Cyberspace forbi den sidste grænse?

Transkript

1 85 Kapitel 5 Cyberspace forbi den sidste grænse? Jesper Laybourn Christensen Den informationsteknologiske infrastruktur som arnested for forståelse og udklækning af fremtidens nye trusler På og af nettet tilføjes det klassiske trusselsbillede en ny dimension i takt med samfundets datalogisering. På overfladen udligner fordelene ved den informationsteknologiske udvikling måske nok den forøgede effekt af krig, terror og kriminalitet, der kan følge i dens kølvand. Men på undersiden løber det hele sammen i en strategisk dynamik, der kaster en skygge over det 21. århundredes stadig mere teknologiafhængige samfund: Hvor det er sandsynligt, at ethvert tiltag med tiden fremprovokerer et bevidst og kreativt forsøg på at omgøre eller udmanøvrere det. Dette afstedkommer den paradoksale samtidige tilstedeværelse af succes og fejl, på en måde, der tilføres mere dynamik jo større effekt det oprindelige tiltag har. 1 En evig gråzone mellem succes og fiasko, sikker og usikker. Strategisk og sikkerhedspolitisk ved vi altså, hvad vi står overfor, selvom det virker nyt og ildevarslende. Viden om kommende sikkerhedsmæssige udfordringer er ikke komplet uden en undersøgelse af den binære verden som den fjerde dimension i fremtidens trusselsbillede. 2 Det teknologiske spektrums samlede indflydelse er for stor til at blive undersøgt under én overskrift. Der er dog brug for en overordnet sigteretning for at bibeholde fokus i det omfattende materiale. Derfor anviser denne artikel en mulig retning for arbejdet med at identificere, prioritere og konfrontere de potentielle 1. Edward N. Luttwak, Strategy: The Logic of War and Peace (Cambridge, MA: Bellknap Harvard, 1987), p De binære tal, som består af nul- og ettaller i forskellig mængde og rækkefølge udgør grundstenene i den datamatiske verden på samme måde som RNA og DNA gør det i den biologiske verden. Se eventuelt: Binære talsystem Wikipedia, < wiki/bin%e6re_talsystem>.

2 86 DET 21. ÅRHUNDREDES TRUSLER farer, der ligger i computerteknologiens fagre nye verden. 3 For at holde fokus på det teknologiske felt søges ikke en videre teoretisk referenceramme i for eksempel risikosamfundet. 4 Den binære dimensions indvirken på den fysiske verden er allerede en del af de overvejelser, den svenske Krisberedskapsmyndigheten (KBM) gør sig i forbindelse med forsvaret af det åbne samfund. 5 Deres analyse af Sasser-ormen s angreb i begyndelsen af maj 2004 tydeliggør koblingen mellem computerteknologi, krig, terror og kriminalitet som en væsentlig del af det 21. århundredes trusselsbillede. Denne tekst lader de tekniske udredninger i hænderne på fagfolk og fokuserer i stedet på selve relationen mellem samfund og teknologi: Hvorfor det er vigtigt at beskæftige sig med denne dimension? Hvad er det, vi har med at gøre? Hvordan har vi med det at gøre? Og hvor fører det hen? Undersøgelsen viser et internet, der er på vej ud over sine tidligere grænser. Et samfundsomspændende net, cyberspace, er i fremvækst. Her hersker en tilstand, der ligner den naturtilstand, Thomas Hobbes beskrev. Samfundets normale sikkerhedsgarantier er ophævet, så samtidig med at vi får adgang til alle de muligheder, den informationsteknologiske udvikling giver, åbnes samfundet i en paradoksal strategisk dynamik også for udnyttelse og overgreb. Når menneskekroppen til sidst også kobles til dette cyberrum gælder det samme for den. Udfordringen af kroppens grænser er således det endelige billede på de trusler, cyberspace rummer for det 21. århundrede. Civile, soldater og alle andre er på vej til at blive medlemmer af en ny overordnet gruppe. De afhængige kommer til at stå overfor de muligheder og trusler, der er forbundet med den tætte sammenvævning af menneske, samfund og teknologi, der 3. Med tak til Steen Nordstrøm, Monica Andersen og Mads G. Jørgensen for inspiration og diskussion samt til Bertel Heurlin og Sten Rynning for overhovedet at gøre arbejdet muligt. Ethvert ansvar er naturligvis forfatterens alene. 4. Et analytisk perspektiv, der beskæftiger sig med sammenhængen mellem problemer og muligheder i samfundets udvikling. Især fremført af den tyske sociolog Ulrich Beck i Risk Society, Towards a New Modernity (London: Sage Publications, Oversat fra tysk af Mark Ritter og med en introduktion af Scott Lash og Brian Wynne. Oprindeligt udgivet i 1986). 5. Bertil Lindberg, Kartläggning och bedömning av konsekvenser av Sasser-masken i samhället, Rapport Dnr. 0562/2004 (Stockholm: Krisberedskapsmyndigheten, Informationssäkerhets- och analysenheten, 23. juni 2004), < Browser/Publikationer/Ovriga%20publikationer/KBM/slutrapport_sasser_2004.pdf>.

