CYBERSPACE OG STATENS SIKKERHED

Transkript

1 Fakultet for Strategi og Militære Operationer VUT II/L 2009/2010 Kaptajn Jesper Høgedal 17. Maj 2010 CYBERSPACE OG STATENS SIKKERHED Hovedspørgsmål og problemformulering. I hvilken grad har en eventuel trussel fra cyberspace betydning for vestlige demokratiers sikkerhed? Vejleder: OK Peter Gottlieb Antal ord:

2 ABSTRACT This paper answer to what degree a potential threat from cyberspace are affecting Western democracies security, and the thesis concludes that there is a medium threat against state security or stability, but the threat is primarily directed towards the physical domain, and only have limited effect in relation to the psychological domain. The paper uses John A. Warden s theoretical systems-of-systems model to treat the state as a system and thereby identify potential vulnerabilities in Western democracies. The analysis shows that there is great deference to the degree to which each system can be affected by carrying out the attack in cyberspace. The analysis shows that the areas or subsystems of energy and the financial sector are the systems which will have the greatest impact within the criteria integrity and availability. The conclusion also shows that it can be extremely difficult to predict the secondary, third and even fourth -order effects if i.e. the power grid completely or partially is affected, but the conclusion calls for governmental action within a reasonable timeframe, because state security is to some degree actually threatened. 2

3 RESUMÈ Dette speciale svare på i hvilken grad en eventuel trussel fra cyberspace har betydning for vestlige demokratiers sikkerhed, og specialet konkludere, at der foreligger en middel trussel mod staternes sikkerhed eller stabilitet, men at truslen primært er rettet mod det fysiske domæne, og kun har begrænset effekt i forhold til det kognitive domæne. Specialet anvender John A. Wardens systemteoretiske model til at betragte staten som et system og på den måde identificere eventuelle sårbarheder på vestlige demokratier. Modellen er oprindeligt udviklet med henblik på at analysere en fjendes systemer for at finde sårbarheder som efterfølges kunne angribes og dermed bekæmpe fjenden. Modellen anvendes modsat i dette speciale idet den anvendes på at finde sårbarheder hos fjenden, men anvendes til at finde risici i egne systemer. Wardens model omtales også som Wardens 5 ringmodel. Da modellen betragter staten som 5 indbydes afhængige systemer. Warden anvendes til at identificere sårbarheder, men for at finde ud af hvilke betydninger eller effekter disse sårbarheder har på vestlige demokratiers sikkerhed, anvendes en risikomanagementmodel, som er udgivet af det amerikanske handelsministerium og et tiltænkt anvendt som en guide i forhold til IKT systemer. Modellen opstiller kriterier som tildeler de identificerede sårbarhed status som en egentlig risiko herunder en score som et udtryk for forholdet mellem effekt og sandsynlighed. Warden og risikomanagementmodellen opstiller rammerne for de efterfølgende analyser. Der foretages først en analyse af truslen fra cyberspace. Hvilke karakteristika kendetegner den slags trusler. Følgende tilgang anvendes i forhold til truslen og det er at den består af to dele; en del som omhandler en eventuel angribers evne til at foretage et angreb og en del som opstiller en angriber vilje eller motivering for at gennemføre et eventuelt angreb. Analysen viser at evnen til at foretage et angreb i cyberspace består af en opdeling i tre områder: Simpel, Avanceret og kompleks evne. Viljen eller motivationen er opdelt i tre områder som kan have betydning for dette aspekt: Økonomisk, Politisk/Ideologisk og Religiøst/Eksistentielt. Systemanalysen i specialet indeholder en analyse med udgangspunkt i operationaliseringen af Wardens model med henblik på at foretage en vurdering af effekten eller betydningen for statens stabilitet indenfor de udvalgte systemer. Analysen viser, at der er store forskelle på i hvilken grad de enkelte systemer kan påvirkes ved at der foretages angreb i cyberspace. Analysen viser, at områderne eller subsystemerne energiforsyning og den finansielle sektor er de systemer, hvor der kan opnås størst effekt indenfor kriterierne integritet og tilgængelighed, men der kan også opnås betydelig effekt i forhold til militære styrker, politi og redningsberedskabet, hvis der kan gennemføres succesfulde angreb mod disse subsystemer. 3

4 Syntesen i specialet dvs. de tværgående effekter behandles i konklusionen, og viser at det kan ekstremt svært at forudsige afledte 2., 3. og endda 4. ordens effekter, hvis eksempelvis elnettet helt eller delvist rammes. Faktum er dog, at hvis elnettet, som måske er det mest effektive at ramme set fra en angriber, rammes vil det have store afledte konsekvenser. Den case, som behandles i specialet, der omhandler strømudfaldet på den amerikanske østkyst i august 2003, viser netop disse konsekvenser. 4

5 INDHOLDSFORTEGNELSE KAPITEL Indledning Emnediskussion Motivation og relevans Hovedspørgsmål Valg af teori Colonel John A. Warden III Risiko- og sårbarhedsmodel Valg af empiri Afgrænsninger Metode, analysedesign og struktur Metode Analysedesign Struktur KAPITEL Operationalisering af teori Operationalisering af John A. Warden III Leadership System Essentials Infrastructure Population Fielded Military Kritik af John A. Warden III Operationalisering af Risiko- og sårbarhedsmodel Sandsynlighedsvurdering Effektanalyse Effektvurdering Risikovurdering Risikomanagement flowchart

6 Risikoevaluering og beskrivelse...28 KAPITEL Analyse af truslen fra Cyberspace Trusselsanalyse Angriberens evne Angriberens vilje/motivation Analyse af støtteaktiviteter Planlægning og kommando/kontrol Rekruttering og fundraising Efterretningsindhentning/videndeling Propaganda Delkonklusion KAPITEL Analyse af effekter i forhold til systemanalysen Leadership Integritet Tilgængelighed Fortrolighed Delkonklusion System Essentials Integritet Tilgængelighed Fortrolighed Delkonklusion Infrastructure Integritet Tilgængelighed Fortrolighed Delkonklusion Population

