Dansk strategisk planlægning af cyberdefence

Transkript

1 FORSVARSAKADEMIET Institut for Strategi VUT II-L/STK 2010/11 Kaptajn Carsten Fugleholm Vejleder: Liselotte Odgaard Antal tegn: Dansk strategisk planlægning af cyberdefence Problemformulering På området dansk cyberdefence analyseres det koordinerende og det funktionelle niveau inden for legitimitet, kapaciteter og implementeringsstrukturer med henblik på at stille forslag til ansvarsfordeling, kapaciteter og strukturer, der kan styrke den strategiske planlægning af cyberdefence og derved reducere mangler og overlap i arbejdet, samt bibringe det øget legitimitet

2 Abstract This thesis explores the process of strategic planning in the security policy area cyberdefence in order to suggest how the Danish strategic planning of cyberdefence can be strengthened. Cyberdefence has been chosen because it is a contemporary field of study with new types of threats emerging which challenges the traditional understanding of national borders and hostile action. The thesis thereby seeks to contribute to the strategic planning that is under way by adding a theoretically driven angel. The thesis uses American empirical experiences combined with a newly developed theoretical concept on strategic planning to analyze the ongoing strategic planning of cyberdefence in Denmark. The main points of the thesis are that the best way to strengthen the Danish strategic planning of cyberdefence is to constitute a council under the Ministry of State tasked to develop a policy as grounds for a state strategy on cyberdefence in order to optimize the distribution of resources, and to gather the cyberdefence capabilities under the Ministry of Defense in order to strengthen the prioritization of tasks within cyberdefence. The analysis further indicates that the effort of the state as a whole will be strengthened by articulating and writing national security strategies. 1

3 Resumé Specialet omhandler strategisk planlægning af cyberdefence, og adresserer en problemformulering der lyder således: På området dansk cyberdefence analyseres det koordinerende og det funktionelle niveau inden for legitimitet, kapaciteter og implementeringsstrukturer med henblik på at stille forslag til ansvarsfordeling, kapaciteter og strukturer, der kan styrke den strategiske planlægning af cyberdefence og derved reducere mangler og overlap i arbejdet, samt bibringe det øget legitimitet. Det sikkerhedspolitiske emne cyberdefence er valgt, fordi der i Danmark netop nu pågår strategisk planlægning på området for at imødegå nye trusler af en ny karakter, og specialet derved får relevans ved at kunne bidrage konstruktivt til et igangværende arbejde, der griber bredt ind i det danske moderne samfund. Endvidere synes området hidtil primært at være behandlet ud fra empiriske erfaringer samt reaktioner på angreb i cyberspace på statsligt niveau, hvorfor en analyse af emnet, der er mere teoretisk båret, potentielt vil kunne tilføje noget, der overses i det praktiske arbejde med den strategiske planlægning. Endelig kan specialets analyse anføre indikationer om, hvad det kan betyde for en stats ageren, om en strategi italesættes og nedfældes eller ej. Det synes muligt, fordi analysen af den danske kontekst berører flere myndighedsniveauer og deres tilgang til strategisk planlægning. For at besvare problemstillingen analyseres strategisk planlægning af cyberdefence i Danmark ved at koble amerikanske empiriske erfaringer med et nyt teoretisk koncept for strategisk planlægning med henblik på at favne de fleste og nyeste elementer inden for et felt, der er i en rivende udvikling. Det nye teoretiske koncept om strategisk planlægning, som Forsvarsakademiet har udarbejdet, anvender en inddeling af niveauerne for planlægning i tre arenaer, hvoraf specialet behandler de to øverste, der i specialet omfatter det ministerielle niveau og dets underliggende myndigheder og styrelser. Udgangspunktet i analysen er Forsvarsministeriet og Videnskabsministeriet. Det strategiske koncept anvender fem strategiske nøglevariable til at analysere essensen af indholdet i enhver strategi. I specialet analyseres tre af de fem variable inden for de to arenaer i form af kapaciteter, legitimitet og implementeringsstrukturer. I erkendelse af at USA inden for feltet cyberdefence har en førende rolle inden for forskning, uddannelse og erfaringsindhentning, inddrages udvalgte amerikanske erfaringer i analysen af den danske kontekst for strategisk planlægning af cyberdefence. Den danske kontekst, der anvendes, er den aktuelle i Danmark primo For at forstå den danske kontekst anvendes en kombination af officielle publikationer, websteder og interviews. Specialets struktur indeholder en motivation for det valgte emne, et kapitel, der beskriver den samlede analyseramme, og tre analysekapitler, der leder frem til en samlet konklusion og perspektivering. I det første analysekapitel analyseres baggrund for og målet med de amerikanske empiriske erfaringer med henblik på at kunne vurdere, om erfaringen helt, delvist eller slet ikke er anvendelig at overføre til analysen af den danske kontekst. De 2

4 valgte amerikanske erfaringer tages med til de to sidste kapitler, hvor de supplerer og understøtter elementerne fra den danske kontekst. De to sidste kapitler analyserer hver for sig variablene kapaciteter, legitimitet og implementeringsstrukturer på henholdsvis det ministerielle og underliggende niveau med henblik på at identificere, hvor og hvordan den strategiske planlægning af dansk cyberdefence kan styrkes. De væsentligste konklusioner på baggrund af specialets analyse er, at Danmark har et relativt stort statsligt handlerum og en bredvifte af implementeringsstrukturer såvel nationalt som internationalt, som danner gode forudsætninger for at gennemføre tiltag til at styrke den strategiske planlægning af cyberdefence. Planlægning af cyberdefence i Danmark kan styrkes mest ved dels at oprette et tværministerielt råd under Statsministeriet, der udarbejder policy som grundlag for en fælles strategi for cyberdefence med henblik på at ensrette den statslige indsats og styrke ressourcetildelingen, dels at samle kapaciteter til cyberdefence under Forsvarsministeriets myndighed med henblik på at forenkle og lette den indbyrdes vægtning og prioritering af opgaver inden for feltet. Endelig giver specialets analyse indikationer om, at Danmark godt kan føre en aktivistisk sikkerhedspolitik uden overordnede policy og strategier for indsatsen, men at staten vil kunne nå længere i sin stræben nationalt og internationalt ved at italesætte og nedfælde overordnede sikkerhedspolitiske strategier. 3