3 87 finder sted i cyberspace. Denne nye afhængighed vil definere fremtidens trusselsbillede. Derfor udfærdiges til slut nogle forståelsesrammer til brug i det kommende arbejde med disse udfordringer. På den baggrund udlægger konklusionen nogle sikkerhedsmæssige perspektiver for den teknologiske udviklings indvirkning på det fremtidige liv i cyberspace. Udviklingens vigtighed Analytisk set var det Platon, der brugte kyber først. Dengang havde ordet at gøre med styreformer og altså det sociale rum. 6 Siden forbandt science fiction-forfatteren Douglas Adams og mange andre ordet med computerteknologi under en stadig bredere hat. Under betegnelsen cyberspace udforskes i det følgende den betydning, sammensmeltningen af disse områder har for det 21. århundredes trusselsbillede. Cyberspace er produktet af den struktur, der dannes af de netværk af netværk, der tilsammen udgør nettet. Dette net rummer lige så mange farer som muligheder. 7 Enhver, der har evnen, kan vende fortegnet på en netbaseret mulighed eller funktion fra positivt til negativt. Hvis ikke man kunne det, ville muligheden ikke være en del af nettet, hvis bærende princip netop er universel tilgængelighed. Denne komplekse sammenhæng gør, at udnyttelsen af cyberspacebaserede muligheder er ubrydeligt forbundet med faren for overgreb. Med andre ord: Alt, hvad der kan sikres, kan hackes. 8 Denne tilstand kaldes her mulighedsfaren. Det er på grund af den, at det er vigtigt at lægge mærke til, at nettet via teknologiske fusioner er ved at flyde over i det 6. Ordet kybernetes, der på græsk betyder styrmand, gav senere bl.a. mening til en bredere systemteoretisk sammentænkning, der under navnet kybernetik integrerede forskellige genrer som blandt andet biologi, sociologi, matematik og neurofysiologi i en egentlig samfundsanalytisk retning. 7. Betegnelsen nettet henviser således til både internettet, den struktur det opretholder og internettets egen infrastruktur. Normalt er det selve internettet, der kaldes netværkenes netværk, men for nærværende er det altså undergivet en overskrift, der også refererer til den teknologi, der bærer internettet, og ikke kun det, der foregår på det, drives gennem det eller påvirkes af det. Net -betegnelsen refererer til et bredere spektrum, der ikke kun ser internettet som ophav, men også som et produkt i sig selv. 8. Susannah Fox, Janna Quitney Anderson & Lee Rainie, The Future of the Internet (Washington, DC: PEW/Internet & American Life Project, 9 January 2005), p. 26, < pewinternet.org/pdfs/pip_future_of_internet.pdf>.

4 88 DET 21. ÅRHUNDREDES TRUSLER samfund, der før har været adskilt fra det. Den informationsteknologiske udvikling og de innovative værdier, der med den flyder frit mellem brugerne, frembyder mange lovende og hidtil uanede muligheder for fremtiden. Præcis fordi de er uudforskede, udgør disse muligheder samtidig en potentiel trussel mod livet i cyberspace. Sammenblandingen af samfund og teknologi indeholder flere tusmørkeområder. En gennemgang af disse opstillet i punktform klarlægger det, man ser, når man betragter cyberspace gennem fremtidens trusselsbriller: 2 Computerbaserede overgreb er et faremoment, der vil vokse, og hvis efterdønninger kan få endnu større og voldsommere indflydelse, end de har i dag. 2 Nettet og dets brugere kan få, og har i stigende grad, en stor multiplikatoreffekt på ondsindede handlinger men også på gode. 2 Grænsen mellem menneske og computer kan og vil blive overskredet. 2 Cybertrusler vil i fremtiden ikke nødvendigvis komme fra det, vi i dag kender som internettet. Den følgende gennemgang er i tre trin. Først spørges gennem de fire punkter ind til, hvad det er, vi har med at gøre. Herefter spørges, hvordan det, vi har med at gøre, kan forstås samlet. Disse to punkter underbygger sammenlagt det perspektiv, hvori vi kan se, hvorfor det, der foregår, har en vigtig indflydelse på det 21. århundredes trusselsbillede, og hvor det i sidste ende fører hen. På vej mod internettets fremtid Arbejdet med de ovenstående punkter fører fra nutidens snævre internetorienterede øjebliksbillede til en udvidet opfattelse af fremtidens cybertrusler. Konklusionen bliver, at cyberspace er større, end man skulle tro, det er. Den fjerde informationsteknologiske dimension tager form som en del af det egentlige fysiske rum. Det betyder, at indflydelsessfæren for netbaserede muligheder og trusler rækker længere og længere ud over computerskærmen. Nettets natur vil således vise sig at være vigtig, da den kommer tættere og tættere på mennesket. Det første af de fire punkter, og derved undersøgelsens afsæt, er tanken om, at computerbaserede overgreb er et faremoment, der vil vokse, og hvis efterdønninger kan få endnu større og voldsommere indflydelse end de har i dag.

