CYBEROPERATIONER I STRATEGISK KONTEKST

CYBEROPERATIONER I STRATEGISK KONTEKST KN Martin Oht Henningsen Klitgaard Institut for Strategi Forsvarsakademiet 02-05-2014

Titelside Opgavens titel: Cyberoperationer i strategisk kontekst. Opgavens problemformulering: «Hvilken indflydelse har cyberoperationer på westfalske staters suverænitet, og har cyberoperationer skabt muligheden for nye ikke-statslige aktører, der kan ændre staters muligheder for at agere i det internationale system?» Vejleder: Johannes Riber Nordby, Orlogskaptajn, Institut for Strategi, Forsvarsakademiet. Dato: 29-04-2014 Antal ord i hoveddokument: 14808 1

ABSTRACT Technological advances have made the world more globalized and somehow smaller via the internet. The Internet has created some opportunities that were not previously present. Previously it was only through the traditional strategic instruments of power, the military, diplomacy and economy that states could influence each other. This thesis has examined whether actors through the use of cyber operations can affect the sovereignty of states and if the use of cyber operations is only reserved for states. The conclusion is that cyber operations can compromise the sovereignty in several different ways. The thesis shows that an external actor through cyber operations may compromise a state's ability to control their virtual boarders, affecting their internal matter and affect authority structures actions. Cyber operations can only influence the international recognition of states in a minor way. Cyber operations that compromise the sovereignty, need not be particularly advanced and the more cyber operations, which will be published in great detail in the future, the fewer resources it will require to initiate an effective operation. The thesis concludes that cyber operations do not require a state actor, and that states are therefore forced to take account of non-state actors in their actions in the international system. 2

RESUMÉ Den teknologiske udvikling har ført til en globaliseret verden. Denne globalisering har medført, at vores opfattelse af verden er blevet mindre. Dette skyldes ikke mindst den teknologiske udvikling, som har medført, at den fysiske placering er blevet mindre relevant i forbindelse med interaktioner mellem mennesker og stater. Tidligere havde stater kun med de nærmeste naboer at gøre, men det har den teknologiske udvikling ændret. Tidligere har stater anvendt krig, diplomati og økonomi som strategiske redskaber i deres interaktion med hinanden. Disse redskaber har udelukkende været reserveret for stater. Har cyberoperationer skabt et nyt strategisk værktøj? Og er dette værktøj udelukkende er forbeholdt stater, eller kan grupper eller muligvis enkeltpersoner anvende dette redskab? ts problemformulering er: «Hvilken indflydelse har cyberoperationer på westfalske staters suverænitet og har cyberoperationer skabt muligheden for nye ikke-statslige aktører, der kan ændre staters muligheder for at agere i det internationale system?» t har anvendt Krasners opdeling af westfalske staters suverænitet i formerne interdependence, domestic, vattelian og international legal. Krasners teori omhandler selve suverænitetsbegrebet set fra et statsniveau. Teorien tager udgangspunkt i den westfalske suveræne statsmodel, baseret på principperne om autonomi, et afgrænset territorium, gensidig anerkendelse blandt andre lande og kontrol med egne grænser. For at kunne besvare problemformulering er specialet bygget op om tre cases med forskellige cyberoperationer. De tre cases er Stuxnet, Anonymous rolle i det arabiske forår og Røde Oktober. Disse cyberoperationer analyseres med Krasners teori for at finde ud af, hvilken indflydelse cyberoperationer har på suverænitet, om cyberoperationer skaber mulighed for nye ikke-statslige aktører, samt om stater skal tage hensyn til disse aktører, når de agerer i det internationale system. Ud fra analysen kan det konkluderes, at cyberoperationer i signifikant grad kan have indflydelse på staters interdependence-suverænitet. Analysen fremhæver især staternes manglende evne til at kontrollere trafikken på tværs af grænserne i forhold til cyberoperationer. 3