5 Indhold Abstract... 1 Resumé... 2 Kapitel 1. Indledning Hypotese Formål og relevans... 6 Hvorfor cyberdefence?... 6 Militær relevans?... 7 Hvorfor statsligt niveau?... 7 Problemformulering: Teori til- og fravalg Strategi og cyberdefence Begrebsafklaring Operationalisering Empiri Amerikansk empiri Øvrig skreven empiri Interview Metode Figur 1: Struktur for specialet Afgrænsning Kapitelinddeling og indhold Formalia Kapitel 2. Analyseramme Teoriens elementer Det Strategiske Koncepts to arenaer Afklaring af elementerne i cyberdefence I den koordinerende arena I den funktionelle arena Operationalisering af valgt empiri og teori Cyberdefence Den koordinerende arena Den funktionelle arena Samlet analyseramme Figur 2: Illustration af specialets analyseramme

6 Kapitel 3. Amerikansk empiri Generelt Anvendeligheden af amerikanske elementer i dansk kontekst Den koordinerende arena Kapaciteter i den koordinerende arena Legitimitet i den koordinerende arena Implementeringsstrukturer i den koordinerende arena Den funktionelle arena Kapaciteter i den funktionelle arena Legitimitet i den funktionelle arena Implementeringsstrukturer i den funktionelle arena Delkonklusion Kapitel 4. Den koordinerende arena Generelt Kapaciteter Legitimitet Implementeringsstrukturer Delkonklusion Kapitel 5. Den funktionelle arena Generelt Kapaciteter Legitimitet Implementeringsstrukturer Delkonklusion Kapitel 6. Konklusion og perspektivering Konklusion Perspektivering Teori Empiri Fordele og ulemper ved italesat strategi Bibliografi

7 Kapitel 1. Indledning 1.1 Hypotese Specialet tager udgangspunkt i tværministerielle processer for strategisk planlægning af cyberdefence 1 samt ministeriernes samarbejde med underliggende myndigheder. Opstillet som hypotese kan det udtrykkes således: Den politiske del af den strategiske planlægning af en strategi for cyberdefence vil foregå fragmenteret og ikke koordineret, hvilket vil give kapacitets- og legitimitetsproblemer, der vil indsnævre statens handlerum unødigt og skabe konflikter mellem forskellige implementeringsstrukturer. 1.2 Formål og relevans Formålet med specialet er at belyse, hvorledes dansk planlægning af strategi for cyberdefence kan styrkes. I fraværet af en national sikkerhedsstrategi (Breitenbauch 2008: 6) er specialet fokuseret på, hvilke forslag til optimering der kan fremkomme, når en teoretisk tilgang til ideel strategiformulering inden for cyberdefence sammenholdes med den proces, der i praksis foregår imellem ministerier og mellem ministerier og deres underliggende myndigheder. Hvorfor cyberdefence? Cyberdefence er valgt som vinkel i specialet, netop fordi der ikke for nærværende eksisterer en dansk strategi for området på statsligt niveau. At en stat inden for et bestemt område ikke eksplicit italesætter og/eller rammesætter tiltag som værende en strategi, behøver ikke at betyde, at der ikke i praksis udvirkes en strategi. Essensen af en strategi kan ses som en proces, der oversætter politiske visioner til opnåelige mål ved at anvende de rådige midler på en brugbar måde (O&K 2011: 7). Således er der en række tiltag på vej i Forsvarsministeriet, Ministeriet for Videnskab, Teknologi og Udvikling (Videnskabsministeriet) og Forsvarskommandoen (FKO) 2, der samlet kan betragtes som en strategi. Derfor vil specialet både kunne bidrage konstruktivt til dette arbejde ud fra en teoretisk tilgang, som kan blive overset i det praktiske arbejde i statens institutioner, samt med en vurdering af fordele og ulemper ved ikke at itale- og rammesætte tiltagene i en samlet strategi. Strategi for cyberdefence er endvidere en del af dansk sikkerhedspolitik, der får stadigt større bevågenhed og relevans i flere fora. Senest blev det fremhævet som et fokusområde ved NATO-topmødet i Lissabon i 2010, og det efterfølgende nye koncept for NATO (NATO New Concept 2010: 5). Et fokus, der blandt andet tager sit afsæt i de angreb i cyberspace 3, som Estland, Georgien og senest Frankrig 4 har været udsat for. Cyberdefence foregår i et globalt domæne, cyberspace, uden de normale fysiske begrænsninger og regler som tid, rum og grænser (Gottlieb 2010: 18). Danmark agerer som statslig aktør med afsæt i Danmarks fysiske placering og afgrænsning. På samme måde agerer internationa- 1 Cyberdefence som begreb anvendes i specialet som værende de sikkerhedsapplikationer til beskyttelse af infrastrukturen for computer informationssystemer mod cyber-angreb. 2 Blandt andet arbejde med CNO, jf. Forsvarsforlig , og Udkast til lovforslag om behandling af personoplysninger i den statslige varslingstjeneste for internettrusler. 3 Cyberspace som begreb anvendes i specialet i betydning af det elektroniske medium af computernetværk, hvori online kommunikation foregår. 4 Et angreb, der skete i december 2010, og dermed efter topmødet i Lissabon, men er seneste kendte eksempel på en stat under angreb i/fra cyberspace. 6