7 Integritet Tilgængelighed Fortrolighed Delkonklusion Fielded Military Integritet Tilgængelighed Fortrolighed Delkonklusion KAPITEL Konklusion og vurdering...60 KAPITEL Perspektivering Tillæg A Bilag 1 Bilag 2 Bilag 3 Bilag 4 Bilag 5 Kildeangivelser. Flowchart over risikovurderingsaktiviteter. Oversigt over delkonklusioner. Angrebsteknikker. Ordforklaringer og anvendte definitioner. Figuroversigt. 7

8 KAPITEL 1 1. INDLEDNING. Formålet med dette kapitel er at diskutere emnet herunder udlede hovedspørgsmål og problemformulering, fastlægge strukturen for specialet og endeligt udvælge relevant empiri og teori i forhold til emnet og den udledte problemformulering. Endvidere vil den videnskabelige metode der anvendes i specialet blev klarlagt Emnediskussion. Anvendelse af cyberspace til private, kommercielle eller statslige formål indeholder mange dilemmaer og udfordringer, men også mange muligheder vores netafhængighed 1 har medført et dilemma, hvor vi på den ene side kunne løse mange af vores sikkerhedsproblemer i cyberspace ved at slukke vores IT systemer, men netop vores netafhængighed, gør at dette ikke er en mulighed, da mange samfundskritiske funktioner eller kritisk infrastruktur, som eksempelvis elnettet, den finansielle sektor, radio/tv og telekommunikation m.v., netop anvender cyberspace som en forudsætning for funktionaliteten. Anvendelsen af internettet har siden starten i 1970 erne steget eksponentielt og der forventes i år 2010 ca. 1,5 milliarder brugere på verdensplan 2. Dette svarer til at mere end hver 4. verdensborger har adgang til og anvender internettet. Dermed er det ikke for meget at konkludere, at anvendelsen af internettet i dag er et globalt foretagne og mulighederne og begrænsningerne/sikkerhedsrisiciene har dermed global indvirkning. Karakteren af truslerne fra cyberspace vurderes at have skiftet fra en mere spredt tilgang til en mere målrettet, hvor de kriminelle og andre der anvender cyberspace med ondsindede hensigter, i højere grad er målrettet mod deres mål 3. Anvendelsen af Cyberpower 4 i forhold til at sikre sig økonomisk vinding, foretage afskrækkelse, spionage, egentlige krigshandlinger og flere andre formål har åbnet op for en ny dimension for politikere, militære planlæggere and andre der beskæftiger sig med sikkerhed og strategiarbejde. Cyberpower indeholder nye faktorer, som eksempelvis hastigheden hvormed eventuelle angreb, kan foretages. Cyberpower kan stort set anvendes øjeblikkeligt og på globalt plan 5. Denne hastighed er et kendetegn for Cyberpower og er unik for dette domæne. Der er ingen eller kun ganske få geografiske begrænsninger 6 ved anvendelsen og enhver computer eller netværk kan angribes uanset hvor i verdenen den befinder sig, således den indgår i et netværk. 1 Jesper L. Christensen, Cyberspace - forbi den sidste grænse? I Det 21. århundredes trusler, s It og Telestyrelsen hjemmeside: 3 DK CERT, Trendrapport 2009, UNI C, s , 4 Franklin D. Kramer (2009), From cyberspace to Cyberpower: Defining the Problem, s Ibid 6 Ibid 8

9 Hvorvidt anvendelsen af Cyberpower i form af angreb på statslige og ikke statslige aktører har betydning for sikkerheden og dermed stabiliteten, og i givet fald i hvilken grad og under hvilke omstændigheder, er interessant og relevant at undersøge. Valg af statsperspektiv. En angreb gennemført i cyberspace på en stat kan have forskellige effekter afhængig af hvilken type stat der er tale om og om angrebet foretages i det fysiske og/eller det kognitive domæne, har betydning for stabiliteten i staten. Om en stat er et totalitært styrer med en ikke folkevalg regering/diktator eller om staten er et liberalt vestligt demokrati med regelmæssige valghandlinger og folkelig kontrol kan et angreb i cyberspace mod den samme kritiske infrastruktur have forskellige effekter afhængig af om den ene eller anden type stat, men er nødvendigvis ikke det rigtige perspektiv af anvendes statsperspektivet i dette speciale således at den tager udgangspunkt Buzans opdeling 7 i stærke og svage stater, hvor Buzan anvender syv områder der fortæller noget om en stat er en stræk eller svag stat. Ligesom effekten ved et angreb i henholdsvis det fysiske og kognitive domæne have forskellige effekter. I dette speciale undersøges betydningen for stærke stater 8, som eksempelvis vesteuropæiske lande og USA og Canada, da analysen og konklusioner kan være modsatrettede ved de forskellige typer stater. For at begrænse omfanget af analysen og dermed også specialet sikkerhedsproblematikken således udelukkende i forhold til dette perspektiv Motivation og relevans. Spørgsmålet om, hvorvidt angreb fra cyberspace reelt er en trussel i vores dagligdag og/eller i givet fald i hvilken grad truslen er reel er meget interessant og det diskuteres livligt på mange fronter og på mange forskellige niveauer. Mike McConnel 9 har 28. februar 2010 udtalt 10 : The United States is fighting a cyber-war today, and we are losing. It's that simple. Men der findes også modsatrettede opfattelser af om hvorvidt der er udbrudt cyberkrig eller ej. Howard Schmidt, cybersecurity czar for Obama administrationen har I forlængelse af Mike McConnels udtalelse fremsat et modsvar 11 : 7 Barry Buzan (1991). People, states and fear (second edition), an agenda for international security studies in the postcold war era. 8 Se i øvrigt bilag 4 Ordforklaringer og anvendte definitioner for uddybning af vestlige demokratier. 9 Mike McConnell was the director of the National Security Agency in the Clinton administration and the director of national intelligence during President George W. Bush's second term. A retired Navy vice admiral, he is executive vice president of Booz Allen Hamilton, which consults on cybersecurity for the private and public sector. 10 Artikel I Washington Post (2010): 11 Artikel på hjemmesiden wired.com (2010): 9

