Dansk strategisk planlægning af cyberdefence

Transkript

1 FORSVARSAKADEMIET Institut for Strategi VUT II-L/STK 2010/11 Kaptajn Carsten Fugleholm Vejleder: Liselotte Odgaard Antal tegn: Dansk strategisk planlægning af cyberdefence Problemformulering På området dansk cyberdefence analyseres det koordinerende og det funktionelle niveau inden for legitimitet, kapaciteter og implementeringsstrukturer med henblik på at stille forslag til ansvarsfordeling, kapaciteter og strukturer, der kan styrke den strategiske planlægning af cyberdefence og derved reducere mangler og overlap i arbejdet, samt bibringe det øget legitimitet

2 Abstract This thesis explores the process of strategic planning in the security policy area cyberdefence in order to suggest how the Danish strategic planning of cyberdefence can be strengthened. Cyberdefence has been chosen because it is a contemporary field of study with new types of threats emerging which challenges the traditional understanding of national borders and hostile action. The thesis thereby seeks to contribute to the strategic planning that is under way by adding a theoretically driven angel. The thesis uses American empirical experiences combined with a newly developed theoretical concept on strategic planning to analyze the ongoing strategic planning of cyberdefence in Denmark. The main points of the thesis are that the best way to strengthen the Danish strategic planning of cyberdefence is to constitute a council under the Ministry of State tasked to develop a policy as grounds for a state strategy on cyberdefence in order to optimize the distribution of resources, and to gather the cyberdefence capabilities under the Ministry of Defense in order to strengthen the prioritization of tasks within cyberdefence. The analysis further indicates that the effort of the state as a whole will be strengthened by articulating and writing national security strategies. 1

3 Resumé Specialet omhandler strategisk planlægning af cyberdefence, og adresserer en problemformulering der lyder således: På området dansk cyberdefence analyseres det koordinerende og det funktionelle niveau inden for legitimitet, kapaciteter og implementeringsstrukturer med henblik på at stille forslag til ansvarsfordeling, kapaciteter og strukturer, der kan styrke den strategiske planlægning af cyberdefence og derved reducere mangler og overlap i arbejdet, samt bibringe det øget legitimitet. Det sikkerhedspolitiske emne cyberdefence er valgt, fordi der i Danmark netop nu pågår strategisk planlægning på området for at imødegå nye trusler af en ny karakter, og specialet derved får relevans ved at kunne bidrage konstruktivt til et igangværende arbejde, der griber bredt ind i det danske moderne samfund. Endvidere synes området hidtil primært at være behandlet ud fra empiriske erfaringer samt reaktioner på angreb i cyberspace på statsligt niveau, hvorfor en analyse af emnet, der er mere teoretisk båret, potentielt vil kunne tilføje noget, der overses i det praktiske arbejde med den strategiske planlægning. Endelig kan specialets analyse anføre indikationer om, hvad det kan betyde for en stats ageren, om en strategi italesættes og nedfældes eller ej. Det synes muligt, fordi analysen af den danske kontekst berører flere myndighedsniveauer og deres tilgang til strategisk planlægning. For at besvare problemstillingen analyseres strategisk planlægning af cyberdefence i Danmark ved at koble amerikanske empiriske erfaringer med et nyt teoretisk koncept for strategisk planlægning med henblik på at favne de fleste og nyeste elementer inden for et felt, der er i en rivende udvikling. Det nye teoretiske koncept om strategisk planlægning, som Forsvarsakademiet har udarbejdet, anvender en inddeling af niveauerne for planlægning i tre arenaer, hvoraf specialet behandler de to øverste, der i specialet omfatter det ministerielle niveau og dets underliggende myndigheder og styrelser. Udgangspunktet i analysen er Forsvarsministeriet og Videnskabsministeriet. Det strategiske koncept anvender fem strategiske nøglevariable til at analysere essensen af indholdet i enhver strategi. I specialet analyseres tre af de fem variable inden for de to arenaer i form af kapaciteter, legitimitet og implementeringsstrukturer. I erkendelse af at USA inden for feltet cyberdefence har en førende rolle inden for forskning, uddannelse og erfaringsindhentning, inddrages udvalgte amerikanske erfaringer i analysen af den danske kontekst for strategisk planlægning af cyberdefence. Den danske kontekst, der anvendes, er den aktuelle i Danmark primo For at forstå den danske kontekst anvendes en kombination af officielle publikationer, websteder og interviews. Specialets struktur indeholder en motivation for det valgte emne, et kapitel, der beskriver den samlede analyseramme, og tre analysekapitler, der leder frem til en samlet konklusion og perspektivering. I det første analysekapitel analyseres baggrund for og målet med de amerikanske empiriske erfaringer med henblik på at kunne vurdere, om erfaringen helt, delvist eller slet ikke er anvendelig at overføre til analysen af den danske kontekst. De 2

4 valgte amerikanske erfaringer tages med til de to sidste kapitler, hvor de supplerer og understøtter elementerne fra den danske kontekst. De to sidste kapitler analyserer hver for sig variablene kapaciteter, legitimitet og implementeringsstrukturer på henholdsvis det ministerielle og underliggende niveau med henblik på at identificere, hvor og hvordan den strategiske planlægning af dansk cyberdefence kan styrkes. De væsentligste konklusioner på baggrund af specialets analyse er, at Danmark har et relativt stort statsligt handlerum og en bredvifte af implementeringsstrukturer såvel nationalt som internationalt, som danner gode forudsætninger for at gennemføre tiltag til at styrke den strategiske planlægning af cyberdefence. Planlægning af cyberdefence i Danmark kan styrkes mest ved dels at oprette et tværministerielt råd under Statsministeriet, der udarbejder policy som grundlag for en fælles strategi for cyberdefence med henblik på at ensrette den statslige indsats og styrke ressourcetildelingen, dels at samle kapaciteter til cyberdefence under Forsvarsministeriets myndighed med henblik på at forenkle og lette den indbyrdes vægtning og prioritering af opgaver inden for feltet. Endelig giver specialets analyse indikationer om, at Danmark godt kan føre en aktivistisk sikkerhedspolitik uden overordnede policy og strategier for indsatsen, men at staten vil kunne nå længere i sin stræben nationalt og internationalt ved at italesætte og nedfælde overordnede sikkerhedspolitiske strategier. 3

5 Indhold Abstract... 1 Resumé... 2 Kapitel 1. Indledning Hypotese Formål og relevans... 6 Hvorfor cyberdefence?... 6 Militær relevans?... 7 Hvorfor statsligt niveau?... 7 Problemformulering: Teori til- og fravalg Strategi og cyberdefence Begrebsafklaring Operationalisering Empiri Amerikansk empiri Øvrig skreven empiri Interview Metode Figur 1: Struktur for specialet Afgrænsning Kapitelinddeling og indhold Formalia Kapitel 2. Analyseramme Teoriens elementer Det Strategiske Koncepts to arenaer Afklaring af elementerne i cyberdefence I den koordinerende arena I den funktionelle arena Operationalisering af valgt empiri og teori Cyberdefence Den koordinerende arena Den funktionelle arena Samlet analyseramme Figur 2: Illustration af specialets analyseramme

6 Kapitel 3. Amerikansk empiri Generelt Anvendeligheden af amerikanske elementer i dansk kontekst Den koordinerende arena Kapaciteter i den koordinerende arena Legitimitet i den koordinerende arena Implementeringsstrukturer i den koordinerende arena Den funktionelle arena Kapaciteter i den funktionelle arena Legitimitet i den funktionelle arena Implementeringsstrukturer i den funktionelle arena Delkonklusion Kapitel 4. Den koordinerende arena Generelt Kapaciteter Legitimitet Implementeringsstrukturer Delkonklusion Kapitel 5. Den funktionelle arena Generelt Kapaciteter Legitimitet Implementeringsstrukturer Delkonklusion Kapitel 6. Konklusion og perspektivering Konklusion Perspektivering Teori Empiri Fordele og ulemper ved italesat strategi Bibliografi

7 Kapitel 1. Indledning 1.1 Hypotese Specialet tager udgangspunkt i tværministerielle processer for strategisk planlægning af cyberdefence 1 samt ministeriernes samarbejde med underliggende myndigheder. Opstillet som hypotese kan det udtrykkes således: Den politiske del af den strategiske planlægning af en strategi for cyberdefence vil foregå fragmenteret og ikke koordineret, hvilket vil give kapacitets- og legitimitetsproblemer, der vil indsnævre statens handlerum unødigt og skabe konflikter mellem forskellige implementeringsstrukturer. 1.2 Formål og relevans Formålet med specialet er at belyse, hvorledes dansk planlægning af strategi for cyberdefence kan styrkes. I fraværet af en national sikkerhedsstrategi (Breitenbauch 2008: 6) er specialet fokuseret på, hvilke forslag til optimering der kan fremkomme, når en teoretisk tilgang til ideel strategiformulering inden for cyberdefence sammenholdes med den proces, der i praksis foregår imellem ministerier og mellem ministerier og deres underliggende myndigheder. Hvorfor cyberdefence? Cyberdefence er valgt som vinkel i specialet, netop fordi der ikke for nærværende eksisterer en dansk strategi for området på statsligt niveau. At en stat inden for et bestemt område ikke eksplicit italesætter og/eller rammesætter tiltag som værende en strategi, behøver ikke at betyde, at der ikke i praksis udvirkes en strategi. Essensen af en strategi kan ses som en proces, der oversætter politiske visioner til opnåelige mål ved at anvende de rådige midler på en brugbar måde (O&K 2011: 7). Således er der en række tiltag på vej i Forsvarsministeriet, Ministeriet for Videnskab, Teknologi og Udvikling (Videnskabsministeriet) og Forsvarskommandoen (FKO) 2, der samlet kan betragtes som en strategi. Derfor vil specialet både kunne bidrage konstruktivt til dette arbejde ud fra en teoretisk tilgang, som kan blive overset i det praktiske arbejde i statens institutioner, samt med en vurdering af fordele og ulemper ved ikke at itale- og rammesætte tiltagene i en samlet strategi. Strategi for cyberdefence er endvidere en del af dansk sikkerhedspolitik, der får stadigt større bevågenhed og relevans i flere fora. Senest blev det fremhævet som et fokusområde ved NATO-topmødet i Lissabon i 2010, og det efterfølgende nye koncept for NATO (NATO New Concept 2010: 5). Et fokus, der blandt andet tager sit afsæt i de angreb i cyberspace 3, som Estland, Georgien og senest Frankrig 4 har været udsat for. Cyberdefence foregår i et globalt domæne, cyberspace, uden de normale fysiske begrænsninger og regler som tid, rum og grænser (Gottlieb 2010: 18). Danmark agerer som statslig aktør med afsæt i Danmarks fysiske placering og afgrænsning. På samme måde agerer internationa- 1 Cyberdefence som begreb anvendes i specialet som værende de sikkerhedsapplikationer til beskyttelse af infrastrukturen for computer informationssystemer mod cyber-angreb. 2 Blandt andet arbejde med CNO, jf. Forsvarsforlig , og Udkast til lovforslag om behandling af personoplysninger i den statslige varslingstjeneste for internettrusler. 3 Cyberspace som begreb anvendes i specialet i betydning af det elektroniske medium af computernetværk, hvori online kommunikation foregår. 4 Et angreb, der skete i december 2010, og dermed efter topmødet i Lissabon, men er seneste kendte eksempel på en stat under angreb i/fra cyberspace. 6

8 le organisationer som NATO og EU ud fra internationalt anerkendte grænser. Cyberspace åbner nye muligheder ved at bryde med disse fysiske grænser. Derved udfordrer cyberspace begreber som det euro-atlantiske område (NATO New Concept 2010: 4) og The Stopping Power of Water (Mearsheimer 2001: ) 5. I forhold til specialet er det relevant at inddrage empiri om cyberdefence, fordi det kan bidrage med noget særligt og/eller nyt fra et domæne uden de traditionelle fysiske grænser og regler, der repræsenterer nye muligheder og sårbarhed (Kramer 2009: 40). Endelig har cyberdefence i forhold til den strategiske planlægning den fordel, at den ikke kun tilhører den egentlige militære søjle, men griber bredt ind i det moderne samfund. Bl.a. ved at omfatte hele rækken af samfundsbærende funktioner, der benytter sig af kommunikation via internettet (Kramer 2009: 491), som fx bankvæsnet, skatteforvaltningen og store dele af kommunal og statslig borgerservice. Derved kan specialet medvirke til at pege på udfordringer i den strategiske planlægning, der går på tværs af statslige sektorer. Derved vil specialets konklusioner kunne gøres bredere og mere anvendelige end ved alene at analysere det militære felt. Militær relevans? Fra et militært synspunkt har specialet relevans, da det adresserer et område, hvor ansvarsfordelingen i forhold til forsvaret af Danmark tillægges nye dimensioner i relation til cyberspace. Er det et anliggende for Forsvarsministeriet, eller er det nødvendigt med en bredere ansvarsfordeling, som igen kan afføde behov for koordineret planlægning? Hvornår er et cyber-angreb et angreb af en fremmed magt på dansk territorium og dermed et anliggende for forsvaret og Forsvarets Efterretningstjeneste (FE), og hvornår er det en kriminel handling, som er et anliggende for politiet og Politiets Efterretningstjeneste (PET)? Derfor synes det relevant at ansvarsfordeling indgår i problemformuleringen. For at holde den militære tilknytning i specialet fokuseres der på den underliggende, funktionelle myndighed, som FKO udgør. Forholdet mellem Forsvarsministeriet og FKO er særligt interessant, fordi det adskiller sig fra andre dele af statsadministrationen: FKO på den ene side er præget af militære beslutningstagere og har en lang tradition i militær strategiplanlægning. Forsvarsministeriet indeholder overvejende civile beslutningstagere med en lang tradition i beslutningstagning og planlægning i et politisk styret felt. Koblingen mellem de to niveauer kan derfor opfattes som udfordret af forskellig tilgang til strategisk planlægning (O&K 2011: 1). Specialet omhandler ikke de særlige, offensive militære kapaciteter, som forsvaret benytter sig af inden for Computer Netværk Operationer (CNO), fordi de alene er et militært anliggende og dermed ikke på samme måde som cyberdefence har interessenter og kapaciteter bredt i statsadministrationen. Hvorfor statsligt niveau? Da specialet omhandler et sikkerhedspolitisk område og dermed Danmark som statslig aktør, synes det relevant at undersøge de processer, der foregår på det ministerielle, koordinerende niveau. Dertil kommer processer mellem det ministerielle og de umiddelbare underliggende myndigheder, der typisk står for den funktionelle planlægning. Underliggen- 5 At fx USA ikke kan udvide sin dominans til mere end regionalt hegemoni på grund af havenes begrænsende virkning. 7

9 de myndigheder medtages med henblik på at belyse, hvorledes politiske visioner og mål omsættes til praksis og delstrategier. På trods af at cyberdefence har fået øget bevågenhed, kan det diskuteres, om emnet fremstår som vitalt for danske interesser. Der kan argumenteres for, at de vitale danske interesser fastsættes på politisk niveau, herunder af regeringen og Folketinget, og at det politiske niveau agerer på befolkningens opfattelse af, hvad der opfattes som vitalt. Cybertrusler mod Danmark kan i befolkningens øjne være ret diffust og dermed vanskeligt at sikkerhedsliggøre. Det kan derfor være en udfordring dels at finde den fornødne legitimitet i befolkningen og dels at oparbejde den fornødne motivation hos underlagte myndigheder, der i praksis skal indfri de politisk fastsatte mål på området. Hvis cyber-trusler ikke sikkerhedsliggøres i forhold til befolkningen, og Cyberdefence dermed ikke opfattes af vital dansk interesse, kan det få den selvforstærkende effekt, at der ofres mindre politisk fokus på emnet. Det kan bl.a. betyde, at tiltag som dem, der blev besluttet på NATO-topmødet i Lissabon, i højere grad iværksættes af embedsværket end af politikerne og implementeres uden koordination med øvrige dele af statsadministrationen. Derfor synes det tillige relevant at analysere legitimitet og implementeringsstrukturer i de processer, der omsætter politik til praktik. Når embedsværket skal omsætte politiske visioner og mål til konkrete handlinger og tiltag, findes det tilsvarende relevant at analysere de kapaciteter, der dels favner oversættelsen fra politik til praktik og dels består af specialister, der kan give praktikken form. Således vurderes legitimitet, kapaciteter og implementeringsstrukturer relevante elementer at medtage i specialets analyse. Essensen af specialets tilgang bliver dermed: Der er i dansk politik ikke tradition for at italesætte strategier for sikkerhedspolitikken, bedst udtrykt ved fraværet af en national sikkerhedsstrategi. Sammenholdt med teori om strategiudarbejdelse synes det derfor sandsynligt, at den samlede indsats risikerer både at efterlade huller og duplikere indsatsområder, eftersom arbejdet ikke foregår med et fælles, politisk defineret udgangspunkt eller rettes mod en fælles vision. På baggrund af ovenstående formål og redegørelse for relevans kan sammenfattes følgende: Problemformulering: På området dansk cyberdefence analyseres det koordinerende og det funktionelle niveau inden for legitimitet, kapaciteter og implementeringsstrukturer med henblik på at stille forslag til ansvarsfordeling, kapaciteter og strukturer, der kan styrke den strategiske planlægning af cyberdefence og derved reducere mangler og overlap i arbejdet, samt bibringe det øget legitimitet. 1.3 Teori til- og fravalg Strategi og cyberdefence Cyberdefence er så nyt et felt, at der ikke eksisterer egentlig teori om emnet. Derfor anvendes empiri fra feltet til at pege på elementer, der kan bidrage til noget nyt i forhold til den strategiske planlægning. Til- og fravalg af empiri om cyber fremgår af empiriafsnittet. 8

10 Strategifeltet er domineret af amerikansk tænkning og udgivelser, der generelt udfoldes i en kontekst, hvor den amerikanske stat, som enlig supermagt siden den kolde krigs ophør, har kunnet udvikle strategier (Suri 2009: 16). Teorierne er derfor meget detaljerede, relativt hierarkisk opbygget og fokuserede på amerikanske supermagtsforhold, som ikke altid er direkte sammenlignelige med forholdene i andre vesteuropæiske lande. Feltet har fokus på en sekventiel arbejdsmetode med begreber som Ends, Ways og Means samt Grand Strategy, Security Strategy og Theatre strategi (Yarger 2008: 26). Fordelene er, at strategierne har været afprøvet, og at en ressourcestærk stat som USA har haft lejlighed til at implementere omfattende og økonomisk tunge strategier, der i mindre stater måske alene ville eksistere som teori. USA har på den baggrund kunnet indsamle erfaringer og videreudvikle strategierne. Supermagtens ressourcer på akademikere og institutioner har endvidere betydet, at der er forsket og udviklet på detaljerede strategier, ikke mindst på hvert enkelt sikkerhedspolitisk område. Det sikkerhedspolitiske felt er tilsvarende bredt i småstater, men her vil der ikke nødvendigvis være de nødvendige ressourcer til rådighed for at undersøge og implementere alle delelementer. Amerikansk forskning og strategiudvikling giver dermed mulighed for indblik i flere detaljer end i mindre stater. Ulemperne ved feltet er, at amerikansk strategitænkning netop tager afsæt i en amerikansk verdensopfattelse, hvor USA som supermagten føler sig forpligtet til at lade strategierne brede sig over andre dele af verden, som det var fx tilfældet i Irak i 1991, Afghanistan i 2001 og igen i Irak i Det er en ulempe, for den ressourcestærke supermagt kan overse lokale forhold, traditioner og fordele ved småstaters statsførelse i dens meget detaljeret strategiske planlægning. Meget detaljerede strategier har yderligere den ulempe, at de er smalt anvendelige og kun på netop de forhold og i den kontekst, de er udviklet til. Særligt har supermagtens militære instrument haft lejlighed til at udbygge sin tradition for strategisk planlægning. Det er en ulempe, da det i flere tilfælde 6 har ledt til, at supermagtens massive tilstedeværelse uden for statens egne grænser har skabt grobund for udarbejdelse/videreudvikling af strategier drevet af den militære ledelse i indsatsområdet frem for af den amerikanske stats ledelse. Endvidere har USA s mange forskningsinstitutioner den ulempe, at de i deres konkurrence om forskningsmidler og præstige kan overse muligheder for synergimuligheder ved samarbejde på tværs af ressortområder. Endelig udgør den traditionelle sekventielle arbejdsmetode med fokus på den strategiske planlægnings stadier en ulempe, fordi den alene omhandler de forskellige stadier uden at give anvisninger omkring det specifikke indhold (O&K 2011: 12). I en stat af Danmarks størrelse og ressourcer er der behov for at udnytte tværfagligt samarbejde, hvor der i praksis arbejdes med mindre hierarkiske fag og niveaugrænser. Derfor er der behov for at anvende en teori, der afspejler en bredere tilgang til strategibegrebet, med forståelse for glidende overgange mellem myndigheder og niveauer. Ud fra en teori, der er anvendelig i dansk kontekst, vil specialet kunne bidrage til at pege på processer og områder, hvor den nuværende praksis kan forbedres, og dansk forsvar derved kan anvende dets ressourcer mere optimalt. 6 Eksempelvis Irak 2003-nu og Afghanistan 2001-nu. 9