5 89 Inden for litteraturen om netsikkerhed kan der sondres mellem crackere, som angriber systemer for egen vindings skyld, og hackere, der angriber systemer for spændingens eller udfordringen skyld. 9 Hertil kommer så fanatikerne og de utilfredse insidere. 10 Hvad angrebene specifikt gør og de dertil forbundne klassificeringsspørgsmål om cyber-krig, -terror og -kriminalitet, behandles i de følgende afsnit. Det interessante her er mere kompetencen og angrebets netbasering, end det er funktionen. 11 Da alle førnævnte termer relaterer sig til evnen til at gennembryde et systems forsvarsværker, vil hacker derfor blive brugt som samlende betegnelse for overgriberne. Lige nu sker to ting samtidig. Den første generation, der er vokset op med nettet, gør sin store tekniske viden gældende. 12 Samtidig bliver en stadig større del af samfundets institutioner og funktioner lagt over på nettet for at øge deres tilgængelighed. 13 Disse to ting er gensidigt forstærkende, fordi det især vil være de førstnævnte, der stiller krav om det sidste, hvorved deres kompetencer og krav får afsæt for endnu en forøgelse. Denne virkning af den informationsteknologiske revolution er ikke nogen hemmelighed, men dens konsekvenser ligger stadig under overfladen. Så det er dér, man skal kigge, hvis man leder efter en forståelsesmæssig platform for arbejdet med cybertrusler. Med eksplosionen i antallet af folk, der færdes hjemmevant på nettet, øges hackerpotentialet voldsomt. Hvis bare en lille procentdel gør en lille smule skade, vil potentialet være enormt, når grundmængden om nogle år er mangedoblet. 14 Samtidig 9. Tom R. O Connor, The Modus Operandi of Hacking, Department of Justice Studies & Applied Criminology, North Carolina Wesleyan College (13. marts 2004), < ncwc.edu/toconnor/426/426lect17.htm>. 10. Med insidere tænkes eksempelvis på fyrede medarbejdere, der, inden de holder op, bruger deres viden og kodeord til uretmæssigt at kompromittere eller ødelægge systemer indefra, hvilket vil sige, at selv helt lukkede systemer på denne måde også kan blive udsat for angreb. Er der for eksempel tale om et elværk, kan denne form for netbaseret angreb få indflydelse på mange mennesker, selvom internettet ikke er umiddelbart involveret. Af denne grund benytter denne undersøgelse sig af en bredt konciperet netværksforståelse. 11. Richard O. Hundley & Robert H. Anderson, Emerging Challenge: Security and Safety in Cyberspace, i John Arquilla & David F. Ronfeldt (eds) Networks and Netwars: The Future of Terror, Crime and Militancy (Santa Monica, CA: RAND, 2001), p. 231, < rand.org/publications/mr/mr880/mr880.ch10.pdf>. 12. Ibid, p Fox, Anderson & Rainie, op.cit., p. i. 14. Barry C. Collin, The future of CyberTerrorism: Where the Physical and Virtual Worlds Converge Remarks by Barry C. Collin, Institute for Security and Intelligence, at the 11th Annual International Symposium on Criminal Justice Issues, University of Illinois, Chicago 1996, <

6 90 DET 21. ÅRHUNDREDES TRUSLER er det sandsynligt, at næste generations hackere, der har vænnet sig til avancerede computere fra barndommen, vil være bedre end de nuværende. Sikkerhedsindustrien vil ikke nødvendigvis formå at tæmme denne udvikling, da programmørerne oftest er lige dygtige, eller befinder sig, på begge sider af hackerhegnet: Da det er et menneske, der udtænker det, vil et andet menneske kunne bryde eller hacke det. 15 Samtidig er det, på grund af nettets allestedsnærværelse, aldrig helt til at vide, hvor man skal sætte ind, før skaden er sket. Hvor meget dette faremoment betyder og er øget, vil først blive synligt, når noget af dette hacker-potentiale samles under én strategisk målsætning, og et omfattende koordineret netovergreb gennemføres. 16 Det, der vil gøre dette angreb spektakulært, vedrører samfundets voksende optag og afhængighed af informationsteknologi. Jo mere disse to ting kobles, jo større bliver nettet og derved rækkevidden af et netbaseret overgreb. 17 Den hastighed og det omfang, udviklingen foregår i, beskrives bedst ved at se på en af sikkerhedsindustriens hovedsøjler sikkerhedssystemerne. For at lette deres håndtering kommer videokameraer, kodelåse og andre kontrolværktøjer tættere og tættere på det almindelige net. 18 Givetvis er de beskyttede, men mulighedsfaren ved at gå fra lukkede dedikerede systemer til almindelige netværkede systemer er tydelig. I forsøget på at effektivisere ad denne vej åbner eksempelvis den amerikanske regering for, at én af dens cirka 15,4 millioner ansatte eller én af deres terminaler kan 15. Fox, Anderson & Rainie, op.cit., p. 26.; Dorothy E. Denning, Cyberterrorism: Testimony before the Special Oversight Panel on Terrorism Committee on Armed Services U.S. House of Representatives (23. maj 2000), < 16. Takket være nettets allestedsnærværelse behøver de individuelle hackere ikke være i nær kontakt med eller vide noget om hinanden. Deres angreb kan koordineres og udføres i cyberspace, uanset hvor de befinder sig fysisk. Således udførtes i 1998 hvad der blev kaldt solar sunrise -angrebene mod MIT og Pentagon af hackere fra Californien og deres mentor The Analyzer i Israel. Disse angreb var så koncentrerede og velkoordinerede, at man i USA mente, at man for første gang så en stat (Irak) aktivt bruge angreb over internettet som led i krigsførelse. Kevin Poulsen, No Jail for Analyzer, SecurityFocus, 15. juni 2001, < Fox, Anderson & Rainie, op.cit. pp. i-ii. 18. Dibya Sarkar, Two converging worlds: Cyber and physical security, FCW.COM, 13. december 2004, < 04.asp>.