10 White House Cyber Czar: There Is No Cyberwar Det er modsatrettede opfattelser, som disse, af hvad der reelt foregå på denne nye front, der gør at området er interessant at få akademisk belyst. Er der reelt en trussel som vi skal være bekymret for eller er det for nuværende det rene gætværk og politisering og en kamp om at få tilført økonomiske midler? Kan kritisk infrastruktur ødelægges eller lukkes ned af ondsindede hackere, kriminelle eller terrorister og kan statens lederskab påvirkes til at træffe uønskede beslutninger eller kan verdens finansielle markeder ødelægges? Det er spørgsmål som disse som er motivationen for specialet og netop svaret på om truslen fra cyberspace kan påvirke moderne vestlige demokratier ses som relevant i forhold til den stigende anvendelse af cyberspace til ondsindede handlinger fra stater, men også terrorister og kriminelle organisationer Hovedspørgsmål. På baggrund af betragtningerne i emnediskussionen udledes følgende spørgsmål som specialet ønsker at svare på: I hvilken grad har en eventuel trussel fra cyberspace betydning for vestlige demokratiers sikkerhed? 1.3. Valg af teori. Formålet med dette afsnit er at klarlægge det teoretiske perspektiv for specialet, herunder begrunde valg af teorien samt model. Den egentlige operationalisering af de valgte teorier foretages i kapitel Colonel John A. Warden III. John A. Warden III har beskrevet sin 5-ringsmodel i forhold til at analysere fjenders Center-of-Gravity indenfor de fem strategiske ringe eller systemer som indeholder hovedområder eller de alle essentielle samfundsmæssige strukturer/systemer. Det vil sige, at udgangspunktet for anvendelsen af Wardens model har været fjenden og altså et instrument til at analysere fjendens sårbarheder med henblik på at kunne gennemføre angreb mod disse sårbarheder enkeltvis eller parallelt med det formål at opnå den ønskede effekt. Modellen er egentlig udviklet i forhold til anvendelsen af Airpower 12 og ikke Cyberpower det vurderes dog at mange af de karakteristika som Airpower indeholder, kan genfindes i Cyberpower, som eksempelvis muligheden for at angribe parallelt, som er et af kernepunkterne i Wardens teori, men også den hastighed hvormed Cyberpower kan indsættes/anvendes. Cyberpower indeholder i højere grad muligheden for at undgå geografiske begrænsninger idet geopolitiske forhold som sådan ikke findes i Cyberspace. Det er anvendelsesmuligheder som disse, der gør at der kan drages paralleller mellem Airpower og Cyberpower og derfor modellen vurderes anvendelig i forhold til disse aspekter. 12 AJP3.3. NATO Allied Joint for Air and Space Operations AJP-3.3(A). NATO 10

11 Anvendelsen af modellen i dette speciale er dog modsat idet den anvendes på egne Center-of-Gravity indenfor de fem strategiske systemer med henblik på at identificere sårbarheder på vestlige demokratiers sikkerhed, og dermed at identificere områder hvor truslen fra cyberspace kan påvirke statens sammenhængskraft i højere eller mindre grad. Warden beskriver i sin teori at angreb mod det inderste system, som omfatter Leadership, medfører størst effekt i forhold til et eventuelt ønske om at destabilisere en stat. Warden taler netop om effekter eller effektbaseret tankegang (Effect Based Thinking) 13 i forbindelsen med udvælgelsen af systemer der skal angribes i forbindelse med planlægningen af militære operationer. Wardens tilgang om at opnå specifikke effekter i forhold til modellens fem trusler vil blive applikeret i forhold til truslerne fra cyberspace. Det er vurderingen, at 5-ringsmodellens anvendelighed i forhold til at analysere sårbarheder ved anvendelse af Cyberpower som har indvirkning på sikkerhedsforhold, er tilstrækkelig i forhold til modellens oprindelige formål som var anvendelsen af Airpower. Wardens model anvendes i specialet som det teoretiske fundament i forhold til den grundlæggende analyse idet modellen betragter staten som et system af systemer Risiko- og sårbarhedsmodel. Med henblik på at foretage en systematisk og ensartet vurdering af systemerne og betydningen af disse for vestlige demokratiers sikkerhed, anvendes en risiko- og sårbarhedsmodel, som er udarbejdet af det amerikanske handelsministerium 14. Modellen anvender meget overordnet følgende tilgang: Der indledningsvis skal foreligge en trussel for at en sårbarhed kan blive til en egentlig risiko. Denne trussel består i dette speciale af henholdsvis en angribers evne til at gennemføre et angreb og en angribers vilje/motivation til at gennemføre et angreb. Summen af angriberens evne og vilje/motivation udgør karakteren af truslen 15. At der foreligge en trussel er ikke nok for at kunne gennemføre et effektivt angreb idet systemet der angribes skal være tilstrækkelig sårbart og denne sårbarhed skal kunne udnyttes. Når der foreligge en trussel og et system er sårbart og denne sårbarhed kan udnyttes foreligger der en risiko 16. Såfremt risikoen udløses vil dette medføre en effekt på et eller flere systemer, men et væsentligt aspekt som skal medtages for at vurdere om vestlige demokratier reelt er truet eller hvilken betydning disse risici har for staten, er sandsynligheden for at risikoen udløses. Sandsynligheden hænger sammen med karakteren af truslen idet trusler i dette speciale ikke kun kommer fra eksterne angribere, men i endnu højere grad fra interne medarbejdere og lignende. Sandsynligheden i forbindelse med et angreb fra en angriber er i dette speciale baseret på en simpel cost-benefit analyse dvs. hvordan står den effekt, som kan opnås ved et angreb, i forhold til den indsats en angriber skal yde Nato Bi-Strategic Command Pre-doctrinal Handbook Effect Based Approach to Operations, s. C-1 14 Gary Stoneburner, Alice Goguen, and Alexis Feringa. (July 2002). Risk Management Guide for Information Technology Systems. National Institute of Standards and Technology, U.S. DEPARTMENT OF COMMERCE. 15 Ibid s Ibid 17 Ibid 11