11 En sådan teori er udviklet af Forsvarsakademiet i form af Strategisk Koncept (O&K 2011: 1-18). Da konceptet er nyudviklet og anvender begreber, der ikke er en del af det traditionelle strategibegreb, redegøres der her kort for det: Konceptets formål er at udforske strategi som en essentiel del af funktionerne og udfordringerne i en moderne stat. Konceptet bidrager til strategidebatten ved at beskrive, hvorledes strategi formuleres med grundlag i nogle få nøglevariable, der fastlægger essensen af indholdet i strategisk planlægning. Et hovedbudskab i konceptet er, at selvom den strategiske planlægningsproces i statsadministrationen er kompleks med forskellige karakteristika og formål, kan indholdet af strategisk planlægning beskrives med fælles koncepter og variabler. Den tilgang betyder, at politiske visioner oversættes til en strategi af de politisk administrative niveauer, der koordineres og synkroniseres med nøgleinstitutioner i sikkerhedssektoren, og som definerer implementeringen på indsatsområderne. Derved søger konceptet at tilsikre, at det er statsadministrationen, der styrer statens ageren, og ikke de udførende led. For at opnå det arbejder konceptet med tre strategiske arenaer: den koordinerende, den funktionelle og den instrumentale. De tre arenaers strategiske planlægning er alle defineret ved fem nøglevariable: kapaciteter, legitimitet, tid, position og implementeringsstrukturer. De to første definerer råderummet for handling, og de tre sidste definerer, om strategien er adfærds- eller kontekstforandrende. Over det strategiske planlægningsniveau findes de politiske visioner. I den første, koordinerende arena oversættes de politiske visioner til strategier, der kan implementeres med baggrund i den fundamentale ideologiske ide om staten og med koordinationsinstrumenter, der tillader monitering af, i hvilken grad de strategiske mål nås. I den anden, funktionelle arena handler strategi om at udvikle et gangbart samspil mellem muligheder og risici i det omkringliggende miljø og statens kapaciteter til at udnytte de muligheder. Den koordinerende arenas strategi opfyldes gennem en række delstrategier inden for de forskellige funktionelle sektorer. Den tredje, instrumentelle arena er ikke nødvendigvis underliggende i forhold til de to første. Arenaen afhænger af de muligheder og begrænsninger, der er fastlagt af den funktionelle arena. Det betyder ikke, at der eksisterer et hierarkisk forhold de to imellem, men blot at de har forskellige karakteristika og formål. I den instrumentelle arena består strategi af integrerede handlinger eller planer, der vil udstikke og opnår organisationens mål. Grundlaget for strategisk tænkning inden for alle tre strategiske arenaer er de nationale og internationale overvejelser vedrørende de fem nævnte nøglevariable, som udgør indholdet af strategien. De rådige kapaciteter til at opnå et specifikt mål kan være militære, økonomiske, finansielle eller kapaciteter på viden. Kapaciteterne påvirker typen af mål, normer og instrumenter der er til rådighed for staten. Legitimiteten af et bestemt mål afhænger af den kollektive opfattelse i statens, parlamentets og ministeriernes vurdering af retfærdigheden og rigtigheden af de strategiske mål. 10

12 Nøglevariablen tid påvirker, hvilke strategier der er til rådighed for staten. Tidshorisonten til at nå et bestemt mål kan være kort eller lang, og vejen til målet kan dermed være flad eller stejl. Statens position handler om dens interesser og værdier. De er vigtige for at definere substansen af en stats relative indflydelse, set i forhold til andre stater. Derved omhandler variablen definitionen af statens nuværende og fremtidige identitet. Implementeringsstrukturer er rådige kanaler til at indføre en bestemt strategi. De er det maskineri, som planer distribueres, handlinger koordineres, og strategier udfoldes såvel nationalt som internationalt igennem. Specialets ærinde er at analysere på de processer, der foregår mellem ministerierne og mellem ministerierne og deres underliggende myndigheder, herunder særligt FKO, fordi det er på de niveauer, at grundlaget for Danmarks ageren som statslig aktør skabes. Med det aktuelle emne, cyberdefence, er det samtidig dér, den nuværende danske strategiske planlægning på cyber-området er blevet til 7. Derfor er det relevant for specialet at analysere på cyber-området inden for den koordinerende og den funktionelle arena, da de dækker de relevante niveauer. Derved fravælges teori omkring den instrumentelle arena, fordi dens mål er udledt af de to øvrige arenaer og foregår på underliggende udførende niveauer. Da der foregår en fortløbende dialog mellem den funktionelle og instrumentelle arena med henblik på at optimere og justere delstrategierne på baggrund af den udførende myndigheds praktiske erfaringer, kan det ikke undgås, at der i specialet vil være referencer til den instrumentelle arena, men det teoretiske udgangspunkt vil være den koordinerende og funktionelle arena. Konceptets nøglevariable lægger i ordlyd meget direkte op til, at legitimitet og kapaciteter skal indgå i specialets analyse, fordi de udvalgte ministerielle og underliggende myndigheders arbejde med strategi definerer det handlerum, som staten både indad- og udadtil har til rådighed til at opnå et mål, som i dette tilfælde er et effektivt cyberdefence. Konceptet fremlægger, at såfremt staten hverken har rådige kapaciteter eller legitimitet til at realisere et bestemt mål, er den ikke i stand til at gøre noget overhovedet, mens en stat, der har anselige kapaciteter og legitimitet til rådighed, sandsynligvis har et stort råderum for handling. Specialet sigter på at styrke processer og legitimitet og derved enten øge handlerummet eller muliggøre reduktion af tildelte ressourcer. Derfor vælges konceptets dele om kapaciteter og legitimitet at skulle indgå i analysearbejdet. Af de tre nøglevariable, der definerer om en strategi er adfærds- eller kontekstforandrende, er kun implementeringsstrukturer indeholdt i problemformuleringen, der dermed skal være en del af teorigrundlaget. Det i sig selv er ikke tilstrækkeligt argument for et fravalg af tid og position, da de to variable også repræsenterer væsentlige dele af det samlede strategiske koncept. Da specialet tager sit udgangspunkt i en reel dansk kontekst, kan Danmarks position i forhold til det internationale samfund anvendes som et udtryk for den strategiske variable position. Efter murens fald har Danmark ført en markant mere aktivistisk udenrigspolitik end tidligere. Den danske stat har derved i noget omfang gjort op med tidligere tiders opfattelse af en småstats udenrigspolitiske optræden, som en løbende tilpasning til omgivel- 7 Bl.a. er Kommissorium for Etablering af en computer network operations-kapacitet inden for Forsvarsministeriets område etableret i januar 2011 på baggrund af Forsvarsforliget

13 serne. Dermed har Danmark udvirket en egentlig sikkerhedspolitik (Breitenbauch 2008: 6). Danmarks interesser og værdier sigter derved mod, at staten nu og i stigende grad på sigt skal opfattes af andre stater og af Danmarks befolkning som ansvarlig og aktivt deltagende i at gøre verden et bedre og mere demokratisk sted at være (Breitenbauch 2008: 36). Da det også er Danmarks position i dag, vurderes det relevant at fastholde denne danske position, når legitimitet og kapaciteter i den koordinerende og funktionelle arena skal analyseres, da de skal understøtte Danmarks position. Variablen tid varierer typisk i udstrækning, afhængigt af hvilken arena der arbejdes med (O&K 2011: 14), hvor tidshorisonten i den koordinerende arena har tendens til at være lang, i den funktionelle arena tendens til at være middel, og i den instrumentelle arena er tendensen for tidshorisonten, at den er kort. Kontekstforandrende strategier har tendens til at tage længere tid end adfærdsforandrende strategier, da de benytter sig af en mere indirekte tilgang. Er der lang tid til rådighed, er det altså muligt at vælge, om der skal anvendes kontekstforandrende eller adfærdsforandrende strategier, mens der med kort tid til rådighed er mindre råderum til at udøve kontekstforandrende strategier. Da det er specialets sigte at stille forslag til processer og øget legitimitet, der favner så bredt som muligt og dermed ikke er begrænset, af om der ikke er tid til kontekstforandrende strategier, vurderes det en egnet tilgang for specialet at betragte nøglevariablen tid som lang. Det giver de færreste begrænsninger til anbefalingen og understøtter endvidere de tendenser, der knytter sig til den koordinerende og funktionelle arena. Nøglevariablen implementeringsstrukturer fremstår interessant, fordi den favner de kanaler, som den enkelte arena anvender til at iværksætte tiltag. Hvis det viser sig, at der anvendes forskellige strukturer i de forskellige arenaer, synes det oplagt, at noget sådant kan skabe problemer, der vil kunne påvirke legitimiteten af strategien. I forhold til hvordan den danske stat både udad til og internt i staten vil sikre, at en strategi for cyberdefence opnår legitimitet og særligt internationalt tilføres de relevante kapaciteter, fremstår det derfor relevant at inddrage nøglevariablen implementeringsstrukturer i analysen. 1.4 Begrebsafklaring Da emnerne cyber og cyberdefence er relativt nye, kan der være en tendens til, at de tilhørende begreber bruges i flæng og uden øje for, hvor der er overlap eller modstridende anvendelser. Derfor udlægges her argumenteret begrebsanvendelse for specialet. I specialet anvendes begrebet Cyberspace i betydning af det elektroniske medium af computernetværk, hvori online kommunikation foregår, hvilket er en amerikansk ordbogsdefinition 8. Begrebet Cyberpower anvendes i specialet i betydningen at have evnen til at bruge cyberspace til at skabe fordele og påvirke begivenheder i alle øvrige operationelle miljøer og på tværs af magtinstrumenter (Kramer 2009: XVI). Valget af definitionerne for disse to generelle begreber er taget, fordi empirien, der afdækker erfaringer og ophav for cyberspace og cyberpower, er amerikansk. Ved at bruge amerikanske definitioner til de overordnede begreber kan der i specialet arbejdes med den amerikanske empiri uden begrebsforstyrrelser. Begrebet CNO anvendes i specialet omkring de egentlige militære kapaciteter til gennemførelse af defensive, informationsindhentende/informationsudnyttende og offensive militæ- 8 The American Heritage Dictionary of the English Language, Fourth Edition copyright 2000 by Houghton Mifflin Company. Updated in

14 re operationer i cyberspace 9. Cyberdefence som begreb anvendes i specialet som værende de sikkerhedsapplikationer til beskyttelse af infrastrukturen for computer informationssystemer mod cyber-angreb 10. For de to sidste specifikke begreber CNO og Cyberdefence, er der for specialet valgt at bruge dansk militær hhv. NATO/EU definition. De er valgt, fordi specialet i detaljen sigter på at adressere en dansk kontekst, hvorfor det er væsentligt med klare snitflader mellem den civile og militære sektor internt i staten samt som international aktør at relatere sig til det eksisterende militære samarbejde med NATO og det eksisterende civile samarbejde med EU. 1.5 Operationalisering Empiri Amerikansk empiri Cyber-feltet er præget af en overvægt af amerikansk litteratur, og der er særligt siden præsident Obamas tale vedrørende Cybersecurity (Obama 2009: 1) blevet udgivet meget litteratur om emnet. Selvom USA tidligt har været dominerende inden for feltet, er fællesskaber og alliancer som EU og NATO for nærværende i færd med at udvikle systemer og institutioner til at håndterer trusler fra cyberspace 11. Når der skal inddrages empiri til støtte for specialet, vælges empiri fra USA fremfor fra EU eller NATO, fordi USA som supermagt både repræsenterer en suveræn stat, hvilket er sammenligneligt med Danmark, og repræsenterer de fleste praktiske erfaringer med feltet qua dets førende position på uddannelse, forskning, implementering og erfaringsindhentning på cyber-området (Smith 2010: 1). Når amerikansk empiri vælges med henblik på at uddrage elementer, der kan bidrage til strategisk planlægning af cyberdefence i en dansk kontekst, er det væsentligt at stille sig kritisk over for ophavet af denne empiri: Hvordan er cyberdefence blevet en sag med så stor bevågenhed i USA, og hvilke institutioner står bag den statslige tilgang til emnet? Opnås en sådan forståelse er det muligt at overføre og fravælge elementer fra den amerikanske empiri til analysen af en dansk kontekst med blik for de bagvedliggende årsager. I den retning, specialet går, er der brug for at analysere danske forhold ud fra en tilgang, hvor staten agerer som aktør både nationalt og internationalt på et sikkerhedspolitisk område. Derfor vælges det i den amerikanske, omfangsrige empiri hovedsageligt at tage udgangspunkt i én udgivelse: bogen Cyberpower and National Security, der er resultatet af den amerikanske stats ønske om en analyse af området cyberpower. Fordelen ved den er, at bogen er resultatet af en undersøgelse, som US Under Secretary of Defense Policy pålagde Center for Technology and National Security Policy, som hører under US National Defense University, at udarbejde i 2006 (Kramer 2009: XV). Dermed er det et statsligt bestillingsarbejde, hvilket betyder, at arbejdet har fokus på det samme niveau som specialet 9 Rapport fra analysearbejdet vedrørende Computer Network Operations. Forsvarets Materieltjeneste, NATO: Policy on Cyber Defence, C-M(2007)0120. EU: Tilsvarende ordlyd, men kaldet Critical Information Infrastructure Protection, Green Paper on A European Programme For Critical Infrastructure Protection, Bl.a. NATO: Strategic Concept, 2010, s. 5. Medlem af Europakommissionen, Cecilia Malmström, pressemeddelelse, 13. april 2011: Etablering af European Cybercrime Centre i 2013, og oprettelse af Computer Emergency Response Team (CERT) for de europæiske institutioner i

15 og derfor vurderes anvendeligt. Endvidere er det muligt enklere at analysere baggrunden for empirien i relation til specialet, når den bygger på et statsligt behov. For specialet betyder det, at det forud for den teoretiske analyse af en dansk kontekst er relevant at gennemføre en analyse af amerikansk empiri med henblik på at klarlægge baggrunde og mål for de amerikanske elementer af cyberdefence. Med det afsæt kan der foretages et begrundet til- og fravalg af amerikanske elementer, der medtages i den efterfølgende analyse af dansk kontekst. Øvrig skreven empiri Hvor det findes relevant i analysekapitlerne, inddrages eksempler på den strategiske planlægning inden for de udvalgte arenaer fra andre stater. Eksemplerne inddrages, fordi de kan give indikationer om, hvordan en dansk planlægning konkret kan styrkes inden for et bestemt område, når der er konstateret en forskel mellem den ideelle og faktiske planlægningsproces. Empirien for den danske kontekst tager sit afsæt i officielle udgivelser, der beskriver de nuværende processer i ministerierne og deres underliggende myndigheder. De inddrages, fordi de er grundlaget for, hvilke processer der for nærværende forefindes i den koordinerende og funktionelle arena omkring strategisk planlægning, og med hvilken legitimitet den udføres nationalt som internationalt. Hvor de iværksatte tiltag inden for cyberdefence endnu ikke danner tilstrækkeligt grundlag for analyse af den eksisterende danske strategiske planlægning, kan nyere tilsvarende planlægning inden for andre områder inddrages. Det kan give indikationer om, hvordan planlægningen inden for cyberdefence sandsynligvis vil forløbe. Derved kan fortilfældene medvirke til at give input om, hvorledes strategisk planlægning af cyberdefence kan styrkes. Grundet aktualiteten af emnet, og at flere udgivelser omkring cyberdefence alene findes på internettet, anvendes empiri flere steder direkte fra websteder. På grund af internettets flydende og omskiftelige karakter kan anvendelsen af websteder som kilder have mindre troværdighed end trykte kilder. For at imødekomme denne ulempe, anvendes udelukkende statslige, officielle websteder samt websteder for internationale organisationer, der er anerkendt af mange suveræne stater herunder Danmark. Henvisningerne anføres dato for, hvornår opslaget er gjort, således at verifikation af informationen ikke er afhængig af om webstedet siden er blevet ændret. Det vurderes at specialet gavnes mere af at anvende den nyeste tilgængelige empiri, end det skader at bruge et dynamisk medie som websteder. Interview Enkelte interview er gennemført med henblik på at dække den empiri, som ikke fremgår af officiel udgivet empiri på området. Interviewene er gennemført efter den kvalitative metode (Kvale 1996: 277), fordi det, der skulle dækkes, var dybde, nuancer og detaljer hos en lille undersøgelsesenhed. Fejlkilden ved denne metode ligger i, at enkeltpersoner kommer til at stå som repræsentanter for hele myndigheder. Metoden er bevidst valgt, da det er væsentligt at inddrage vurderinger og meninger fra ressourcepersoner inden for feltet. Fejlkilden håndteres/minimeres ved at sammenholde input og udsagn med det eksisterende officielle empiriske grundlag samt ved at udvælge centrale ressourcepersoner i myndighederne. 14

16 Der er udvalgt tre interviewpersoner, som er valgt ud fra, at de alle er ressourcepersoner inden for feltet cyberdefence inden for Forsvarsministeriet, FKO og Videnskabsministeriet og således repræsenterer de koordinerende og funktionelle arenaer. Interviewpersonerne vurderes at have høj grad af pålidelighed og validitet, idet de er statsansatte ressourcepersoner, der alle har arbejdet i flere år med ressortområdet. Der er gennemført semistrukturerede interviews, idet formålet var at undersøge et relativt nyt emne, der blandt andet tager afsæt i en hypotese, med henblik på at indsamle empirisk information om arbejdsprocesser og legitimitet. Spørgsmålene startede derfor i alle tre tilfælde i et fælles afsæt, men udviklede sig i løbet af det enkelte interview, når nye områder blev afdækket. Fordelene ved formen er, at den egner sig til at undersøge menneskers forståelse af betydningerne i deres forståelsesramme og til at beskrive deres oplevelser. Ulemperne er tilsvarende, at interviewene kan blive for personligt følelsesbetonede og for detaljerede. Ulemperne er søgt minimeret ved et ensartet grundlag af spørgsmål og ved at være opmærksom på den enkeltes dagsorden i anvendelsen/analysen af besvarelsen Metode Specialet er bygget op over en analyse af planlægning af en cyberdefence strategis proces og substans med afsæt i én empirisk og to teoretiske dele. Det teoretiske koncept er et billede af en ideel planlægning, og den amerikanske empiri er et udtryk for praktisk erfaring, der er langt fremme på feltet, støttet af mange ressourcer. Analysen i en reel dansk kontekst leder frem til, hvor den strategiske planlægning kan styrkes. Det, specialet metodisk bidrager til den igangværende debat og proces med er, at de nyeste teorier for cyberdefence undersøges for input til strategisk planlægning generelt. Resultatet sammenholdes med et nyt strategisk koncept og anvendes samlet til at påpege mangler og/eller overlap i den eksisterende danske praksis for strategisk planlægning. Der indledes med analyse af, hvilke elementer fra feltet amerikansk cyberdefence der er anvendelige i en dansk kontekst. Resultatet af denne analyse anvendes til at tilføre strategiens koordinerende og funktionelle arenaer relevante empiriske erfaringer inden for cyberdefence, som kunne overses ved en ren teoretisk tilgang. De to arenaer analyseret i hvert sit kapitel, og inden for hver arena analyseres de tre udvalgte nøglevariable, kapaciteter, legitimitet og implementeringsstrukturer. Samlet vil de to kapitler give indikationer på, hvorledes den strategiske planlægning kan styrkes. Faktor Cyberdefence empiri Den koordinerende arena Den funktionelle arena Teori. - FAK: Strategisk koncept FAK: Strategisk koncept Underliggende elementer I amerikansk kontekst: Den koordinerende arena Den funktionelle arena og i begge arenaer Kapacitet Legitimitet Implementeringsstrukturer I dansk kontekst: Kapacitet Legitimitet Implementeringsstrukturer I dansk kontekst: Kapacitet Legitimitet Implementeringsstrukturer Figur 1: Struktur for specialet. 15