7 91 blive et sikkerhedsproblem ved bare en simpel fejl, der åbner et hul ud til omverdenen, som hackere kan komme ind ad. 19 Dette peger på vigtigheden af arbejdet med betragtningen om, at nettet og dets brugere kan få, og har i stigende grad, en stor multiplikatoreffekt på ondsindede handlinger men også på gode. Multiplikatoreffekten kan bedst beskrives ved at gennemgå anatomien i det, litteraturen kalder et dommedagsangreb : Dommedagsangrebet vender nettets muligheder mod det selv. Et fysisk angreb, som bliver foretaget koordineret med et netangreb, opnår en kombineret effekt, der føjer en helt ny (fjerde) dimension til effekten. Lykkes det at sætte ind mod infrastrukturen i et målområde i cyberspace, vil angrebet få sin effekt multipliceret med nettets effektivitetsgrad. 20 Angribere vil kunne lægge en moderne infrastruktur åben for næsten enhver form for fysisk angreb: Det man i realiteten har at gøre med er et angreb ad flere kanaler, der bruger de forskellige netværk til at ødelægge politiets eller redningsmandskabets informationssystemer, hvilket hæmmer deres indsatsevne så meget, at ethvert område herefter ligger åbent for et fysisk angreb. 21 Ved at gå efter selve samfundets sammenknytning lægger et dommedagsangreb hele befolkningen åben for konsekvenser, som i deres totalitet overgår samfundets evne til at respondere og i sidste ende opretholde sig selv. På den anden side har nettet betydet væsentlige forbedringer inden for demokratisk udvikling, almindelig kontakt og udvekslingen af varer og tjenesteydelser. Goder, der kun kan forventes at blive spredt fremover selvfølgelig med den effekt at gøre 19. Et eksempel er arrestationen af en 21-årig mand, der i over et år havde adgang til amerikanske Social Security Numbers og Secret Service s, fordi han havde hacket en almindelig netværket telefonserver, hvor en agent havde disse oplysninger liggende. Kevin Poulsen, Hacker penetrates T-Mobile systems, SecurityFocus, 11. januar 2005, < 20. Den Elektromagnetiske Puls (EMP) fra en atomeksplosion vil eksempelvis sætte de fleste netbaserede systemer ud af drift og derved forværre effekterne af et allerede ødelæggende angreb mere, end hvis disse, i dagligdagen yderst hjælpsomme, systemer ikke havde eksisteret til at begynde med. 21. Charles Cooper, Preparing for a doomsday attack, CNET News.Com, 3 januar 2005, <

8 92 DET 21. ÅRHUNDREDES TRUSLER nettet endnu mere uundværligt og i sidste ende øge sårbarheden i cyberspace. Indtil videre har denne mulighedsfare dog ikke afholdt verden fra at finde tættere sammen. Med tanken hvilende på tæthed drejer undersøgelsen sig nu mod det tredje af de fire gråzonepunkter: Grænsen mellem menneske og computer kan og vil blive overskredet. For at få del i de muligheder, cyberspace frembyder, er man nødt til at være der. En stadigt eskalerende integration af menneskekroppen i den fjerde dimension har stået på længe. I halvfemserne lykkedes det at fusionere en mikrochip med et menneskes hjerneceller, således at forsøgspersonen var i stand til at kontrollere en computer. 22 I slutningen af 2004 blev det offentliggjort, at en professor ved at forbinde sit nervesystem til en computer havde været direkte forbundet til internettet, således at han fra Storbritannien kunne fjernstyre en mekanisk arm i USA. For ikke at få forsøget hacket blev armens adresse holdt hemmelig under forsøget. 23 Foruden at være første skridt på vejen til at kunne fjernoperere mennesker i afsides egne viser forsøget de første tegn på, hvordan menneskekroppen vil kunne blive inficeret med computervira eller blive styret fra nettet. Hvis man vender kommandovejen fra det første forsøg om og kobler den med det marionetdukkeagtige billede fra det sidste forsøg, toner en fjernstyret menneskemaskine frem. Selvom det er langt ude i fremtiden, tjener billedet til belysning af en verden, hvor den fjerde dimension er meget tæt integreret med de tre andre i menneskets liv i cyberspace. Der er således god grund til at tænke over det sidste af de fire punkter, som siger at cybertrusler (derfor) i fremtiden ikke nødvendigvis vil komme fra det, vi i dag kender som internettet. Hvad professoren søgte at beskytte sig imod ved at holde eksperimentet hemmeligt var, at: De positive styrker, der ligger i global integration også samtidig bereder vejen for modsatrettede kræfter, såsom disintegration og korruption. 24 En fremtid 22. CSIS Task Force, Cybercrime Cyberterrorism Cyberwarfare : Averting an Electronic Waterloo, (Washington, DC: Center for Strategic and International Studies, 1998), (forordet). 23. Jo Best, Could future computer viruses infect humans?, Silicon.com, Webwatch, 12. november 2004, < htm>. 24. CSIS Task Force, op.cit. (forordet).

