Cyberpatriotisme – noe vi skal holde oss unna?

«Vi må hacke tilbake» er det mange som gir uttrykk for rundt omkring i verden. Bør vi virkelig hacke tilbake? Forstår vi i det hele tatt konsekvensene av å gjøre noe slikt? Etter min oppfatning er slike ønsker en bekreftelse på at vi fortsatt ikke har den forståelse og modenhet i det som er en ny verden for de fleste av oss – cyberdomenet.

De aller fleste nasjonalstater har, eller i ferd med å utvikle sine offensive kapasiteter i det vi kaller det femte domenet for maktutøvelse – cyberdomenet.
Land, sjø, luft og verdensrommet er de fire første domener som beskrives i militære doktriner. Det har vært skrevet og sagt mye om cyberspionasje, cyberkrigføring og militære cyberkapasiteter de siste årene. Men til tross for forskning og fokus på området tror jeg ikke engang vi vet halvparten av hvilke kapasiteter nasjonalstater virkelig besitter i cyberdomenet. Vi kommer ikke til fullt ut å forstå kapasitetene før noen viser de frem i full skala i en fremtidig væpnet konflikt som mest sannsynligvis involverer alle de fem domenene. Måtte vi aldri oppleve at slike kapasiteter blir tatt i bruk.

Men dette blogginnlegget skal ikke handle om statlige aktører og hva slags kapasiteter de besitter. For det er ikke staten som nødvendigvis roper om at «vi må hacke tilbake» Det er det enkeltpersoner og bedrifter som gjør. Så blogginnlegget skal handle om begrepet cyberpatriotisme eller privat borgervern i cyberdomenet eller cyberspace for å bruke et annet ord. Det skal også handle om ideen enkelte har om å leie inn private selskaper til å hacke tilbake. Det er her jeg mener vi knapt aner konsekvensene av hva det ropes etter.

Cyberdomenet og cyberpatriotisme
Det som gjør cyberdomenet spesielt fra de fire andre domenene, er at det ikke nødvendigvis trengs store ressurser for å gjøre en innsats som saboterer, skaper oppmerksomhet eller i verste fall skader liv eller materiell.

For å si det på en annen måte. Dersom noen fysisk skulle ønske å stanse papirutgivelsen av en riksdekkende avis over hele Norge, ville det ha krevd fysiske ressurser for å hindre produksjon og distribusjon. Det ville også ha krevd fysisk tilstedeværelse på geografiske knutepunkter for å oppnå målet. I cyberspace vil det ikke nødvendigvis ha krevd like store ressurser for å oppnå det samme. Det kreves noe kunnskap, vilje og noe datakraft og det hele kan skje sittende i en kontorstol på andre siden av kloden.

Cyberpatriotisme eller cyber hacktivisme er når noen tar i bruk hackerkunnskapene sine til å markere sine synspunkter som kan være av politisk art eller ut i fra ren nasjonal patriotisme. Det kreves ikke nødvendigvis store ressurser for å utøve sin cyberpatriotisme. Det er også betydelig fysiske tryggere for utøveren enn å løpe gatelangs med våpen i hånd.

I den pågående konflikten mellom Russland og Ukraina er det i skrivende stund rapportert om en økning i cyberaktivitet mellom de to landene. Aftenposten melder i en artikkel at Russland og Ukraina kriger i cyberspace. Jeg skal ikke henge meg opp i begrepsbruken, men er selv lite glad for krigsmetaforen som benyttes sammen med ordet cyber. En britisk general som jeg i farten ikke husker navnet på sa på en konferanse i London for noen år tilbake at i respekt for alle de som hadde deltatt i virkelige krigshandlinger så skulle man slutte å bruke begrepet cyberkrig. Jeg kunne ikke være mer enig.

Ut i fra det vi vet i skrivende stund er det ingen grunn til å tolke den økte cyberaktivitet mellom de to landene på noen annen måte enn at det nettopp er et uttrykk for cyberpatriotisme i en ellers spent situasjon mellom to suverene stater. Med andre ord det er ikke statene som «angriper» hverandre. Det er enkeltpersoner eller grupperinger med sterke sympatier til en av partene.

Men blogginnlegget skulle heller ikke handle om konflikten mellom Russland og Ukraina, så la meg gå litt tilbake i tid.

Når du ringer 911 i cyberspace er det ingen som svarer
I august i fjor deltok jeg på en konferanse i New York hvor jeg fikk anledning til å prate med flere sikkerhetssjefer (CISO) fra noen av de største nord-amerikanske finansinstitusjonene. I samtalene fremkom det mye frustrasjon over cybertrusselen og situasjonen som flere finansinstitusjoner befant seg i. ”We are playing defence and you cant win a war, playing defence” var noe av det som ble sagt og isolert sett er det ikke vanskelig å være enig.

Frustrasjonen kommer fra den konstante hackeraktiviteten som bankene utsettes for og det de mente var mangel på inngripen fra myndighetene, selv om de varslet og anmeldte en rekke forhold.