17 I kapitlet med konklusion og perspektivering samles op på analysens resultat, og der stilles forslag til, hvorledes den strategiske del af planlægning inden for cyberdefence kan styrkes. Perspektiveringen retter sig mod den arena, der i processen har været mindre fokus på, samt mod, hvad det ville kunne bibringe yderligere at justere på nøglevariablene position og tid Afgrænsning Specialet tager udgangspunkt i situationen i Danmark primo 2011 og afgrænses til inden for cyberspace at omhandle cyberdefence på strategisk niveau. CNO som en særskilt militær kapacitet indgår alene i specialet med de dele, der har med nationale defensive tiltag at gøre. Emnet behandles i den koordinerende og den funktionelle arena og inden for kapaciteter, legitimitet og implementeringsstrukturer. Den instrumentelle arena og variablene tid og position inddrages alene i perspektiveringen, med henblik på hvad der kunne være fremkommet, eller hvad der kan være overset ved specialets valgte fokus. Tidsmæssigt afgrænses specialet fra at inddrage ny empiri fra 15. april Sker der afgørende nyt inden for området efter den dato, inddrages dette alene i perspektiveringen. Af hensyn til at gøre specialet bredest muligt anvendeligt anvender den i direkte reference alene ikke klassificerede kilder Kapitelinddeling og indhold Kapitlerne i specialet er inddelt som følger. Kapitel 1: Gennemgang af problemstilling, formål, relevans, problemanalyse og udledt problemformulering. Endvidere præsenteres den valgte teori i hovedtræk, og endelig behandles specialets operationalisering via metodevalg, empiri og afgrænsning. Kapitel 2: Her sker en operationalisering af den valgte teori og empiri, hvor den omsættes til brugbare værktøjer, således at kapitlet underbygger strukturen og kapitlernes underinddeling. Forud for operationaliseringen redegøres med henblik på en dybere forståelse af den valgte teori og en kategorisering af cyber-empiriens elementer. Kapitel 3: Dette er et empirisk kapitel, der har til formål at analysere, i hvilket omfang og med hvilke forbehold og fradrag den amerikanske empiri vurderes anvendelig på en dansk kontekst. Kapitlet afsluttes med i en delkonklusion, hvor analysens væsentlige elementer fastholdes. Kapitlet er således med til at fokusere de to efterfølgende kapitlers analyse. Kapitel 4: Analyse af den koordinerende arena. Planlægningen af strategi for cyberdefence analyseres inden for den koordinerende arena. Herunder ses der særligt på nøglevariablene kapaciteter, legitimitet og implementeringsstrukturer og med det afledte fokus fra kapitel 3. Kapitlet afsluttes med en delkonklusion, hvor analysekapitlets væsentlige elementer fastholdes, og der trækkes linjer i den samlede analyse. Kapitel 5: Analyse af den funktionelle arena. Planlægningen af strategi for cyberdefence analyseres inden for den funktionelle arena. Herunder ses der særligt på nøglevariablene kapaciteter, 16

18 legitimitet og implementeringsstrukturer og med det afledte fokus fra kapitel III. Kapitlet afsluttes med en delkonklusion, hvor analysekapitlets væsentlige elementer fastholdes, og der trækkes linjer i den samlede analyse. Kapitel 6: Dette kapitel præsenterer den endelige konklusion og besvarer således problemformuleringens stillede spørgsmål. Resultatet er forslag til hvordan ansvarsfordeling, kapaciteter og strukturer kan styrke den strategiske planlægning af cyberdefence, og hvordan strategiplanlægningens legitimitet kan øges. Det gøres samlet, men inden for den koordinerende og funktionelle arena og inden for de tre strategiske nøglevariable, kapaciteter, legitimitet og implementeringsstrukturer. Endelig indeholder kapitlet en perspektivering, der fremfører implikationer fra analysen på, hvilke områder der med fordel yderligere kan analyseres, som fx de resterende to strategiske nøglevariable samt hvad der på baggrund af specialet kan peges på af fordele og ulemper ved at strategier italesættes eller ej. 1.6 Formalia Specialet er udarbejdet med formalia som angivet i Forsvarsakademiets udgivelse Vejledning i udarbejdelse af speciale a 10. september

19 Kapitel 2. Analyseramme 2.1 Teoriens elementer Formålet med afsnittet er at uddybe forståelsen af den valgte teori, da det Strategiske Koncept er nyt og dermed mindre velkendt. På den måde kan den efterfølgende operationalisering arbejde med kendte elementer og begreber. Det Strategiske Koncepts to arenaer Det er relevant at se nærmere på de to strategiske arenaer, med henblik på at det forud for analysekapitlerne står klart, hvor snitfladerne mellem arenaerne går, og hvor langt den enkelte arena strækker sig. De strategiske arenaer anvendes til at definere karakteren af planlægningsprocessen, deres instrumenter og de applikerede spilleregler (O&K 2011: 5). Noget af den amerikansk prægede hierarkiske inddeling af niveauerne fastholdes, idet det anerkendes, at magten til strategisk beslutningstagning tilhører de øverste politiske, administrative niveauer af staten (O&K 2011: 6). Men til forskel for den amerikanske tilgang arbejder det Strategiske Koncept med, at indflydelse på den strategiske planlægning kan komme fra vilkårlige niveauer, og at der derfor ikke er tale om en ren top-downproces (O&K 2011: 6). Det Strategiske Koncepts arenaer medfører, at de forskellige typer af strategisk planlægning ikke alene er defineret som et hierarki af koncepter, der beskriver mål, veje og midler til at beskytte nationale interesser. De defineres som arenaer med forskellige iboende dynamikker og bidrag til den strategiske planlægningsproces (O&K 2011: 6). For den koordinerende arena betyder det, at den omfatter den manipulerende proces, der udvikler policys, som igen omformer idealistiske mål til strategier. Fokus er derfor på at oversætte mål til strategier (O&K 2011: 10). Arenaen nedbryder de normative mål med henblik på at undersøge, hvorledes de kan blive sekvenseret og pakket i sammenhængende strategier, der kan implementeres (O&K 2011: 7). Den koordinerende arena anslår de nødvendige ressourcer for at implementere strategierne og deres gennemførlighed ved brug af forskellige magtinstrumenter. Arenaen arbejder tæt og iterativt sammen med politikerne, og den udvikler de standarder, som staten ønsker at indføre som en del af det internationale og nationale politiske system med henblik på at indfri visionen (O&K 2011: 7). Det er nødvendigt for arenaen at være påvirkelig af offentlige opfattelse af moral både hjemme og internationalt, da målene er normative og derfor afhængige af, hvordan de opfattes. Det betyder, at en nøglefunktion af arenaen er at fastlægge hovedbudskabet i den strategiske kommunikation, der skitserer de berørte statslige mål (O&K 2011: 7). Endvidere er tæt koordination mellem arenaen og alliancer og koalitionspartnere på både internationalt og nationalt niveau nødvendig, da disse repræsenterer både veje og midler til implementering, som generelt er accepteret som legitime (O&K 2011: 8). At arenaen indeholder ansvar for oversættelse af politiske visioner til strategier, betyder samtidig, at den skal forestå fortløbende monitering af implementeringsprocessen. Den koordinerende arena vil skulle tilsikre, at der er sammenhæng mellem den strategiske planlægning, der foregår i alle de strategiske arenaer (O&K 2011: 8). For specialets empiri betyder det, at den koordinerende arena primært omfatter det ministerielle niveau, startende umiddelbart under politikerne/ministrene, samt nævn, arbejdsgrupper og råd, der medvirker til at sætte policy for statsførelsen. Når legitimitet analyseres, skal der ses såvel nationalt som internationalt, og arenaen skal indeholde en kommu- 18

20 nikationsstrategi som et centralt værktøj samt varetage, at der er sammenhæng mellem ministeriernes strategiske planlægning og den planlægning, der foregår hos de underliggende myndigheder. For den funktionelle arena omfatter dynamikker og bidrag til den strategiske planlægning en række delstrategier inden for de respektive funktionelle sektorer, som tager afsæt i strategierne, der er udviklet i den koordinerende arena. Konceptet fokuserer på studie af den sikkerhedspolitiske sektor (O&K 2011: 9). I forhold til strategierne i den koordinerende arena er delstrategierne i den funktionelle arena relativt handlingsorienterede og udgør derfor den funktionelle implementering af visionen (O&K 2011: 9). Processerne i den funktionelle arena er karakteriseret ved, at specifik ekspertise inden for et givent felt giver mulighed for at tænke åbent og kreativt i arbejdet med arenaens egen strategiske planlægning (O&K 2011: 9). I arenaen optimeres eller effektiviseres eksisterende metoder og instrumenter og innovative midler til at opnå, at de strategiske mål udvikles (O&K 2011: 9). Hvor den koordinerende arena havde fokus på at omsætte mål til strategier, har den funktionelle arena sin indsats rettet mod at tilpasse metoder og instrumenter til realiteter på jorden (O&K 2011: 10). For specialet betyder det, at det sikkerhedspolitiske, funktionelle niveau omfatter såvel FKO som styrelser i ministerierne, fordi de typisk indeholder specifik ekspertise inden for styrelsens område. Derved er den koordinerende og den funktionelle arena i højere grad adskilt af deres formål og individuelle processer end af en hierarkisk opdeling, hvilket er i overensstemmelse med konceptet (O&K 2011: 7). Da det er Videnskabsministeriet, der er overordnet sektoransvarlig for computersikkerhed 12, og Forsvarsministeriet der har det overordnede ansvar for det militære forsvar og skal bidrage til at fremme fred og sikkerhed 13, dækkes den funktionelle arena for cyberdefence primært af dele af Forsvarsministeriet, dele af Forsvarskommandoen samt dele af Videnskabsministeriet. 2.2 Afklaring af elementerne i cyberdefence Den valgte empiri analyserer en række forhold, der er relevante for cyber-sikkerhed generelt ud fra et amerikansk, statsligt sikkerhedspolitisk standpunkt. Den primære empiriske kilde anvender en inddeling af begreberne, der ikke umiddelbart kan anvendes i specialets teoretiske analysekapitler. Derfor er det før operationaliseringen relevant at afklare, hvilke elementer inden for cyberdefence empirien anvender, der kan relateres til de koordinerende og funktionelle arenaer, og hvordan de kan grupperes inden for variablene kapaciteter, legitimitet og implementeringsstrukturer I den koordinerende arena Empirien identificerer et behov for en effektivt organiseret kapacitet, der kan udvikle en fælles policy for cyber som grundlag for en national cyber-strategi med henblik på at anvende og udnytte de kapaciteter, som cyberspace tilbyder, samtidig med at staten beskyttes og forsvares imod sårbarheder (Kramer 2009: 11 og 40), og dermed at de overordnede ressourcer fordeles hensigtsmæssigt. 12 Ved Kongelig forordning nr af Lov om forsvarets formål, opgaver og organisation m.v., 1. 19

21 Der peges endvidere på en mere direktivsættende tilgang fra regeringens side både inden for den statslige og private cyber-sektor. Her foreslås en kapacitet til opdeling af cyberkapaciteter i kategorierne uundværlige, nøgle og andre cyber-kapaciteter med henblik på at kunne fastlægge forskellige grader af sikkerhedskrav til hver kategori og dermed fordele de rådige ressourcer hensigtsmæssigt (Kramer 2009: 7). Endelig peger amerikanske erfaringer med kapaciteter på, at en ikke ubetydelig del af de rådige ressourcer til cyberdefence skal anvendes til at indarbejde afskrækkelse som en del af strategien (Kramer 2009: 311). I arbejdet med at identificere allierede for og modstandere imod, at USA når sin vision med cyberdefence og dermed har tilstrækkelig legitimitet i den koordinerende arena, angiver empirien, at USA har en udfordring på legitimitet, fordi de som eneste stat fortsat har stor indflydelse på styringen af flere af internettets strukturer (Kramer 2009: 497). Det betyder, at USA har modstandere blandt andre stater, der ønsker større indflydelse på internettets opbygning og udvikling (Kramer 2009: 10 og 492). Amerikanske statslige instanser bruger strukturer som Internet Corporation for Assigned Names and Numbers 14 (ICANN) til at påvirke, hvilken retning internettet og dermed cyberspace udvikles i (Kramer 2009: 497). Som allierede i arbejdet med cyberdefence har USA både stater og internationale organisationer. Under FN og EU findes der agenturer, som forestår udarbejdelse af ad hocstandarder og policys inden for cyberdefence (Kramer 2009: 494). Tilsvarende forestår nationale regeringer alene eller i sammenslutninger ad hoc policy udvikling primært inden for cyber-kriminalitet og kommerciel regulering (Kramer 2009: 494). Her har USA allierede, der kan udbygge statens legitimitet på feltet cyberdefence, netop fordi cyberspace som domæne udfordrer og nedbryder anerkendte nationale grænser og derfor ikke kan adresseres udelukkende nationalt (Kramer 2009: 492). De amerikanske erfaringer med implementeringsstrukturer i den koordinerende arena anfører, at den eksisterende struktur for påvirkning international cyber trænger til opstramning, særligt da der ikke eksisterer nogen effektive internationale tiltag, der adresserer sikkerhed og lovhåndhævelse i cyberspace (Kramer, 2009: 10). Department of Defense (DoD) er USA s primære struktur til implementering af de rent militære tiltag inden for cyberdefence (Kramer 2009: 13), med afsæt i den militære strategi for cyberspace operationer 15. DHS forestår de civile tiltag (DHS 2003: 10 og 131), med afsæt i blandt andet udviklingen af den nationale strategi for at sikre cyberspace 16. Der er identificeret behov for en fortsat indsats for at skabe gensidig tillid og forbedre samarbejdet mellem statsinstitutioner og andre interessenter inden for cybersecurity (Kramer 2009: 434) I den funktionelle arena Den amerikanske empiri anfører behov for øget udvikling af forskning og menneskelig knowhow, der tager afsæt i, at eftersom cyber er menneskabt, er feltet særligt afhængigt af menneskelig kreativitet og teknologiske kapaciteter (Kramer 2009: 9). Teknologi er sær- 14 Oprindelig amerikansk statslig institution, der styrer tildelingen af domæner og IP-adresse plads på internettet. 15 National Military Strategy for Cyberspace Operations, godkendt af Secretary of Defense DHS-udgivelse, godkendt af den amerikanske præsident i 2003: National Strategy to Secure Cyberspace. 20

22 lig vigtigt, fordi cyber-feltets karakter gør, at staters informations- og kommunikationsteknologi kan betragtes som det centrale nervesystem i en organisme (Gottlieb 2010: 18). Fordelingen og prioriteringen af sådanne kapaciteter vurderes at tilhøre den funktionelle arena, fordi den omfatter de respektive funktionelle sektorer, hvor specialisering af menneskelig viden er relevant. Når det kommer til at identificere partnere og modstandere i forhold til at opnå målet med cyberdefence, viser de amerikanske erfaringer, at der opnås legitimitet i den funktionelle arena ved at skabe økonomiske partnere i den sektor, der forestår de tekniske dele af cyberspace/internettet (Kramer 2009: 496). På den måde har USA s funktionelle arena internationale partnere i eksempelvis ICANN og The Internet Engineering Task Force 17 og nationale partnere som eksempelvis North American Regional Internet Registry 18. Disse partnere påvirkes yderligere af amerikanske statslige interesser, ved at deres komitéer indbefatter statslige repræsentanter (Kramer 2009: 497 og 507). Modstanderne i forhold til at opnå målet med cyberdefence dækker alt fra den individuelle kriminelle eller terrorist til stater, og er selve årsagen til at cyberdefence er relevant (Kramer 2009: xv). Endelig leder amerikanske erfaringer til en anbefaling af, at der fra staten stilles krav til øget sikkerhed, herunder tættere samarbejde med civile/private forhandlere af software, med henblik på at opnå en større grad af sikkerhed/certificering af software, der er en kilde til sårbarhed i sikkerhedssystemer (Kramer 2009: 8, 157, 195 og 483). Et sådant statsligt krav til softwaresælgere vil naturligt have et globalt tilsnit, eftersom softwaren typisk er produceret og sammensat flere forskellige steder i verden (Kramer 2009: 166). Der efterspørges således en struktur, som internationalt koordineret stiller krav til softwares certificering, og dermed en implementeringsstruktur, der er specialiseret i sin form og dermed tilhører den funktionelle arena. 2.3 Operationalisering af valgt empiri og teori Formålet med afsnittet er at koble den valgte amerikanske empiri og teori, i dette tilfælde et koncept, med specialet, således at konceptet omsættes til værktøjer, der umiddelbart kan bringes i anvendelse i de efterfølgende analysekapitler Cyberdefence Det er valgt at tage afsæt i amerikansk empiri, som fremstår førende i udviklingen af feltet. Sigtet med kapitlet vedrørende cyberdefence er, at det analyseres, hvad ophavet til den markante, relativt tidlige og offensivt anlagte amerikanske indsats på området skyldtes, i hvilken politisk kontekst det er sket, og med hvilket langsigtet mål. Formålet med denne analyse er at identificere, hvilken betydning afsættet og målet med den valgte strategi har for anvendelsen i en dansk kontekst. På den måde opnår specialet, at elementer udelades, der på grund af deres ophav eller mål ikke er anvendelige i dansk kontekst, og at de elementer, der videreføres til den efterfølgende analyse, medtages på et oplyst grundlag. Resultatet af kapitlet er derfor en række elementer, der fremgår af amerikansk empiri om cyberdefence, og som er vurderet anvendelige holdt op mod deres baggrund og mål. Ele- 17 Åbent internationalt fællesskab af netværksdesignere, der udvikler tekniske standarder for internetdesign. 18 Organisation, der har til formål at levere internet-service og teknisk bistand samt facilitere udvikling af lokal internet-policy. 21

23 menterne inden for kapaciteter, legitimitet og implementeringsstrukturer er derved klar til at tilføres de efterfølgende analysekapitler, delt ind efter, om de er relevante i den koordinerende eller funktionelle arena Den koordinerende arena Med henblik på i analysekapitlet direkte at kunne påbegynde analysen af teorien i forhold til den danske kontekst klarlægges det i dette afsnit, hvad teorien anfører omkring nøglevariablene kapaciteter, legitimitet og implementeringsstrukturer i den koordinerende arena. Når det Strategiske Koncepts teoris variable kobles eller skærpes med de cyber-specifikke input, kan den samlede teori holdes op mod virkeligheden i den danske kontekst med henblik på at identificere huller og evt. unødvendige overlap. Kapaciteter, der er til rådighed for at indfri et bestemt mål, kan være militære, økonomiske, finansielle eller vidensressourcer (O&K 2011: 12). I den koordinerende arena fokuserer kapaciteter normalt på en generel ressourcevurdering, fx for at fastslå, om en bestemt politisk vision primært trækker på militære eller ikkemilitære ressourcer, og om der i så fald er de nødvendige kapaciteter til rådighed (O&K 2011: 13). For specialet betyder det, at det i den koordinerende arena analyseres, om der er tilstrækkelige generelle kapaciteter til rådighed for planlægningen og implementeringen af cyberdefence. Legitimitet i den koordinerende arena beskæftiger sig med at identificere de allierede og fjender, som kan hjælpe med eller afholde staten fra at realisere sine mål. Legitimiteten af et bestemt mål afhænger af staters, parlamentarikeres og ministres samlede vurdering af retmæssigheden af statens strategiske mål (O&K 2011: 13). For specialet betyder det, at den danske kontekst skal analyseres for at undersøge, om legitimiteten opnås for Danmarks strategiske planlægning af cyberdefence ved at fastlægge allierede og fjender, her på det ministerielle og interstatslige niveau. Implementeringsstrukturer er de kanaler, der er til rådighed for at indføre en bestemt strategi, og i den koordinerende arena er der tale om de generelle visioner for staten, og om de skal implementeres gennem FN-systemet, et system af alliancer med fx USA, eller på det nationale plan gennem bureaukratiet, medierne og lignende. Implementeringsstrukturer støtter staten eller regeringen i oversættelsen af mål til fælles handling i samarbejde med dens partnere og allierede (O&K 2011: 15). For specialet betyder det, at det skal undersøges, om og hvilke implementeringsstrukturer den overordnede sikkerhedspolitiske strategi/policy inden for cyberdefence benytter sig af Den funktionelle arena Efter samme læst som afsnittet med den koordinerende arena har dette afsnit til formål at klarlægge, hvad teorien anfører omkring nøglevariablene kapaciteter, legitimitet og implementeringsstrukturer i den funktionelle arena. Sammenholdt med den cyber-specifikke teori kan udledes huller og unødvendige overlap i den strategiske planlægning i den funktionelle arena. Kapaciteter i denne arena omhandler normalt, om fordelingen af rådige ressourcer understøtter prioriteringen af målene (O&K 2011: 13). For specialet betyder det, om ressourcer 22