9 93 med de gevinster, der kommer fra et manifesteret cyberspace, vil også kunne byde på hybride trusler af en meget omfattende og uoverskuelig art. Ud over krigeriske cyborgerer og megalomaniske kunstige intelligenser i ordenes populærkulturelle forstand betyder cyberspaces spredning, at dets effekt følger med som ringe i vandet. Gennemgangen giver et billede af, at voksende dele af samfundet kommer til at være understøttet af cyberspace. Derfor kan de påvirkes af de negative kræfter, der findes der og som af den grund ikke har nogen geografiske eller effektmæssige grænser. Fremtiden set med sikkerhedsbriller Når vores forståelse af internettet stadig er større end dets rod i vores virkelige verden, kommer tankerne nemt til at spille analytikeren et puds. Terrorister, der overtager dæmninger eller fylder babymaden med giftstoffer, kan endnu ikke lade sig gøre, fordi nettet stadig ikke har strakt sig helt ud forbi de binære barrierer. 25 De sidste år er i internetsikkerhedsbranchen gået med at mane myterne om nært forestående internetbaserede dommedagsangreb i jorden. 26 Baseret på ganske få marginaleksempler brugtes den første halvdel af halvfemserne på ekstrapoleringer af disse nær ved, men dog ikke alligevel -hændelser til at male himlen sort for informationssamfundet. Hvis der havde været forbindelse mellem militære taktiske net og internettet, kunne en israelsk og nogle californiske hackere for eksempel have kompromitteret amerikanske manøvrer under Iraktogterne i Der er imidlertid stadig mennesker og/eller lufthuller (air gaps) mellem de meget vigtige systemer og almindelige systemer, og alle disse kritiske punkter er velbeskyttede, netop fordi de er kritiske Collin, op.cit. p James A. Lewis, Cyber Attacks: Missing in Action, Working Paper, Center for Strategic and International Studies (CSIS, April 2003), < Denning, op.cit. 27. Michael A. Vatis, Statement on Cybercrime before the Senate Judiciary Committee, Criminal Justice Oversight Subcommittee and House Judiciary Committee, Crime Subcommittee, (Washington, DC: U.S. Department of Justice, 29. februar 2000), < Se også note 16, der beskriver hændelsen. 28. James A. Lewis, Assessing the Risks of Cyber Terrorism, Cyber War and Other Cyber Threats, Working Paper, Center for Strategic and International Studies (CSIS, December 2002), p. 6, < eller < wps/lej06/>.

10 94 DET 21. ÅRHUNDREDES TRUSLER Læg dog mærke til, at disse modtræk ikke foregår på nettet. Man kan ikke beskytte sig helt mod, hvad der foregår på nettet, mens man er der. Hvis man er tilgængelig for partnerens eller varslingssystemets feedback, så er man også tilgængelig for cyberspaces dårligdomme. Vil man være fri for cybertrusler, må man træde ud af cyberspace (og efterhånden ret langt væk). Den beskyttelse, man opnår ved at handle på denne måde, er imidlertid ved at blive udfaset af udviklingen. 29 Det vil være tæt på selvdestruktion for eksempelvis en bank at gå af nettet. Man tvinges til at være i cyberspace, fordi det er en ny dimension af samfundet og ikke noget, man kan vælge til eller fra uden derved at melde sig ud af samfundet. Det bedste at gøre, at gå helt af nettet for at undgå dets farer, bliver samtidig det dårligste. Et dilemma, der vender almindelig logik på hovedet: idet det forårsager en sammenflydning og endda, en ompolarisering af modsætninger, 30 og ifølge Edward Luttwak er kernen i den strategiske sfæres dynamik, som nu via udviklingen spredes til resten af samfundet. Hvordan nettet kan forstås The Wild kaldes internettet af dets professionelle brugere og analytikere, hvilket fortæller, at den viden man har, er centreret om, hvordan det er. Vanskeligt regulerbart og fyldt af både potentielle farer og muligheder, alt sammen i en tæt forbundet sammenhæng, der ikke umiddelbart lader sig overskue. Efter at have kigget på, hvor internettet er, og hvor det er på vej hen, drejer undersøgelsen sig derfor nu om at etablere en fælles klangbund, der kan fundere forståelsen af det potentielt truende i den beskrevne udvikling. Problemet med dette område kan være de mange sondringer, man skal foretage for at afdække, hvad det reelt er, der er farligt. Når den offentlige debat oftest ikke har tid til det, ender det let med, at hele det informationsteknologiske område samles under én stor truende hat: cyberkriminalitet, cyberterror, cyberkrig, det farlige fremskridt. I sig selv fortæller nettet imidlertid ikke hele historien om, hvorfor det i fremtiden kan betale sig at være opmærksom på cyberspaces fremvækst i nutiden. Ikke engang den magtfulde amerikanske regering kan række over på den anden side af den fysiske verden. Det er en grundlæggende præmis for den amerikanske cyber-sikkerhedsstrategi, at regeringen ikke er i stand til at sikre borgerne: For- 29. Hundley & Anderson, op.cit., p Luttwak, op.cit., p. 5.