8 le organisationer som NATO og EU ud fra internationalt anerkendte grænser. Cyberspace åbner nye muligheder ved at bryde med disse fysiske grænser. Derved udfordrer cyberspace begreber som det euro-atlantiske område (NATO New Concept 2010: 4) og The Stopping Power of Water (Mearsheimer 2001: ) 5. I forhold til specialet er det relevant at inddrage empiri om cyberdefence, fordi det kan bidrage med noget særligt og/eller nyt fra et domæne uden de traditionelle fysiske grænser og regler, der repræsenterer nye muligheder og sårbarhed (Kramer 2009: 40). Endelig har cyberdefence i forhold til den strategiske planlægning den fordel, at den ikke kun tilhører den egentlige militære søjle, men griber bredt ind i det moderne samfund. Bl.a. ved at omfatte hele rækken af samfundsbærende funktioner, der benytter sig af kommunikation via internettet (Kramer 2009: 491), som fx bankvæsnet, skatteforvaltningen og store dele af kommunal og statslig borgerservice. Derved kan specialet medvirke til at pege på udfordringer i den strategiske planlægning, der går på tværs af statslige sektorer. Derved vil specialets konklusioner kunne gøres bredere og mere anvendelige end ved alene at analysere det militære felt. Militær relevans? Fra et militært synspunkt har specialet relevans, da det adresserer et område, hvor ansvarsfordelingen i forhold til forsvaret af Danmark tillægges nye dimensioner i relation til cyberspace. Er det et anliggende for Forsvarsministeriet, eller er det nødvendigt med en bredere ansvarsfordeling, som igen kan afføde behov for koordineret planlægning? Hvornår er et cyber-angreb et angreb af en fremmed magt på dansk territorium og dermed et anliggende for forsvaret og Forsvarets Efterretningstjeneste (FE), og hvornår er det en kriminel handling, som er et anliggende for politiet og Politiets Efterretningstjeneste (PET)? Derfor synes det relevant at ansvarsfordeling indgår i problemformuleringen. For at holde den militære tilknytning i specialet fokuseres der på den underliggende, funktionelle myndighed, som FKO udgør. Forholdet mellem Forsvarsministeriet og FKO er særligt interessant, fordi det adskiller sig fra andre dele af statsadministrationen: FKO på den ene side er præget af militære beslutningstagere og har en lang tradition i militær strategiplanlægning. Forsvarsministeriet indeholder overvejende civile beslutningstagere med en lang tradition i beslutningstagning og planlægning i et politisk styret felt. Koblingen mellem de to niveauer kan derfor opfattes som udfordret af forskellig tilgang til strategisk planlægning (O&K 2011: 1). Specialet omhandler ikke de særlige, offensive militære kapaciteter, som forsvaret benytter sig af inden for Computer Netværk Operationer (CNO), fordi de alene er et militært anliggende og dermed ikke på samme måde som cyberdefence har interessenter og kapaciteter bredt i statsadministrationen. Hvorfor statsligt niveau? Da specialet omhandler et sikkerhedspolitisk område og dermed Danmark som statslig aktør, synes det relevant at undersøge de processer, der foregår på det ministerielle, koordinerende niveau. Dertil kommer processer mellem det ministerielle og de umiddelbare underliggende myndigheder, der typisk står for den funktionelle planlægning. Underliggen- 5 At fx USA ikke kan udvide sin dominans til mere end regionalt hegemoni på grund af havenes begrænsende virkning. 7

9 de myndigheder medtages med henblik på at belyse, hvorledes politiske visioner og mål omsættes til praksis og delstrategier. På trods af at cyberdefence har fået øget bevågenhed, kan det diskuteres, om emnet fremstår som vitalt for danske interesser. Der kan argumenteres for, at de vitale danske interesser fastsættes på politisk niveau, herunder af regeringen og Folketinget, og at det politiske niveau agerer på befolkningens opfattelse af, hvad der opfattes som vitalt. Cybertrusler mod Danmark kan i befolkningens øjne være ret diffust og dermed vanskeligt at sikkerhedsliggøre. Det kan derfor være en udfordring dels at finde den fornødne legitimitet i befolkningen og dels at oparbejde den fornødne motivation hos underlagte myndigheder, der i praksis skal indfri de politisk fastsatte mål på området. Hvis cyber-trusler ikke sikkerhedsliggøres i forhold til befolkningen, og Cyberdefence dermed ikke opfattes af vital dansk interesse, kan det få den selvforstærkende effekt, at der ofres mindre politisk fokus på emnet. Det kan bl.a. betyde, at tiltag som dem, der blev besluttet på NATO-topmødet i Lissabon, i højere grad iværksættes af embedsværket end af politikerne og implementeres uden koordination med øvrige dele af statsadministrationen. Derfor synes det tillige relevant at analysere legitimitet og implementeringsstrukturer i de processer, der omsætter politik til praktik. Når embedsværket skal omsætte politiske visioner og mål til konkrete handlinger og tiltag, findes det tilsvarende relevant at analysere de kapaciteter, der dels favner oversættelsen fra politik til praktik og dels består af specialister, der kan give praktikken form. Således vurderes legitimitet, kapaciteter og implementeringsstrukturer relevante elementer at medtage i specialets analyse. Essensen af specialets tilgang bliver dermed: Der er i dansk politik ikke tradition for at italesætte strategier for sikkerhedspolitikken, bedst udtrykt ved fraværet af en national sikkerhedsstrategi. Sammenholdt med teori om strategiudarbejdelse synes det derfor sandsynligt, at den samlede indsats risikerer både at efterlade huller og duplikere indsatsområder, eftersom arbejdet ikke foregår med et fælles, politisk defineret udgangspunkt eller rettes mod en fælles vision. På baggrund af ovenstående formål og redegørelse for relevans kan sammenfattes følgende: Problemformulering: På området dansk cyberdefence analyseres det koordinerende og det funktionelle niveau inden for legitimitet, kapaciteter og implementeringsstrukturer med henblik på at stille forslag til ansvarsfordeling, kapaciteter og strukturer, der kan styrke den strategiske planlægning af cyberdefence og derved reducere mangler og overlap i arbejdet, samt bibringe det øget legitimitet. 1.3 Teori til- og fravalg Strategi og cyberdefence Cyberdefence er så nyt et felt, at der ikke eksisterer egentlig teori om emnet. Derfor anvendes empiri fra feltet til at pege på elementer, der kan bidrage til noget nyt i forhold til den strategiske planlægning. Til- og fravalg af empiri om cyber fremgår af empiriafsnittet. 8