24 er prioriteret og indbyrdes vægtet i overensstemmelse med målet for Forsvarsministeriet, FKO og Videnskabsministeriet. Legitimitet i den funktionelle arena handler om at identificere partnere og modstandere, som kan hjælpe med eller forhindre mål inden for en specifik sektor. For specialet betyder det, at den danske kontekst skal analyseres for at afdække, om partnere og modstandere inden for den sikkerhedspolitiske sektor, og specifikt inden for cyberdefence, er identificereret og adresseret. Implementeringsstrukturer er i denne arena mere praktiske af karakter, og kan omfatte valg af brug af FN-kommissioner og andre interstatslige agenturer på den internationale scene og/eller brugen af NGO er og interesseorganisationer nationalt som internationalt (O&K 2011: 15). For specialet betyder det, at den danske kontekst skal analyseres med henblik på, om og hvilke praktiske implementeringsstrukturer relevante styrelser og FKO gør brug af. Herunder særligt om den funktionelle arenas implementeringsstrukturer er koordineret med de strukturer, der anvendes af den koordinerende arena, fordi det kan minimere værdien af indsatsen og strategiens legitimitet, hvis det ikke er tilfældet. 2.4 Samlet analyseramme Dermed er den samlede analyseramme på plads, hvor amerikansk empiri om cyberdefence analyseres med henblik på at overføre udvalgte elementer til de to teoretiske analysekapitler, som sammen leder frem til specialets kapitel med konklusion. Den kan grafisk illustreres således: 23

25 Figur 2: Illustration af specialets analyseramme. 24

26 Kapitel 3. Amerikansk empiri 3.1 Generelt Før amerikanske erfaringer med strategisk planlægning af cyberdefence kan give bidrag til en dansk kontekst, skal det analyseres, hvad baggrunden for og målet med de identificerede amerikanske elementer er. Hvis elementerne overføres uden analyse af baggrunden for og målet med dem, er der en risiko for, at der arbejdes videre med elementer, der ikke giver mening i dansk strategisk planlægning. Formålet med kapitlet er derfor at kunne nå frem til en række erfaringer med amerikansk ophav, der fuldstændigt eller med visse forbehold synes egnede at overføre til de to efterfølgende kapitlers analyse af den danske kontekst for strategisk planlægning af cyberdefence. Den amerikanske udvikling inden for cyberdefence i dens nuværende stadie og institutioner startede med angrebene på amerikansk jord 9/ , i hvis kølvand Department of Homeland Security (DHS) blev oprettet i 2002 med henblik på at forebygge terrorangreb på USA nationalt og reducere statens sårbarhed over for terrorangreb (HSA 2002: 8). DHS skal samordne indsatsen blandt viften af institutioner, som blev DHS underlagt, herunder de to statslige agenturer, der forestod amerikansk computersikkerhed indtil da (HSA 2002: 15). DHS udgør den ene halvdel af de amerikanske institutioner, der overordnet beskæftiger sig med cyberdefence. Den anden er DoD, der har som mål med sit internationale engagement at forebygge angreb på den amerikanske stat og dens interesser 19. Institutionernes samordning og struktur under DHS og DoD er dermed drevet af et angreb på amerikansk territorium og en erkendelse af, at institutionerne hver for sig havde gjort mange tiltag for at imødegå trusler mod den amerikanske stat, men at indsatsen ikke havde været tilstrækkeligt koordineret 20, og at der derfor kunne opstå huller i det nationale forsvar. Det er med den overordnede baggrund og en vision om samordnet sikkerhedspolitik og struktur, at den amerikanske empiris ageren og anbefalinger inden for cyberdefence skal ses. 3.2 Anvendeligheden af amerikanske elementer i dansk kontekst Den koordinerende arena Kapaciteter i den koordinerende arena Baggrunden for og målet med anbefalingen af en kapacitet til udvikling af cyber-policy som grundlag for en national cyber strategi bygger på to dele: dels på en amerikansk tradition for udvikling af overordnede statslige strategier og dels på cyber-feltets særlige karakteristika. Målet med den første er at samle alle relevante dele af statsførelsen på området samt indbefatte et White House-perspektiv (Kramer 2009: 11). For USA bygger det at udvikle nationale sikkerhedsstrategier og delstrategier på en lang tradition, der startede med den første National Security Act i 1947 (Jablonsky 1997: 1) og senest er fulgt op af præsident Obamas nationale sikkerhedsstrategi 21. Anvendeligheden i dansk kontekst er begrænset, da Danmark ikke på samme måde har en tradition for at arbejde ud fra overordnede, statsligt funderede strategier (Schou 2008:14). Anbefalingen til en sådan kapacitet skal ikke alene afvises på grund af manglende sammenfald i tradition inden for udvikling af policy, men det betyder, at såfremt anbefalingen videreføres til dansk kontekst, så skal det april The 9/11 Commission Report, s National Security Strategy, May

27 ske med en erkendelse af, at det kan fremstå som en ny måde at arbejde med et sikkerhedspolitisk felt. I en dansk kontekst kan udviklingen af en overordnet cyber-policy på samme måde som en national sikkerhedsstrategi have den fordel, at den kan være et styringsværktøj til sikkerhedspolitikkens konkrete udførelse og et udgangspunkt for den politisk-strategiske debat (Breitenbauch 2008: 6). Ulempen ved at ændre den arbejdsgangen kan være modvilje fra interessenterne, der ikke ønsker at ændre den politiske kultur, de er en del af (Schou 2008a: 24), der potentielt kan opleve det som afgivelse af magt og indflydelse på feltet. Den anden del af baggrunden for anbefalingen af en kapacitet til udvikling af fælles cyberpolicy knytter sig til karakteristikaene ved cyber-feltet og har til formål at adressere, at feltets mangfoldige aspekter griber ind i mange samfundsfunktioner (Kramer 2009: 11). Der trækkes paralleller til US Council of Economic Advisors (Kramer 2009: 11), der siden 1946 har haft til formål at give præsidenten objektiv økonomisk rådgivning til formulering af den økonomiske politik såvel nationalt som internationalt og repræsenterer med sine medlemmer og stab af økonomer bredden af amerikanske økonomiske interesser 22. De økonomiske aspekter griber på samme måde som cyber-feltet bredt ind i samfundet på tværs af faggrænser og ressortområder, og den amerikanske anbefaling søger at sidestille cyber-feltets indgriben i det statslige område med det økonomiske felt (Kramer 2009: 11). I forhold til en dansk kontekst, findes der en parallel institution. Danmark har Det Økonomiske Råd, der siden 1962 har haft til formål at følge landets økonomiske udvikling og belyse de langsigtede udviklingsperspektiver samt at bidrage til at samordne de forskellige økonomiske interesser 23. Rådet indeholder kapaciteter, der repræsenterer arbejdsmarkedets parter, Danmarks Nationalbank, regeringen og interesseorganisationer og dermed et bredt udsnit af Danmarks økonomiske interesser 24. Dermed er der stort sammenfald i formålsbeskrivelsen for det amerikanske Council of Economic Advisors og det danske Økonomiske Råd og deres kapaciteter. Der er dermed på det økonomiske område en tradition for såvel i USA som i Danmark, at regeringen benytter sig af en rådgivende instans, hvilket taler for, at anbefalingen med en statslig rådgivende instans inden for cyberdefence vil kunne overføres til dansk kontekst. Anerkendes endvidere den amerikanske argumentation for, at der er et behov for en samlende kapacitet ud fra cyber-feltets karakteristika, vurderes det en anvendelig anbefaling i dansk kontekst, fordi der synes at være gode paralleller mellem baggrunden for den amerikanske anbefaling og den danske kontekst. Baggrunden for anbefaling af en kapacitet til kategorisering af statslige og private cyberkapaciteter er en erkendelse af, at omfanget af cyber-feltet og dets trusler er så stort, at de rådige ressourcer ikke anvendes tilstrækkelig effektivt på tværs af sektorer (Kramer 2009: 7). Flere rapporter fra US Government Accountability Office 25 (GAO) påpeger, at beskyttelsen af statens cyber-kapaciteter er utilstrækkelig, og at den private sektor er tilsvarende sårbar. GAO-rapporter anfører, at sektoransvaret for cyber-planlægning ikke har levet op april Lovbekendtgørelse nr af 21/08/2007, 1, s Lovbekendtgørelse nr af 21/08/2007, 2, stk. 3, s Et uafhængigt, upartisk agentur, der arbejder for den amerikanske kongres, hvor det undersøger, hvordan regeringen sætter skatteydernes penge i anvendelse. 26

28 til de krav, der er stillet af DHS 26. Målet med en statsligt styret prioritering er dermed dels at allokere midler i overensstemmelse med prioriteringen og dels at anvise de nødvendige sikkerhedstiltag inden for hver kategori (Kramer 2009: 8). Da anbefalingen har afsæt i, at ansvar for implementering af gældende lovgivning er decentraliseret til de enkelte statslige sektorer (Beredskabsstyrelsen 2004: 15), vurderes erfaringen at kunne overføres til en dansk kontekst, som også bygger på et decentralt sektoransvar (Bredskabsloven 2009: kap. 5), og dermed synes det sandsynligt, at udfordringerne med at koordinere anvendelsen af de rådige ressourcer i Danmark er sammenlignelige med de amerikanske. Baggrunden for den sidste amerikanske anbefaling til kapaciteter i den koordinerende arena, der handler om, at en del af de afsatte ressourcer skal øremærkes til, at afskrækkelse indgår i strategien, kan findes i, at USA som atommagt har tendens til at drage paralleller mellem nuklear afskrækkelse og cyber afskrækkelse (Libicki 2009: 5). Den tilgang lægger op til en meget militær anskuelse af cyberdefence og til et meget ressourcekrævende arbejde, hvor det forsøges at identificere modstanderen/angriberen for at opnå en effekt med afskrækkelsen (Kramer, 2009: 309). Afskrækkelse forstås i den amerikanske empiri i bred forstand, hvor afskrækkelsen er en kombination af mulig gengældelse, forsvar og overtalelse (Kramer 2009: 15). Anbefalingen har mødt nogen modstand, fordi kritikere anfører, at det kan være tæt på umuligt at identificere, hvem der står bag et angreb i cyberspace (Kramer 2009: 16), og at det lige så sandsynligt kan være irrationelle enkeltpersoner, der står bag angreb i cyberspace, som det kan være stater, og at afskrækkelse dermed ikke vil have nogen effekt (Kramer 2009: 325). Empirien fastholder dog vigtigheden af en afskrækkelsesstrategi, idet den måske ikke kan forhindre cyber-angreb, men muligvis kan reducere store, alvorlige angreb til mindre, ikke-alvorlige angreb (Kramer 2009: 326). Endvidere kan afskrækkelsen stadig have effekt på de rationelle potentielle angribere, inklusive stater, og dermed have sin berettigelse (Kramer 2009: 326). Det synes umiddelbart vanskeligt at overføre denne anbefaling til dansk kontekst, dels fordi Danmark hverken er stor- eller atommagt og derfor ikke som nation selvstændigt har tradition for at føre en afskrækkelsespolitik. Danmark har som medlem af NATO været med til at føre en afskrækkelsespolitik (Ringsmose 2007: 10), idet alliancen rådede over atomvåben, og at musketereden 27 fastslår, at et angreb på én NATO-stat er et angreb på alle. Det betyder, at den amerikanske erfaring med, at dele af de tildelte ressourcer til cyberdefence skal gå til afskrækkelse i bred forstand, skal indgå i den strategiske planlægning og synes relevant at overføre til en dansk kontekst. Det skal ikke være med henblik på, at Danmark som selvstændig nation skal udføre cyber-afskrækkelse, men for at Danmark i den koordinerende arena kan styrke den strategiske planlægning ved at påvirke sine allierede i internationale organisationer til i fællesskab at indbygge cyber-afskrækkelse i strategien. Fordelene ved denne tilgang synes at være, at Danmark herved sandsynligvis vil kunne opnå den beskyttelse gennem cyber-afskrækkelse, som de amerikanske erfaringer peger på, uden som stat selv at skulle stille alle ressourcerne til formålet. Endvidere vil det sandsynligvis kunne give høj legitimitet såvel nationalt som internationalt ved at fortsætte en velkendt kurs i alliancedelen af dansk sikkerhedspolitik også inden for cyberdefence. Ulemperne ved at basere dele af statens cyberdefence på alliancer synes at være, som 26 Bl.a. Current Cyber Sector-Specific Planning Approach Needs Reassessment, 2009 og DHS Needs to Better Address Its Cybersecurity Responsibilities, Eksempelvis nævnt i Sikkerhedspolitisk INFO udgivet af Atlantsammenslutningen, maj

29 det er kendt fra afskrækkelse med atomvåben (Ringsmose 2007: 7), at Danmark kan have mindre indflydelse på den førte politik, end hvis strategiens elementer alene var nationale. Legitimitet i den koordinerende arena I forhold til legitimitet og cyberdefence står USA et unikt sted med sin store indflydelse på internettets opbygning, der er bærende for cyber-feltet. USA står i et spændingsfelt, hvor staten på den ene side har stor indflydelse på de privatejede strukturer, der styrer udviklingen af internettet, og på den anden side udfordres af vigende legitimitet på mellemstatsligt plan, netop fordi USA har denne unikke indflydelse. I det spændingsfelt har USA foreløbigt valgt at arbejde for at understøtte og i muligt omfang fastholde den nuværende struktur trods stigende krav fra andre stater om reformering af strukturen (Kramer 2009: 492). Baggrunden for, hvorfor USA ikke slipper sin kontrol med internettets udvikling, og derved får mulighed for øget international legitimitet, kan findes i statens position siden den kolde krigs afslutning som eneste supermagt (Jablonsky 1997: 24). USA ønsker at fastholde sin position som supermagt, hvilket på det sikkerhedspolitiske område senest er anført i præsident Obamas National Security Strategy fra 2010, hvoraf det fremgår, at USA vil fastholde sin position som militært, konventionelt overlegen, mens dets kapacitet til at bekæmpe asymmetriske trusler skal øges (Obama 2010: 5). USA har dermed, i hvert fald foreløbigt, bevidst valgt at give køb på noget legitimitet internationalt med henblik på at fastholde sin status som supermagt. USA indgår i en række internationale og bilaterale fora, der har til formål at styrke global sikkerhed, herunder cybersecurity, og her har EU, FN og NATO ledende roller (Obama 2010: 40-41). Denne deltagelse og udmeldte ønske om internationalt samarbejde kan modvirke tabet af legitimitet på den internationale scene og være udtryk for erkendelsen af, at en indsats inden for global sikkerhed og dermed cyberdefence ikke udelukkende kan løses nationalt. Engagement i internationalt samarbejde har yderligere den fordel, at det kan fremme retsforfølgelsen af forbrydelser i cyberspace, der ikke følger de nationale grænser (Kramer 2009: 436). USA trækker grænse for villighed til internationalt samarbejde dér, hvor det medfører afgivelse af suverænitet (Schou 2008b: 2). Inden for cyber-feltet er det en særlig vanskelig balanceagt, fordi feltet strækker sig på tværs af de traditionelle grænser. Samlet set synes amerikansk ageren i forhold til legitimitet vanskelig at overføre til dansk kontekst. Enegangen i fastholdelse af den nuværende struktur for internettet er ikke anvendelig i Danmark, dels fordi staten ikke har den nødvendige position til at øve indflydelse på internettets udvikling, og dels fordi Danmark som en langt mindre stat sandsynligvis har mere begrænsede ressourcer til at dedikere til cyberdefence end USA 28. Danmark har siden den kolde krigs afslutning ført en proaktiv udenrigspolitik i mange sammenhænge (Breitenbauch 2008:6) og dermed fået tradition for at indgå i internationale samarbejder. Det taler for, at den amerikanske erfaring med, at det inden for cyberdefence er nødvendigt at indgå i en række internationale samarbejder, vil kunne overføres til dansk kontekst uden store processuelle omstillinger. 28 Jf. US House of Representatives Subcommittee on Research and Science Education var DHS budget i 2010 alene til cyber-sikkerhed, forskning og udvikling på godt 37 millioner US dollar, mens Videnskabsministeriet i Danmark har afsat 12 og 8 millioner danske kroner til henholdsvis oprettelse og årlig drift af Gov- CERT. 28

30 Implementeringsstrukturer i den koordinerende arena Indsatsen i det internationale samarbejde kan endvidere skabe grundlag for den revision af strukturen, der påvirker international cyber, og hvor der for nærværende ikke er en fælles tilgang til lovhåndhævelse i cyberspace (Kramer 2009: 436). Baggrunden for det internationale samarbejde er igen erkendelsen af, at cyberspace går på tværs af nationale grænser (Kramer 2009: 436). Målet på dette område er for USA at bruge eksisterende implementeringsstrukturer eller skabe nye til at udvirke den amerikanske strategi for cyberdefence (Kramer 2009: 16). USA ønsker at være ledende i arbejdet for at adressere cyberangreb både fra stater og individer gennem NATO, EU og/eller FN (Kramer 2009: 16). I NATO kan bindende regler indarbejdes i traktaten, i EU kunne en platform til videreudvikling være European Union Convention on Cybercrime, og i FN kunne cyber-tiltag indarbejdes i en FN-resolution (Kramer 2009: 16) 29. De tre primære implementeringsstrukturer, som USA ønsker at anvende til at fremme cyber-security, herunder cyberdefence, inden for, er alle strukturer, hvor Danmark er medlem og dermed har mulighed for at anvende organisationerne til at fremme danske interesser inden for cyberdefence. Det taler for, at de amerikanske erfaringer for at bruge NATO, EU og/eller FN som implementeringsstrukturer på den internationale scene vil kunne anvendes i en dansk kontekst. Nationalt anvender USA i den koordinerende arena primært DoD og DHS som implementeringsstrukturer for deres strategier for cyberdefence. Baggrunden for og målet med todelingen af strukturerne bygger på, at DHS alene har national sikkerhed som ansvarsområde 30, mens DoD også sikrer statens sikkerhed ved massiv tilstedeværelse på den internationale scene 31. Danmark har også en todeling af ansvaret for cyberdefence, som dog ikke er drevet af et angreb på dansk territorium. Danmark har i stil med USA ikke kun sikkerhedsmæssige interesser nationalt, men også internationalt i form af udstationerede danske styrker 32 og andre danske statslige interesser placeret i udlandet som ambassader, udviklingskontorer med videre, som alle kan have behov for beskyttelse, også i form af cyberdefence. Med en tilsvarende todeling af ansvaret synes det sandsynligt, at de amerikanske erfaringer om behov for øget samarbejde og koordination enhederne imellem i den koordinerende arena også vil være anvendelige i en dansk kontekst Den funktionelle arena Kapaciteter i den funktionelle arena Målet for øget udvikling af forskning og knowhow samt en prioritering af disse kapaciteter inden for cyberdefence er, at USA ønsker at være førende inden for feltet (Kramer 2009: 8). De nuværende cyber-teknologier, som har givet USA sin førende position, kan også bruges af statens modstandere såvel kriminelle som andre stater (Obama 2010: 27). Derfor kan baggrunden for indsatsen for at øge forskning og viden findes i den konkurrence amerikanske institutioner fra den funktionelle arena de senere år har fået fra stater med hastigt voksende økonomier som fx Kina (Kramer 2009: 31). Når USA har som mål med cybersecurity at afskrække, forebygge, spore, forsvare sig imod og hurtigt komme sig over 29 Hvilket efterfølgende delvist er sket i marts 2010, hvor FN resolution 64/211 blev vedtaget, som omhandler Creation of a global culture of cybersecurity and taking stock of national efforts to protect critical information infrastructures april april Jf. Forsvarsministeriets hjemmeside: april