11 95 bundsregeringen kan ikke alene i tilstrækkelig grad forsvare Amerikas cyper space. Den ramme, vi er vant til at tænke trusler og trusselshåndtering inden for, findes ikke i den virtuelle verden. Den stat, man siden samfundskontraktens indstiftelse har forventet ville være der til at handle på befolkningens vegne og beskytte den mod farer, giver op, hvor cyberspace begynder. Ikke uden kamp, men uden skam. Statens sikkerhedsgaranti er ikke koblet til cyberrummet. Sidste gang en sådan tilstand eksisterede, blev den beskrevet af Thomas Hobbes som en tilstand, hvor: kun det tilhører enhver som han kan tage til sig, og det kun så længe som han kan beholde det. 32 Denne underliggende fællesklang kobler cyberspace med den selvbesejrende paradoksale strategiske logik, der ifølge Luttwak betinger alt, der er konfliktuelt, 33 og nettets største fare kan på den baggrund siges at være dets succes som øges med dets udbredelse. Udviklingens perspektiv. Fra internet til cyberrum Udgangspunktet er altså, at nettet er et statsløst sted, hvor de gængse sikkerhedsmæssige rammer ikke findes. Det, at alt kan ske, udgør det vigtige ved nettets trusselsklassificering. Når dette forhold siver ud over de rent binære grænser, bliver der tale om en påvirkning af trusselsbilledet for det netværksafhængige cyberspace, som, selvom det ikke udgør hele den fremtidige konfliktarena, kommer til at dominere den. Taler man om cyberkriminalitet i form af identitetstyveri eller bedrag eller cyberkrig og -terror i form af koordinerede dommedagsangreb (i større eller mindre form), så er det den stadig voksende netdominans, der udgør krumtappen og eftersom vi alle er afhængige af ét eller flere aspekter heraf, er det selve afhængigheden, der er det afgørende i forståelsen af cybertrusler. I undersøgelsen af trusler fra nettet kan man kategorisere emnemassen inden for to hovedområder: krig og kriminalitet. Hvor terror præcist ligger mellem de to kategorier, er et politisk spørgsmål om definition, der i forhold til den afdækkede afhængighed ikke er lige så relevant som, at den er der i det hele taget. Hvis vi vil 31. The National Strategy to Secure Cyberspace (Washington, DC: The White House, februar 2003), p. xiii, < 32. Thomas Hobbes, The Leviathan, Kapitel XV. < texts/hobbes/leviathan-c.html#chapterxv>. 33. Luttwak, op.cit., p. 236.

12 96 DET 21. ÅRHUNDREDES TRUSLER kunne udnytte de muligheder, der er på nettet, kommer vi til at indgå i et afhængighedsforhold til den fjerde dimension bevæge os over i cyberspace. 34 I denne overgang kan det være tiltrængt med en konkretiseret opstilling, der kan hjælpe til at få et greb om det videre arbejde med cybertrusler. Et oplæg til denne tankenøgle er figur 1: Figur 1: Cyberrummets trusselsgeografi: Cyberkriminalitet Cyberkrig Cyberafhængighed Da nettet er statsløst, er der ikke nogen absolut autoritet og derfor ikke nogen umiddelbar udsigt til, at naturtilstanden afhjælpes og så kan alt i princippet stadig ske. Selv de godes side optræder ikke altid efter forskrifterne. Regeringskontrollerede informationsopsnapningsprogrammer som for eksempel Carnivore viser, at i cyberspace er de afhængige ikke kun udsat for almindelige trusler fra krig, terror og kriminalitet. 35 De udsættes også for truslerne fra forsøget på at afhjælpe dem. Hvad figuren viser er, at i afhængigheden er vi alle lige. Alle i cyberspace står over for det samme bredt voksende spektrum af trusler uden de klassiske sikkerhedsgarantier og uden, i første instans, nødvendigheden af at skelne så meget mellem krig, terror eller kriminalitet. I arbejdet med at afdække, hvordan den informationsteknologiske udvikling passer ind i den overordnede samfundsindretning, har det vigtigste i grundlaget for forståelsen af det 21. århundredes cybertrusler vist sig at være netafhængigheden. Perspektivet for det videre arbejde med cybertrusler kan herefter retningsangives i form af en typologisering af denne afhængighed. 34. Fox, Anderson & Rainie, op.cit., p. 26; Denning, op.cit., p Kevin Poulsen, FBI retires carnivore, The Register, 15. januar 2005, < theregister.co.uk/2005/01/15/fbi_retires_carnivore/>. Carnivore var et kontroversielt program, der overvågede og opsnappede datatrafik. At FBI er gået bort fra dette program og over til mere effektive civilt tilgængelige metoder, ændrer ikke ved, at overvågningen stadig foregår, og truslen mod individets rettigheder altså består.