t konkluderer, at cyberoperationer har muligheden for at øve indflydelse på domestic-suverænitet i signifikant grad. Analysen af casen med det arabiske forår viste, at en dedikeret og kapabel organisation kan iværksætte cyberoperationer med stor effekt, hvis der er en kombination af et svagt cyberforsvar og et folkeligt oprør til stede. Analysen af Anonymous handlinger over for Tunesien og Egypten viser, at de kunne påvirke disse staters handlinger, hvilket gør, at specialet konkluderer, at en ekstern aktør kan øve indflydelse på en stats interne anliggender i praksis i nogen grad gennem cyberoperationer International legal suverænitet er den suverænitetsform, som umiddelbart påvirkes mindst gennem cyberoperationer. Analysen viser, at Stuxnet og Anonymous påvirkede staternes suverænitet i mindre grad, samt at Røde Oktober indirekte havde indflydelse på international legal-suverænitet. International legal-suverænitet omhandler international anerkendelse, og analysen viser, at cyberoperationer mere er rettet mod den enkelte stat og ikke mod perceptionen i det internationale system. t konkluderer, at det ikke kræver en stats ressourcer at udvikle og iværksætte cyberoperationer, der kan have indflydelse på staters suverænitet og handlinger. t må ligeledes konkludere, at offentliggørelsen af koder og fremgangsmåder for effektive cyberoperationer giver mulighed for iværksættelsen af yderligere sådanne aktioner med færre ressourcer end tidligere. t konkluderer overordnet, at cyberoperationer har indflydelse på westfalske staters suverænitet i forskellige grader i de forskellige former for suveræniteter. Største indflydelse er på suverænitetsformen interdependence, mindre på domestic og mindst på vattelian og international legal. t konkluderer ligeledes, at cyberoperationer har skabt muligheder for ikke-statslige aktører til at øve indflydelse på stater, således at disse skal ændre deres ageren i det internationale system. I perspektiveringen åbner specialet op for mulige konsekvenser for Danmark og andre småstaters mulige anvendelse af cyberoperationer i fremtiden, samt diskuterer, om FNsystemet og stormagterne er klar til at imødegå udviklingen. 4

INDHOLDSFORTEGNELSE ABSTRACT... 2 RESUMÉ... 3 1. INDLEDNING... 7 1.1. Motivation og formål.... 7 1.2. Problemdiskussion.... 8 1.3. Problemformulering.... 10 1.4. Teori.... 10 1.4.1. Kritik af teorien begrænsninger og udfordringer.... 13 1.4.2. Fravalg af teori.... 14 1.5. Data/empiri.... 14 1.6. Afgrænsning.... 15 1.7. Operationalisering af teori.... 16 1.8. Struktur.... 18 2. BEGREBSAFKLARING... 20 2.1. Staters magtinstrumenter.... 20 2.2. Diskussion af begreberne cyber war/cyberoperationer.... 20 2.3. De juridiske aspekter af cyberoperationer.... 21 2.4.1. Use of Force.... 22 2.4.2. Armed Attack.... 23 2.4. Modtræk.... 25 2.5. Ikke-statslige aktører.... 25 3. ANALYSE... 27 3.1. Case 1: Stuxnet.... 27 3.1.1. Indflydelse på suveræniteten.... 27 3.1.2. Juridiske aspekter.... 30 3.1.3. Nye aktører.... 30 3.1.4. Kompromittering af suverænitet.... 32 3.1.5. Delkonklusion.... 33 3.2. Case 2: Det arabiske forår.... 34 3.2.1. Indflydelse på suveræniteten.... 34 5

3.2.2. Juridiske aspekter.... 40 3.2.3. Nye aktører.... 40 3.2.4. Kompromittering af suverænitet.... 41 3.2.5. Delkonklusion.... 43 3.3. Case 3: Røde Oktober.... 44 3.3.1. Indflydelse på suveræniteten.... 44 3.3.2. Juridiske aspekter.... 47 3.3.3. Nye aktører.... 48 3.3.4. Kompromittering af suverænitet.... 49 3.3.5. Delkonklusion.... 50 4. KONKLUSION... 52 5. PERSPEKTIVERING... 57 6. ORDFORKLARING... 59 7. LITTERATURLISTE... 61 6