31 fjendtlig indtrængen i statens cyber-systemer, er det derfor nødvendigt fortløbende at investere i forskning og uddannelse inden for sikkerhedssektorens forskellige dele, herunder cyberdefence (Obama 2010: 27), for derved at være forrest i forskning og knowhow og dermed foran sine største konkurrenter. Med baggrund i og mål om at fastholde en førende status inden for området synes de amerikanske anbefalinger om at øge forskning og knowhow og prioritere i kapaciteterne på feltet ikke umiddelbart at kunne overføres til en dansk kontekst. Fokuseres der alene på at fastholde eller fremme statens nuværende position på feltet, uanset hvor den danske stat måtte være placeret for nærværende, synes anbefalingen at give bedre mening i dansk kontekst. I et domæne, der er under så hastig udvikling som cyberspace (Kramer 2009: 149), vil en passiv statslig ageren sandsynligvis øge mængden og graden af trusler mod den danske statsførelse. Derfor vurderes anbefalingen om øget forskning og knowhow anvendelig at overføre til den danske kontekst. Legitimitet i den funktionelle arena USA s skabelse af økonomiske partnere såvel nationalt som internationalt giver den funktionelle arena ikke kun legitimitet, men også indflydelse (Kramer 2009: 496). Udfordringen ligger i, at cyberspace styres gennem et komplekst system af organisationer, der primært hører under den private sektor (Kramer 2009: 67 og 519). Udviklingen af netværk og fora, der diskuterer cyberspace og internettets udfordringer og udvikling, er opstået ad hoc, i takt med at behov opstod, og med stigende statslig interesse på grund af staters og befolkningers stigende anvendelse af cyberspace til statsførelse (Kramer 2009: 492). Her har USA en fordel og dermed potentiel høj legitimitet, fordi en væsentlig del af de primære strukturer, der har indflydelse på internettets udvikling, historisk set er amerikanske i deres oprindelse, hvilket synes at være USA s baggrund for graden af deres nuværende legitimitet. Den amerikanske stat har selv været med til at privatisere dele af industrien, fordi den ønskede øget konkurrence og international deltagelse i dets ledelse (Kramer 2009: 496). Det har samtidig betydet, at den amerikanske stat kan være tvunget til at købe tjenesteydelser, som den ikke selv kan levere. Ved at USA som stat investerer i bestemte virksomheder, sker der en indbinding af parterne, der kan øge gensidig legitimitet både internt og i forhold til omverdenen (Schou 2008b: 17). Det er væsentligt for den amerikanske stat fortsat at deltage i de institutioner, der præger udviklingen af internettet og cyberspace, da den er under fortsat udvikling og ikke fastlåst (Kramer 2009: 491). Som det er tilfældet i den koordinerende arena kan indflydelse, og særlig købt indflydelse, også reducere legitimiteten i forhold til de stater og interessenter, der ikke er en del af partnerskabet. At USA både påvirker privatejede og internationale organisationer ved dels at købe ydelser fra dem og dels ved at indgå med statslige repræsentanter i deres komitéer, kan af andre stater opfattes som unødig indblanding og forfordeling og derved undergrave legitimiteten. Baggrunden for de amerikanske erfaringer med legitimitet gennem økonomiske partnere gør, at de er vanskelige at overføre til en dansk kontekst, da Danmark ikke har den historiske tilknytning til institutionernes ophav, som USA har. Erfaringerne kan dog bruges så langt, at det kan give den danske funktionelle arena og derigennem den danske stat legitimitet at deltage i de eksisterende internationale fora, der er knyttet til cyberdefence. Som det er erfaret i USA, så giver det ikke kun legitimitet, men også indflydelse på den fortløbende udvikling. 30

32 Implementeringsstrukturer i den funktionelle arena Målet med oprettelsen af en struktur til global certificering af software er at minimere kilderne til sårbarhed i statslige og vitale private institutioner (Kramer 2009: 148). Baggrunden for anbefalingen skal ses i det samme lys som flere af de øvrige amerikanske anbefalinger: Cyberspace er globalt af karakter, og indsatser, der skal sikre national sikkerhed, når længst ved at bygge på internationale aftaler. Set i forhold til kravet om hurtig og opdateret udvikling af software fra det globale marked (Kramer 2009: 20) kan en sådan implementeringsstruktur til understøttelse af en strategi for cyberdefence synes anvendelig også i en dansk strategisk planlægning. At Danmark sandsynligvis har færre ressourcer til produktion af software end USA, synes kun at understrege vigtigheden af i en dansk kontekst at påvirke udviklingen af en international struktur til certificering af software. 3.3 Delkonklusion Analysen af baggrunden for og målet med de amerikanske erfaringer leder dermed frem til, at erfaringer omkring amerikanske kapaciteter og legitimitet, kan overføres til analyse af handlerummet i strategisk planlægning af cyberdefence i en dansk kontekst på en række områder: I den koordinerende arena synes handlerummet at kunne styrkes ved oprettelsen af en kapacitet til udvikling af en fælles, overordnet policy og strategi for cyberdefence, der kan opgøre det samlede behov for ressourcer til hele feltet cyberdefence. Endvidere bør dele af ressourcerne dedikeres til, at afskrækkelse bliver en del af strategien. Fordelingen af de tildelte ressourcer kan yderligere optimeres, såfremt statslige og private cyber-kapaciteter kategoriseres og tildeles retningslinjer for sikkerhedsniveau. Handlerummet kan yderligere styrkes ved øget legitimitet ved at indgå i en række internationale samarbejder om cybersikkerhed. I den funktionelle arena peger de amerikanske erfaringer i retning af, at det danske handlerum kan styrkes gennem øget forskning og knowhow samt en prioritering af kapaciteter dertil inden for cyberdefence med henblik på at fastholde eller fremme statens kapaciteter til cyberdefence. Legitimiteten i denne arena synes i stil med den koordinerende arena at kunne øges ved at indgå i internationale fora, hvilket ud over at give legitimitet også peger i retning af, at staten opnår øget indflydelse på feltets udvikling. For den tredje analyserede nøglevariabel, implementeringsstrukturer, indikerer amerikanske erfaringer, at den strategiske planlægning i den koordinerende arena kan styrkes ved at anvende NAT, EU og/eller FN til at påvirke den internationale scene i en retning, der er gunstig for staten. Nationalt har USA, som det er tilfældet i Danmark, et todelt overordnet ansvar for cyberdefence, og her viser de amerikanske erfaringer, at det er sandsynligt, at der også i Danmark er behov for øget samarbejde og koordination mellem de to sektorer. I den funktionelle arena indikerer amerikanske erfaringer, at det internationale samarbejde bør påvirkes i retning af at etablere en struktur til global certificering af software, hvilket synes også at kunne styrke den strategiske planlægning i Danmark, såfremt etableringen støttes. De nævnte erfaringer overføres i de efterfølgende kapitler til den danske kontekst, hvor de i henholdsvis den koordinerende og funktionelle arena indarbejdes i analysen af, hvorledes dansk strategisk planlægning af cyberdefence kan styrkes. Dermed kan der også sorteres enkelte amerikanske erfaringer fra om at fastholde statens eneret på indflydelse af internettets udvikling og at fastholde en førende status inden for 31

33 udvikling og knowhow på cyber-feltet, da disse erfaringer har baggrunde og mål, der gør, at erfaringerne ikke er relevante at overføre til en dansk kontekst. At langt de fleste amerikanske erfaringer er fundet anvendelige også i en dansk kontekst, synes at understrege cyber-feltets karakter som indgribende globalt og på tværs af nationale sektorer, hvor flere væsentlige forskelle på USA og Danmark ikke kommer til udtryk i det omfang, som de sandsynligvis ville gøre inden for andre dele af sikkerhedspolitikken. 32

34 Kapitel 4. Den koordinerende arena 4.1 Generelt Formålet med kapitlet er at koble teori med empiri med henblik på at identificere elementer i den koordinerende arena, der kan styrke strategisk planlægning af cyberdefence i Danmark. Empirien anvendes dels til at afdække, hvorledes dansk strategisk planlægning af cyberdefence allerede foregår, og dels til at inddrage de relevante amerikanske erfaringer, der videreføres fra kapitel 3. Resultatet er en delkonklusion om, hvilke eksisterende elementer der med fordel kan styrkes, og hvilke nye der bør etableres. 4.2 Kapaciteter I Danmark er den koordinerende arena inden for cyberdefence domineret af to sektorer (FKO Notat 2009: 1): Den militære sektor, hvor dels femårige forsvarsforlig angiver den politiske vision på området (Forligstekst 2009: 9), og dels NATO løbende udvikler politiske visioner for området (NATO New Concept 2010: 5). Den anden sektor er den civile, hvor danske 33 og EU 34 -politiske visioner løbende skaber arbejde til processen med at omsætte idealistiske mål til strategier. Danmark har været vidne til en række angreb i cyberspace på andre stater gennem de senere år 35, og det kan have været medvirkende til at understrege et behov for militære kapaciteter inden for cyberdefence, der kan beskytte vitale danske interesser (O&K 2011: 12). I feltet cyberdefence ophæves de traditionelle grænser mellem den civile og den militære sektor (Gottlieb 2010: 18), fordi der kan ske angreb direkte på vitale, civile danske interesser og institutioner, uden at militæret har været varslet eller indsat. Det betyder, at der er behov for ikke-militære kapaciteter inden for cyberdefence, hvis ikke militæret skal forestå den daglige beskyttelse af den civile sektor. Det taler for, at de generelle rådige ressourcer i den koordinerende arena skal tildeles både den militære og den civile sektor. Det forhold afspejles i den nuværende overordnede opdeling af de økonomiske ressourcer på statsbudgettet, der danner det økonomiske grundlag for statens virksomhed 36. Udtrykt ved finansloven tildeler statsbudgettet økonomiske ressourcer til cyberdefence gennem bevillinger til henholdsvis Forsvarsministeriet og Videnskabsministeriet 37. Budgettet for Forsvaret er rammesat i det femårige forsvarsforlig og er dermed adskilt fra resten af samfundets løbende budgettering og har baggrund i en bred politisk konsensus (Breitenbauch 2008: 33). Øvrige ministerier kan planlægge på lang sigt, men skal have eget budget godkendt årligt, og de er dermed mere påvirkelige af den løbende politiske dynamik (Breitenbauch 2008: 33). Det betyder, at behovet for ressourcer til cyberdefence overordnet set opgøres årligt i den civile sektor og hvert 5. år i den militære sektor og dermed i en uens takt, hvilket kan vanskeliggøre koordination og samordning af indsatsen. Når det i den koordinerende arena skal afgøres, om der er tilstrækkelige generelle kapaciteter til rådighed for planlægning og implementering af cyberdefence, er det nødvendigt, at et samlet behov kan opgøres eller anslås. I fraværet af en fælles national policy for cyberdefence bliver det samlede behov lig med summen af de to sektorers opgjorte behov hver 33 Eksempelvis: Lov om den statslige varslingstjeneste for internettruslers behandling af personoplysninger, 11. februar Eksempelvis: EU-Kommissionens meddelelse Beskyttelse mod storstilede cyber-angreb og sammenbrud: øget beredskab, sikkerhed og robusthed af 30. marts De mest beskrevne: Estland i 2007, Georgien og Litauen i 2008 og Frankrig i Grundloven Finansloven 2010, pkt og

35 for sig. Det giver risiko for, at der generelt tildeles for mange ressourcer til cyberdefence, fordi kapaciteter kan være duplikerede, og ens vidensressourcer genereret i begge sektorer for at imødegå truslen fra cyberspace, der går på tværs af sektorer. Der er tiltag i Danmark, der indikerer, at man fra politisk hold har forståelse for de særlige karakteristika af cyberdefence med indgriben på tværs af sektorer. Det fremgår blandt andet af opgavestillingen til den militære sektor, hvor det fremgår af Forsvarsforliget , at en cyber-kapacitet skal have evnen til at samarbejde med samfundets øvrige kapaciteter på dette område og med tilsvarende kapaciteter i andre lande (Forligsteksten 2009: 9). Endvidere er der under IT- og Telestyrelsen oprettet Statens IT-råd, der har til formål at sætte dagsordenen for en offensiv anvendelse af IT i den offentlige sektor. Rådets medlemmer repræsenterer alle danske ministerier og har direktøren for IT- og Telestyrelsen som formand 38. Det betyder, at der i form af Statens IT-råd eksisterer en koordinerende kapacitet, der har vidensressourcer fra samtlige ministerier og udfylder en rådgivende rolle i forhold til regeringen. Flere vesteuropæiske stater har opbygget kapaciteter i cyberdefence, der er underlagt én myndighed. I Norge hører cyberdefence under Nasjonal Sikkerhetsmyndighet, der igen er underlagt det norske forsvarsministerium og rapporterer til justits- og politiministeriet vedrørende civile opgaver og til forsvarsministeriet vedrørende militære opgaver 39. I Frankrig er der oprettet en national myndighed til cyberdefence 40, som varetager både civile og militære opgaver 41. Det giver mulighed for udarbejdelse af en samlet policy og en samlet opgørelse af erkendte eller anslåede behov for generel ressourcetildeling i den koordinerende arena. Blev en tilsvarende opbygning adopteret i Danmark, synes det sandsynligt, at koordinationen og samordningen af indsatsen ville blive styrket, og at risikoen for duplikerede kapaciteter og ens vidensressourcer ville mindskes. De amerikanske erfaringer peger på, at der bør oprettes en kapacitet, der kan udvikle policy for cyberdefence som grundlag for en egentlig strategi, med henblik på at det bliver en samlet indsats, der understøtter statens vision. En sådan kapacitet til støtte for udvikling af policy og strategiudvikling for cyberdefence kunne i dansk kontekst forankres i Statens ITråd, der som en allerede eksisterende tværministeriel struktur vil være i stand til at favne behov fra hele statsadministrationen. I forhold til den amerikanske anbefaling af en kategorisering i cyber-kapaciteter med tilhørende udstukne retningslinjer for beskyttelsen af den enkelte kategori har Danmark for nærværende et statsligt beredskab, hvor institutioner og fora først initieres, når større hændelser, katastrofer og sikkerhedsmæssige trusler indtræffer (Terrorberedskab 2005: kap 5). Som de amerikanske erfaringer peger på, kunne staten nyde fordel af på forhånd at have kategoriseret og regelgivet for cyber-kapaciteter, forud for at en hændelse indtræffer. På den måde vil de tildelte ressourcer til såvel den militære som civile sektor kunne indsættes jævnfør den statsligt vedtagne prioritering og derved kunne understøtte, at de rådige ressourcer fordeles bedst muligt. Det taler for, at den strategiske planlægning af cyberdefence i dansk kontekst kunne styrkes ved, at der i den koordinerende arena skete en kategorisering af statslige cyber-kapaciteter. Udstikningen af retningslinjer for cyber april april Agence Nationale de la Sécurité des Systèmes d Information. 41 GovCERT Faktablad på april

36 kapaciteter er i Danmark indeholdt i en lang række love, cirkulærer og bekendtgørelser, der stammer fra regeringen, EU og NATO, som stiller afledte krav til de statslige sektorer 42. IT- og Telestyrelsen fungerer i Danmark som et serviceorgan for den øvrige statsadministration, idet den har samlet cyber-relateret lovgivning med henblik på at give de øvrige offentlige myndigheder mulighed for at skabe sig et overblik over eksisterende krav 43. Sker der en kategorisering af statslige cyber-kapaciteter, og den samlede gældende lovgivning centralt omsættes til krav til de enkelte kategorier, vil Danmark ifølge de amerikanske erfaringer kunne spare på tildelingen af de generelle ressourcer til cyberfeltet. Endelig er der de amerikanske erfaringer, der indikerer, at cyber-afskrækkelse bør være en del af strategien for cyberdefence. For at det kan give mening i en stat som Danmark, der ikke er en stormagt med tradition for selvstændigt at kunne føre afskrækkelsespolitik, skal anbefalingen ses i lyset af Danmarks brug af alliancer. Gennem alliancer har Danmark mulighed for at opnå den erfarede nødvendige beskyttelse gennem cyberafskrækkelse. Det betyder, at dele af de danske ressourcer til cyberdefence bør dedikeres til at fremme cyber-afskrækkelse i allianceramme i erkendelse såvel af, at Danmark som småstat kan have udbytte af arbejde i alliancer, som af, at cyberdefence er global af karakter, hvorfor strategisk planlægning for området med fordel kan favne et internationalt spor. 4.3 Legitimitet Den anden halvdel af statens handlerum udgøres af den legitimitet, som dansk strategisk planlægning af cyberdefence opnår. I arbejdet inden for variablen legitimitet med at identificere fjender/modstandere, der kan forhindre Danmark i at nå sine mål med cyberdefence, lægger Danmark sig i den civile sektor op ad sine allierede på den internationale scene, hvor fokus er cyber-kriminalitet, og dermed at fjenden er den eller dem, der begår handlinger mod fortroligheden og integriteten af nationers computersystemer (Cyberkonvention 2001: 4). I den militære sektor beskrives fjenden/modstanderen i cyberspace bredere til at udgøres af enkeltpersoner eller grupperinger (Risikovurdering 2010: 51). Der er således i identifikationen ingen skelnen mellem, om fjenden befinder sig i eller uden for staten. Det synes at være et af grundelementerne ved cyberdefence, at det er vanskeligt at identificere modstanderen (Kramer 2009: 16), og at der derfor i stedet fokuseres på, hvilken type eller omfang af skade modstanderen kan udøve (Risikovurdering 2010: 51 og Cyberkonvention 2001: 4-8). Det peger i retning af, at cyber-feltet her bidrager med en anden vinkel på legitimitet end teorien i sin grundform. Hvis det ikke er muligt entydigt at identificere modstanderen, men det er bredt anerkendt, at der ér en eller mange modstandere, synes legitimiteten i den strategiske planlægning af cyberdefence i højere grad at komme af identifikation af allierede og type/omfang af angrebet end af identifikation af allierede og fjender. Det synes mindre sandsynligt, at legitimiteten for den strategiske planlægning vil kunne blive lige så stor ved at kategorisere type og omfang af angreb, der skal forsvares imod, som ved at identificere fjenden. I mangel af modstandere, der kan entydigt identificeres, vurderes kategorisering af angreb og deres omfang dog at bibringe planlægningen større legitimitet, end hvis modstanderen kun beskrives i meget brede termer april april

37 Ud over at fastlægge fjender/modstandere omhandler legitimitet i den koordinerende arena identifikation af allierede. Danmarks internationale allierede i relation til cyberdefence lægger sig i den civile del af den koordinerende arena tæt op ad de største organisationer, som staten er medlem af. Danmark er medlem af FN, og i den organisation behandles emner, der vedrører cyberdefence, under Den Internationale Telekommunikationsunion (ITU) 44. I ITU er Danmark repræsenteret med seks medlemmer, der strækker sig fra det ministerielle niveau i form af Videnskabsministeriet og til uddannelsesmiljøet og det private erhvervsliv 45. I EU, hvor Danmark er medlem, forvaltes cyber-området af European Network and Information Security Agency (ENISA) 46. I ENISA er den danske stat repræsenteret ved to medarbejdere fra IT- og Telestyrelsen 47, hvilket synes at underbygge legitimitet på cyber-feltet. Endelig er Danmark med i Europarådet, som blandt andet beskæftiger sig med cyber-kriminalitet via en komite 48. Dermed har Danmark i den civile del af koordinerende arena tydelige allierede og dermed relativt høj legitimitet på overordnede tiltag inden for cyber-feltet. Koblingen mellem international legitimitet og national legitimitet kan blandt andet ske gennem de konventioner, Danmark tiltræder, og de love, forordninger og cirkulærer, som Danmark i relation til EU-medlemsskabet er forpligtet til at implementere nationalt 49. I 2010 hidrørte % af alle love og forordninger, der blev vedtaget i Danmark, fra EU (Mchangama 2011: 1). Dermed synes det sandsynligt, at kommende love og forordninger inden for cyberdefence, der vedtages i EU og har indflydelse på Danmark, vil have relativ stor legitimitet i den koordinerende arena. I den militære del af det internationale samarbejde har Danmark lagt stor vægt i NATOsamarbejdet, hvor staten siden den kolde krigs afslutning generelt har opnået øget anseelse og deraf følgende allianceintern indflydelse (Ringsmose 2007: 5). Med afsæt i NATO s nye strategiske koncept 50 er et nyt koncept om NATO s cyberdefence blevet udviklet og godkendt af medlemmernes forsvarsministre i marts , og ud fra dette koncept forventer NATO at revidere den eksisterende fælles cyberdefence policy 52 frem mod juni NATO har yderligere anerkendt, at cyberdefence har global karakter, idet der i 2008 og 2009 blev oprettet to koordinerende fora 54, der rækker ud over NA- TO s medlemslande og omfatter NATO-partnerlande og internationale organisationer april april Europa-Parlamentets Regulation (EC) No 460/2004 of 10 March 2004 establishing the European Network and Information Security Agency april april Jf. Lov nr. 447 af 11/10/1972, Lov om Danmarks tiltrædelse af De europæiske Fællesskaber, 2 og Strategic Concept For the Defence and Security of The Members of the North Atlantic Treaty Organisation, april C-M(2007)0120: NATO Policy on Cyber Defence april Council Guidelines for Cooperation on Cyber Defence with Partners and International Organisations og Framework for Cooperation on Cyber Defence between NATO and Partner Nations april