Flere tok til ordet for større grad av bruk av offensive tiltak mot de som defineres som trusselaktører i cyberspace. «Vi har kunnskap, teknologisk kapasitet og en sterk vilje til å gjøre noe offensivt, men vi kan ikke» sa en av sikkerhetssjefene i New York. Det vil rett og slett være en ulovlig handling og det vil etter hvert bli vanskelig å skille hvem som er «de gode» og hvem som er de «slemme» i cyberspace. «Selv om jeg har aldri så lyst kan du jo tro at jeg får tommelen opp fra styreleder i banken til å hacke tilbake mot organisert kriminalitet» sa en annen frustrert CISO.

Den samme frustrasjonen fikk jeg bekreftet på RSA konferansen i San Francisco i forrige uke hvor noen beskrev frustrasjonen treffende ved å si at når «du ringer 911 i cyberspace så er det ingen som svarer». Myndighetene vil aldri ha ressursene til å beskytte eller fullt ut kunne hjelpe private bedrifter i cyberspace, var en av de andre påstandene som ble uttalt fra scenen i San Francisco. Den enkelte bedrift er i stor grad overlatt til seg selv og det er ikke bare bankene som gir uttrykk for den frustrasjonen.

Det handler om frustrasjon, hevn og selvtilfredsstillelse
Det ble også sagt mye klokt om temaet, men diskusjoner jeg hadde andre med andre konferansedeltakere gjør at jeg ser på retorikken som benyttes som en ytterligere bekreftelse på umodenheten som jeg hevder eksisterer i cyberspace.

Forslag som at hackerne skal hackes tilbake med samme mynt ved at vi skal infiltrere, innhente informasjon, evt. hente vår egen stjålne informasjon tilbake, slette hackernes data, kryptere data, ta kontroll over deres nettverk, sabotere, spionere, mislede eller skape forvirring hos hackerne høres kanskje veldig kult ut, men dersom vi flytter den samme problemstillingen over fra cyberspace til den virkelige verden står vi tilbake med det absolutte kaos og anarki hvor samfunnskostnadene kan bli mye større enn det vi tror vi forsøker å forhindre.

Spesielt reagerer jeg på at det å skulle hacke tilbake skulle være et slags selvforsvar for privatpersoner og bedrifter og det topper seg når det foreslås at vi gjennom å hacke tilbake bare henter tilbake det som allerede er stjålet som om det skulle være en fysisk gjenstand vi er frastjålet. Kunne vi ikke bare erkjenne at det å hacke tilbake i større grad handler om hevn og selvtilfredsstillelse? Hevn for det som allerede er gjort og en tilfredstillelse av å gjøre noe, til tross for at det sannsynligvis skaper en situasjon hvor gjengjeldelse blir norm og konflikter eskalerer til noe enda verre.

Så hva er så mine viktigste argumenter for at cyberpatriotisme eller privat borgervern i cyberspace er en veldig dårlig ide?

Det blir fort en ond sirkel ut av dette

Det blir fort en ond sirkel ut av dette

Det første er det evigvarende utfordringen i cyberspace om attribusjon eller evnen til med absolutt sikkerhet identifisere den som gjør noe uønsket mot deg. Som f.eks. hacking. Det kreves til dels store ressurser for å sikkert identifisere (om det i det hele tatt er mulig) en angriper i cyberspace og jeg har ofte sammenlignet denne problemstillingen med at noen stjeler sykkelen min. Noen uker etterpå hører jeg vage rykter om at den sykkelen er sett i nabokommunen. I min frustrasjon over at politiet (myndighetene) ikke gjør noe med saken, tar jeg saken i egne hender og drar til nabokommunen og stjeler en sykkel. Ikke min, men noen andres.

Jeg har fått min hevn og føler sannsynligvis en tilfredstillelse over å ha «slått tilbake» Men sjansen er stor for at jeg rammer en uskyldig part og det er enda et argument for at det å «hacke tilbake» ikke er fornuftig. Faren for at «hevnen» rammer uskyldige.

Et annet argument er selvsagt det moralske og juridiske aspektet ved å «hacke» eller ta seg inn i datasystemer/nettverk som ikke er ditt. I de aller fleste land er dette noe som er forbudt iht. nasjonal lovgivning og det bekreftes også gjennom internasjonale konvensjoner som forbyr å skaffe seg fortsettlig tilgang til datasystemer uten å ha rett eller samtykke til det.

Kort og godt trenger vi ikke et øye for et øye mentalitet i cyberspace! Vi har da nok av problemer fra før?

Risikoen for at cyberpatrioter eller cyberhacktivister bidrar til å eskalere konflikter mellom nasjonalstater er tilstede og det er ingen ønsket situasjon. Jeg har tidligere påstått her på bloggen at WWW ikke er forkortelsen for World Wide Web, men beskriver tilstanden i cyberspace som Wild Wild West.

Måtte jeg så til de grader ha feil i min påstand!

About Roar Thon

Roar Thon er fagdirektør sikkerhetskultur i Nasjonal sikkerhetsmyndighet hvor han har arbeidet siden 2003. Han har tjenestebakgrunn fra Forsvaret og Politiet. Han har de siste årene arbeidet mye med menneskers bruk av teknologi og hvordan mennesker atferd påvirker sikkerhetstilstanden. Roar er tildelt ITAKT prisen 2012 for sitt engasjement og evne til å formidle sikkerhet. (ITAKT - Internet og Telekombransjens Anti Kriminalitets tiltak)
This entry was posted in Informasjonssikkerhet, Internettsikkerhet. Bookmark the permalink.