1. INDLEDNING 1.1. Motivation og formål. Den teknologiske udvikling har ført til en globaliseret verden. Denne globalisering har medført, at vores opfattelse af verden er blevet mindre. Dette skyldes ikke mindst den itteknologiske udvikling, som har medført, at den fysiske placering er blevet mindre relevant i forbindelse med interaktioner mellem mennesker og stater. Tidligere havde stater kun med de nærmeste naboer at gøre, men det har den teknologiske udvikling ændret. Nu kan alle i hele verden følge med i, hvilke tegninger som bliver trykt i Jyllands-Posten, hvordan præsidentvalget går i USA, hvordan menneskerettigheder er udfordret i Kina, eller hvordan oprøret i Sydsudan forløber. Det er ikke kun vores muligheder for at følge med i verdens nyheder og lave forretninger, der er blevet globale. Vores mulighed for at øve indflydelse er ligeledes blevet global. Gennem globaliseringen er det ikke kun forretningslivet, som er blevet mere forbundet gennem internettet. Det er også vores infrastruktur og vores statslige organisationer. Gennem cyberoperationer kan vores forretningsliv og sociale interaktioner påvirkes af statslige og ikke-statslige aktører, uden at den fysiske distance er et forhold, som kommer i spil. Staters suverænitet og deres ageren har været forholdsvis konstant i en lang periode efter den westfalske fred i 1648. Der har været respekt for staters suverænitet, og krig og diplomati med nabostaterne var den gængse måde at interagere på. Denne suverænitet er formodentligt udfordret i den postmoderne tid, hvor økonomisk, kulturel, social og politisk integration er ved at ændre den westfalske betydning af en stat. Stater har tidligere anvendt krig, diplomati og økonomi som strategiske redskaber i deres interaktion med hinanden. Disse redskaber har udelukkende været reserveret for stater. Har cyberoperationer skabt et nyt strategisk værktøj? Og er dette værktøj udelukkende forbeholdt stater, eller kan transnationale koncerner, enkeltpersoner eller grupper også anvende dette redskab? Meget af litteraturen om Revolution in Military Affairs (RMA) beskriver anvendelsen af den nye teknologi og de nye doktriner i krig, men hvordan er anvendelsen af denne teknologi (cyberoperationer) i freds- og krisetid? Er der kommet en RMA i fredstiden? Har globaliseringen ændret så meget ved staternes måde at interagere på, at deres anvendelse af teknologien til opnåelse af staternes strategiske mål er blevet 7

mere fremherskende end tidligere? Kan stater gennemføre cyberoperationer mod hinanden, uden at det har nogle negative konsekvenser for dem? 1.2. Problemdiskussion. Det beskrevne formål diskuteres nedenfor med henblik på at indkredse specialets problemfelt og efterfølgende opstille problemformuleringen. Store lande som USA, Kina og Rusland samt NATO har oprustet på cyberfronten. Efter Golfkrigen i 1991 stod det klart for verdenssamfundet, at USA besad en militærkapacitet, som var umulig at slå med traditionelle midler. Især Kina har siden slutningen af 1990 erne fokuseret på cyber som en asymmetrisk modpol til amerikanernes teknologiske overlegenhed i konventionelle styrker. (Sloan, 2012: 89) Kina, USA og Rusland har haft fokus på at anvende cyberoperationer som en del af den militære kampagne, men det kunne være interessant at undersøge, cyberoperationers anvendelsesmuligheder uden for kamppladsen. Kan cyberoperationer anvendes til andet end at bane vejen for konventionelle styrker, som russerne gjorde mod Georgien i 2008? (Shakarain et al., 2013: 24-28) Efter den westfalske fred i 1648 har opfattelsen af, hvad en suveræn stat er, været generelt anerkendt. Den westfalske suveræne stat besad autonomi, et afgrænset territorium, gensidig anerkendelse blandt andre lande og kontrol med egne grænser. (Krasner, 2001: 17) Denne anerkendelse af, hvad en suveræn stat var, har dog ikke afholdt stater fra at bryde denne suverænitet, hvis det måtte være i deres egen interesse. I marts i år har Rusland annekteret Krim-halvøen, hvilket hovedparten af de vestlige politikere er stærkt imod. Dette brud på en stats suverænitet er ikke en ny forekomst i det internationale system. Principperne om autonomi og suverænitet er blevet brudt gennem tiden af mange forskellige grunde. Disse grunde har blandet andet været brud på menneskerettigheder, mindretals rettigheder, indførelse af demokrati og generelt hensynet til international sikkerhed. (Krasner, 2001: 17) En anerkendt suverænitet betyder altså ikke, at en stat kan føle sig i sikkerhed for påvirkning udefra. Krig og diplomati har været de strategiske værktøjer, som stater har taget i brug, når de skulle øve indflydelse på andre stater. I det moderne samfund, hvor staternes økonomier er blevet så sammenbundne, er det økonomiske magtinstrument begyndt at 8

