For verdens største forsvarsalliance har krige hidtil kun udspillet sig i tre dimensioner – på land, til vands og i luften.
Men nu har Nato officielt tilføjet en fjerde dimension til ligningen. Tidligere på ugen besluttede Nato-landenes forsvarsministre nemlig, at cyber fremover vil betragtes som et »operationelt domæne« på linje med de mere traditionelle kamppladser. Det bliver efter alt at dømme endeligt godkendt af Nato-landene på topmødet i Warszawa 8-9. juli.
Beslutningen er ikke kun af administrativ karakter, men en, der kan vise sig at få stor betydning for Nato’s og Danmarks fremtidige krige. Beslutningen om at definere cyber som militærdomæne gør det nemlig muligt for alliancen at udføre direkte offensive hackerangreb som led i større missioner, fortæller militæranalytiker ved Forsvarsakademiet, major Flemming Pradhan-Blach.
»Der har været en periode, hvor man i Nato har sagt, at cyber kun er for at beskytte sit eget netværk. Ved at åbne op for, at det nu er et selvstændigt domæne, vil man fremover også kunne udføre offensive cyberoperationer«, siger han.
Hackere kan deaktivere fjendens radar
Et sådant cyberangreb vil oftest være i forbindelse med et større fysisk angreb. Eksempelvis vil Nato fremover kunne benytte sig af hacking for at svække eller slukke for forsvarssystemerne i det land, man vil angribe. Sådanne værktøjer benyttes allerede af andre lande – Israel brugte formentlig et amerikansk-udviklet stykke software til at slukke for en række radarsystemer, inden israelske fly bombede en atomreaktor i Syrien i 2007. Dermed opdagede det syriske militær ikke angrebet, før det var for sent.
Flemming Pradhan-Blach deltager i den arbejdsgruppe under Nato, som nu er ved at udvikle en cyber-doktrin, der skal beskrive procedurer, guidelines og koordination mellem Nato-landene. Han mener ikke, at den seneste beslutning skal ses som en decideret oprustning, men som udtryk for et reelt behov for at beskytte sig mod en stadigt stigende cybertrussel, som man er nødt til at tage alvorligt. Han sammenligner cyberkapløbet i dag med atomkapløbet i 1980’erne, som var båret af doktrinen ’mutual assured destruction’ – hvis den ene part angriber, vil begge parter blive udslettet.
»Cybervåben er den digitale atombombe, og der skal så lidt til at skabe så ødelæggende en kraft på cyberområdet. Du er i stand til at kunne gøre noget med ganske få computere og med et relativt beskedent budget. Og ligesom vi har udarbejdet nukleare scenarier og planer for brugen af atomvåben, vil man nu overveje brugen af cyber som militært redskab«, siger Flemming Pradhan-Blach.
Cyberangreb kan udløse Nato's musketéred
Allerede i 2014 besluttede Nato-landene, at cyberangreb skal kunne udløse alliancens Artikel 5-musketéred, der kort fortalt betyder, at et angreb på ét medlemsland er et angreb på alle medlemslande. Det faktum understregede Nato’s generalsekretær Jens Stoltenberg også i forbindelse med den seneste beslutning tidligere på ugen.
»Vi ser cyberangreb som noget, der kan medføre stor skade og kan være meget farligt. Det er svært at forestille sig en konflikt uden en cyberdimension. Så ja, cyber kan udløse Artikel 5, men det er samtidig også vigtigt at forstå, at cyber ikke altid vil udløse Artikel 5«, sagde Jens Stoltenberg, der understregede, at Nato’s cyberforsvar ikke er rettet mod noget bestemt land.
Hver eneste dag oplever Nato i omegnen af 200 millioner sikkerhedshændelser på deres netværk, hvoraf de cirka 200 om måneden betegnes som »seriøse forsøg på at trænge ind« – en virkelighed, som Nato selv betegner som den nye normal. Derfor har alliancen også oprustet sit cyberforsvar og gennemførte i april verdens »største og mest avancerede« internationale cyberforsvarsøvelse i Estland, hvor flere end 550 mennesker fra 26 medlemslande deltog.
Ingen love for cyberkrig
I modsætning til konventionel krig findes der i dag ikke juridisk bindende regler for cyber-krigsførsel. De fleste henholder sig dog til den Nato-forfattede Tallinn-manual, der opsætter regler for cyberkrigsførsel. Men manualen er ikke lov, og derfor er cyberangreb underlagt almindelig krigsret – først og fremmest Genèvekonventionen – hvor principper om et angrebs proportionalitet og nødvendighed er gældende.
»Krigens love og regler finder anvendelse på cyberangreb på fuldstændigt samme måde som alle mulige andre militære angreb, hvor man skal skelne mellem civile og militære mål. Men for at en cyberoperation kan kaldes et angreb i militær forstand, skal det have samme effekter som et klassisk angreb – altså at bygninger bliver ødelagt, eller at folk dør«, siger Frederik Harhoff, som er professor på Juridisk Institut på Syddansk Universitet og tidligere har været dommer ved krigsforbryderdomstolen i Haag.
Der har tidligere været eksempler på destruktive cyberangreb, der har haft politisk eller militært formål. Det mest omtalte eksempel er den amerikansk-israelske Stuxnet-malware, der i 2010 inficerede en iransk atomreaktor, hvor den ødelagde næsten 1.000 centrifuger og bremsede Irans atomprogram betydeligt. Men selv eksempler som Stuxnet løber ifølge Frederik Harhoff ikke op i noget, der kan karakteriseres som et decideret cybervåben, og af den grund er cyberkrig endnu blot et muligt fremtidsscenarie.
Da Israel gennemførte den førnævnte mission mod atomreaktoren i Syrien i 2007, var det angreb også helt lovligt efter krigens regler, vurderer Frederik Harhoff. Med Nato’s beslutning om at gøre cyberområdet til en militær kampplads er der altså ikke noget i vejen for at gennemføre lignende angreb med cyberstøtte i fremtidige krige.
Danmark kan lave cyberoffensiver
Flere af Nato’s medlemslande er i gang med at opbygge nationale cyberkapaciteter, der vil kunne bruges i Nato-aktioner. Også i Danmark er man i gang med at opbygge en militær cyberenhed med mandat til offensive operationer, og der er i forsvarsforliget afsat 355 millioner kroner til formået frem til udgangen af 2017.