Trenger Norge et digitalt grenseforsvar?

Cyberkrigføring, forstått som bruk av datateknologi med den hensikt å angripe en annen stats data – og informasjonssystemer, er allerede blitt en essensiell komponent av moderne krigføring. Konflikten mellom Russland og Georgia i 2008 regnes som den første krigen hvor konvensjonelle militære operasjoner ble gjennomført simultant med større cyberangrep. Effekten var sterk: Grunnleggende georgisk infrastruktur ble slått ut.

For alt kan i prinsippet hackes.

Det samme opplevde Ukraina julen 2015, da russerne gjennom et avansert dataangrep greide å koble ut strømmen til vestlige deler av Ukraina. Frykten for cybertrusler generelt og russernes spesielt har vekket den vestlige alliansen. NATO definerte i fjor cyber som det femte domene for krigføring. Det innebærer at dersom et NATO-land blir utsatt for cyberangrep, kan alliansen bruke artikkel 5 og svare med konvensjonelle angrep.

– Cyberdelen kommer til å utgjøre en stadig viktigere dimensjon av internasjonal sikkerhetspolitikk, poengterer Siri Strand, forsker ved IFS med cybertrusler som fagfelt. Digitaliseringen medfører at cyber kommer til å bli integrert i alle dimensjoner som er knyttet til samfunnssikkerhet.

– Fremover blir det meningsløst å skille ut cyberdelen som en separat del fra resten av samfunnet. Det blir like meningsløst som å skille digital markedsføring fra vanlig markedsføring eller sosiale medier fra medier. Cyberaspektet må forstås som en del av helheten og ikke en adskilt sfære, sier Strand til Minerva.

– Et stykke på vei blir dette også et spørsmål om tillit, sier Siri Strand ved Institutt for forsvarsstudier (IFS).

Det norske samfunnet er særlig utsatt ettersom vi, sammenlignet med andre land, er flinke til å digitalisere tjenester. Men det gjør oss også mer sårbare. – Norge er helt i toppen i når det gjelder cybersikkerhet (IKT-sikkerhet), men siden vi er flinke til å digitalisere, blir vi også mer utsatt. For alt kan i prinsippet hackes.

Tilgang til datatrafikken

Et av forslagene for å forbedre norsk cybersikkerhet er såkalt Digitalt Grenseforsvar (DGF), som var navnet Lysne 2-utvalget brukte da det i fjor presenterte rapporten som skulle adressere cybertrusler mot det norske samfunnet (se faktaboks nedenfor).

Et av forslagene er at Etterretningstjenesten (E-tjenesten) får tilgang til all datatrafikk som krysser norske grenser. Det vil også inkludere det aller meste av digital kommunikasjon mellom norske borgere, ettersom skytjenester gjør at SMS/e-poster norske borgere sender seg imellom, i stor grad vil krysse grensen.

– Det store problemet for E-tjenesten er at de mangler tilgang til digitale data og informasjon, og når vi vet at cybertrusselen er reell, er det åpenbart at det vil være nyttig å innføre et DGF. Effekten av DGF er særlig stor for å avdekke cyberangrep, men minskende når det gjelder å avdekke terrorangrep. Det skyldes at kommunikasjon i stadig større grad er kryptert, fremhever Strand.

Kryptering skaper problemer

En av de viktigste konsekvensene i kjølvannet av Snowden-avsløringene er den økte bruken av ”end to end”-kryptering. Altså kommunikasjon som i prinsippet kun er forståelig for sender og mottager. Det har gjort det betydelig mer ressurskrevende for etterretningstjenestene rundt om i verden å få tak i innholdsdata. Denne utviklingen gjør det enda viktigere å få på plass DGF.

– Kryptering gjør det vanskeligere for E-tjenesten å fange opp nødvendig informasjon. DGF gjør det mulig å analysere datatrafikken, inkludert metadata – altså data om data, IP-adresser, tidspunkt, og lignende. Enkelt forklart er forskjellen på metadata og innholdsdata at førstnevnte er det som står på utsiden av en konvolutt, mens sistnevnte er selve innholdet i brevet. I tillegg til kryptering gjør volumet av datatrafikk det vanskelig å identifisere relevant kommunikasjon. Men DGF kan gi mye etterretningsverdi ved å analysere metadata, noe som er et mindre inngrep i personvernet, sier Strand.

Metadata mindre inngripende

Argumentet om at metadata er mindre personvern-inngripende ble brukt da Obama forsvarte USA etter Snowden-avsløringene, og er blitt kritisert av flere personvernforkjempere. Særlig fordi man ikke trenger mye metadata om en person for å konkludere omkring personens adferd.

– Det er riktig at metadata kan gi mye informasjon om en persons aktivitet. Nettopp derfor har også Lysne II-utvalget foreslått ulike kontrollmekanismer, blant annet domstolskontroll før E-tjenesten kan søke etter data. Men et stykke på vei blir dette også et spørsmål om tillit: Tror man at statlige myndigheter ikke evner å regulere E-tjenesten? I så fall skjønner jeg at man er skeptisk til DGF og i grunnen det meste av slike statlige fullmakter, uttaler Strand.

– Så hva risikerer vi dersom vi ikke innfører DGF eller noe lignende det Lysne 2-utvalget har foreslått?

– Faren er da at Norge mister egen etterretningskapasitet, og at vi blir mer avhengige av andre staters digitale grenseforsvar. I økende grad vil vår E-tjeneste måtte be om etterretning fra andre stater, og det kan være begrenset i hvor stor grad andre stater vil ønske å dele informasjon med Norge, uten at vi har relevant informasjon å tilby i gjengjeld. Videre kan vår infrastruktur brukes til å utføre cyberangrep mot andre land, og vi vil ha en svekket evne til å utføre retrospektiv analyse – altså kunne bedømme hvem som utførte angrepet, og hvor det startet.

Uten DGF vil Norges evne til å bistå i internasjonalt samarbeid være svekket. Vi blir både mer sårbare og en mindre attraktiv samarbeidspartner. Og hadde vi ikke hatt samarbeidspartnere med slike cyberkapasiteter, hadde det trolig vært veldig mye vanskeligere for Norge å unngå å innføre det, avslutter Siri Strand.


Fakta om Digitalt Grenseforsvar (DGF)

Kilde: Lysne 2-utvalget


Intervjuet er hentet fra temanummeret om overvåkning, Minerva nr. 4/2017.