spille en større og større rolle. EU indførte sanktioner mod Rusland efter deres annektering af Krim, hvor den økonomiske del af sanktionerne vejer tungest. Staters anvendelse af de strategiske redskaber i deres interaktioner med hinanden har som hovedregel været synlig, da instrumentet ellers ikke havde nogen effekt. Fremrykning af militære styrker har kun effekt, hvis det land, der skal påvirkes, er klar over dette (medmindre formålet er at angribe landet). Relationer mellem diplomater er af natur kendt. For at det økonomiske redskab skal have en effekt, skal dette italesættes over for den stat, som man ønsker, skal ændre sin adfærd, således at de kender betingelserne for at få ophævet evt. sanktioner. Disse strategiske magtinstrumenter har været reserveret stater. Den teknologiske og økonomiske udvikling i verden har dog ført til, at store multinationale selskaber muligvis har fået mulighed for at påvirke stater via økonomien. Olieselskabernes indflydelse i vise små og mindre lande kan nævnes som eksempel. En anden del af denne teknologiske udvikling er udviklingen inden for anvendelsen af internettet. Cyberoperationer er igennem de sidste 10-15 år blevet mere og mere omtalt i medierne og mere og mere avancerede. Sikkerhedseksperter opdagede i 2010 Stuxnet, verdens første avancerede cyberoperation, der kunne ødelægge rørledninger og forårsage eksplosioner på kraftværker og fabrikker samt manipulere maskineri. Det er den første orm (worm), der var designet til at skjule sin eksistens. Stuxnet blev opdaget i Iran, Indonesien og andre steder, hvilket førte til spekulationer om, at det var en fremmed regerings cybervåben rettet mod det iranske atomprogram. Ingen har dog taget ansvaret for Stuxnet, og ingen er blevet dømt for ødelæggelserne. (Sloan, 2012: 90-91) I oktober 2012 opdagede det russiske firma Kaspersky en verdensomspændende cyberoperation døbt Røde Oktober, der havde været i drift i hvert fald siden 2007. De primære mål for operationen syntes at være lande i Østeuropa, det tidligere Sovjetunionen og Centralasien, selvom Vesteuropa og Nordamerika også blev ramt. Virussen indsamlede oplysninger fra ambassader, forskningsinstitutioner, militære installationer, energiudbydere, atomanlæg og andre kritiske dele af infrastrukturen. (Kaspersky, 2013) Der har været mange spekulationer om oprindelsen af både Stuxnet og Røde Oktober. Begge cyberoperationer var så komplicerede, at mange uafhængige eksperter mener, at 9

der må stå stater bag. Det har dog ikke været muligt at fastslå afsenderne endnu. (Sloan, 2012: 91) (Kaspersky, 2013) At det ikke har været muligt at finde frem til den aktør, som har iværksat disse cyberoperationer, siger noget om anvendeligheden af sådanne operationer. De tidligere magtinstrumenters afsender har været synlige for det land, som skulle påvirkes. Ved at kende afsenderen fik modtagerlandet mulighed for at foretage en passende reaktion, som kunne bringe påvirkningen til standsning. Ved anvendelse af cyberoperationer kan det være vanskeligt at opdage, at man som stat bliver påvirket, men ligeledes vanskeligt at finde ud af, hvem der står bag denne påvirkning. 1.3. Problemformulering. t vil dermed besvare følgende problemformulering: «Hvilken indflydelse har cyberoperationer på westfalske staters suverænitet og har cyberoperationer skabt muligheden for nye ikke-statslige aktører, der kan ændre staters muligheder for at agere i det internationale system?» 1.4. Teori. Formålet med teoriafsnittet er at skabe en teoretisk ramme og vinkel til at analysere cyberoperationers indflydelse på staters suverænitet og om cyberoperationer evt. introducerer nye ikke-statslige aktører samt operationalisere teorien. Afsnittet vil ligeledes indeholde en kritik af teorien, hvori begrænsninger og udfordringer vil blive belyst. Stephen Krasners teori omhandler selve suverænitetsbegrebet set fra et statsniveau. Teorien tager udgangspunkt i den westfalske suveræne statsmodel, baseret på principperne om autonomi, et afgrænset territorium, gensidig anerkendelse blandt andre lande og kontrol med egne grænser. (Krasner, 2001: 17) Autonomi betyder, jf. Krasner, at ingen ekstern aktør kan udøve autoritet inden for statens grænser. Et afgrænset territorium betyder, at den politiske myndighed kan udøves uhindret over et afgrænset stykke land snarere end for eksempel over mennesker, som det ville være tilfældet i et politisk styre? domineret af stammer eller klaner. Ifølge Krasner betyder gensidig anerkendelse, at juridiske uafhængige territoriale enheder anerkender hinandens ret til at indgå bindende aftaler, typisk traktater. Kontrol betyder, at der er en forventning 10