10 Strategifeltet er domineret af amerikansk tænkning og udgivelser, der generelt udfoldes i en kontekst, hvor den amerikanske stat, som enlig supermagt siden den kolde krigs ophør, har kunnet udvikle strategier (Suri 2009: 16). Teorierne er derfor meget detaljerede, relativt hierarkisk opbygget og fokuserede på amerikanske supermagtsforhold, som ikke altid er direkte sammenlignelige med forholdene i andre vesteuropæiske lande. Feltet har fokus på en sekventiel arbejdsmetode med begreber som Ends, Ways og Means samt Grand Strategy, Security Strategy og Theatre strategi (Yarger 2008: 26). Fordelene er, at strategierne har været afprøvet, og at en ressourcestærk stat som USA har haft lejlighed til at implementere omfattende og økonomisk tunge strategier, der i mindre stater måske alene ville eksistere som teori. USA har på den baggrund kunnet indsamle erfaringer og videreudvikle strategierne. Supermagtens ressourcer på akademikere og institutioner har endvidere betydet, at der er forsket og udviklet på detaljerede strategier, ikke mindst på hvert enkelt sikkerhedspolitisk område. Det sikkerhedspolitiske felt er tilsvarende bredt i småstater, men her vil der ikke nødvendigvis være de nødvendige ressourcer til rådighed for at undersøge og implementere alle delelementer. Amerikansk forskning og strategiudvikling giver dermed mulighed for indblik i flere detaljer end i mindre stater. Ulemperne ved feltet er, at amerikansk strategitænkning netop tager afsæt i en amerikansk verdensopfattelse, hvor USA som supermagten føler sig forpligtet til at lade strategierne brede sig over andre dele af verden, som det var fx tilfældet i Irak i 1991, Afghanistan i 2001 og igen i Irak i Det er en ulempe, for den ressourcestærke supermagt kan overse lokale forhold, traditioner og fordele ved småstaters statsførelse i dens meget detaljeret strategiske planlægning. Meget detaljerede strategier har yderligere den ulempe, at de er smalt anvendelige og kun på netop de forhold og i den kontekst, de er udviklet til. Særligt har supermagtens militære instrument haft lejlighed til at udbygge sin tradition for strategisk planlægning. Det er en ulempe, da det i flere tilfælde 6 har ledt til, at supermagtens massive tilstedeværelse uden for statens egne grænser har skabt grobund for udarbejdelse/videreudvikling af strategier drevet af den militære ledelse i indsatsområdet frem for af den amerikanske stats ledelse. Endvidere har USA s mange forskningsinstitutioner den ulempe, at de i deres konkurrence om forskningsmidler og præstige kan overse muligheder for synergimuligheder ved samarbejde på tværs af ressortområder. Endelig udgør den traditionelle sekventielle arbejdsmetode med fokus på den strategiske planlægnings stadier en ulempe, fordi den alene omhandler de forskellige stadier uden at give anvisninger omkring det specifikke indhold (O&K 2011: 12). I en stat af Danmarks størrelse og ressourcer er der behov for at udnytte tværfagligt samarbejde, hvor der i praksis arbejdes med mindre hierarkiske fag og niveaugrænser. Derfor er der behov for at anvende en teori, der afspejler en bredere tilgang til strategibegrebet, med forståelse for glidende overgange mellem myndigheder og niveauer. Ud fra en teori, der er anvendelig i dansk kontekst, vil specialet kunne bidrage til at pege på processer og områder, hvor den nuværende praksis kan forbedres, og dansk forsvar derved kan anvende dets ressourcer mere optimalt. 6 Eksempelvis Irak 2003-nu og Afghanistan 2001-nu. 9

11 En sådan teori er udviklet af Forsvarsakademiet i form af Strategisk Koncept (O&K 2011: 1-18). Da konceptet er nyudviklet og anvender begreber, der ikke er en del af det traditionelle strategibegreb, redegøres der her kort for det: Konceptets formål er at udforske strategi som en essentiel del af funktionerne og udfordringerne i en moderne stat. Konceptet bidrager til strategidebatten ved at beskrive, hvorledes strategi formuleres med grundlag i nogle få nøglevariable, der fastlægger essensen af indholdet i strategisk planlægning. Et hovedbudskab i konceptet er, at selvom den strategiske planlægningsproces i statsadministrationen er kompleks med forskellige karakteristika og formål, kan indholdet af strategisk planlægning beskrives med fælles koncepter og variabler. Den tilgang betyder, at politiske visioner oversættes til en strategi af de politisk administrative niveauer, der koordineres og synkroniseres med nøgleinstitutioner i sikkerhedssektoren, og som definerer implementeringen på indsatsområderne. Derved søger konceptet at tilsikre, at det er statsadministrationen, der styrer statens ageren, og ikke de udførende led. For at opnå det arbejder konceptet med tre strategiske arenaer: den koordinerende, den funktionelle og den instrumentale. De tre arenaers strategiske planlægning er alle defineret ved fem nøglevariable: kapaciteter, legitimitet, tid, position og implementeringsstrukturer. De to første definerer råderummet for handling, og de tre sidste definerer, om strategien er adfærds- eller kontekstforandrende. Over det strategiske planlægningsniveau findes de politiske visioner. I den første, koordinerende arena oversættes de politiske visioner til strategier, der kan implementeres med baggrund i den fundamentale ideologiske ide om staten og med koordinationsinstrumenter, der tillader monitering af, i hvilken grad de strategiske mål nås. I den anden, funktionelle arena handler strategi om at udvikle et gangbart samspil mellem muligheder og risici i det omkringliggende miljø og statens kapaciteter til at udnytte de muligheder. Den koordinerende arenas strategi opfyldes gennem en række delstrategier inden for de forskellige funktionelle sektorer. Den tredje, instrumentelle arena er ikke nødvendigvis underliggende i forhold til de to første. Arenaen afhænger af de muligheder og begrænsninger, der er fastlagt af den funktionelle arena. Det betyder ikke, at der eksisterer et hierarkisk forhold de to imellem, men blot at de har forskellige karakteristika og formål. I den instrumentelle arena består strategi af integrerede handlinger eller planer, der vil udstikke og opnår organisationens mål. Grundlaget for strategisk tænkning inden for alle tre strategiske arenaer er de nationale og internationale overvejelser vedrørende de fem nævnte nøglevariable, som udgør indholdet af strategien. De rådige kapaciteter til at opnå et specifikt mål kan være militære, økonomiske, finansielle eller kapaciteter på viden. Kapaciteterne påvirker typen af mål, normer og instrumenter der er til rådighed for staten. Legitimiteten af et bestemt mål afhænger af den kollektive opfattelse i statens, parlamentets og ministeriernes vurdering af retfærdigheden og rigtigheden af de strategiske mål. 10