12 Operationaliseringen af risiko- og sårbarhedsmodellen vil blive foretaget i kapitel Valg af empiri. Valget af kilderne rettes mod at belyse den samlede kontekst, som truslen fra cyberspace udgør og empirien er udvalg i forhold til truslernes forskellighed. Kildematerialet består af bøger, analyser, rapporter, notater, artikler mv. som samlet udgør et grundlag som muliggøre at beskrive truslen herunder danne grundlag for den videre analyse i specialet. Cyberspace eller Cyberpower er et relativt begrænset beskrevet felt i forhold til en egentlig videnskabelig teori. Der er dog gjort et forsøg på at beskrive Cyberpower som en egentlig videnskabelig teori i bogen Cyberpower and National Security 18. Forfatteren anerkender, at hans betragtninger er det første forsøg på en teori og han redegøre i hans teori ligeledes for områder der skal analyseres og undersøges nærmere for at opnå en dybere teoretisk forståelse af Cyberpower. Denne teori anvendes i dette speciale som fundamentet for forståelsen af Cyberpowers betydning eller indvirkning på den nationale sikkerhed. I forbindelse med systemanalysen i kapitel 4 anvendes og inddrages en case 19 som omhandler et strømudfald på den amerikanske østkyst i 2003 som berørte ca. 50 millioner mennesker. Casen forløb er beskrevet i en rapport 20 som primært omhandler forløbet i New York City og New York State. Dele af denne rapport inddrages i specialet. Der inddrages endvidere andre mindre cases, som omhandler angreb foretaget i cyberspace med henblik på at underbygge analysen i relevant omfang Afgrænsninger. Angreb i cyberspace kan udføres af forskellige aktører. Hvad enten angrebene gennemføres af kriminelle, terrorister eller stater er teknologien de anvender et langt stykke hen af vejen den samme. De respektive aktører behandles ikke i dette speciale. Der tages i dette speciale ikke høje for eventuelle juridiske begrænsninger der måtte være i forhold til anvendelsen af cyberspace til terrorisme, kriminalitet og krigsførelse og de juridiske aspekter inddrages derfor ikke i dette speciale. Der inddrages ikke analyser af trusler mod specifikke stater i dette speciale, men trusselsvurderinger er rettet mod en generisk vestlig stat eller vestlige demokratier som en samlet størrelse. Trusler kan være mangeartede og komme fra forskellige aktører såvel som fra interne og betroede medarbejdere som med fortsæt eller helt utilsigtet udgør en trussel i forhold til det eller de systemer som personerne indgår i. I dette speciale behandles dog kun trusler som kommer fra eksterne ondsindede angribere der med fortsæt forsøger at opnå en ef- 18 Starr, S. H. (2009), In Cyberpower and National Security, s states.html og

13 fekt i forhold til systemet der angribes. Se i øvrigt anvendte definitioner og begreber i bilag 4 for en definition på trusselsbegrebet i dette speciale. Indhentning af kilder er afsluttet 1. Maj Metode, analysedesign og struktur Metode. Specialet anvender i systemanalysen en empirisk-induktion metode med henblik på at drage slutninger indenfor de fem systemer i Wardens model samt de udledte subsystemer. Metoden baserer sig på singulære påstande eller empiriske påstande, hvorefter der konkluderes på baggrund af disse og dermed anvendes induktionsprincippet i specialet. Metoden anvender ikke logisk gyldig slutningsform og dermed vil analyserne og delkonklusionerne i specialet ikke være 100 % sikre, men derimod være tendenser der peger i retning af en bestemt slutning. Den modsatte metodiske tilgang den deduktive vurderes ikke anvendelig i dette speciale, da specialet ikke undersøger et matematisk problem der med 100 % sikkerhed kan bevises, men derimod betragtninger og observationer. I de efterfølgende afsnit er der taget udgangspunkt i specialet hovedspørgsmål/problem. I hvilken grad. Når truslen er defineret skal den i forhold til dette speciale måles op i mod et system eller subsystem. For at en trussel kan få effekt på systemet er der nogle forhold som er nødvendige for at dette kan realiseres. Blandt andet skal systemet være sårbart, der skal altså foreligge en reel sårbarhed i systemet. Denne sårbarhed kan være mange forskellige forhold, men alene det forhold at systemet eksempelvis er koblet på internettet udgør i et eller andet omfang en sårbarhed. Det er dog ikke nok at der foreligger en sårbarhed sårbarheden skal også kunne udnyttes af en angriber med ondsindede hensigter. I de tilfælde hvor der forefindes en trussel mod et system og dette system er sårbart og sårbarheden kan udnyttes foreligger der en risiko. Betydning. Når der er erkendt en risiko eller flere risici mod et system skal der foretages en vurdering af en angriberes eventuelle udbytte eller hvilken effekt kan opnås ved et angreb. Dette potentielle udbytte skal holdes op imod de anstrengelser som en angriber skal yde for at kunne gennemføre angrebet. Anstrengelserne kan eksempelvis være økonomi eller personressourcer. Såfremt udbyttet/effekten er større en anstrengelserne for at gennemføre et angreb har dette direkte betydning for sandsynligheden for at der gennemføres et angreb. For at undersøge i hvilken grad disse risici har på stabiliteten i staterne anvendes en risikomatrix som tildeler de udvalgte subsystemer i Wardens 5 ringe en score i forhold til effekt ved et angreb og sandsynligheden for et angreb. Summen af disse scorer delt med antallet af udvalgte subsystemer beregner en gennemsnitsscore som fortæller noget om i hvilken grad staterne er truet. Den beskrevne metode er illustreret i bilag 1 som er et flowchart over risikovurderingsaktiviteter. Trussel fra Cyberspace. For at undersøge om en trussel reelt udgør en sikkerhedsrisiko er det nødvendigt at foretage en risikoanalyse i forhold til den enkelte risiko og dermed undersøge hvilken betyd- 13