om, ikke blot at suveræne stater har myndighed til at handle, men også at de effektivt kan regulere bevægelserne på tværs af deres grænser og inden for dem. (Krasner, 2001: 18) Krasner skriver, at den gængse forståelse af suverænitet ikke har været dækkende med termen westfalske suveræne stater. Hans teori vil gøre op med denne term og deler suverænitetsbegrebet op i fire forskellige dele. Dette gør han for at give et bredere og mere nuanceret billede af suveræniteten for en stat. (Krasner, 2001: 19) Teorien deler suverænitet op i fire dele: Interdependence 1 suverænitet Interdependence suverænitet refererer til staters evne til at kontrollere bevægelser på tværs af deres grænser. Denne bevægelse inkluderer varer, kapital, mennesker, ideer, sygdomme og andet. Krasner skriver, at globaliseringen har gjort, at der er blevet stillet spørgsmålstegn ved denne form for suverænitet. Han skriver dog ligeledes, at selvom staterne har fået vanskeligere ved at regulere grænseoverskridelserne, bliver der ikke internationalt stillet spørgsmålstegn ved denne autoritet. Autoriteten til at kontrollere bevægelserne på tværs af grænserne bliver altså ikke anfægtet, men globaliseringen har muligvis udhulet staternes evne til faktisk at kontrollere dette. Domestic suverænitet Domestic suverænitet refererer til myndighedsstrukturer inden for stater og disse strukturers evne til effektivt at regulere adfærd. Domestic suverænitet er, jf. Krasner, todelt. Den ene del er befolkningens accept eller anerkendelse af en given myndighedsstruktur og autoritet. Den anden del er det niveau af kontrol, staten reelt kan udøve. Domestic suverænitet hænger sammen med interdependence suverænitet. Tabet af interdependence suverænitet, som er et spørgsmål om kontrol, vil også indebære et vist tab af domestic suverænitet. Hvis en stat ikke kan regulere bevægelser på tværs sine grænser, såsom strømmen af ulovlige stoffer, er det ikke sandsynligt, at den vil være i stand til at kontrollere aktiviteterne inden for sine grænser. (Krasner, 2001: 20) Vattelian suverænitet 1 Jeg har valgt ikke at oversætte disse fire suverænitetsbegreber, da noget af meningen bliver tabt i en oversættelse. 11

Vattelian suverænitet refererer til udelukkelsen af eksterne autoriteter både juridisk og i praksis 2. Krasner skriver, at princippet om, at magthavere ikke skal gribe ind i indre anliggender i andre stater, faktisk blev indført af to internationale juridiske teoretikere i den sidste del af 18. århundrede af bl.a. Emmerich de Vattel og intet havde med den westfalske fred at gøre. (Krasner, 2001: 20-21) International legal suverænitet International legal suverænitet refererer til gensidig anerkendelse i det internationale system. Krasner skriver, at den grundlæggende regel i international legal suverænitet er, at anerkendelse juridisk set gives til uafhængige territoriale stater, som er i stand til at indgå frivillige aftaler. Han skriver ligeledes, at stater i det internationale system, ligesom enkeltpersoner i staterne, er frie og lige. (Krasner, 2001: 21) Ud over de forskellige former for suverænitet omhandler Krasners teori fire forskellige principper for, hvordan suverænitet kan kompromitteres. Disse principper er conventions, contracts, coercion eller imposition 3. (Krasner, 2001: 23) Conventions Conventions er aftaler, hvor stater frivilligt forpligter sig til at udsætte deres egne politikker for en form for ekstern kontrol ved at acceptere at handle på en bestemt måde internt i staten. (Krasner, 2001: 23) Contracts Contracts er en aftale mellem de legitime myndigheder i to eller flere stater eller statslige myndigheder og en anden international aktør, såsom en international finansiel institution, der er gensidigt acceptabel, skaber? Contract er en pareto-forbedring, det vil sige, at de gør mindst en af parterne bedre stillet uden at gøre det værre for de andre involverede, og er betinget af adfærden hos de involverede. (Krasner, 2001: 26) Coercion 2 Krasner skriver: de juri og de facto 3 Disse fire principper oversættes ikke. Conventions og contracts kan oversættes uden problemer, men oversættelsen af coercion og imposition gør, at begreberne mister noget af deres betydning. Coercion kan oversættes til tvang, og imposition kan bedst oversættes til pålæggelse eller indførelse. 12