13 97 Afhængighedens typologi Når vi mødes i cyberspace, kan vi trues i cyberspace. Fjenden behøver ikke længere trække kampvogne op gennem Europa eller anskaffe plutonium. Vedkommende skal blot sætte sig til tastaturet og tænde for computeren. Når cybertruslen kun lever i binær form, kan man ikke se den komme. Den manglende rumsliggørelse forhindrer eller består i, hvad der kan kaldes manglen på et holistisk billede af omgivelserne. 36 Man kan dog komme et godt stykke ad vejen ved at kortlægge sin egen sårbarhed. Sårbarheden er den grad, hvormed vi er afhængighedsmæssigt forbundet til nettet og dilemmaet i dets strategiske dynamik. I cyberspace aftager afhængighed med lavere hast end den, hvormed man fjerner sig fra nettet, fordi medieret nærhed gør nettets indflydelse større end dets umiddelbare udbredelse. Samtidig har afhængigheden mange udspringspunkter, og man kan nærme sig ét ved at fjerne sig fra et andet. I takt med at det bliver umuligt at være uden for cyberspace, bliver afhængigheden gennemgribende. En ny dimension føjes til de eksisterende. En klarlægning af fire områder kan tjene som positioneringsværktøj inden for denne nye samfundsindretning. 2 Afhængighed kan være direkte eller indirekte. Afklaring af forbindelsesforhold og kontaktpunkter til nettet klassificerer de forskellige afhængighedsforhold og rangordner dem internt og i forhold til andre udfordringer. 2 Spørgsmålet om tilgængelige alternativer klarlægger afhængighedsgrad. Kan man agere, eller støtte sig til punkter, uden for nettet? Hvor ingen alternativer er, erstattes det følgende spørgsmål om genoprettelseskapacitet med spørgsmålet om det givne netværks eller enhedens redundanskapacitet der igen kan bedømmes inden for alle typologiens overskrifter. Hvor meget vil kunne gen skabes uden varige skader? 2 Genoprettelseskapacitet betegner, hvor stor evnen til at kapere overgreb er. Jo værre overgreb, jo mere genoprettelseskapacitet er nødvendig. Kan man kom me på igen efter at være blevet smidt af? 2 Erkendelse. Er farerne ved afhængighed konkrete eller potentielle? Hvor langt strækker kendskabet til ens afhængighed sig, og hvor langt strækker beskyttelsen heraf sig? En overordnet bevidsthedsgrad, der symboliserer en kritisk vurdering af kompetencen i håndteringen af forbindelsen mellem den fjerde dimension og de tre andre. 36. Hundley & Anderson, op.cit., p. 231.

14 98 DET 21. ÅRHUNDREDES TRUSLER Tilsammen kan disse punkter klarlægge seriøsiteten af afhængigheden og hjælpe med at løse de problemer, vi møder på vej ind i cyberspace. Problemer, der opstår, fordi nettet huser en strategisk logik som: tenderer mod belønningen af paradoksal opførsel, samtidig med at den overrumpler ligefrem logisk handlen ved at gøre dens resultater ironiske, hvis ikke dødeligt selvdestruktive. 37 Man bliver nødt til at være på nettet, selvom det øger truslen, fordi det, for så vidt det overhovedet er muligt, er mere skadende at gå af nettet for at sætte sig helt uden for farens rækkevidde, som ellers er det mest logiske at gøre. Foreløbig er udvikling og sikkerhed fanget i en strategisk dans, hvor et skridt frem er to tilbage, og derfor er øjeblikkets trusselsbillede egentlig et pausebillede, der er på, indtil dødelig kommer ind på scenen, når cybertruslerne rammer kroppen. Hvad der sker derefter, er afhængigt af, hvad vi gør nu. Konklusion Det er muligt for både kriminelle, terrorister og soldater at udføre angreb i cyberrummet eller på de installationer, der understøtter det. Alvorligheden heraf synes indtil videre bremset af det faktum, at ingen endnu er døde af et sådant angreb. Ud over hændelser, der er så usandsynlige eller kræver så mange sammenfald, at det vil være tvivlsomt, om man kunne tilskrive deres udkomme én enkelt årsag, såsom et computerbaseret angreb, så er det ikke muligt at slå folk ihjel med datastrømme. Man kan i teorien gøre det over længere tid ved at omdirigere nødhjælp eller måske med ekstraordinært held og dygtighed få placeret en deling rekrutter i en kampzone, men cyberterroristen, der starter en atomkrig, findes kun på film. Der er mange årsager hertil. En af de centrale er en manglende teknologisk udvikling. Den fører en form for lavteknologisk beskyttelsesfilter med sig. Grunden til, at terroristen ikke kan ramme folk direkte fra nettet, er, at de stadig er involveret i processen, eller så langt fra den, at den ikke har nogen indflydelse. Rent teknisk er der tale om henholdsvis den menneskelige faktor og lufthul (air gap) mellem systemer. For at kunne slippe af sted med at tilføre babymad dødelige doser mineraler eller påvirke flyveruter, må man stadig forbi den opmærksomme og professionelle fabriksarbejder eller pilot, der for det meste opererer i lukkede systemer, hvor gammeldags femtekolonnevirksomhed er en nødvendighed for vellykkede angreb. For at kunne give forkerte meldinger til militære enheder eller initiere missilaffyringer skal angrebet kunne hoppe over den fysiske adskillelse af systemer og samtidig smyge sig forbi professionelle operatører, hvis funktion netop 37. Luttwak, op.cit., p. 5.