14 ning en eventuel trussel fra cyberspace har på vestlige demokratier. Der findes flere metode til hvorledes denne analyse foretages, men det amerikanske handelsministerium har udarbejdet en model 21 som overordnet anvender ni trin i analysen. Denne metode anvender systematisk tilgang til analysen og sikre et ensartet analyse- og vurderingsgrundlag. Specialets hovedspørgsmål spørger i hvilken grad vestlige demokratier er truet i forhold til truslen, hvis nogen eksisterer, fra cyberspace. Dermed undersøges indledningsvis hvilke karakteristika der er ved en trussel fra cyberspace. Den efterfølgende metode, som danne grundlag for en del af specialets analysedesign og struktur er baseret på Risk Management Guide for Information Technology Systems 22. Truslen udgøres overordnet af to parametre som uddybes i kapitel 3 og det er angriberens evne til at gennemføre et angreb og her skelnes i forhold til tre niveauer hernæst er det angribernes vilje eller motivation til at gennemføre angrebet. Er angriberen politisk, økonomisk eller religiøst motiveret? Og i hvilken grad er han det. Summen af evnen og viljen udgør definitionen på truslen i dette speciale. Vestlige demokratiers sikkerhed. Sikkerhedsbegrebet i teoretisk forstand er et centralt begreb indenfor International Politik og afhængig af hvilket teoretisk perspektiv der anvendes kan begrebet have flere betydninger. Der skelnes mellem anvendelsen af det snævre sikkerhedsbegreb, hvor sikkerhed overordnet set relatere sig til staten, til den udvidede 23 betydning, hvor begrebet i væsentlig højere grad har fokus på individerne i staten og i øvrigt inddrager betydningen af andre aktører end staten. Endeligt kan sikkerhedsbegrebet betragtes som en konstruktion som i konstruktivismen. Sikkerhedsbegrebet i dette speciale anvendes i forhold til den udvidede tilgang, da specialet skal undersøge om eventuelle trusler fra cyberspace har betydning for staten, men i lige så høj grad hvorledes både det fysiske og kognitive domæne kan påvirkes. Sikkerhed i dette speciale er altså ikke kun noget der sker mellem to eller flere stater, men anerkender at andre forhold kan have indflydelse på sikkerhed for staten, som eksempelvis individer og organisationer Analysedesign. Efterfølgende figur 1 er en illustration af hvorledes analysedesignet er tiltænkt i specialet. Analysen starter med operationalisering af den valgte teori som anvendes i både opstillingen af analysekriterier, men primært som grundlag for strukturen i specialet og analysetilgangen. 21 Risk Management Guide for Information Technology Systems (2002), National Institute of Standards and Technology, Technology Administration, U.S. Department of Commerence, p Ibid 23 Buzan (1991), People, States & Fear - an agenda for international security studies in the post cold war area, s

15 Figur 1: Analysedesign Struktur. Specialet opdeles i seks kapitler hvor det overordnede indhold/formål kort beskrives i de efterfølgende punkter. Kapitel 1: Indledning. Opstiller problemformulering, valg af teori og empiri samt fastlægger metode og analysedesign. Kapitel 2: Operationalisering af teori. Operationaliserer teori og opstiller parametre for de efterfølgende analyser i forhold til henholdsvis John Warden III 5. ringsmodel og risikomodel. Der vil endvidere i dette kapitel blive foretaget en teoridiskussion af de valgte teoretikere samt en kritik af deres teoretiske perspektiv og deres eventuelle afledte begrænsninger i anvendelsen. Med henblik på at kunne foretage en risiko- og sårbarhedsvurdering redegøres for en model som er udarbejdet og anvendes af det amerikanske handelsministerium herunder hvorledes modellen påtænkes anvendt i specialet. Kapitel 3: Analyse 1 Trusselsanalyse. Der foretages en analyse af truslen fra cyberspace. I forbindelse med trusselsanalysen opstiles analysekriterier som anvendes i den efterfølgende systemanalyse. Disse kriterier er overordnet truslens karakter i form af evnen og viljen hos den potentielle angriber. Kapitel 4: Analyse 2 Systemanalyse. Analysekriterierne som blev opstillet i kapitel 3 anvendes i forhold til John Wardens III systemanalyse (5. ringsmodel) indenfor områderne: Leadership, System Essentials, Infrastructure, Population og Fielded Military. I forbindelse med hver enkelt analyse af de udvalgte subsystemer vil der blive foretage en vurdering af effekt og sandsynlighed for et eventuelt angreb. Der fremføres delkonklusioner indenfor de fem systemer. 15

16 Kapitel 5: Konklusion og vurdering. Der foretages den endelige konklusion i forhold til hvad angreb fra cyberspace betyder for vestlige demokratiers sikkerhed og sammenhængskraft og om truslerne har eller kan have destabiliserende effekt i forhold til staten. Der vil også i dette afsnit blive foretaget en syntese mellem systemanalyserne idet Warden taler om parallelle angreb og effekter og dette beskrives i afsnittet. Kapitel 6: Perspektivering. Perspektivering i specialet rettes mod staters mulighed for at sikre sig mod den stigende trussel fra cyberspace og hvilket forhold gør at stater har svært ved at håndtere truslerne fra cyberspace. 16

17 KAPITEL 2 2. OPERATIONALISERING AF TEORI. Dette kapitel indeholder en operationalisering af valgte teoretiske perspektiv og opstilling af en model for den videre analyse herunder en begrundelse for valg og fravalg. Endvidere indeholder kapitlet en kritik af den valgte teori Operationalisering af John A. Warden III. Modellen, som ofte omtales som Wardens 5 ringe, er tiltænkt som metode til at analyse fjender med henblik på at identificere sårbarheder eller Center-of-Gravity for de fem områder: Leadership, System Essentials, Infrastructure, Population og Fielded Military altså fjenden som et system (The Enemy as a System). Modellen kan finde anvendelse på statslige såvel som ikke-statslige aktører og Warden eksemplificere dette 24 ved at anvende modellen på en kriminel organisation (Drug Cartel), hvor Leadership er repræsenteret ved lederen, sikkerhed og kommunikation, System Essentials er repræsenteret ved kokainen samt de steder hvor stoffet forarbejdes, Infrastructure er veje, lufthavne og havne hvor stofferne transporteres, Population er repræsenteret ved de bønder der dyrker råstoffet, dem der forarbejder stoffet samt distributører og endeligt er Fielded Military repræsenteret ved de sikkerhedsstyrker som beskytter kartellet herunder stoffet. Warden omtaler de enkelte elementer indenfor den respektive ring som System attributter og de respektive ringe som systemer. Disse attributter skal have en afgørende betydning for sammenhængskraften i den respektive ring og attributterne kan dermed ikke være hvad som helst, men skal have afgørende indvirkning på et eller flere systemer. Attributterne i dette speciale vil blive omtalt som subsystemer. Figur 2: Wardens 5-ringsmodel. Wardens model illustrere han selv ved ovenstående systemmodel og den viser de fem systemer som er udgangspunktet for militær operationsplanlægning eller som tilfældet er i 24 Warden(1), John A. (September 1995). Air Theory for the Twenty-first Century, tabel 1 17