Coercion er, når en stat truer med at indføre sanktioner mod en anden stat, medmindre den indgår en aftale om at kompromittere sin suverænitet. Staten kan affinde sig med aftalen eller forsøge at modstå. (Krasner, 2001: 30) Imposition Imposition er, når stater er så svage at de ikke har noget valg de skal acceptere interne strukturer, politikker eller personer indsat i regeringen påskrevet af mere magtfulde stater, ellers vil de blive opløst som stat. (Krasner, 2001: 30) Conventions og contracts er en pareto-forbedring. Stater er ikke tvunget ind i sådanne aftaler. Coercion og imposition efterlader mindst en af parterne dårligere stillet. Contracts og coercion er afhængige af andre staters adfærd, det er conventions og imposition ikke. (Krasner, 2001: 23) Fælles for coercion og imposition er, at de er ulovlige jf. international lov, samt at sådanne aftaler, der kompromitterer suveræniteten efterlader mindst en part dårligere stillet. I disse aftaler er der ligeledes tale om magt-asymmetri. (Krasner, 2001: 31) Anvendelsen af Krasners teori om suverænitet giver specialet flere forskellige vinkler på, hvordan begrebet skal forstås, og dermed også en mere nuanceret forståelse. Ved at anvende denne teori kan specialet dermed belyse problemformuleringen bredere og mere nuanceret med hensyn til, hvilken indflydelse cyberoperationer har på suverænitet. Krasners teori omhandler ligeledes kompromittering af suverænitet fra andre statslige aktører. Hvis specialet kan påvise, at suveræniteten kan kompromitteres af ikke-statslige aktører gennem cyberoperationer, så må det betyde, at ikke-statslige aktører kan påvirke staters muligheder for at agere i det internationale system. Teorien er valgt, da den kan give forklaringskraft på et teoretisk plan, således at specialet ikke er forudindtaget i beskrivelserne af, hvad der motiverer stater, men derimod hvilken effekt cyberoperationer iværksat af stater og ikke-statslige aktører kan have. 1.4.1. Kritik af teorien begrænsninger og udfordringer. Krasners teori er som nævnt valgt, fordi den giver et bredt og nuanceret billede af suverænitet. Begrænsningen ved Krasners teori er, at den primært kigger på det statslige niveau, dog uden at give en forklaring på, hvorfor stater kompromitterer hinandens suverænitet. 13

Krasner taler teoretisk om, hvordan suverænitet skal forstås, og hvordan den kan kompromitteres. Han inddrager f.eks. ikke staters overordnede verdenssyn i teorien. En anden mulig udfordring ved at anvende Krasner er, at hans teori er udviklet før cyberoperationer for alvor blev kendte. Krasner har derfor ikke inddraget cyberoperationer i teorien, men nævner dog globaliseringen og internettet. Hvis specialet finder nogle andre måder, hvorpå suverænitet kan krænkes, vil specialet kunne anvende teorien som en målestok for, om cyberoperationer er et nyt strategisk magtinstrument. 1.4.2. Fravalg af teori. Jeg overvejede at anvende nogle teorier om/for International Politik (IP), men fravalgte disse, da jeg ikke mener, at de giver samme forklaringskraft som Krasner. Realismen blev fravalgt, da dens fokus på magt sandsynligvis ville give et speciale, som beskrev staters anvendelse af cyberoperationer som magt/sikkerhedsmaksimeringsredskab. Realismens fokusering på stater ville sandsynligvis gøre, at specialet ikke kunne besvare anden del af problemformuleringen vedr. ikke-statslige aktører. Liberalismen, som har fokus på både statslige og ikke-statslige aktører, vil muligvis være et mere oplagt valg af IP-teori, men jeg tror ikke, at jeg vil kunne finde tilstrækkelig forklaringskraft i forhold til problemformuleringen. Liberalismens fokus på samarbejde, økonomisk interdependence og et generelt plussumsspil giver ikke væsentlig værdi ift. påvirkning af suverænitet gennem anvendelse af cyberoperationer. Buzans teori kunne muligvis være anvendt i specialet. Men Buzans statsmodel, hvor han beskriver ideen om staten, statens institutter og den fysiske base, kombineret med hans forskellige sikkerhedssektorer ville i stedet give specialet et fokus på sikkerhed og ikke suverænitet. 1.5. Data/empiri. Empirien, jeg har valgt at analysere for at kunne besvare problemformuleringen, er tre forskellige cyberoperationer. Case 1, Stuxnet, er valgt, da den viser, at cyberoperationer kan rettes direkte mod mål, som har stor betydning for den ramte stat. Casen viser ligeledes, at det kan gøres, uden at civile bliver ramt i større omfang. Case 2, Anonymous rolle i det arabiske forår, er valgt for at vise, at det ikke kun er stater, der kan benytte sig af cyberoperationer. Case 3, Røde Oktober, er valgt for at vise, at cyberoperationer kan foregå i 14