12 Nøglevariablen tid påvirker, hvilke strategier der er til rådighed for staten. Tidshorisonten til at nå et bestemt mål kan være kort eller lang, og vejen til målet kan dermed være flad eller stejl. Statens position handler om dens interesser og værdier. De er vigtige for at definere substansen af en stats relative indflydelse, set i forhold til andre stater. Derved omhandler variablen definitionen af statens nuværende og fremtidige identitet. Implementeringsstrukturer er rådige kanaler til at indføre en bestemt strategi. De er det maskineri, som planer distribueres, handlinger koordineres, og strategier udfoldes såvel nationalt som internationalt igennem. Specialets ærinde er at analysere på de processer, der foregår mellem ministerierne og mellem ministerierne og deres underliggende myndigheder, herunder særligt FKO, fordi det er på de niveauer, at grundlaget for Danmarks ageren som statslig aktør skabes. Med det aktuelle emne, cyberdefence, er det samtidig dér, den nuværende danske strategiske planlægning på cyber-området er blevet til 7. Derfor er det relevant for specialet at analysere på cyber-området inden for den koordinerende og den funktionelle arena, da de dækker de relevante niveauer. Derved fravælges teori omkring den instrumentelle arena, fordi dens mål er udledt af de to øvrige arenaer og foregår på underliggende udførende niveauer. Da der foregår en fortløbende dialog mellem den funktionelle og instrumentelle arena med henblik på at optimere og justere delstrategierne på baggrund af den udførende myndigheds praktiske erfaringer, kan det ikke undgås, at der i specialet vil være referencer til den instrumentelle arena, men det teoretiske udgangspunkt vil være den koordinerende og funktionelle arena. Konceptets nøglevariable lægger i ordlyd meget direkte op til, at legitimitet og kapaciteter skal indgå i specialets analyse, fordi de udvalgte ministerielle og underliggende myndigheders arbejde med strategi definerer det handlerum, som staten både indad- og udadtil har til rådighed til at opnå et mål, som i dette tilfælde er et effektivt cyberdefence. Konceptet fremlægger, at såfremt staten hverken har rådige kapaciteter eller legitimitet til at realisere et bestemt mål, er den ikke i stand til at gøre noget overhovedet, mens en stat, der har anselige kapaciteter og legitimitet til rådighed, sandsynligvis har et stort råderum for handling. Specialet sigter på at styrke processer og legitimitet og derved enten øge handlerummet eller muliggøre reduktion af tildelte ressourcer. Derfor vælges konceptets dele om kapaciteter og legitimitet at skulle indgå i analysearbejdet. Af de tre nøglevariable, der definerer om en strategi er adfærds- eller kontekstforandrende, er kun implementeringsstrukturer indeholdt i problemformuleringen, der dermed skal være en del af teorigrundlaget. Det i sig selv er ikke tilstrækkeligt argument for et fravalg af tid og position, da de to variable også repræsenterer væsentlige dele af det samlede strategiske koncept. Da specialet tager sit udgangspunkt i en reel dansk kontekst, kan Danmarks position i forhold til det internationale samfund anvendes som et udtryk for den strategiske variable position. Efter murens fald har Danmark ført en markant mere aktivistisk udenrigspolitik end tidligere. Den danske stat har derved i noget omfang gjort op med tidligere tiders opfattelse af en småstats udenrigspolitiske optræden, som en løbende tilpasning til omgivel- 7 Bl.a. er Kommissorium for Etablering af en computer network operations-kapacitet inden for Forsvarsministeriets område etableret i januar 2011 på baggrund af Forsvarsforliget

13 serne. Dermed har Danmark udvirket en egentlig sikkerhedspolitik (Breitenbauch 2008: 6). Danmarks interesser og værdier sigter derved mod, at staten nu og i stigende grad på sigt skal opfattes af andre stater og af Danmarks befolkning som ansvarlig og aktivt deltagende i at gøre verden et bedre og mere demokratisk sted at være (Breitenbauch 2008: 36). Da det også er Danmarks position i dag, vurderes det relevant at fastholde denne danske position, når legitimitet og kapaciteter i den koordinerende og funktionelle arena skal analyseres, da de skal understøtte Danmarks position. Variablen tid varierer typisk i udstrækning, afhængigt af hvilken arena der arbejdes med (O&K 2011: 14), hvor tidshorisonten i den koordinerende arena har tendens til at være lang, i den funktionelle arena tendens til at være middel, og i den instrumentelle arena er tendensen for tidshorisonten, at den er kort. Kontekstforandrende strategier har tendens til at tage længere tid end adfærdsforandrende strategier, da de benytter sig af en mere indirekte tilgang. Er der lang tid til rådighed, er det altså muligt at vælge, om der skal anvendes kontekstforandrende eller adfærdsforandrende strategier, mens der med kort tid til rådighed er mindre råderum til at udøve kontekstforandrende strategier. Da det er specialets sigte at stille forslag til processer og øget legitimitet, der favner så bredt som muligt og dermed ikke er begrænset, af om der ikke er tid til kontekstforandrende strategier, vurderes det en egnet tilgang for specialet at betragte nøglevariablen tid som lang. Det giver de færreste begrænsninger til anbefalingen og understøtter endvidere de tendenser, der knytter sig til den koordinerende og funktionelle arena. Nøglevariablen implementeringsstrukturer fremstår interessant, fordi den favner de kanaler, som den enkelte arena anvender til at iværksætte tiltag. Hvis det viser sig, at der anvendes forskellige strukturer i de forskellige arenaer, synes det oplagt, at noget sådant kan skabe problemer, der vil kunne påvirke legitimiteten af strategien. I forhold til hvordan den danske stat både udad til og internt i staten vil sikre, at en strategi for cyberdefence opnår legitimitet og særligt internationalt tilføres de relevante kapaciteter, fremstår det derfor relevant at inddrage nøglevariablen implementeringsstrukturer i analysen. 1.4 Begrebsafklaring Da emnerne cyber og cyberdefence er relativt nye, kan der være en tendens til, at de tilhørende begreber bruges i flæng og uden øje for, hvor der er overlap eller modstridende anvendelser. Derfor udlægges her argumenteret begrebsanvendelse for specialet. I specialet anvendes begrebet Cyberspace i betydning af det elektroniske medium af computernetværk, hvori online kommunikation foregår, hvilket er en amerikansk ordbogsdefinition 8. Begrebet Cyberpower anvendes i specialet i betydningen at have evnen til at bruge cyberspace til at skabe fordele og påvirke begivenheder i alle øvrige operationelle miljøer og på tværs af magtinstrumenter (Kramer 2009: XVI). Valget af definitionerne for disse to generelle begreber er taget, fordi empirien, der afdækker erfaringer og ophav for cyberspace og cyberpower, er amerikansk. Ved at bruge amerikanske definitioner til de overordnede begreber kan der i specialet arbejdes med den amerikanske empiri uden begrebsforstyrrelser. Begrebet CNO anvendes i specialet omkring de egentlige militære kapaciteter til gennemførelse af defensive, informationsindhentende/informationsudnyttende og offensive militæ- 8 The American Heritage Dictionary of the English Language, Fourth Edition copyright 2000 by Houghton Mifflin Company. Updated in