18 dette speciale, en model til at analysere sårbarheder i de fem systemer med henblik på at vurdere graden af sårbarhed for vestlige demokratier. Modellen anvendes i dette speciale med en anden tilgang i det modellen anvendes med henblik på at identificere sårbarheder i vestlige demokratier indenfor de fem områder for derved at illustrere i hvilken grad disse er truet. Modellen taler om indbyrdes sammenhænge mellem de forskellige hovedsystemer, hvor man enten kan påvirke/angribe et subsystem ved at anvende en direkte tilgang (direct approach) med henblik på at opnå en effekt indenfor dette subsystem eller påvirke/angribe et subsystem med det formål indirekte at opnå en effekt på andre systemer. Cyberspace indeholder en lang række sammenhængende faktorer i forhold til Wardens model idet de systemer der anvendes i cyberspace, hvad enten der er tale om radio- og telekommunikation eller internettet, så kan et angreb foretaget mod et af systemer i Wardens model har indvirkning på andre dele i modellen, også ikke tiltænkte effekter som både kan være gunstig for effekten af angrebet, men også medføre utilsigtede effekter som ikke er gunstig for angrebet Leadership. Leadership i modellen er den inderste ring og er det system, hvor der kan opnås størst effekt ved at angribe dette. Leadership systemet kan bestå af forskellige elementer afhængigt af hvilken struktur ringen lægges ned over. Som tilfældet er i dette speciale, altså vestlige demokratier kan Leadership bestå af fysiske såvel som mere kognitive bestanddele. Inderst i Leadership ringen kan statslederne placeres, og det undersøge i hvilken grad angreb gennemført i cyberspace kan destabilisere vestlige demokratier. Man kunne have udvalgt de tre magtapparater, der er i en hver demokratisk stat, den dømmende, den udøvende og den lovgivende magt, som er de tre organer som kendetegner magtfordelingen i en stat. I Wardens model er opdelingen lidt anderledes i det den udøvende magt, hvad enten der tale og politi eller militær, er placeret i det system som Warden kalder Fielded Military. Den udøvende magt analyseres således under dette system. Den lovgivende magt eller regeringerne herunder statslederen analyseres i systemet Leadership. Den dømmende magt i form af domstolene vurderes kun i begrænset omfang at kunne påvirkes gennem angreb i cyberspace. Dette skyldes blandt andet at outputtet fra domstolene er baseret på menneskelige handlinger, og ikke på automatiserede processer som kan varetages af IKT baserede systemer, og er derfor ikke så påvirkelige. Derfor medtages den dømmende magt ikke i dette speciale. Den lovgivende magt i dette speciale er de personer som varetager lederskabet i staten, de tjenester som understøtter regeringen og det mindset eller kognitive område som skaber politikken og dermed lovgivningen i den respektive stat. Følgende behandles i dette speciale og er ikke et udtryk for en fuldstændig liste over mulige faktorer, der kan analyseres: Statsledere. Det undersøges, om statsledere som individer, kan påvirkes af angreb i cyberspace. Analysen vil undersøge i hvilken grad og med hvilken effekt statsoverhoveders magtbaser kan påvirkes. 18

19 Det kognitive område. Kan angreb i cyberspace påvirke beslutningstagere til at træffe beslutninger eller gennemføre eksempelvis lovgivning som de ikke havde tiltænkt. I hvilken grad kan borgeres rettigheder begrænses fordi lovgiverne gennemfører lovgivning som måske eller måske ikke begrænser truslen fra Angreb i cyberspace. Statslige tjenester. Eksempelvis Skattevæsnet, sociale myndigheder, tingslysningsmyndigheder og mange andre statslige myndigheder er afhængige af IKT baserede systemer til understøttelse af deres virke. Det undersøges, hvilken effekt en har på systemer som understøtter den offentlige forvaltning. Nedenstående figur er en illustration af hvorledes angreb fra cyberspace analyseres i forhold til de valgte faktorer indenfor ringen Leadership. Figur 3: Subsystemer Leadership System Essentials. Ud fra et teoretisk perspektiv er System Essentials de livsvigtige forsyningskilder eller subsystemer som har tværgående indvirkning på de andre systemer, og som er grundelementerne i et system, hvad enten der er tale om en stat, en kriminel organisation eller en organisme. Warden nævner selv anlæg til produktion af elektricitet som en afgørende faktor 25, der har mange forgreninger i mange sektorer og systemer i staten. Såfremt produktionen af elektriciteten kan helt afbrydes eller minimeres vil dette formodentlig have betydelige konsekvenser for mange af de øvrige systemer i Wardens model. Det tilsvarende gør sig gældende med de to øvrige faktorer som er valg at analysere nærmere. De udvalgte subsystemer vurderes at kunne udgøre et validt grundlag for den videre analyse. I dette speciale behandles følgende faktorer i forhold til System Essentials: Energiforsyning. Energiforsyning indbefatter i dette speciale områderne omkring el herunder atomkraftværker, vind- og vandkraftværker inklusiv dæmninger samt olie/gas forsyninger i form af boringer og raffinaderier m.v. der understøtter produktionen af disse forsyninger. Infrastrukturen til at distribuere i form af rørledninger og elkabler mv. behandles konceptuelt under sy- 25 Warden(1), John A. (September 1995). Air Theory for the Twenty-first Century. 19

