Vurdere, hvad statslige institutioner kan gøre for at bekæmpe cyberangreb

Når et cyberangreb er blevet orkestreret af en statslig aktør, folk kan blive fristet til at kalde det "krig". Trods alt, det er et angreb på national infrastruktur af en fremmed magt. Men udtrykket "cyberkrig" er blevet brugt så ofte for dramatisk effekt, at jeg ikke bare vil advare mod hype. Det er også tid til at dæmpe forventningerne til omfanget af statslig indgriben.

Defineret under den kolde krig som beskyttelse mod klassiske militære trusler og forsvar af nationalt territorium, udtrykket "sikkerhed" er nu almindeligt forstået til at omfatte ikke-militære dimensioner. Schweiz' sikkerhedspolitiske rapport for 2016, for eksempel, opregner ikke kun væbnede angreb, men også terrorisme, forbrydelse, manipulation af informationsrum, forsyningsafbrydelser og katastrofer og nødsituationer som trusler. Dette har ført til, at sikkerhedspolitiske instrumenter er tilpasset til forebyggelse, forsvar og håndtering af disse trusler. Og selvom militæret stadig er vigtigt her, det er ikke længere det eneste instrument.

En sag for militæret?

Hvis cyberangreb virkelig var en form for "krig", så ville det primært være op til militæret at håndtere denne fare. Men antagelsen afspejler hverken truslens sande natur, heller ikke militærets juridiske og operationelle kapacitet som et sikkerhedspolitisk instrument til at imødegå det.

Langt de fleste cyberangreb er kriminelle, og målrette mod private netværk og virksomhedsaktiver. Statslige organer har ingen adgang til disse netværk. De få angreb på regerings- eller regeringsrelaterede netværk i de senere år – f.eks. RUAG-hændelsen i 2016 i Schweiz – var spionage. De efterlader os med en ubehagelig følelse og bekymrer os om den nationale sikkerhed, men udenlandske efterretningsaktiviteter er almindelige. Vi er derfor langt fra i krig. Og selvom vi ved, at både statslige og ikke-statslige aktører i stigende grad bruger cybermedier til at nå strategiske mål, alle disse hændelser er indtil videre kommet betydeligt – og uden tvivl bevidst – under krigsførelse.

Hvis ikke militæret, hvilken regeringsinstitution skal så være ansvarlig for cybersikkerhedspolitikken? Det er et spørgsmål, som mange lande diskuterer i øjeblikket – inklusive Schweiz. Fordi politisk motiverede hændelser er stigende, cybersikkerhed er blevet anerkendt som et nationalt sikkerhedsproblem i det mindste siden 2010 og er blevet integreret i den større sikkerhedspolitiske ramme. At problemet er for stort til at kunne løses med kun tekniske og operationelle foranstaltninger er også blevet erkendt. Som resultat, der er nu en tendens til centralisering:tidligere forskellige cybersikkerhedskompetencer er grupperet sammen og politisk styrket under (civilt) lederskab ved at tildele dem til specifikt ansvarlige enheder, nogle gange placeret på højeste regeringsniveau.

Som med andre nutidige farer, den rolle, som staten ønsker (og kan) spille på dette område, er bemærkelsesværdig lille. Alle kendte cybersikkerhedspolitikker er hovedsageligt afhængige af, at virksomheder og borgere tager personligt ansvar:det er et spørgsmål om selvforsvar. Det betyder, at staten kun bør gribe ind, når offentlige interesser er på spil eller, specifikt i Schweiz, når den handler i overensstemmelse med subsidiaritetsprincippet. De væbnede styrker er primært ansvarlige for at beskytte deres egne systemer. Til denne ende, udviklingen af ​​offensive og defensive operationelle kapaciteter drives fremad inden for de eksisterende juridiske rammer.

Og det er en god ting.

Cybersikkerhed er et sikkerhedspolitisk spørgsmål – men alle skal stå sammen i en national indsats. Sikkerheden kan kun styrkes, hvis virksomheder, universiteter og forskellige myndigheder arbejder sammen, og hvis vi samarbejder konstruktivt med andre lande. Diskursiv militarisering – forankret i konstruktioner af den nationale fjende og antagelser om vores nationalstat og dens ressourcer – skaber blot uro og vækker falske forventninger.