14 re operationer i cyberspace 9. Cyberdefence som begreb anvendes i specialet som værende de sikkerhedsapplikationer til beskyttelse af infrastrukturen for computer informationssystemer mod cyber-angreb 10. For de to sidste specifikke begreber CNO og Cyberdefence, er der for specialet valgt at bruge dansk militær hhv. NATO/EU definition. De er valgt, fordi specialet i detaljen sigter på at adressere en dansk kontekst, hvorfor det er væsentligt med klare snitflader mellem den civile og militære sektor internt i staten samt som international aktør at relatere sig til det eksisterende militære samarbejde med NATO og det eksisterende civile samarbejde med EU. 1.5 Operationalisering Empiri Amerikansk empiri Cyber-feltet er præget af en overvægt af amerikansk litteratur, og der er særligt siden præsident Obamas tale vedrørende Cybersecurity (Obama 2009: 1) blevet udgivet meget litteratur om emnet. Selvom USA tidligt har været dominerende inden for feltet, er fællesskaber og alliancer som EU og NATO for nærværende i færd med at udvikle systemer og institutioner til at håndterer trusler fra cyberspace 11. Når der skal inddrages empiri til støtte for specialet, vælges empiri fra USA fremfor fra EU eller NATO, fordi USA som supermagt både repræsenterer en suveræn stat, hvilket er sammenligneligt med Danmark, og repræsenterer de fleste praktiske erfaringer med feltet qua dets førende position på uddannelse, forskning, implementering og erfaringsindhentning på cyber-området (Smith 2010: 1). Når amerikansk empiri vælges med henblik på at uddrage elementer, der kan bidrage til strategisk planlægning af cyberdefence i en dansk kontekst, er det væsentligt at stille sig kritisk over for ophavet af denne empiri: Hvordan er cyberdefence blevet en sag med så stor bevågenhed i USA, og hvilke institutioner står bag den statslige tilgang til emnet? Opnås en sådan forståelse er det muligt at overføre og fravælge elementer fra den amerikanske empiri til analysen af en dansk kontekst med blik for de bagvedliggende årsager. I den retning, specialet går, er der brug for at analysere danske forhold ud fra en tilgang, hvor staten agerer som aktør både nationalt og internationalt på et sikkerhedspolitisk område. Derfor vælges det i den amerikanske, omfangsrige empiri hovedsageligt at tage udgangspunkt i én udgivelse: bogen Cyberpower and National Security, der er resultatet af den amerikanske stats ønske om en analyse af området cyberpower. Fordelen ved den er, at bogen er resultatet af en undersøgelse, som US Under Secretary of Defense Policy pålagde Center for Technology and National Security Policy, som hører under US National Defense University, at udarbejde i 2006 (Kramer 2009: XV). Dermed er det et statsligt bestillingsarbejde, hvilket betyder, at arbejdet har fokus på det samme niveau som specialet 9 Rapport fra analysearbejdet vedrørende Computer Network Operations. Forsvarets Materieltjeneste, NATO: Policy on Cyber Defence, C-M(2007)0120. EU: Tilsvarende ordlyd, men kaldet Critical Information Infrastructure Protection, Green Paper on A European Programme For Critical Infrastructure Protection, Bl.a. NATO: Strategic Concept, 2010, s. 5. Medlem af Europakommissionen, Cecilia Malmström, pressemeddelelse, 13. april 2011: Etablering af European Cybercrime Centre i 2013, og oprettelse af Computer Emergency Response Team (CERT) for de europæiske institutioner i

15 og derfor vurderes anvendeligt. Endvidere er det muligt enklere at analysere baggrunden for empirien i relation til specialet, når den bygger på et statsligt behov. For specialet betyder det, at det forud for den teoretiske analyse af en dansk kontekst er relevant at gennemføre en analyse af amerikansk empiri med henblik på at klarlægge baggrunde og mål for de amerikanske elementer af cyberdefence. Med det afsæt kan der foretages et begrundet til- og fravalg af amerikanske elementer, der medtages i den efterfølgende analyse af dansk kontekst. Øvrig skreven empiri Hvor det findes relevant i analysekapitlerne, inddrages eksempler på den strategiske planlægning inden for de udvalgte arenaer fra andre stater. Eksemplerne inddrages, fordi de kan give indikationer om, hvordan en dansk planlægning konkret kan styrkes inden for et bestemt område, når der er konstateret en forskel mellem den ideelle og faktiske planlægningsproces. Empirien for den danske kontekst tager sit afsæt i officielle udgivelser, der beskriver de nuværende processer i ministerierne og deres underliggende myndigheder. De inddrages, fordi de er grundlaget for, hvilke processer der for nærværende forefindes i den koordinerende og funktionelle arena omkring strategisk planlægning, og med hvilken legitimitet den udføres nationalt som internationalt. Hvor de iværksatte tiltag inden for cyberdefence endnu ikke danner tilstrækkeligt grundlag for analyse af den eksisterende danske strategiske planlægning, kan nyere tilsvarende planlægning inden for andre områder inddrages. Det kan give indikationer om, hvordan planlægningen inden for cyberdefence sandsynligvis vil forløbe. Derved kan fortilfældene medvirke til at give input om, hvorledes strategisk planlægning af cyberdefence kan styrkes. Grundet aktualiteten af emnet, og at flere udgivelser omkring cyberdefence alene findes på internettet, anvendes empiri flere steder direkte fra websteder. På grund af internettets flydende og omskiftelige karakter kan anvendelsen af websteder som kilder have mindre troværdighed end trykte kilder. For at imødekomme denne ulempe, anvendes udelukkende statslige, officielle websteder samt websteder for internationale organisationer, der er anerkendt af mange suveræne stater herunder Danmark. Henvisningerne anføres dato for, hvornår opslaget er gjort, således at verifikation af informationen ikke er afhængig af om webstedet siden er blevet ændret. Det vurderes at specialet gavnes mere af at anvende den nyeste tilgængelige empiri, end det skader at bruge et dynamisk medie som websteder. Interview Enkelte interview er gennemført med henblik på at dække den empiri, som ikke fremgår af officiel udgivet empiri på området. Interviewene er gennemført efter den kvalitative metode (Kvale 1996: 277), fordi det, der skulle dækkes, var dybde, nuancer og detaljer hos en lille undersøgelsesenhed. Fejlkilden ved denne metode ligger i, at enkeltpersoner kommer til at stå som repræsentanter for hele myndigheder. Metoden er bevidst valgt, da det er væsentligt at inddrage vurderinger og meninger fra ressourcepersoner inden for feltet. Fejlkilden håndteres/minimeres ved at sammenholde input og udsagn med det eksisterende officielle empiriske grundlag samt ved at udvælge centrale ressourcepersoner i myndighederne. 14