det skjulte, samt cyberoperationens evne til at indsamle store mængder data. Ligeledes viser casen, at længerevarende cyberoperationer kan foregå, uden at afsenderen bliver afsløret. Andre cyberoperationer, såsom angrebet mod Estland i 2007, kunne ligeledes have været valgt som cases. (Sloan, 2012: 88) De tre valgte cases er udvalgt, da de indeholder langt hovedparten af de redskaber og anvendelsesmuligheder, som bliver anvendt af aktører, når de benytter sig af cyberoperationer. Empirien er hentet fra artikler, bøger, aviser og sikkerhedspolitiske tidsskrifter indhentet på internettet. Brug af kilder fra internettet giver mulighed for at inddrage så mange kilder som muligt vedr. de forskellige cyberoperationer. Bøgerne er valgt ud fra, at de er forholdsvis nye og skrevet af velanskrevne forfattere. Kilderne på internettet er fundet ved at foretage brede søgninger, hvorefter jeg har vurderet relevansen i forhold til problemstillingen. Kilderne er valgt på baggrund af deres beskrivelser og analyser af cyberoperationerne. For at få en dybere forståelse for cyberoperationerne anvendes der kilder fra blandt andet forskere, nyhedsmedier, internationale organisationer, private sikkerhedsfirmaer og bloggere. Valget er truffet for at få så mange forskellige vinkler på emnet cyberoperationer, hvilket skaber det nødvendige fundament for min analyse. Grundet kompleksiteten i cyberoperationer vil der være en risiko for, at enkelte kilder i større eller mindre grad fremkommer med subjektive holdninger, hvilket kan mindske kildens brugbarhed i forhold til at kunne besvare problemformuleringen objektivt. Denne risiko imødegås ved at anvende flere kilder, fra forskellige forfattere/afsendere, til at belyse de forskellige cyberoperationer, der anvendes i analysen. Indhentningen af data/empiri blev afsluttet den 15. april 2014. Kontrol af links blev gennemført den 25. april 2014. 1.6. Afgrænsning. USA militære magtdemonstration i krigen mod Irak i 1991 gjorde det klart, at ingen andre stater kunne stille noget op mod USA med konventionelle styrker. Kina erkendte i 1990 erne, at de muligvis skulle konfrontere USA engang i fremtiden, primært omkring Taiwan, og de traf derfor en beslutning om at satse på offensiv cyberwar. Denne beslut- 15

ning var truffet ud fra det rationale, at cyberwar ville kunne virke som en asymmetrisk fordel for Kina, da USA krigsmaskine var meget afhængig af teknologi og dermed også af computere og netværk. (Sloan, 2012: 89) Dette valg fra Kinas side var truffet ud fra det logiske rationale, at hvis de skulle i krig med USA, så havde USA den teknologiske fordel og ville kunne vinde enhver konfrontation med konventionelle styrker. Kina havde brug for et våben, som kunne neutralisere eller i hvert fald nedsætte amerikanernes evne til at anvende deres avancerede teknologiske udstyr. Det var altså et våben, som skulle anvendes i en krise eller krigssituation. Når cyberwar omtales, er det normalt som krigsinstrument i en konflikt mellem stater. (Sloan, 2012: 91) Cyberwar adskiller sig fra andre domæner af krigen. Hvis en stat er dominerende i luften, vil den kunne udrette stor skade eller opnå stor effekt, ligegylmodstanderen er på. Sådan forholder det sig derimod ikke i cyberwar. Hvis modstanderen ikke anvender cyberspace særlig meget i deres infrastruktur og myndighedsudøvelse, så vil effekten af at være dominerende i dette domæne være minimal. (Libicki, 2009:140) Cyberwar som et krigsinstrument er interessant at analysere og studere, men dette speciale vil ikke behandle cyberwar i krigens kontekst. t vil se på cyberoperationer i konteksten af strategisk magtinstrument. t vil ligeledes ikke kun have stater som aktører, men ligeledes se på de muligheder, cyberoperationer giver ikke-statslige aktører. ts tidsmæssige afgrænsning ligger i den udvalgte empiri og i den valgte teori. Den valgte teori trækker på den historiske udvikling fra 1648, men er udarbejdet i 1999 og videreudviklet i 2001 og anvendt i videnskabelige tidsskrifter siden. Empirien beskriver tre cases fra 2007 og frem til 2011, men gennem de opdaterede internetkilder er den nyeste viden omkring de tre cases medbragt. 1.7. Operationalisering af teori. Krasners teori vil i specialet blive anvendt til at besvare problemformuleringen på følgende måde. Ved at anvende nedenstående analyseramme vil konklusionen i specialet være et resultat af en teoribaseret analyse og ikke forfatterens egen mening. 16

