig.

Samarbeid og dialog vil være sentralt også her. Dersom noen skulle ønske å starte et større digitalt angrep mot Norge så vil vedkommende mest sannsynlig søke å ramme samfunnet bredt. Det kan bety at infiltrasjon oppdaget av Forsvaret vil kunne bidra til å avsløre en rekke infiltrasjonsforsøk rundt om i samfunnet, som igjen kan være en klar indikasjon på at vi har en alvorlig situasjon under utvikling.
La meg så følge opp med noen tanker om Cyberforsvarets rolle og oppgaver

Min primære oppgave, er å drifte, utvikle og forsvare Forsvarets datasystemer, informasjonsinfrastruktur og nettverk. Dette skal vi gjøre gjennom fred, krise og krig. Videre ut fra dette er det utledet oppgaver knyttet til kompetansebygging, utdanning, styrkeproduksjon, beredskap og investering.

Forsvarssjefen har også gitt meg ansvaret for å lede utviklingen av det nettverksbaserte forsvar, og for å lede konseptutvikling og eksperimentering i Forsvaret. For meg henger dette sammen.

Nettverksbasert forsvar handler om å integrere teknologi, spesielt datasystemer og IKT, inn i den operative planprosessen og om å se muligheter for å utbedre organisasjonsmodeller, ledelsesmodeller og operasjonskonsepter. Alt med det mål for øye å sikre raskere prosesser og hurtigere beslutningssløyfer. Men med nettverksbasert forsvar følger det også sårbarheter. Forsvaret vil, i fremtiden, flette IKT-systemer og teknologi ned til den enkelte soldat. Det vil gi den enkelte soldat bedre situasjonsforståelse, sikre at ordrer går raskere samt gi beslutningstakere bedre kontroll over det militære maktmiddel, men som vi så på vinterøvelsen i 2005 så åpner det også for vesentlige sårbarheter.

Vi soldater er også mennesker, og mennesker gjør seg avhengige av teknologiske løsninger. Dagens ungdom vet, i hvert fall de fleste av dem, ikke opp – ned på kart og kompass. De fleste har GPSer eller smarte mobiltelefoner som gjør dem i stand til å navigere. Men befinner de seg på en fjelltopp i Indre Troms i tett snødrev og slipper opp for batterier har de et problem. Vi må ha en evne til å operere effektivt også om systemene, mot formodning, skulle bli degradert.

Nettverksbaseringen av Forsvaret er viktig, og den er viktig for fremtiden for at vi skal kunne være i stand til å høste optimal operativ effekt ut av de moderne plattformene våre. Et godt eksempel på dette er F-35. Jeg vil driste meg til å påstå at uten Nettverksbasert forsvar så er F-35, på mange måter, bare et nytt fly. Riktig nok et fly som i seg selv er mer moderne, med bedre ytelse og funksjonalitet enn hva vi har på dagens F-16, men fortsatt bare et nytt fly. Den virkelige effekten som Forsvaret som helhet vil høste fra innfasingen av F-35 kommer når flyet knyttes inn i et nettverksbasert forsvar. Når sensorkapasiteten til F-35 gjøres tilgjengelig for Hæren, Sjøforsvaret og Heimevernet og styrker vår felles situasjonsbevissthet. Når våpensystemene i større grad enn i dag kan støtte avdelingene i operasjoner, på tvers av forsvarsgrentilhørighet og når ledelsesprosessene blir raskere og mer fleksible enn det vi har i dag, da vil F-35 gjøre hele Forsvaret bedre, mer robust og mer spisset.

Nettverksbaseringen bygger også, selvsagt, på den informasjonsinfrastrukturen som vi drifter, videreutvikler og forsvarer i dag. Sensordata fra F-35 må mottas på sikre forbindelser ned til bakken, rutes videre gjennom satellittforbindelser, fiberoptiske kabler og radiolinjeskudd for å komme frem til de avdelingene som trenger de data som flyet sender.