38 Arbejdet med Danmarks CNO-kapacitet i Forsvarsministeriet blev tilsvarende sat i gang i forlængelse af godkendelsen af NATO s nye strategiske koncept 56, og med forsvarsministerenes godkendelse af NATO-konceptet om cyberdefence synes det sandsynligt, at udviklingen af den danske kapacitet vil tilpasses den reviderede fælles policy, og dermed at Danmark kan opnå relativt stor accept af statens strategiske mål med cyberdefence blandt internationale parlamentarikere, andre stater og deres ministre (O&K 2011: 13). Samlet taler det for, at Danmark har relativt høj legitimitet på det militære cyber-felt både internt i NATO og blandt de stater, der er partnere med NATO, samt blandt de stater, der som minimum respekterer NATO, fordi staten opfattes som et mønstermedlem af NATO (Ringsmose 2007: 2). NATO s første udarbejdelse af en policy om cyberdefence skete med baggrund i cyberangrebet på Estland i 2007, hvor offentlige og private institutioner blev ramt 57. Det var dermed et eksempel på, at angreb i cyberspace på civile og private institutioner af NATO ønskes imødegået eller forebygget, også med militære kapaciteter. Det peger i retning af, at arbejdet med cyberdefence i den civile og militære sektor skal samordnes yderligere, med henblik på at tilpasse de militære kapaciteter til at kunne håndtere trusler mod civile institutioner, hvilket yderligere understøttes af de amerikanske erfaringer med implementeringsstrukturer vedrørende behov for øget samarbejde og koordination mellem statens ansvarlige myndigheder for cyberdefence. Vigtigheden og relevansen af at indgå i internationalt samarbejde på statsniveau understreges også af de amerikanske erfaringer. Her har Danmark en fordel i forhold til USA, idet Danmark som småstat, der ønsker international indflydelse, har været afhængig af skiftende samarbejder og alliancer for at kunne gennemføre den valgte udenrigspolitiske kurs (Olsen 2005: 3). Derfor kan det for danske statslige institutioner virke ganske naturligt at søge inspiration og erfaringer fra andre staters arbejde med et felt som cyber. Sandsynligheden for modstand mod en sådan åbenhed og diskussion af sårbarhed og trusler i Danmark synes at være langt mindre end i statsadministrationen af en supermagt som USA, fordi dansk tradition netop bygger på alliancer og international samarbejde. National legitimitet i den strategiske planlægning udtrykkes i den koordinerende arena ved at identificere partnere i Danmark. Her er der gennem lovgivning givet retningslinjer for, hvordan ansvaret for IT-sikkerhed eller cyberdefence er fordelt, og dermed skitseret et bundent partnerskab. Det enkelte ministerium har sektoransvar, og Videnskabsministeriet har det overordnede ansvar på IT-området og dermed for cyberdefence inden for landets grænser (Bredskabsloven 2009: kap. 5). Det betyder, at der samtlige ministerier imellem er en regelsat indbinding, der kan bidrage til legitimitet både internt og i forhold til det øvrige offentlige Danmark, fordi de offentlige myndigheder går ensartet ind i tiltag vedrørende IT/cyberspace. Skal implementering af strategiske tiltag inden for cyberdefence opnå øget autoritet og dermed højere legitimitet, kunne et tiltag være at lægge det overordnede ansvar for cyberdefence under Statsministeriets område (Breitenbauch 2008: 31) med henblik på at tydeliggøre regeringens prioritering og overordnet koordineret indsats på området. 56 Kommissorium for Etablering af en CNO-kapacitet inden for Forsvarsministeriets område, af 27. januar april

39 På det tværministerielle ministerielle plan, som synes at være en vigtig faktor i den interne legitimitet i et felt, hvis karakter griber ind i samfundet på tværs af sektorer, har Danmark tradition for tværministerielle arbejdsgrupper 58 og råd, der nedsættes, når sager har betydning for flere dele af statsadministrationen. Et eksempel på et sådant råd er Globaliseringsrådet 59, der udarbejdede en strategi for Danmark i den globale økonomi (Globaliseringsstrategi 2006: 1-166). Det et eksempel med paralleller til strategisk planlægning af cyber-feltet. Som det fremgik af kapitel 3, afsnittet om kapaciteter, har Danmark siden 1962 haft et økonomisk råd, som blev oprettet i erkendelse af, at økonomien griber bredt ind i samfundet på tværs af ministerielle sektorer, og at der derfor er behov for en rådgivende instans, der kan favne disse karakteristika. Globaliseringsrådet er også økonomisk i sit sigte, men nu tilføjet en global dimension (Globaliseringsstrategi 2006: 6). Parallellen til cyberdefence synes tydelig, såfremt det anerkendes, at cyberdefence er tilsvarende global af karakter. Det indikerer samlet, at dansk tradition for anvendelsen af tværministerielle arbejdsgrupper og råd synes mulig at benytte i den strategiske planlægning af cyberdefence. Globaliseringsrådets omfattende arbejde med strategisk planlægning (Globaliseringsstrategien 2006: 129) synes at understøtte regeringens strategiske ønsker på området, fordi dets medlemmer bredt repræsenterer danske, økonomiske globale interesser. Det peger i retning af, at den strategiske planlægning af cyberdefence kunne opnå øget legitimitet, såfremt den udvikledes eller understøttedes af et råd med bred repræsentation af danske interessenter inden for cyberdefence. Legitimitet i arbejdet mellem ministerier og underliggende myndigheder synes tilsvarende at have betydning for værdien af den samlede statslige indsats, og det aspekt behandles nærmere i kapitel 5 om den funktionelle ramme. 4.4 Implementeringsstrukturer De implementeringsstrukturer som den koordinerende arena anvender internationalt, synes at hænge snævert sammen med valget af allierede. På overordnet niveau i EU indgår Danmark aktivt og konstruktivt i udviklingen af den fælles udenrigs- og sikkerhedspolitik (Olsen 2005: 6) og støtter dermed den danske stat i oversættelse af mål for cyberdefence til fælles handling i samarbejde med dets allierede. I regi af Europarådet har Danmark allerede i 2005 ratificeret Konventionen om cyber-kriminalitet 60 og er dermed med til at implementere de cyber-tiltag, som staten har tiltrådt. FN s Generalforsamling har siden 2000 vedtaget fem resolutioner, der relaterer til cyber-sikkerhed 61, og gennem dansk medlemskab har Danmark derved medvirket til at implementere tiltag, der kan støtte statens ønsker inden for cyberdefence. I den primære militære alliance har Danmark gennem sit medlemskab medvirket til at implementere blandt andet NATO policy vedrørende cyberdefence 62. At alliancerne anvendes som implementeringsstrukturer, synes at være det ligefremme valg, idet det sandsynligvis vil understøtte den legitimitet, Danmark har i alliancerne. Hvis der primært valgtes implementeringsstrukturer uden for de indgåede alliancer, ville Dan- 58 Eksempelvis Den tværministerielle økonomiske arbejdsgruppe omkring kampfly, jf. Økonomi- og erhvervsministerens redegørelse til beretning nr. 9/ Jf. Rådet blev nedsat i april 2005 til at rådgive regeringen om en strategi for Danmark i den globale økonomi. Rådet har været bredt sammensat af medlemmer fra bl.a. fagforeninger, erhvervslivets organisationer, virksomheder samt uddannelses- og forskningsinstitutioner. 60 Convention on Cybercrime CETS No.: 185, Resoultioner: 55/63(2000), 56/121(2002), 57/239(2002), 58/199(2004), 64/211(2009). 62 C-M(2007)0120, NATO Policy on Cyber Defence. 38

40 mark dels kunne miste legitimitet blandt de øvrige alliancepartnere og dels miste indflydelse på alliancens udvikling som følge af den tabte legitimitet. Når Danmark på denne måde har mulighed for at øve indflydelse gennem flere implementeringskanaler på den internationale scene, synes det formålstjenligt, at strukturerne påvirkes i en fælles retning. Når strategi inden for cyberdefence for nærværende udvikles med afsæt i flere ministerielle områder, peger det i retning af, at det er vanskeligere at koordinere en fælles retning på internationalt plan, end hvis strategiudviklingen var samlet under én myndighed. Nationalt anvender Videnskabsministeriet IT- og Telestyrelsen som den primære struktur for implementering af tiltag inden for cyberdefence i den civile sektor. Eksempelvis har styrelsen på vegne af Videnskabsministeriet og godkendt af Statens IT-råd udarbejdet et direktiv, der giver retningslinjer for statslige institutioners strategier for IT 63. På baggrund af den vejledning udarbejder ministerierne egen strategi for informations- og kommunikationsteknologi (IKT) 64. Endvidere har videnskabsministeren nedsat et IKT-råd samt en ITsikkerhedskomite. IKT-rådet har til formål at medvirke til at fremme en langsigtet strategiog policyudvikling inden for IKT. Rådet har 17 medlemmer, som bredt repræsenterer danske IKT-interesser 65 og dermed også interesser i cyberdefence såvel i den offentlige som i den private sektor. IT-sikkerhedskomiteen har til formål at styrke informationssikkerheden i Danmark og arbejde for, at danskerne føler sig sikre og trygge ved at anvende infrastrukturen 66. Komiteen har i stil med IKT-rådet 17 medlemmer, der repræsenterer blandt andet IT-branchen, Forbrugerrådet, Indenrigs- og Sundhedsministeriet, Finansrådet, Kommunernes Landsforening og Danske Regioner. Da såvel IKT-rådet som ITsikkerhedskomiteen er etableret af videnskabsministeren, synes det naturligt, at de begge medvirker til at implementere statens interesser på cyber-området. Under Videnskabsministeriet arbejdes der således decideret med udvikling af strategier. Her formuleret som strategier for IT og IKT, men stadig strategisk planlægning, der favner specialets definition af cyberdefence. Det indikerer, at der inden for cyberdefence anvendes implementeringsstrukturer, der understøtter legitimitet omkring en langsigtet strategisk planlægning, hvilket synes at være et vigtigt fundament for at udnytte statens handlerum på området. I den militære sektor anvender Forsvarsministeriet primært FKO og FE som strukturer til at udvirke de overordnede strategiske tiltag inden for cyberdefence. FKO har eksempelvis i 2011 udgivet Bestemmelser for Den militære Sikkerhedstjeneste (FKOBST 2011: 1-526), der indeholder retningslinjer for informationssikkerhede generelt (FKOBST 2011: ) og specifikt for Military Computer Emergency Response Team (MilCERT), som underlagt FE varetager cyberdefence i relation til de systemer, som bruges i den faste struktur (FKO Notat 2009: 1). Samlet set anvender den koordinerende arena nationalt deres underliggende myndigheder og et tværministerielt råd som primære implementeringsstrukturer for tiltag inden for cyberdefence. Det indikerer, at der ikke er stor risiko for at være konflikt mellem de struktu- 63 Statens IT-råd og IT- og Telestyrelsen udgav i oktober 2008: Vejledning om ministeriernes IT-strategier. 64 Eksempelvis: Forsvarsministeriets IKT-strategi april Kommissorium for IT sikkerhedskomiteen, 2010, s

41 rer, der anvendes i den koordinerende henholdsvis funktionelle arena, fordi den koordinerende arena hovedsageligt implementerer via egne strukturer. 4.5 Delkonklusion Samlet set synes Danmark at besidde relativt høj legitimitet i statens internationale ageren på cyber-feltet såvel i den civile som i den militære sektor. Der er endvidere afsat ressourcer til drift og udvikling af begge sektorer, hvilket indikerer, at Danmark har et relativt stort handlerum for fortsat udvikling af strategi for cyberdefence (O&K 2011: 14) og dermed et godt udgangspunkt for at styrke den strategiske planlægning af feltet yderligere. Netop at der afsættes ressourcer til strategisk planlægning af cyberdefence under to ministerier, udgør en risiko for, at de rådige ressourcer ikke anvendes optimalt, fordi der kan opstå duplikerede kapaciteter og knowhow. Derfor indikerer såvel den nuværende danske praksis som amerikanske erfaringer og andre vesteuropæiske staters tiltag, at de rådige ressourcer til cyberdefence kan udnyttes bedre, og den strategiske planlægning derved kan styrkes ved, at det overordnede ansvar for strategisk planlægning af feltet underlægges én myndighed i stedet for to. Såfremt den nuværende todeling fastholdes, indikerer erfaringer fra danske alliancepartnere, at der er behov for en øget koordination og et forbedret samarbejde på feltet med henblik på at reducere todelingens ulemper. Nationalt peger den danske kontekst i retning af, at der generelt er god legitimitet i det strategiske arbejde med cyberdefence, hvor staten benytter råd og arbejdsgrupper til at sikre en fælles forståelse for emner, der griber på tværs af sektorer. Det synes på den baggrund sandsynligt, at den strategiske planlægning af cyberdefence primært kan styrkes nationalt på legitimitet ved at oprette et råd med speciale i cyberdefence og repræsentation på tværs af alle ministerier under Statsministeriet eller ved at flytte det eksisterende Statens IT-råd til at ligge under Statsministeriet, fordi det vil øge rådets autoritet. Analysen peger endvidere i retning af, at et sådant råd ville kunne styrke prioriteringen af de rådige ressourcer til cyberdefence ved, at rådet i dets strategiske planlægning gennemfører en kategorisering af statslige cyber-kapaciteter med tilhørende retningslinjer for deres beskyttelse. Endelig indikerer analysen af statens handlerum, at strategi for cyberdefence kan styrkes ved at omfatte cyber-afskrækkelse i allianceramme. Dansk militær alliancetradition peger i retning af, at cyber-afskrækkelse vil opnå størst legitimitet, hvis den gennemføres i ramme af NATO. De anvendte implementeringsstrukturer for emner relateret til cyberdefence synes internationalt at afspejle og understøtte den relativt store legitimitet i dansk ageren på feltet og understøtter derved statens oversættelse af mål til en fælles indsats i samarbejde med dens allierede. Nationalt synes der i forhold til den koordinerende arena at være begrænset risiko for, at de valgte implementeringsstrukturer vil skabe konflikter med underliggende arenaer, da der primært anvendes egne underlagte myndigheder og råd med relativt stor legitimitet. Det indikerer samlet, at de anvendte strukturer understøtter det relativt store handlerum inden for cyberdefence, som den danske stat for nærværende har i den koordinerende arena. 40

42 Analysen omkring legitimitet synes at kunne bidrage til en bredere udlægning af teoriens grundlæggende tilgang, hvilket videreføres til den funktionelle ramme og konkluderes endeligt på i den samlede perspektivering. Analysen har givet indikationer på, at der på ministerielt niveau er et fundament til at italesætte langsigtet strategisk planlægning på. Da der ikke synes at være en lang dansk tradition for noget sådant vil strategisk planlægning af cyberdefence kunne medvirke til at præge den generelle diskussion af fordele og ulemper ved en italesat og fastlagt national sikkerhedspolitik. 41

43 Kapitel 5. Den funktionelle arena 5.1 Generelt Som i det forrige kapitel er formålet med dette at koble teori med empiri, men her i den funktionelle arena og dermed niveauet under det ministerielle, hvor der findes specifik ekspertise på området cyberdefence. Empiri inddrages fra FKO, IT- og Telestyrelsen samt deres relevante underliggende strukturer med henblik på at identificere elementer i den funktionelle arena, der kan styrke strategisk planlægning af cyberdefence i Danmark. I stil med kapitel 4 inddrages endvidere de relevante amerikanske erfaringer, der er videreført fra kapitel 3. Resultatet er en delkonklusion om, hvilke eksisterende elementer, der med fordel kan styrkes, og hvilke nye der bør etableres. 5.2 Kapaciteter Den ene del af statens handlerum for strategisk planlægning af cyberdefence udgøres af kapaciteter, og i den funktionelle arena er de udtrykt ved prioritering og indbyrdes vægtning af de rådige ressourcer i overensstemmelse med statens mål. I finansloven for 2010 fremgår det, at Forsvarsministeriet tildeles årligt 205 millioner kroner til opbygning og drift af en kapacitet til at sikre det danske forsvars interesser i cyberspace og en kapacitet til at støtte andre landes opbygning, uddannelse og træning af relevante og demokratisk styrede militære kapaciteter 67, mens Videnskabsministeriet bevilliges 309,7 millioner kroner til opgaver relateret til IT-sikkerhed 68. Videnskabsministeriet har afsat 12 millioner til etablering af GovCERT og otte millioner kroner årligt til dets drift 69. Ud fra tallene alene kan det ikke umiddelbart udledes hvilken prioritering og indbyrdes vægtning tildelingen er sket på baggrund af. Den todelte opgavestilling fra den koordinerende arena og politisk niveau giver flere detaljer om prioriteringen: Den politisk stillede opgave til den militære sektor anviser, at der inden for Forsvarsministeriets område skal opbygges en Computer Network Operations (CNO)-kapacitet, med henblik på at forsvare egen brug af og forhindre modstanderes udnyttelse af cyberspace (Forligsteksten 2009: 9). De militære kapaciteter, der afsættes til den stillede opgave, består dels af et Military Computer Emergency Response Team (MilCERT) etableret under FE i perioden (FKO Notat 2009: 1). MilCERT har til opgave at indsamle informationer om hændelser, der har speciel interesse for sikkerheden i koncernens informationssystemer, bearbejde og videreformidle informationer til koncernens myndigheder m.fl. med henblik på at advare mod potentielle trusler samt støtte koncernens myndigheder i undersøgelse af evt. uregelmæssigheder på koncernens informationssystemer, der har sikkerhedsmæssig karakter (FKOBST 2011: 233). Dels består de af en kapacitet, der kan gennemføre CNO med henblik på at gennemføre militære operationer i cyberspace i sammenhæng med de øvrige militære operationer (FKO Notat 2009: 1-2). Den politisk stillede opgave til den civile sektor løses af den civile pendant til MilCERT, Governmental Computer Emergency Response Team (GovCERT). GovCERT blev oprettet i IT- og Telestyrelsen under Videnskabsministeriet i 2009 på baggrund af en regeringsbeslutning som en statslig varslingstjeneste for internettrusler (IT&T 2009: 3). Formålet 67 Finansloven 2010, pkt , tekstanmærkninger pkt Finansloven 2010, pkt , tekstanmærkninger pkt april