20 stemet Infrastructure, men i dette speciale er disse ikke medtaget idet der er udvalgt andre områder som vurderes at være vigtigere i forhold til systemet Infrastructure. Vandforsyning. Vandforsyning i dette speciale skal betragtes som vandboringer samt anlæg til rensning af fersk vand til husholdninger og industri. Infrastrukturen til distribution af vand i form af pumper og rørledninger m.v. behandles ligesom under energiforsyningen ikke i dette speciale idet der er andre faktorer som vurderes at være vigtigere. Den finansielle sektor. Dette område bestå af to parametre; det fysiske område i form af computersystemer til understøttelse af sektoren og det kognitive område i form af troen på den globale økonomi. Det finansielle system er ikke et afgrænset nationalt område som kan afskæres, kontrolleres eller påvirkes i forhold til nationale præferencer. Det finansielle system er et globalt netværk og de respektive nationers finansielle systemer fungerer ikke uafhængigt af hinanden. Påvirkes en del af systemet/netværket kan andre dele af systemet/netværket også risikere at blive påvirket. Nedenstående figur er en illustration af hvorledes angreb fra cyberspace analyseres i forhold til de valgte parametre indenfor ringen System Essentials. Figur 4: Subsystemer System Essentials Infrastructure. Infrastruktur er de veje, kabler, rørledninger m.v. som sikre sammenhænge mellem det som Warden omtaler som System Essentials og frembringer eksempelvis drikkevand fra vandproduktionsapparatet til forbruger og erhvervsliv eller forbinder servere med andre servere via kabler i jorden og på den måde får telekommunikationssystemerne til at fungere. Infrastruktur er også industrivirksomheder som skaber vækst og arbejdspladser i staterne og hele luftrummet med tilhørende lufttrafik er en del af staters infrastruktur. Transportsystem. Transportsystemet indeholder i princippet alle transportmidler og installationer til fremførsel i forhold hertil. Transportmidler såsom fly, skibe, toge og køretøjer indgår alle i sub- 20

21 systemet transport. Lufthavne er en del af de installationer som understøtter afviklingen af lufttrafikken og skal i denne sammenhæng tolkes bredt i den forstand at det omhandler, udover de fysiske installationer, også omfatter sensorer, radarer m.v. som gør at flyene kan lande og flyvelederen kan kontrollere de respektive fly m.v. Der foretages en analyse af, hvilken effekt et eventuelt angreb fra cyberspace vil have på afviklingen af lufttrafik i vestlige demokratier. Trafikknudepunkter i vejnettet til fremførsel af køretøjer som eksempelvis tunneler og broer er ofte styret og kontrolleret af IKT systemer, men vægtes i analysen ikke så højt som lufttrafik. Følgende fokus er i analysen i forhold til dette subsystem: lufttrafik, togtrafik, skibstrafik og trafikken på vejnettet. Telekommunikation Telekommunikation er for mange en livsnerve, som tages for givet og betydningen af den er måske ikke noget alle går og tænker på i det daglige, men mistes evnen til at ringe, sende SMS eller gå på internettet, som bare nogle få hverdagseksempler, vil det sandsynligvis meget hurtigt for alle blive tydeligt, i hvor høj grad samfundet er afhængige af dette bindemiddel. Industri Virksomheder der baserer styringen af deres produktion på IKT baserede systemer er formodentlig relativt almindeligt i vestlige demokratier ligesom mange salgsforretninger tilbyder e-handel via internettet 26. Virksomhederne kommunikation uden for egen organisation med eksempelvis kunder er essentielt for virksomhederne. Denne kommunikation sker formodentlig for de fleste virksomheders vedkommende via kommunikationsmidler i cyberspace. Nedenstående figur er en illustration af hvorledes angreb fra cyberspace analyseres i forhold til de valgte faktorer indenfor ringen Infrastructure. Figur 5: Subsystemer Infrastructure s. 25. Ca. 47% af danskerne, som i øvrigt er de næst flittigste til at handle på internettet, anvender e-handel indenfor en 3 måneders periode. 21

22 Population. Befolkningen er ifølge Warden er en vanskelig størrelse at påvirke og dette skyldes blandt andet mængden af mennesker, der skal påvirkes i forhold til en ønsket effekt. Grundlæggende er demokratiske stater forankret i befolkning støtte og regeringsændringer kan således udelukkende ske ved demokratiske handlinger. Befolkningens kan således opdeles i faktorer som direkte eller indirekte kan påvirke stabiliteten i staten i form af et stabilt styrer og følgende tre subsystemer vurderes at udgøre et dækkende grundlag for den videre systemanalyse: Moral. Hvis angreb i cyberspace anvendes som psykologiske operationer mod den almene befolkning kan der måske opnås en effekt i forhold til befolkningens moral. Det analyseres i dette speciale i hvilken grad angreb gennemført i cyberspace kan anvendes til at påvirke eller opnå en effekt i forhold til befolkningens moral. Subversion. Det undersøges om angreb som gennemføres i cyberspace kan anvendes til at underminere regeringens autoritet i forhold til befolkningens støtte. Kan målrettede og politisk motiverede angreb eksempelvis påvirke demokratiske valghandlinger? Det er spørgsmål som disse som analyseres indenfor dette parameter. Det kognitive område. Kan befolkningen påvirkes til at få en bestemt holdning eller kan befolkningens perception af hvad der er den rigtige sandhed påvirkes. Det undersøges hvilken effekt og sandsynlighed et angreb i cyberspace som er målrettet med henblik på at påvirke det kognitive område hos befolkningen har. Nedenstående figur er en illustration af hvorledes angreb analyseres i forhold til de valgte parametre indenfor ringen Population. Figur 6: Subsystemer Population. 22

23 Fielded Military. Fielded Military skal i dette speciale tolkes bredt i den forstand at systemets indhold, udover de militære styrker, også indbefatter politi og brand og redningstjenester, som Warden i øvrigt selv beskriver 27. Grundlæggende indeholder dette system de instrumenter som staten kan gøre brug i forbindelse med opretholdelse af lov og orden og dermed en slags stabilitet. Dermed har en underminering af subsystemerne direkte betydning for statens handlemuligheder og har dermed destabiliserende effekt. Militær. Det undersøges, hvilken effekt et angreb gennemført i cyberspace har på det militære system. Militære styrker anvender en kombination af åbne og lukkede systemer som enten er helt afskåret fra åbne systemer som eksempelvis internettet, men anvender også åbne og ukrypterede systemer og en lang række systemer herimellem. Politi. Politiet er afhængige af en lang række at IT baserede systemer og kommunikationsmidler til at kunne udføre kommando og kontrol i forhold til indsættelse af større eller mindre politistyrker eller i efterforskningsøjemed. Der foretages en analyse af, hvilken effekt et angreb i cyberspace har af betydning for politiets evne til at kunne føre kommando og kontrol over indsatte politistyrker eller hvorledes angrebet kan påvirke efterforskningen og om kompromitteringen af fortrolige informationer har effekt på stabiliteten. Brand- og redningstjeneste. Ligesom politiet er brand- og redningstjenester afhængige af deres evne til at udføre kommando og kontrol over indsatte enheder hvad enten der er tale om indsættelse af ambulancer eller brandkøretøjer er kommunikationssystemer eksempelvis essentielle. Der foretages en analyse af betydningen af Cyberangreb i forhold til indsættelsen af brand- og redningstjenester Nedenstående figur er en illustration af hvorledes angreb fra cyberspace analyseres i forhold til de valgte parametre indenfor ringen Fielded Military. Figur 7: Subsystemer Fielded Military 27 Warden(1), John A. (September 1995). 23