16 Der er udvalgt tre interviewpersoner, som er valgt ud fra, at de alle er ressourcepersoner inden for feltet cyberdefence inden for Forsvarsministeriet, FKO og Videnskabsministeriet og således repræsenterer de koordinerende og funktionelle arenaer. Interviewpersonerne vurderes at have høj grad af pålidelighed og validitet, idet de er statsansatte ressourcepersoner, der alle har arbejdet i flere år med ressortområdet. Der er gennemført semistrukturerede interviews, idet formålet var at undersøge et relativt nyt emne, der blandt andet tager afsæt i en hypotese, med henblik på at indsamle empirisk information om arbejdsprocesser og legitimitet. Spørgsmålene startede derfor i alle tre tilfælde i et fælles afsæt, men udviklede sig i løbet af det enkelte interview, når nye områder blev afdækket. Fordelene ved formen er, at den egner sig til at undersøge menneskers forståelse af betydningerne i deres forståelsesramme og til at beskrive deres oplevelser. Ulemperne er tilsvarende, at interviewene kan blive for personligt følelsesbetonede og for detaljerede. Ulemperne er søgt minimeret ved et ensartet grundlag af spørgsmål og ved at være opmærksom på den enkeltes dagsorden i anvendelsen/analysen af besvarelsen Metode Specialet er bygget op over en analyse af planlægning af en cyberdefence strategis proces og substans med afsæt i én empirisk og to teoretiske dele. Det teoretiske koncept er et billede af en ideel planlægning, og den amerikanske empiri er et udtryk for praktisk erfaring, der er langt fremme på feltet, støttet af mange ressourcer. Analysen i en reel dansk kontekst leder frem til, hvor den strategiske planlægning kan styrkes. Det, specialet metodisk bidrager til den igangværende debat og proces med er, at de nyeste teorier for cyberdefence undersøges for input til strategisk planlægning generelt. Resultatet sammenholdes med et nyt strategisk koncept og anvendes samlet til at påpege mangler og/eller overlap i den eksisterende danske praksis for strategisk planlægning. Der indledes med analyse af, hvilke elementer fra feltet amerikansk cyberdefence der er anvendelige i en dansk kontekst. Resultatet af denne analyse anvendes til at tilføre strategiens koordinerende og funktionelle arenaer relevante empiriske erfaringer inden for cyberdefence, som kunne overses ved en ren teoretisk tilgang. De to arenaer analyseret i hvert sit kapitel, og inden for hver arena analyseres de tre udvalgte nøglevariable, kapaciteter, legitimitet og implementeringsstrukturer. Samlet vil de to kapitler give indikationer på, hvorledes den strategiske planlægning kan styrkes. Faktor Cyberdefence empiri Den koordinerende arena Den funktionelle arena Teori. - FAK: Strategisk koncept FAK: Strategisk koncept Underliggende elementer I amerikansk kontekst: Den koordinerende arena Den funktionelle arena og i begge arenaer Kapacitet Legitimitet Implementeringsstrukturer I dansk kontekst: Kapacitet Legitimitet Implementeringsstrukturer I dansk kontekst: Kapacitet Legitimitet Implementeringsstrukturer Figur 1: Struktur for specialet. 15

17 I kapitlet med konklusion og perspektivering samles op på analysens resultat, og der stilles forslag til, hvorledes den strategiske del af planlægning inden for cyberdefence kan styrkes. Perspektiveringen retter sig mod den arena, der i processen har været mindre fokus på, samt mod, hvad det ville kunne bibringe yderligere at justere på nøglevariablene position og tid Afgrænsning Specialet tager udgangspunkt i situationen i Danmark primo 2011 og afgrænses til inden for cyberspace at omhandle cyberdefence på strategisk niveau. CNO som en særskilt militær kapacitet indgår alene i specialet med de dele, der har med nationale defensive tiltag at gøre. Emnet behandles i den koordinerende og den funktionelle arena og inden for kapaciteter, legitimitet og implementeringsstrukturer. Den instrumentelle arena og variablene tid og position inddrages alene i perspektiveringen, med henblik på hvad der kunne være fremkommet, eller hvad der kan være overset ved specialets valgte fokus. Tidsmæssigt afgrænses specialet fra at inddrage ny empiri fra 15. april Sker der afgørende nyt inden for området efter den dato, inddrages dette alene i perspektiveringen. Af hensyn til at gøre specialet bredest muligt anvendeligt anvender den i direkte reference alene ikke klassificerede kilder Kapitelinddeling og indhold Kapitlerne i specialet er inddelt som følger. Kapitel 1: Gennemgang af problemstilling, formål, relevans, problemanalyse og udledt problemformulering. Endvidere præsenteres den valgte teori i hovedtræk, og endelig behandles specialets operationalisering via metodevalg, empiri og afgrænsning. Kapitel 2: Her sker en operationalisering af den valgte teori og empiri, hvor den omsættes til brugbare værktøjer, således at kapitlet underbygger strukturen og kapitlernes underinddeling. Forud for operationaliseringen redegøres med henblik på en dybere forståelse af den valgte teori og en kategorisering af cyber-empiriens elementer. Kapitel 3: Dette er et empirisk kapitel, der har til formål at analysere, i hvilket omfang og med hvilke forbehold og fradrag den amerikanske empiri vurderes anvendelig på en dansk kontekst. Kapitlet afsluttes med i en delkonklusion, hvor analysens væsentlige elementer fastholdes. Kapitlet er således med til at fokusere de to efterfølgende kapitlers analyse. Kapitel 4: Analyse af den koordinerende arena. Planlægningen af strategi for cyberdefence analyseres inden for den koordinerende arena. Herunder ses der særligt på nøglevariablene kapaciteter, legitimitet og implementeringsstrukturer og med det afledte fokus fra kapitel 3. Kapitlet afsluttes med en delkonklusion, hvor analysekapitlets væsentlige elementer fastholdes, og der trækkes linjer i den samlede analyse. Kapitel 5: Analyse af den funktionelle arena. Planlægningen af strategi for cyberdefence analyseres inden for den funktionelle arena. Herunder ses der særligt på nøglevariablene kapaciteter, 16

18 legitimitet og implementeringsstrukturer og med det afledte fokus fra kapitel III. Kapitlet afsluttes med en delkonklusion, hvor analysekapitlets væsentlige elementer fastholdes, og der trækkes linjer i den samlede analyse. Kapitel 6: Dette kapitel præsenterer den endelige konklusion og besvarer således problemformuleringens stillede spørgsmål. Resultatet er forslag til hvordan ansvarsfordeling, kapaciteter og strukturer kan styrke den strategiske planlægning af cyberdefence, og hvordan strategiplanlægningens legitimitet kan øges. Det gøres samlet, men inden for den koordinerende og funktionelle arena og inden for de tre strategiske nøglevariable, kapaciteter, legitimitet og implementeringsstrukturer. Endelig indeholder kapitlet en perspektivering, der fremfører implikationer fra analysen på, hvilke områder der med fordel yderligere kan analyseres, som fx de resterende to strategiske nøglevariable samt hvad der på baggrund af specialet kan peges på af fordele og ulemper ved at strategier italesættes eller ej. 1.6 Formalia Specialet er udarbejdet med formalia som angivet i Forsvarsakademiets udgivelse Vejledning i udarbejdelse af speciale a 10. september