44 med GovCERT er, at staten får overblik over trusler og sårbarheder i tjenester, net og systemer relateret til internettet, samt løbende at vurdere det IT-sikkerhedsmæssige risikobillede for statens anvendelse af internettet og varsle myndigheder om internetbaserede hændelser og trusler (IT&T 2009: 3). Vægtningen af de stillede opgaver synes derved balanceret mellem den militære og civile sektor, hvor begge opstiller CERT, og den militære sektor desuden skal udvikle kapacitet til CNO. Der synes at være stort sammenfald i GovCERTs og MilCERTs opgaveportefølje, som kunne indikere, at de tildelte ressourcer kunne prioriteres og vægtes bedre ved en sammenlægning eller fælles placering af de to agenturer med henblik på at opnå synergi ved samarbejde og udspare unødige duplikerede eller uudnyttede kapaciteter. Da CNOkapaciteterne er en del af cyberdefence, men også omfatter de udelukkende militære områder vedrørende informationsudnyttende og offensive operationer, der ikke er en del af den civile kapacitet, favner Forsvarsministeriet bredere end Videnskabsministeriet inden for cyberdefence. Det kan samlet tale for, at kapaciteter til cyberdefence i den funktionelle arena samles under Forsvarsministeriets område, da det vil give mulighed for en enklere og lettere gennemskuelig vægtning af de tildelte ressourcer inden for cyberdefence. De amerikanske erfaringer anfører behov for øget forskning og knowhow i den funktionelle arena med henblik på at fastholde eller fremme statens position inden for cyberdefence. Dermed er der erkendt behov for at allokere ressourcer til den uddannelsesmæssige del af cyber-feltet. Da Danmark har relativt nyetablerede kapaciteter til cyberdefence kan behov for uddannelse og knowhow, der rækker længere end etablering og indledende drift af området, være vanskelige at identificere. Typisk vil Danmark derfor være afhængigt af andre landes erfaringer, taktikker og strategier, og traditionelt har forsvaret kunnet hente inspiration og doktrin i større landes forsvar og i NATO (Kristensen 2010: 28). For nærværende samarbejder GovCERT blandt andre med Forsvarets Koncernfælles Informatiktjeneste (FKIT) og Forsvarets Efterretningstjeneste omkring uddannelse af cyber-kapaciteter 70. GovCERT samarbejdede i forbindelse med etableringen af kapaciteten og fremadrettet med den fortsatte udvikling med tilsvarende tjenester i Finland, Norge og Sverige (IT&T 2009: 16). FKO s repræsentanter har i det forberedende arbejde til opbygning af en CNO-kapacitet gennemført erfaringsindhentning fra tilsvarende kapaciteter i blandt andet Norge, Sverige, NATO og USA 71. Samlet peger de uddannelsesmæssige tiltag i retning af, at der er en koordineret indsats på tværs af sektorer, og at der er forståelse for nødvendigheden af for et land af Danmarks størrelse og position at indhente erfaringer og knowhow fra andre stater. 5.3 Legitimitet Den anden del af statens handlerum for strategisk planlægning af cyberdefence udgøres af legitimitet, der i den funktionelle ramme berører identifikation af partnere og modstandere i forhold til at opfylde statens mål med feltet. 70 Interview med chef for dansk GovCERT Thomas Kristmar. 71 Interview med oberst Per Larsen fra FKO. 43

45 I identifikation af modstandere er der sammenfald mellem den funktionelle og koordinerende arena, for så vidt angår de aktører, der gennemfører angreb/ulovligheder i cyberspace, fordi feltets karakter netop er domineret af, at ligesom modstanderen kan være alt fra en stat til en enkeltperson, og kan cyber-angreb ramme alle niveauer i staten (Gottlieb 2010: 19). I forhold til den danske kontekst kan der være en anden type modstandere i form af repræsentanter fra ikke-statslige myndigheder, der kan være utilfredse med omfanget eller typen af statslig cyberdefence. Et sådant eksempel er kritikken fra formanden for Rådet for større IT-sikkerhed 72 i 2009 af GovCERT, hvor han i pressen kritiserede, at GovCERT alene beskytter statslige instanser og dermed ikke kommuner og regioner 73. Det synes mindre sandsynligt, at den type modstandere kan hindre staten i at nå målet med sin strategiske planlægning, men de kan potentielt reducere den legitimitet, som staten måtte have opnået på området. Det peger i retning af, at der i et land som Danmark, hvor der synes at være relativ stor offentlig debat, kan der være behov for tilsvarende stor åbenhed omkring tiltag i den strategiske planlægning af cyberdefence, fordi åbenhed og beredvillig deling af information om beslutningsgrundlag sandsynligvis kan reducere kritikken i den offentlige debat og derved understøtte legitimiteten. I arbejdet med at identificere partnere indgår IT- og Telestyrelsen internationalt i en række civile samarbejdsfora, hvor Danmark er repræsenteret ved GovCERT. Disse fora synes at være et udtryk for de valgte partnere. Bredest dækker organisationen Forum of Incident Response and Security Teams, der er en international konføderation af betroede CERT, som samarbejder om at håndtere computer-sikkerhedshændelser og fremme programmer til forebyggelse og har mere end 250 medlemmer bestående af såvel nationale CERT som bankers og teleindustriers CERT 74. I FN-ramme er Danmark som nævnt i forrige kapitel repræsenteret i Internationale Telekommunikationsunion (ITU), også med medlemmer fra den funktionelle arena i form af IT- og Telestyrelsen. I EU-ramme er Danmark medlem af en europæisk CERT-gruppe, der omfatter i alt tolv europæiske lande, og hvis formål er at udvikle et effektivt samarbejde om behandling af hændelser inden for den statslige sektor 75. Og endelig en nordisk ramme, hvor Danmark som nævnt også fremadrettet samarbejder med CERT-strukturer i Finland, Norge og Sverige (IT&T 2009: 16). Den civile sektors legitimitet synes samlet at være relativt høj på den internationale scene, fordi det internationale samarbejde favner både de traditionelle partnere og nyere organisationer, der har et mere globalt sigte. I den militære sektor skaber NATO en nærliggende ramme for internationalt samarbejde i den funktionelle arena. Som nævnt under kapaciteter har FKO i forbindelse med erfaringsindhentning arbejdet sammen med flere NATO-lande, men også Sverige har været inddraget i de bilaterale arbejder. Der er præcedens for, at dansk forsvar også indgår i integrerede og formaliserede samarbejder, hvor der deles erfaringer og løsninger med koalitionspartnere 76 (Kristensen 2010: 16), og det synes sandsynligt, at den militære del af cyberdefence også vil fortsætte med at indgå i samarbejder såvel bilateralt som i rammen af 72 Et råd nedsat i 1998 af forskningsministeren med henblik på at medvirke til at både national og international IT-brug kan ske sikkert, jf april Bragt i internetmagasinet Version2.dk, den 28. maj april april Eksempelvis arbejdet med at undgå vejsidebomber. 44

46 NATO, hvilket synes at indikere relativt høj legitimitet i den danske stats arbejde på området. At Danmark synes at mønstre relativt høj legitimitet i både den civile og militære sektor på grund af et udstrakt engagement, understøttes yderligere af de amerikanske erfaringer med at sådan deltagelse ikke kun giver legitimitet, men også værdifuld indflydelse. Nationalt er legitimitet inden for den civile del af cyberdefence søgt etableret og øget, dels ved at indgå samarbejde med såvel relevante statslige myndigheder 77 som danske teleoperatører samt udvalgte leverandører af informations- og kommunikationsteknologi (IT&T 2009: 15-16) og dels ved at arbejde med stor åbenhed omkring iværksatte tiltag. Gov- CERT har egen hjemmeside med beskrivelser af såvel lovmæssig baggrund for GovCERT som overordnet budget samt vejledninger til brug primært for statslige institutioner, men som er tilgængelige for alle interesserede 78. IT- og Telestyrelsen indbyder til borgermøder, når CERT-tiltag skønnes at have den gennerelle offentligheds interesse, eksempelvis i forbindelse med høring af et lovudkast vedrørende behandling af personoplysninger i den statslige varslingstjeneste for internettrusler, og møderne suppleres med pressemeddelelser 79. I den militære sektor bliver der måske ikke indkaldt til borgermøder i samme stil som i ITog Telestyrelsen, men store dele af beslutningsgrundlagte for de militære arbejder er offentlig tilgængelige. Det gælder naturligvis forsvarsforligsteksten, men også Bestemmelser for Den militære Sikkerhedstjeneste, der blandt andet detaljeret beskriver MilCERT og kommunikationssikkerhed generelt (FKOBST 2011: ), samt Forsvarsministeriets IKT-strategi er offentligt tilgængelige. Om dele af CNO-kapaciteterne synes det naturligt, at mindre information er til rådighed, da der er tale om militære kapaciteter, der også kan anvendes offensivt og informationsudnyttende og derfor ikke udstilles offentligt, da modstandere i cyberspace derved kan beskytte sig mod sådanne tiltag. Endelig drejer legitimitet i den funktionelle arena sig også om forholdet mellem FKO og Forsvarsministeriet, hvor forskel i tradition for strategisk planlægning potentielt kan forfordele den ene part (O&K 2011: 1) og derved skade samarbejdet mellem de to niveauer med reduceret legitimitet til følge. I det pågående indledende arbejde med strategisk planlægning af CNO-kapaciteten synes en sådan forskel ikke at komme til udtryk 80. Risikoen for, at samarbejdet og/eller legitimiteten niveauerne imellem skades, synes at blive reduceret ved, at forsvaret gør brug af at arbejde i arbejdsgrupper, der går på tværs af myndighederne (FKOBST 2011: 45), hvilket giver mulighed for at opnå en fælles forståelse for den strategiske planlægning. Et element af arbejdsprocessen mellem de to niveauer, der synes både at kunne medvirke til at reducere og styrke legitimiteten for planlægningen af cyberdefence, udgøres af en skiftende struktur for arbejdsprocesserne fra en sag til den næste. I arbejdet med at finde frem til et muligt nyt kampfly blev FKO i 2007 sat til at komme med den militærfaglige 77 PET, FE, Rigspolitiets IT-Efterforskningscenter samt Statens IT (under Finansministeriet) april april Interview med oberst Per Larsen fra FKO og major Filip Ejby fra Forsvarsministeriet. 45

47 anbefaling 81, mens det foreløbige arbejde med CNO-kapaciteten er forgået med Forsvarsministeriet som leder og med deltagere fra FKO 82. Det synes på den ene side at kunne reducere legitimiteten hos FKO, at de står for den militærfaglige anbefaling i én militær sag, mens de har en anden rolle i en anden. På den anden side synes det at kunne styrke legitimiteten af den samlede strategiske planlægning af cyberdefence, at området vurderes så væsentligt eller at gribe ind i så mange andre sektorer, at det overordnede ansvar holdes i ministeriet. Den valgte metode med skiftende rolle for FKO peger i retning af, at Forsvarsministeriet vægter det tungere at kunne skifte ansvarsfordelingen fra sag til sag i forhold til, hvor der eksempelvis er politisk fokus, end risikoen for at miste legitimitet hos FKO på grund af en ad hoc-ansvarsfordeling. 5.4 Implementeringsstrukturer Den sidste nøglevariabel, der analyseres i den funktionelle arena, skal afdække, hvilke strukturer der bruges i arenaen til at implementere den strategiske planlægning af cyberdefence, herunder særligt om de eventuelt er i konflikt med de strukturer, som den koordinerende arena anvender. Internationalt har ITU under FN vedtaget foreløbig otte resolutioner, som relaterer sig til cyber-sikkerhed, og som Danmark via sine seks medlemmer 83 har indflydelse på. Endvidere udgiver unionen brochurer som fx The Global Cybersecurity Agenda, som kan være medvirkende til at skabe rammerne for international koordination af cyberdefence og derigennem fremme danske interesser på området. The Cybercrime Convention Committee har eksisteret under Europarådet siden 2004 og har i alt fem medlemmer, der vælges årligt, inklusiv formand og viceformand 84. Dens konvention er den eneste bindende internationale aftale vedrørende cyber-kriminalitet 85 og synes derfor at være med til at påvirke, hvilken retning det internationale samfund bevæger sig i relation til cyberdefence. Danmark har endnu ikke haft et medlem i komiteen 86. Det indikerer, at Danmark sandsynligvis vil kunne opnå større legitimitet i og en mere direkte anvendelse af implementeringsstrukturen ved aktivt at søge medlemskab af komiteen. I den militære sektor synes det nærliggende at anvende implementeringsstrukturer for cyberdefence under NATO. Det er imidlertid ikke tilfældet. Danmark er ikke med i NATO Cooperative Cyber Defence Centre of Excellence, der er ét af NATO s i alt ni Centers of Excellence 87, der er oprettet med henblik på at forbedre kapaciteter, samarbejde og informationsdeling mellem NATO, NATO-lande og NATO-partnere inden for cyberdefence 88, og som derved synes at være en oplagt struktur for Danmark at benytte til at påvirke alliancens tiltag i en gunstig retning for staten. 81 Jf. Beretning til Statsrevisorerne om beslutningsgrundlaget for et eventuelt køb af nye kampfly, marts 2009, s Kommissorium for Etablering af en CNO-kapacitet inden for Forsvarsministeriets område, af 27. januar april Jf. Information Document Concerning the Cybercrime Convention Committee, s Convention on Cybercrime Committee, 2010, s Jf. Mødereferater fra de årlige møder i komiteen, april april

48 Tyskland, Spanien og Italien er blandt de sponsorerende NATO-lande, mens hverken USA eller Storbritannien er med. Forklaringen på, at Danmark ikke er med i dette center, synes at kunne bygge på to dele: dels en økonomisk prioritering, hvor udbyttet ikke forventedes at retfærdiggøre indskuddet, og dels at Danmarks to prioriterede strategiske alliance- og koalitionspartnere, USA og Storbritannien 89, har valgt centeret fra, og Danmark derfor har valgt samme kurs, netop for at fastholde den eksisterende position i forhold til de to stater. Valget synes dog at være ude af trit med andre dele af dansk sikkerhedspolitik, der har udviklet sig siden Danmarks centrale rolle i de baltiske staters uafhængighed og senere i deres optagelse i NATO (Finansministeriet 1997: kap.5). Eksempelvis den nuværende deltagelse af udenrigsministeren og medarbejdere fra Udenrigsministeriet i Council of the Baltic Sea States (CBSS), der blandt andet fremmer de baltiske staters sikring af kritisk infrastruktur 90, hvoraf dele falder under cyberdefence. Det peger i retning af, at dansk strategisk planlægning af cyberdefence sandsynligvis vil kunne styrkes ved at indgå aktivt i Cyber Defence Centre of Excellence for herved at kunne påvirke NATO s ageren på feltet yderligere. Endvidere indikerer misforholdet mellem den førte NATO-politik og den førte udenrigspolitik i CBSS, at den danske indsats i forhold til Baltikum ikke entydigt peger mod et fælles mål. De amerikanske erfaringer peger i retning af, at Danmark gennem det internationale samarbejde kan styrke implementeringsstrukturer for cyberdefence ved at arbejde i retning af oprettelse af en international struktur til certificering af software, der anvendes i statsadministrationen. Med Danmarks bredt forgrenede internationale samarbejde som udgangspunkt synes det sandsynligt, at statens repræsentanter i den funktionelle arena vil kunne påvirke udviklingen i retning af oprettelsen af en sådan struktur. Nationalt anvender den funktionelle arena en række strukturer til implementering, der i stil med den koordinerende arena deler sig i en civil og en militær sektor. I den civile sektor synes GovCERT under IT- og Telestyrelsen at være den primære implementeringsstruktur. Desuden er der under Styrelsen oprettet to yderligere organisationer, der medvirker til at implementere statens ønsker på cyber-området. Den ene organisation er forummet Beredskabsforum for IT og Tele. Forummet har til formål gennem dialog mellem styrelsen og beredskabsaktører fra IT- og telesektoren at bidrage til et effektivt og tidssvarende beredskab på IT- og teleområdet, som primært har til opgave at sikre samfundets teleforsyning ved større ulykker og katastrofer, herunder terror 91. Forummet implementerer viden om cyber-relaterede emner via workshops og casestudier, der er relateret til det aktuelle trusselsbillede 92. Den anden organisation er Statens informationssikkerhedsforum, der har til formål at fremme videndeling og erfaringsudveksling blandt informationssikkerhedsledere i staten 93. Formålet med det sidstnævnte forum synes direkte at beskrive implementering af viden relateret til cyber-feltet, der understøtter opnåelse af statens mål. Samlet taler antallet og spændvidden af nationale implementeringsstrukturer for, at der er et relativt robust grundlag for, at statens mål med cyberdefence fortløbende 89 Forsvarets Mission og vision 2007, s Eksempelvis dansk deltagelse i The Baltic Sea States Civil Protection network, jf. Lithuanian Presidency Annual Report for 91 Kommissorium for Beredskabsforum for IT og Tele, 2009, s Kommissorium for Beredskabsforum for IT og Tele, 2009, s april

49 kan implementeres ud i de relevante dele af det civile samfund, da der er præcedens for en sådan fremgang. Yderligere er der nationale implementeringsstrukturer, der er koblet direkte til det nationale beredskab. Relateret til cyberdefence iværksættes strukturerne først i tilfælde af større ITog Telehændelser, men da beredskabet periodevist øves ud fra relevante trusler, synes de tydeligt at medvirke til implementering af tiltag inden for cyberspace, der afprøves under øvelse og videreudvikles på baggrund af de gjorte erfaringer 94. Når større IT- og telehændelser indtræffer, koordinerer repræsentanter fra GovCERT, FE og PET dels snitfladerne mellem myndigheders ansvarsområder, og dels om hændelsen kan håndteres af den enkelte myndighed, gennem et samarbejde de tre myndigheder imellem, eller om hændelsen skal løftes til Den Nationale Operative Stab (NOST) niveau 95. NOST har faste medlemmer fra Rigspolitiet, PET, FKO, FE, Beredskabsstyrelsen, Sundhedsstyrelsen og Udenrigsministeriet 96 har til opgave at skabe overblik over en given situation med henblik på at tilvejebringe et relevant beslutningsgrundlag for de sektoransvarlige og skabe grundlag for den fornødne koordination og prioritering af både opgaveløsning og ressourcer (Terrorberedskab 2005: kap. 5). Repræsentanter fra andre myndigheder kan inddrages i gruppen efter behov 97. Beredskabet bygger på en all-hazard-tilgang, som også benyttes i USA, og opbygges med henblik på at kunne håndtere alle typer hændelser 98, dermed også relateret til cyberdefence. Det peger i retning af, at implementeringen af tiltag på cyberdefence-området ville styrkes såfremt IT- og Telestyrelsen er en del af NOSTs faste stab, da styrelsen er pålagt det overordnede IT-ansvar i Danmark, og står for GovCERT og som sådan vil være relevant myndighed at inddrage i hændelser med nationalt omfang. I den militære sektor er planlægningen af cyberdefence-kapaciteter fortsat i gang i den koordinerende arena i samarbejde med repræsentanter fra den funktionelle arena ved FKO. I forbindelse med arbejdet med anskaffelse af nyt kampfly inddrog FKO relevante funktionelle tjenester og underlagte kommandoer allerede inden implementeringen, hvilket sandsynligvis vil fremme implementeringsprocessen hos underlagte og sideordnede myndigheder efterfølgende, fordi de implementerende strukturer har haft repræsentanter med i den strategiske planlægning. Det taler for, at FKO i et kommende arbejde med at oprette og implementere CNO-kapacitet sandsynligvis vil anvende relevante underlagte kommandoer og funktionelle tjenester 99 til implementering af det strategisk planlagte cyberdefence. 5.5 Delkonklusion Som det var tilfældet i den koordinerende arena, synes Danmark internationalt at mønstre relativt høj legitimitet i sin ageren inden for cyberdefence. Kombineret med at de stillede opgaver er balanceret mellem den civile og den militære sektor, der afspejler den overordnede todeling af ansvaret for cyberdefence, indikeres det samlet, at der eksisterer et relativt stort handlerum for at overføre danske interesser og mål inden for cyberdefence til det internationale samarbejde. 94 Jf. Redegørelse fra regeringen om indsatsen mod terrorisme, 2008, s Interview med chef for dansk GovCERT Thomas Kristmar april april Beredskabsstyrelsens Fact Finding Mission i forbindelse med The Ontario-US Power Outage 14. august 2003, s Eksempelvis Forsvarets Koncernfælles Informatiktjeneste. 48