Suverænitetsbegreb: Interdependence Domestic Vattelian International legal Evnen til at kontrollere Påvirkning af Ekstern påvirkning af Juridisk uafhængig grænserne myndighedsstrukturer staten juridisk Enkelte faktorer i begrebet, som vil blive analyseret Autoriteten til at kontrollere grænserne Myndighedsstrukturernes evne til effektivt at regulere adfærd Befolkningens accept af myndigheden Ekstern påvirkning af staten i praksis Figur 1. Analyserammen for suverænitetsbegreberne Analyserammen er delt op i to dele ligesom Krasners teori. Første del viser de forskellige suverænitetsbegreber, og hvilke faktorer inden for hvert begreb som specialet vil anvende til at belyse, hvilken indflydelse cyberoperationer kan have på suveræniteten. De tre cases vil blive analyseret gennem ovenstående perspektiver, og dermed vil specialet kunne påvise analytisk, om suveræniteten kan påvirkes gennem cyberoperationer. Hver delanalyse vil blive foretaget som redegørende analyse, hvor de relevante dele i forhold til teorien udledes. For at kvantificere analysen vil specialet anvende følgende begreber til at vise, i hvor stor grad de forskellige cases påvirker suveræniteten: I signifikant grad: Cyberoperationen påvirker suveræniteten, således at den ramte stat tydeligt kan mærke en uønsket effekt, der kan tvinge den til handlinger, den ellers ikke ville tage. I nogen grad: Cyberoperationen påvirker suveræniteten, således at den ramte stat kan mærke en effekt, der muligvis kan tvinge den til at foretage mindre handlinger, den ellers ikke ville tage. I mindre grad: Cyberoperationen påvirker suveræniteten, således at den ramte stat kan mærke en effekt, dog uden at dens handlinger skal ændres betydeligt. Indirekte: Cyberoperationen har ingen umiddelbar påvirkning af suveræniteten, men kan have det på længere sigt. 17

Enkelte faktorer: sdfsdf Kompromitteringsform: Imposition X X X X Figur 2. Analyserammen for kompromitteringsform Anden del af analyserammen omhandler måderne, hvorpå Krasner siger, at suverænitet kan kompromitteres. Krasner omtaler kun stater som værende i stand til at kompromittere hinandens suverænitet. De tre cases analyseres med henblik på at finde ud af, hvordan cyberoperationerne evt. krænker suveræniteten, og hvordan de har indflydelse på de fire måder. Analysen vil undersøge de enkelte faktorer i hver case og gennem disse finde ud af, hvilke kompromitteringsformer, der er tale om. Hvis analysen viser, at ikke-statslige aktører kan anvende nogle af disse måder, eller at der findes andre metoder, hvorpå en stats suverænitet kan krænkes, så vil det give svar på anden del af problemformuleringen. 1.8. Struktur. I forlængelse af den ovenstående redegørelse og argumentation for specialets ramme og dets delementer følger herefter en beskrivelse af dets overordnede struktur. Umiddelbart efter dette indledende kapitel uddyber specialets andet kapitel den teoretiske baggrund af det ovenfor præsenterede. Kapitlet vil indeholde en begrebsafklaring og diskussion af magtinstrumenter, cyberoperationer og de juridiske aspekter. Derefter analyseres casene i specialets tredje kapitel gennem tre ligestillede delanalyser. Disse delanalyser vil være: Indflydelse på suverænitet, hvor specialet vil analyserer, om de valgte cyberoperationer har haft indflydelse på staters suverænitet. De juridiske aspekter, hvor specialet vil analyserer om cyberoperationer er ulovlige og om de ramte stater har ret til et modtræk. Nye aktører, hvor specialet vil analyserer om empirien giver mulighed for at ikkestatslige aktører til at anvende de forskellige cyberværktøjer. Og til sidst kompromittering af suverænitet, hvor specialet vil analyserer hvilke kompromitteringsformer empiren beskriver. På baggrund af analysens tre delkonklusioner besvares problemformuleringen i specialets konklusion i det fjerde kapitel. Efter konklusionen vil specialet indeholde en kort perspektivering. Mindst én part dårligere stillet Betinget af adfærden Ikke betinget af adfærden Paretoforbedring Magtsymmetri Magtasymmetri Conventions X X X X Contracts X X X X Frivilligt BATNA - best alternative to no agreement Coercion X X X X 18

Kapitel I Indledning Kapitel 2 Begrebsafklaring Kapitel 3 Analyse af case 1 - Stuxnet Delkonklusion Kapitel 3 Analyse af case 2 Det arabiske forår Delkonklusion Kapitel 3 Analyse af case 3 Røde Oktober Delkonklusion Kapitel 4 Konklusion Kapitel 5 Perspektivering 19