Den videre utviklingen av Forsvarets kommunikasjonsinfrastruktur – FKI – er avgjørende for oss. Alle operasjoner vi planlegger og gjennomfører forutsetter bruk av FKIet. Vår evne til forsvarlig forvaltning er avhengig av FKI. Evne til å bygge et situasjonsbilde i luften, på land og på sjøen avhenger av FKI. Kort fortalt er FKI et nav for vår operative evne i fred, krise og krig. Det å ha et tidsriktig, kosteffektivt og robust FKI er derfor mer enn en forutsetning for defensive cyberoperasjoner, det er en forutsetning for Forsvarets operative evne og en viktig operativ leveranse for Forsvaret.
Jeg ønsker avslutningsvis å gjøre noen refleksjoner om hvor vi er og hvor ferden går videre.

Forsvaret er, sammen med resten av samfunnet, på god vei inn i en ny tidsalder hvor rammene for vår virksomhet endres av et nytt trusselbilde som er i hurtig utvikling. Jeg har her i kveld beskrevet min forståelse av trusselen og de utfordringene vi står overfor. Vi ser en økt cybertrussel som er under fremvekst fra tre kanter: Kriminalitet, aktivisme og nasjonalstater. Vi jobber aktivt med å bygge opp tilstrekkelige sikkerhetstiltak til å kunne håndtere denne trusselen.

Det er svært profesjonelle aktører som er aktive på dette området. For kriminelle er det store penger involvert, for aktivistenes del er det mange personer som er villig til å ta del i aksjoner mot samfunnsaktører, næringslivet og myndigheter. For nasjonene er det sterk fokus på å styrke både defensive og offensive cyberkapasiteter, og flere stater putter store ressurser inn på å finne muligheter innenfor det nye domenet.

Som med så mye annet som er nytt så er også dette domenet preget av usikkerhet. Vi vet ikke helt hvilken form fremtidens trusselbilde vil ta, og det gjør oss bekymret.

Samtidig er Norge en nasjon som har alle forutsetninger for å være god på dette nye området. Vi er en teknologisk avansert nasjon, og vi har teknologi, kompetanse og kunnskap nok til å trygge oss for fremtiden – såfremt vi er villige til å prioritere og forplikte ressurser til det. Mange positive ting har funnet sted de siste årene. Norge er bedre rustet for å ivareta informasjonssikkerheten i dag enn det vi var tidligere.
Også innenfor Forsvarssektoren har den positive utviklingen vært merkbar. Langtidsplanen for Forsvaret signaliserte en styrking av de aktørene i Forsvaret som jobber med informasjonssikkerhet. Cyberforsvaret er etablert og Nasjonal Sikkerhetsmyndighet og Etterretningstjenesten ble styrket ressursmessig.

Når det er sagt, teknologisk integrasjon og nettverksbasering gir oss økt operativ evne, men åpner for sårbarheter som allerede i dag må avdekkes og fjernes. Dette jobber vi med hver dag, og jeg har tiltro til at vi vil kunne stå godt rustet for fremtiden – selv om trusselen vil være i hurtig utvikling.

Samtidig ser jeg også at denne nye trusselen i cyber er noe annerledes enn de som vi har stått overfor tidligere. Den er grenseløs, og i liten grad påvirket av tid og rom. Angrep kan, i verste fall, iverksettes på få sekunder – selv om de må planlegges og forberedes over lang tid i forveien.

I dag kan jeg konstatere at vi er i ferd med å bygge et godt og fortrolig samarbeid, basert på tillit, mellom aktørene på vårt område både i Forsvaret og forsvarssektoren, og mot næringsliv, andre etater, akademiske institusjoner og allierte. I samarbeid og dialog skal vi finne vi mulighetsrommet vi trenger for å styrke hverandre på dette området, og for å bygge felles kunnskap og kompetanse for Forsvarets og Norges beste. Det er den raskeste, enkleste og mest effektive måten å imøtekomme denne trusselen på.

 

Takk for oppmerksomheten,

Jeg tar gjerne imot spørsmål fra salen dersom det er noe dere ønsker utdypet

Skriv ut