50 Analysen peger dog på, at indflydelsen på at implementere danske mål og hensigter i det internationale samarbejde sandsynligvis kan styrkes, såfremt Danmark aktivt deltager i NATO s Cyber Defence Centre of Excellence. Såfremt et sådant engagement iværksættes, viser analysen, at der kan være behov for at gøre andre tiltag med henblik på at bevare Danmarks position i forhold til USA og Storbritannien, fordi Danmarks kurs i forhold til NATO s arbejde med cyberdefence har været parallel med de to store prioriterede militære samarbejdspartnere. Kapitlets analyse har i den forbindelse vist indikationer på at sikkerhedspolitikken i forhold til Baltikum ikke for nærværende har en entydig fælles kurs. Det er dog blot en indikation, da fravalgte af deltagelse i Cybe Defence Centre of Excellence kan være en bevidst handling, som er koordineret mellem Forsvarsministeriet og Udenrigsministeriet og godkendt at Statsministeriet. Endvidere indikerer analysen, at implementeringen af danske mål med cyberdefence ville kunne styrkes, såfremt statens repræsentanter aktivt søger medlemskab i The Cybercrime Convention Committee under Europarådet. Endelig indikerer de amerikanske erfaringer, at Danmark kan styrke sin samlede strategiske planlægning af cyberdefence, såfremt det internationale samarbejde præges i retning af oprettelse af en fælles struktur for certificering af software til brug i statsadministrationen. Danmarks bredt forgrenede samarbejde internationalt om cyberdefence synes at understøtte sandsynligheden for, at statens repræsentanter kan skubbe udviklingen i den retning. I den nationale ramme indikerer analysen af den funktionelle ramme, at handlerummet kan udbygges mere i kapaciteter end i legitimitet, hvor stor åbenhed og frivillig deling af information om ageren inden for cyberdefence synes at give statens myndigheder relativt høj legitimitet. Som det var tilfældet i den koordinerende, peger analysen her på, at todelingen af ansvaret for cyberdefence sandsynligvis ikke giver de bedste muligheder for indbyrdes vægtning og prioritering af ressourcerne. Ulemperne ved den nuværende struktur vurderes at blive reduceret via en relativt høj grad af koordination og samarbejde på tværs af sektorerne i den funktionelle arena, særligt inden for knowhow og uddannelse, hvor dansk ageren understøtter de amerikanske erfaringer for, at der er behov for øget forskning og uddannelse på området. Samlet set peger analysen dog på, at den samlede strategiske planlægning sandsynligvis vil kunne styrkes ved en sammenlægning af kapaciteter til cyberdefence under Forsvarsministeriets område, fordi Forsvarsministeriets del af cyberdefence er den bredeste og i kapaciteter modsvarer de civile, og at en sammenlægning vil forenkle og lette den indbyrdes vægtning og prioritering af opgaver inden for feltet. I samarbejdet mellem FKO og Forsvarsministeriet er der ingen indikationer på, at forskel i tradition for strategisk planlægning myndighederne imellem skulle reducere værdien af samarbejdet inden for cyberdefence. For FKO kan Forsvarsministeriets valg af skiftende ansvarsfordeling mellem de større opgaver potentielt reducere legitimiteten af samarbejdet, men tilsyneladende vurderer ministeriet, at det er den løsning, der samlet giver den største værdi for forsvaret. Samlet set synes der ikke at være oplagte muligheder for at styrke den strategiske planlægning af cyberdefence på dette område. I det fortløbende arbejde med strategisk planlægning af cyberdefence vurderes brugen af en bred vifte af implementeringsstrukturer at understøtte statens handlerum for ageren 49

51 inden for cyberdefence, hvor statens mål og budskaber implementeres bredt ud i samfundets øvrige strukturer. I forhold til det nationale beredskab i form af NOST vurderes den strategiske planlægning dog at kunne styrkes ved at IT- og Telestyrelsen optages som et fast medlem af krisestaben, fordi dens ekspertise inden for cyberdefence derved automatisk inddrages ved alle øvelser og kriser. Det understreges af karakteren af cyberdefence, der griber bredt ind i mange af de vitale samfundsstrukturer. Gennem analyserne i dette og forrige kapitel er grundlaget nu til stede for en samlet konklusion og perspektivering i det efterfølgende kapitel. 50

52 Kapitel 6. Konklusion og perspektivering 6.1 Konklusion Formålet med kapitlet er at forholde specialets analyse med problemformuleringen som angivet i kapitel 1. Problemformuleringen lyder således: På området dansk cyberdefence analyseres det koordinerende og det funktionelle niveau inden for legitimitet, kapaciteter og implementeringsstrukturer med henblik på at stille forslag til ansvarsfordeling, kapaciteter og strukturer, der kan styrke den strategiske planlægning af cyberdefence og derved reducere mangler og overlap i arbejdet, samt bibringe det øget legitimitet. Analysen af den koordinerende og den funktionelle arena i en dansk kontekst suppleret med analyse af relevante amerikanske erfaringer leder frem til, at den strategiske planlægning af cyberdefence kan styrkes således: Det overordnede ansvar for den strategiske planlægning af cyberdefence underlægges én myndighed, der gennem et råd, hvis medlemmer repræsenterer alle statens ministerier, kan udarbejde policy som grundlag for en fælles strategi for cyberdefence. Fordelingen af de rådige ressourcer kan styrkes ved, at rådet kategoriserer statslige cyber-kapaciteter og udstikker retningslinjer for deres beskyttelse. Rådet bør placeres under Statsministeriet for at give det størst mulig legitimitet og autoritet, mens kapaciteter til cyberdefence bør samles under Forsvarsministeriets område med henblik på at forenkle og lette den indbyrdes vægtning og prioritering af opgaver inden for feltet. I det internationale spor kan dansk strategisk planlægning styrkes ved, at der i strategien indarbejdes kapacitet til cyber-afskrækkelse, som bedst søges implementeret i ramme af NATO. Endvidere kan planlægningen styrkes ved aktiv deltagelse i NATO s Cyber Defence Centre of Excellence samt ved aktivt at søge medlemskab af Europarådets Cybercrime Convention Committee. Endelig kan staten med fordel bruge sit netværk af internationale samarbejdspartnere til at styre udviklingen i retning af oprettelsen af en struktur til certificering af software til brug i statsadministrationen. Ovenstående er det ideelle svar på problemformuleringen. Analysen pegede dog også i retning af, at den strategiske planlægning af cyberdefence stadig kan styrkes, såfremt en todeling af ansvarsfordelingen fastholdes, men at der i så fald er behov for øget koordination og forbedret samarbejde myndighederne imellem med henblik på at reducere ulemperne ved todelingen. I så fald kunne Statens IT-råd under IT- og Telestyrelsen få udvidet sin opgave til at omfatte rådgivning om og udvikling af policy for cyberdefence samt kategorisering af statslige cyber-kapaciteter og udstikning af retningslinjer for deres beskyttelse. Rådet ville stadig kunne løftes til Statsministeriet med henblik på at øge dets legitimitet og autoritet. Såfremt todelingen af ansvarsfordelingen fastholdes, peger analysen på, at IT- og Telestyrelsen bør blive fast medlem af NOST med henblik på at kunne bidrage med ekspertise inden for cyberdefence, for feltet har karakter, der griber ind i alle væsentlige statslige, offentlige og private institutioners virke. For begge løsninger har analysen vist, at Danmark som stat har et relativt stort handlerum for at agere i strategisk planlægning af cyberdefence, og at staten såvel nationalt som in- 51

53 ternationalt anvender en vifte af implementeringsstrukturer, der ikke lader til at være i konflikt med hinanden. Det betyder samlet, at Danmark har gode forudsætninger for at kunne styrke feltet cyberdefence, jævnfør de nævnte tiltag inden for ansvarsfordeling, kapaciteter og strukturer. 6.2 Perspektivering Formålet med afsnittet er at brede ud og anføre implikationer for, hvad problemformuleringen ville kunne sige noget om ved brug af anden teori, andre elementer af den valgte teori eller anden empiri. Derved kan der peges på områder og/eller vinkler, der i andre eller mere omfattende analyser potentielt vil kunne bidrage yderligere til specialets konklusion. Afsnittet bruges endvidere til at fremføre implikationer om, hvad det betyder for statens strategiske planlægning, om strategier generelt italesættes eller ej Teori Analysens konklusioner giver implikationer om, at fremtidige analyser med anvendelse af samme teori med fordel kan inddrage begge de resterende strategiske variable, position og tid, for at nå længere med konklusionen. Særligt i forhold til det internationale samarbejde synes variablen position at kunne bidrage med noget interessant. Analysen pegede her på, at ageren i forhold til at opnå legitimitet på cyber-feltet sandsynligvis vil kunne udfordre statens nuværende position i forhold til USA og Storbritannien. Det taler for, at der kunne nås længere i konklusionen ved at inddrage statens position til at besvare problemformuleringen. Såfremt variablen tid blev sat i spil, giver den gennemførte analyse indikationer på, at besvarelsen af problemformuleringen sandsynligvis ville indeholde begrænsninger i de strategiske muligheder. Hvis der eksempelvis er relativt kort tid til rådighed for arbejdet i den funktionelle arena, kan implementeringsstrukturer som The Global Cybersecurity Agenda, der omfatter flere hundrede medlemmer, og som ingen formel jurisdiktion har, sandsynligvis ikke anvendes. Såfremt begge variable inddrages vil de sammen med implementeringsstrukturer kunne give indblik i, om staten anvender adfærdsforandrende eller kontekstforandrende strategier. Det synes at kunne give yderligere forståelse for forskelle og sammenfald i den strategiske planlægning, der foregår i henholdsvis supermagten USA og småstaten Danmark. Ved at inddrage den instrumentelle arena i besvarelsen ville der kunne stilles forslag til ansvarsfordeling, kapaciteter og strukturer inden for cyberdefence på et område, der ikke er iværksat endnu, og derved ville et sådant speciale potentielt lettere kunne bringes i praktisk anvendelse, fordi der ikke skal gøres op med eksisterende strukturer og omgøres beslutninger på flere niveauer. Analysen af både den koordinerende og funktionelle arena gav implikationer om, at det teoretiske koncept kan bibringes noget nyt fra feltet cyberdefence. Legitimitet gennem blandt andet identifikation af fjender/modstandere, der kan forhindre staten i at nå sine mål, synes at kunne fordre til en bredere udlægning end teoriens grundlæggende tilgang, fordi cyber-feltet er af en sådan teknologisk karakter, at det er langt vanskeligere at identificere modstandere end i andre dele af sikkerhedspolitikken. Derfor peger analysen i retning af, at legitimitet inden for feltet i stedet kan opnås ved at identificere og kategorisere typen og omfanget af selve angrebene. Denne potentielle tilføjelse til det teoretiske koncept kunne være interessant at undersøge nærmere, både i den instru- 52

54 mentelle arena og inden for andre felter som eksempelvis informationsoperationer, hvor en lignende udfordring potentielt er at finde. En fordel ved den anvendte teori er, at den sigter på at favne en moderne stats perspektiv, og hvordan strategisk planlægning kan ske ud fra nogle faste variable, der sætter fokus på essensen af indholdet i strategien. Da cyberdefence er et relativt nyt felt og en integreret del af en moderne stat, er der et stort behov for at kunne gå ind i den strategiske planlægning med et fast sæt af værktøjer, der er uafhængige af kompleksiteten i statsadministrationens opbygning og forskellige karakteristika. Det viste sig at være en stor fordel i arbejdet med at analysere den igangværende strategiske planlægning, der foregår i Danmark, at have nogle faste pejlemærker at holde arbejdet op på, og som kunne genkendes uanset, hvor i statsadministrationen der blev analyseret. En ulempe ved teorien er dog samtidig, at det er et nyt koncept, der kun er afprøvet på empiri i begrænset omfang. Såfremt problemstillingen blev besvaret ud fra et andet teorivalg, eksempelvis den amerikanske om grand-, security-, og theater strategy, der anvender elementerne ends, ways og means 100, kunne analysen opnå den fordel, at konklusionerne i højere grad kunne sammenlignes med andre strategianalyser, fordi de amerikanske begreber er bredere anvendt, og har været tilgængelig gennem længere tid. Derved ville analysen kunne få et øget blik for erfaringer fra andre strategianalyser, som anvendelsen af det nye strategisk koncept ikke på samme måde giver mulighed for Empiri I specialet er primært anvendt amerikansk empiri ud fra en vægtning af den fordel, at USA er langt fremme i arbejdet med cyberdefence, og analysen har endvidere vist, at USA på grund af internettets oprindelse og historik har en unik position og kendskab til de strukturer, der præger udviklingen af internettet og cyberspace. Til gengæld har analysen af den amerikanske empiri også vist, at der i flere tilfælde skulle tages forbehold eller gøres justeringer, før amerikanske erfaringer kunne overføres til dansk kontekst. Sammen med de vesteuropæiske eksempler, der kort har været inddraget i specialet, indikerer det, at der muligvis kunne drages flere direkte paralleller ved at analysere erfaringer fra Norge eller Frankrig. Med sådan empiri ville analysen sandsynligvis kunne få øje på flere detaljer i tiltag om samling af ansvaret for eller kapaciteterne til cyberdefence under én myndighed. Ved at vælge en metode, der indeholdt analyse af flere cases i form af forskellige stater og deres tilgang til cyberdefence, ville der desuden kunne opnås et bredere empirisk grundlag for konklusionen, der derved potentielt ville komme tættere på en anbefaling, der er set afprøvet i praksis i lande, der er sammenlignelige med Danmark. Til gengæld ville en sådan tilgang risikere at overse muligheder for styrkelse af planlægningen, som den teoretiske analyse har vist Fordele og ulemper ved italesat strategi Som det fremgik af første kapitels motivation for valg af cyberdefence til analysen, synes der i modsætning til fx USA ikke i Danmark at være en lang tradition for at italesætte strategier på det overordnede statslige niveau. Analysen i specialet har givet indikationer om, at en stat af Danmarks størrelse godt i praksis kan gennemføre en aktivistisk sikkerhedspolitik, uden at en overordnet strategi italesættes eller nedfældes som en strategi. Succe- 100 Blandt andre beskrevet af Henry R. Yarger (Yarger 2008: 1-26). 53

55 sen, som Danmark kan betragtes at repræsentere, synes primært at skyldes en udstrakt brug af råd og arbejdsgrupper, der er sammensat på tværs af sektorer og niveauer, fordi de i disse fora kan opnå den fælles forståelse for, hvad det politiske niveau ønsker at opnå. Analysen viste også, at de enkelte ministerier og underliggende myndigheder har forståelse for værdien af og selv gør brug af at have en fastlagt langsigtet strategi, som kan fungere som styringsværktøj for de myndigheder, ministeriet eller styrelsen har ansvaret for. Det indikerer, at Danmark måske nok klarer sig uden en nedfældet national sikkerhedsstrategi og uden italesatte overordnede strategier på en række sikkerhedspolitiske områder, men der bruges betragtelige ressourcer på, at den koordinerende og funktionelle arena koordinerer og samarbejder på kryds og tværs for at tilstræbe at udvirke de politiske ønsker uden duplikerede eller uudnyttede kapaciteter. Derfor indikerer analysen, at successen ville kunne nå endnu længere, såfremt overordnede strategier i højere grad blev italesat. Samlet set giver specialet flest indikationer på fordele ved at italesætte strategier generelt og for cyberdefence i særdeleshed. Fordelene synes netop at være, at risikoen duplikerede eller uudnyttede kapaciteter minimeres, samt at der ikke er det samme behov for konstant koordination via råd og arbejdsgrupper, når strategien på et felt er entydigt udlagt og italesat. Derved opnås at ressourcerne i stedet kan sættes ind på at nå længere med eksempelvis forskning og uddannelse inden for felter under hastig udvikling. Ulemperne kan der på baggrund af specialet primært gisnes om. En overordnet national sikkerhedsstrategi eller overordnede strategier for enkeltområder inden for sikkerhedspolitikken kan for det politiske niveau synes at binde dem til en bestemt kurs noget, som politikere i et demokrati med valg hvert fjerde år måske ikke ser som en udtalt fordel. En tydeligere indikation på, at det kan forholde sig sådan, kan udledes af Forsvarsministeriets ønske om at tildele ansvarsfordeling og løsningsstruktur af opgaver fra gang til gang frem for efter en fast procedure, hvilket netop synes at kunne forklares af et ønske om at kunne reagere på, hvordan det aktuelle politiske pres udmønter sig. 54

56 Bibliografi Bredskabsloven (2009): LBK nr 660 af 10/06/2009 Gældende (Beredskabsloven), Folketinget, København. Beredskabsstyrelsen (2004): Fact Finding Mission i forbindelse med The Ontario-US Power Outage 14. august 2003, Beredskabsstyrelsen, Birkerød. Breitenbauch, Henrik Ø. (2008): Kompas og kontrakt. For en dansk sikkerhedsstrategi, Dansk Institut for Militære Studier, København. Cyberkonvention (2001): Convention on Cybercrime, European Treaty Series - No. 185, Council of Europe, Budapest. Department of Homeland Security (DHS) (2003): The National Strategy to Secure Cyberspace, DHS, Washington DC, USA. Finansministeriet (1997): Danmark som foregangsland, Den udenrigspolitiske indsats for Central- og Østeuropa, herunder De Baltiske Lande, Finansministeriet, København. Forligstekst (2009): Forsvarsforlig , Folketinget, København. Forsvarskommandobestemmelse (FKOBST) (2011): Bestemmelser for den militære sikkerhedstjeneste Elektronisk version , Forsvarskommandoen, København. Forsvarskommandonotat (FKO Notat) (2009): Beskrivelse af de aktuelle eller kommende IKT-relaterede aktiviteter og initiativer på Forsvarsministeriets ministerområde, som er særligt relevante i relation til Højhastighedskomiteens arbejde, Forsvarskommandoen, København. Globaliseringsstrategi (2006): Fremgang, Fornyelse og Tryghed. Strategi for Danmark i den globale økonomi, Regeringen, København. Gottlieb, Peter (2010): Cybersecurity: A Primer, American Intelligence Journal, National Military Intelligence Association, Arizona, USA. Homeland Security Act 2002 (HSA) (2002): Public Law th Congress, An Act To establish the Department of Homeland Security, and for other purposes, US Congress, Washington, USA. IT- og Telestyrelsen (IT&T) (2009): GovCERT Grundlag, indledende afgrænsning og operationalisering, IT- og telestyrelsen, København. Kramer, Franklin D. m.fl. (2009): Cyberpower and National Security, Potomac Books, Inc., Virginia, USA. 55

57 Kristensen, Kristian Søby og Larsen, Esben Salling (2010): At lære for at vinde, om dansk militær erfaringsudnyttelse i internationale operationer, Dansk Institut for Militære Studier, København. Kvale, Steinar (1996): Interviews: An Introduction to Qualitative Research Interviewing, Sage Publications, London, United Kingdom. Libicki, Martin (2009): Cyberdeterrence and Cyberwar, RAND Corperation, Califonia, USA. Mchangama, Jacob (2011): EU-rettens stigende indflydelse på Danmarks demokratiske styrefor, Center for Politiske Studier, København. Mearsheimer, John J. (2001): The Tragedy of Great Power Politics, Norton, New York, USA. NATO New Concept (2010): Strategic Concept For the Defence and Security of The Members of the North Atlantic Treaty Organisation, NATO Headquarters. Odgaard, Liselotte og Krüger-Klausen, Villiam (O&K) (2011): Preparing for the Imperfect World: A Proposal for How to Carry Out Strategic Planning, Forsvarsakademiet, København. Olsen, Gorm Rye og Pilegaard, Jess (2005): Småstater og international indflydelse, Danmark og EU s fælles sikkerheds- og forsvarspolitik, Dansk Institut for Internationale Studier, København. Præsident Obama (2009): Remarks by the President on securing our nation s cyber infrastructure, Det Hvide Hus, Office of the Press Secretary, Washington. Ringsmose, Jens (2007): Danmarks NATO-omdømme, Fra Prügelknabe til duks, Dansk Institut for Militære Studier, København. Risikovurdering (2010): Efterretningsmæssig Risikovurdering 2010, Forsvarets Efterretningstjeneste, København. Schou Tjalve, Vibeke og Henriksen, Anders (2008a): Vi diskuterer jo ikke politik på den måde. Regeringen, Folketinget og sikkerhedspolitikken, Dansk Institut for Militære Studier, København. Schou Tjalve, Vibeke (2008b): Efter Bush: Gulliver tilbage i lænker? Dansk Institut for Militære Studier, København. Smith, Howard (2010): US cyber security coordinator Howard Schmidt details initiatives at RSA Conference, SC Magazine, England. Suri, Jerimi (2009): American Grand Strategy from the Cold War s End to 9/1, Orbis, Elsevier, New York, USA. 56

58 Terrorberedskab (2005): Det danske samfunds indsats og beredskab mod terror, Statsministeriet, København. Yarger, Harry R. (2008): Strategy and the National Security Professional Strategic Thinking and Strategy Formulation in the 21st Century, Praeger Security International, Westport, USA. Interview med: Fuldmægtig major Filip Ejby, Forsvarsministeriets 4. kontor. 15. februar Områdeleder, GovCERT, Thomas Kristmar, Videnskabsministeriets. 7. april Chef for PLI, Oberst Per Jan Larsen, Forsvarskommandoen. 12. april