19 Kapitel 2. Analyseramme 2.1 Teoriens elementer Formålet med afsnittet er at uddybe forståelsen af den valgte teori, da det Strategiske Koncept er nyt og dermed mindre velkendt. På den måde kan den efterfølgende operationalisering arbejde med kendte elementer og begreber. Det Strategiske Koncepts to arenaer Det er relevant at se nærmere på de to strategiske arenaer, med henblik på at det forud for analysekapitlerne står klart, hvor snitfladerne mellem arenaerne går, og hvor langt den enkelte arena strækker sig. De strategiske arenaer anvendes til at definere karakteren af planlægningsprocessen, deres instrumenter og de applikerede spilleregler (O&K 2011: 5). Noget af den amerikansk prægede hierarkiske inddeling af niveauerne fastholdes, idet det anerkendes, at magten til strategisk beslutningstagning tilhører de øverste politiske, administrative niveauer af staten (O&K 2011: 6). Men til forskel for den amerikanske tilgang arbejder det Strategiske Koncept med, at indflydelse på den strategiske planlægning kan komme fra vilkårlige niveauer, og at der derfor ikke er tale om en ren top-downproces (O&K 2011: 6). Det Strategiske Koncepts arenaer medfører, at de forskellige typer af strategisk planlægning ikke alene er defineret som et hierarki af koncepter, der beskriver mål, veje og midler til at beskytte nationale interesser. De defineres som arenaer med forskellige iboende dynamikker og bidrag til den strategiske planlægningsproces (O&K 2011: 6). For den koordinerende arena betyder det, at den omfatter den manipulerende proces, der udvikler policys, som igen omformer idealistiske mål til strategier. Fokus er derfor på at oversætte mål til strategier (O&K 2011: 10). Arenaen nedbryder de normative mål med henblik på at undersøge, hvorledes de kan blive sekvenseret og pakket i sammenhængende strategier, der kan implementeres (O&K 2011: 7). Den koordinerende arena anslår de nødvendige ressourcer for at implementere strategierne og deres gennemførlighed ved brug af forskellige magtinstrumenter. Arenaen arbejder tæt og iterativt sammen med politikerne, og den udvikler de standarder, som staten ønsker at indføre som en del af det internationale og nationale politiske system med henblik på at indfri visionen (O&K 2011: 7). Det er nødvendigt for arenaen at være påvirkelig af offentlige opfattelse af moral både hjemme og internationalt, da målene er normative og derfor afhængige af, hvordan de opfattes. Det betyder, at en nøglefunktion af arenaen er at fastlægge hovedbudskabet i den strategiske kommunikation, der skitserer de berørte statslige mål (O&K 2011: 7). Endvidere er tæt koordination mellem arenaen og alliancer og koalitionspartnere på både internationalt og nationalt niveau nødvendig, da disse repræsenterer både veje og midler til implementering, som generelt er accepteret som legitime (O&K 2011: 8). At arenaen indeholder ansvar for oversættelse af politiske visioner til strategier, betyder samtidig, at den skal forestå fortløbende monitering af implementeringsprocessen. Den koordinerende arena vil skulle tilsikre, at der er sammenhæng mellem den strategiske planlægning, der foregår i alle de strategiske arenaer (O&K 2011: 8). For specialets empiri betyder det, at den koordinerende arena primært omfatter det ministerielle niveau, startende umiddelbart under politikerne/ministrene, samt nævn, arbejdsgrupper og råd, der medvirker til at sætte policy for statsførelsen. Når legitimitet analyseres, skal der ses såvel nationalt som internationalt, og arenaen skal indeholde en kommu- 18

20 nikationsstrategi som et centralt værktøj samt varetage, at der er sammenhæng mellem ministeriernes strategiske planlægning og den planlægning, der foregår hos de underliggende myndigheder. For den funktionelle arena omfatter dynamikker og bidrag til den strategiske planlægning en række delstrategier inden for de respektive funktionelle sektorer, som tager afsæt i strategierne, der er udviklet i den koordinerende arena. Konceptet fokuserer på studie af den sikkerhedspolitiske sektor (O&K 2011: 9). I forhold til strategierne i den koordinerende arena er delstrategierne i den funktionelle arena relativt handlingsorienterede og udgør derfor den funktionelle implementering af visionen (O&K 2011: 9). Processerne i den funktionelle arena er karakteriseret ved, at specifik ekspertise inden for et givent felt giver mulighed for at tænke åbent og kreativt i arbejdet med arenaens egen strategiske planlægning (O&K 2011: 9). I arenaen optimeres eller effektiviseres eksisterende metoder og instrumenter og innovative midler til at opnå, at de strategiske mål udvikles (O&K 2011: 9). Hvor den koordinerende arena havde fokus på at omsætte mål til strategier, har den funktionelle arena sin indsats rettet mod at tilpasse metoder og instrumenter til realiteter på jorden (O&K 2011: 10). For specialet betyder det, at det sikkerhedspolitiske, funktionelle niveau omfatter såvel FKO som styrelser i ministerierne, fordi de typisk indeholder specifik ekspertise inden for styrelsens område. Derved er den koordinerende og den funktionelle arena i højere grad adskilt af deres formål og individuelle processer end af en hierarkisk opdeling, hvilket er i overensstemmelse med konceptet (O&K 2011: 7). Da det er Videnskabsministeriet, der er overordnet sektoransvarlig for computersikkerhed 12, og Forsvarsministeriet der har det overordnede ansvar for det militære forsvar og skal bidrage til at fremme fred og sikkerhed 13, dækkes den funktionelle arena for cyberdefence primært af dele af Forsvarsministeriet, dele af Forsvarskommandoen samt dele af Videnskabsministeriet. 2.2 Afklaring af elementerne i cyberdefence Den valgte empiri analyserer en række forhold, der er relevante for cyber-sikkerhed generelt ud fra et amerikansk, statsligt sikkerhedspolitisk standpunkt. Den primære empiriske kilde anvender en inddeling af begreberne, der ikke umiddelbart kan anvendes i specialets teoretiske analysekapitler. Derfor er det før operationaliseringen relevant at afklare, hvilke elementer inden for cyberdefence empirien anvender, der kan relateres til de koordinerende og funktionelle arenaer, og hvordan de kan grupperes inden for variablene kapaciteter, legitimitet og implementeringsstrukturer I den koordinerende arena Empirien identificerer et behov for en effektivt organiseret kapacitet, der kan udvikle en fælles policy for cyber som grundlag for en national cyber-strategi med henblik på at anvende og udnytte de kapaciteter, som cyberspace tilbyder, samtidig med at staten beskyttes og forsvares imod sårbarheder (Kramer 2009: 11 og 40), og dermed at de overordnede ressourcer fordeles hensigtsmæssigt. 12 Ved Kongelig forordning nr af Lov om forsvarets formål, opgaver og organisation m.v., 1. 19