15 99 er at være endnu et sikkerhedsled. Forstået i gængse termer og som set på tv kan det ikke lade sig gøre at komme mennesker til livs. Endnu. Det kan dog lade sig gøre at fastslå, at cyberspace rent bogstaveligt er på vej til at blive en ny, fjerde dimension i trusselsbilledet hvorefter mulighederne øges mangefold i både type og udbredelse. Når man kigger på verden og udviklingen, forekommer det, at den sidste slagmark bliver menneskekroppen. Spørgsmålet om, hvorvidt det vil afføde helt nye trusler, udfordringer eller muligheder, kan i lang udstrækning besvares nu, på forhånd. Hvis cyberspace ikke skal være truende for mennesket, skal omgangstonen ændres eller reguleres, så hackere enten ikke vil eller kan forgribe sig mod andre. Førstnævnte er ret usandsynligt, og sidstnævnte kan nemt blive en trussel mod den positive udnyttelse af livet i cyberspace, fordi beskyttelse indtil videre går ud på begrænsning af tilgængelighed, kontakt og alle de andre ting, som det hele netop går ud på at fremme. Ligesom den fjerde dimension bringer nye udfordringer, kan den dog formentlig også bringe nye løsninger. Lige nu er der imidlertid et dilemma. Vil man ved regulerende indgreb oprette et skel mellem mulighed og fare, hvorved man risikerer at komme i karambolage med ideernes og informationernes fri bevægelighed, som er det, der driver de positive sider af den informationsteknologiske udvikling? Eller vil man acceptere tilstedeværelsen af mulighedsfaren i en sådan grad, at man begynder at basere sin sikkerhedspolitik på den og i stedet forsøger at indkapsle den i adfærdsnormer eller andet, der kan fungere som stødpude for de stadigt voldsommere effekter af truslers virkeliggørelse, som fremvæksten af cyberspace medfører? Arbejdet med betydningen af nettets udbredelse og mulighedsfare viser under alle omstændigheder, at så længe nettets natur er som nu, så gør den strategiske dynamik afhængighed synonym med sårbarhed. Derfor er en afhængighedens typologi et nyttigt første skridt i håndteringen af cybertrusler i det 21. århundrede. Litteratur Beck, Ulrich, Risk Society, Towards a New Modernity. London: Sage Publications, Best, Jo, Could future computer viruses infect humans?, Silicon.com, Webwatch, 12. november 2004, <

16 100 DET 21. ÅRHUNDREDES TRUSLER Collin, Barry C., The future of CyberTerrorism: Where the Physical and Virtual Worlds Converge Remarks by Barry C. Collin, Institute for Security and Intelligence, at the 11th Annual International Symposium on Criminal Justice Issues, University of Illinois, Chicago 1996, < Cooper, Charles, Preparing for a doomsday attack, CNET News.Com, 3 januar 2005, < html>. CSIS Task Force, Cybercrime Cyberterrorism Cyberwarfare : Averting an Electronic Waterloo.Washington, DC: Center for Strategic and International Studies, Denning, Dorothy E., Cyberterrorism: Testimony before the Special Oversight Panel on Terrorism Committee on Armed Services U.S. House of Representatives, 23. maj 2000, < Fox, Susannah, Janna Quitney Anderson & Lee Rainie, The Future of the Internet. Washington, DC: PEW/Internet & American Life Project, 9 January 2005, < Hobbes, Thomas, The Leviathan, Kapitel XV, < texts/hobbes/leviathan-c.html#chapterxv>. Hundley, Richard O. & Robert H. Anderson, Emerging Challenge: Security and Safety in Cyberspace, i John Arquilla & David F. Ronfeldt (eds) Networks and Netwars: The Future of Terror, Crime and Militancy. Santa Monica, CA: RAND, 2001, < Lewis, James A., Assessing the Risks of Cyber Terrorism, Cyber War and Other Cyber Threats, Working Paper, Center for Strategic and International Studies, CSIS, December 2002, < eller < lej06/>. Lewis, James A., Cyber Attacks: Missing in Action, Working Paper, Center for Strategic and International Studies, CSIS, April 2003, < Lindberg, Bertil, Kartläggning och bedömning av konsekvenser av Sasser-masken i samhället, Rapport Dnr. 0562/2004. Stockholm: Krisberedskapsmyndigheten, Informationssäkerhets- och analysenheten, 23. juni 2004, < Browser/Publikationer/Ovriga%20publikationer/KBM/slutrapport_sasser_2004.pdf>. Luttwak, Edward N., Strategy: The Logic of War and Peace. Cambridge, MA: Bellknap Harvard, 1987.

17 101 The National Strategy to Secure Cyberspace. Washington, DC: The White House, februar 2003, < O Connor, Tom R., The Modus Operandi of Hacking, Department of Justice Studies & Applied Criminology, North Carolina Wesleyan College, 13. marts 2004, < ncwc.edu/toconnor/426/426lect17.htm>. Poulsen, Kevin, No Jail for Analyzer, SecurityFocus, 15. juni 2001, < Poulsen, Kevin, Hacker penetrates T-Mobile systems, SecurityFocus, 11. januar 2005, < Poulsen, Kevin, FBI retires carnivore, The Register, 15. januar 2005, < Sarkar, Dibya, Two converging worlds: Cyber and physical security, FCW.COM, 13. december 2004, < 04.asp>. Vatis, Michael A., Statement on Cybercrime before the Senate Judiciary Committee, Criminal Justice Oversight Subcommittee and House Judiciary Committee, Crime Subcommittee. Washington, DC: U.S. Department of Justice, 29. februar 2000, < gov/criminal/cybercrime/vatis.htm>.