24 Kritik af John A. Warden III. Da Warden udarbejdede sin teori var hans vurdering af modellen af den vigtigste ring eller det vigtigste system at påvirker med henblik på at opnå den ønskede effekt, nemlig at påtvinge fjenden vores vilje, var Leadership. Det er ikke sikkert at den efterfølgende analyse og brug af Wardens model i dette speciale vil vise at netop denne ring har størst effekt på det ønskede mål for en angriber. Det er muligt, at rækkefølgende på de respektive ring skal ændres således at eksempelvis System Essentials er inderst herefter population osv. En vurdering af rækkefølgende på de forskellige systemer vil blive behandlet senere i dette speciale Operationalisering af Risiko- og sårbarhedsmodel. For at kunne foretage en nogenlunde ensartet vurdering af trusler, sårbarheder og risici ved de enkelte systemer og subsystemer er det nødvendig at opstille nogle vurderingskriterier som i størst mulig grad tillader en ensartet behandling i analysen. Det amerikanske handelsministerium har udarbejdet en model 28 til risikovurdering af specifik IKT systemer. Beskrivelserne i diverse tabeller, som er taget direkte fra den amerikanske vejledning, er på engelsk og denne beskrivelse fastholdes for ikke at miste værdi eller anvendelighed i forbindelse med oversættelsen. Modellen indeholder dog en generisk tilgang til risikovurdering og består af 9 steps som i større eller mindre omfang anvendes i dette speciale. Der redegøres for i det efterfølgende hvorledes de 9 steps påtænkes anvendt i analysen. De 9 steps er følgende: Step 1 - System characterization. Step 2 - Threat identification. Step 3 - Vulnerability identification. Step 4 - Control analysis. Step 5 - Likelihood determination. Step 6 - Impact analysis. Step 7 - Risk determination. Step 8 - Control recommendation. Step 9 - Results documentation. Hvilke Steps anvendes ikke? Det er ikke alle steps der anvendes I analysen idet eksempelvis Step 1 beskriver systemet som der skal gennemføres en risikovurdering på. I dette speciale er systemerne og subsystemerne allerede udvalgt jf. Wardens model.. Step 1 foretages altså ikke i dette speciale. Da modellen også anvendes til at anskaffe og implementere IKT systemer er der naturligt indbygget kontrolfunktionaliteter i modellen. Da modellen i dette speciale ikke skal anvendes til at anskaffe eller implementere IKT eller andre systemer anvende Step 4 ikke. Ligeledes anvendes Step 8 og 9 heller ikke da disse steps omhandler anbefalinger i forhold til kontrolfunktionaliteter og dokumentation. Hvilke Steps anvendes og hvordan? Trusselsidentificering i Step 2 er i dette speciale er en helt afgørende faktor som har betydning for problemstillingen i specialet. 28 Risk Management Guide for Information Technology Systems (2002), National Institute of Standards and Technology, Technology Administration, U.S. Department of Commerence, 24

25 Identificering af sårbarheder i Step 3 er en væsentlig proces i analysen og anvendes i dette speciale til at beskrive erkendte sårbarheder i de udvalgte systemer og subsystemer. En sårbarhed behøver ikke nødvendigvis være noget som en ondsindet angriber kan udnytte i forbindelse med gennemførelsen af et angreb, men kan i ligeså høj grad være sårbarhed som kan udløses ved et uheld. Dette speciale skelner mellem disse to forhold i sårbarhedsanalysen Sandsynlighedsvurdering. Fastlæggelse af sandsynlighed som er Step 5 i modellen er en væsentlig faktor idet et system udmærket kan være meget sårbart og der kan foreligge en relevant trussel, men hvis de anstrengelser herunder angriberens evne er større end det udbytte eller effekt som kan opnås vil sandsynligheden falder for at der bliver gennemført et angreb mod systemet. Sandsynlighedsniveau Høj Middel Sandsynlighedsbeskrivelse The threat-source is highly motivated and sufficiently capable, and controls to prevent the vulnerability from being exercised are ineffective. The threat-source is motivated and capable, but controls are in place that may impede successful exercise of the vulnerability. Lav The threat-source lacks motivation or capability, or controls are in place to prevent, or at least significantly impede, the vulnerability from being exercised. (Kilde: Risk Management Guide for Information Technology Systems, s. 21) Figur 8: Sandsynlighedsbeskrivelse Effektanalyse. Step 6 som omhandler effektvurderingen tager udgangspunkt i både risikomodellen fra det amerikanske handelsministeriums som definerer tre områder hvor der kan skabe en effekt. De tre områder som går igen igennem hele specialet er følgende: Loss of Integrity. Loss of Availability. Loss of Confidentiality. Denne del af analysen svare på betydningen af et angreb gennemført I cyberspace og som fremgår af problemformuleringen. Loss of Integrity. Hvis man mister IKT systemernes integritet, ved at eksempelvis data ændres eller falske data indsættes eller slettes risikerer der at opstå en tilstand, hvor der træffes beslutninger på et ufuldstændigt grundlag eller i værste fald på et direkte forkert/manipuleret grundlag. I forhold til angreb i cyberspace kan dette formål påvirke eksempelvis den finansielle sektor, hvis der ikke længere er tillid til sektoren eller hvis integriteten til valuta- og aktiekurser mindske kan dette medfører betydelige konsekvenser. Befolkningen kan handle uforudsigeligt hvis tilliden til bankerne eksempelvis forsvinder. De kan eksempelvis hæve alle indeståender i bankerne, hvilket kan medføre alvorlige følger for bankerne. Loss of Availability. Såfremt det ikke er muligt at bruge IT systemer i eksempelvis produktionsvirksomheder eller i den finansielle sektor på grund af at systemerne er gjort utilgængelige i kortere eller længere tid, kan dette betyde alvorlige økonomiske tab, men et er økonomiske tab, hvad 25