Vi blir kontinuerlig utfordret i cyberdomenet, sier Knut Grandhagen, kommunikasjonssjef i Cyberforsvaret. Digitale trusler og angrep på det digitale rom reiser en lang rekke spørsmål. Hvem angriper? Hvorfor? Hva er skadepotensialet? Og hvordan beskytter vi oss? Kan vi komme i en situasjon hvor et angrep på det digitale rom utløser artikkel 5 i NATO-traktaten? Hva skal til? Er det aktuelt å bidra med norske militære cyberkapabiliteter i NATO-sammenheng? Og hva innebærer det?

Kaspersky er en av flere aktører som viser verdens cyberangrep i sanntid. Dette er sannsynligvis bare noen av angrepene som skjer på et hvert tidspunkt. Live-feeden kan du se her: https://cybermap.kaspersky.com/.

«Norge er et attraktivt mål for russisk og kinesisk etterretning blant annet fordi vi er et NATO-land med utstrakt samarbeid med USA og fordi norsk forskning, teknologiutvikling og næringsliv er ledende på områder Russland og Kina selv forsøker å utvikle. Norges Arktis-politikk og posisjoner i FNs sikkerhetsråd gjør oss også til et attraktivt etterretningsmål. Summen av hendelser det siste året illustrerer hvordan andre stater søker å få innsikt i norske aktørers holdninger, uttalelser og mulige politiske og strategiske beslutninger. Slik informasjon kan også benyttes til å påvirke politiske prosesser, organisasjoner, kommersielle selskap og enkeltpersoner gjennom informasjonsoperasjoner, pressmidler eller uoffisielle sanksjoner.»

Dette kan vi lese i Etterretningstjenestens årlige, åpne trusselvurdering «Fokus». – Vi lever i et av verdens mest digitaliserte samfunn. Det gjør oss også sårbare, sa forsvarsminister Odd Roger Enoksen under fremleggingen av rapporten. Trusler mot det digitale rom har de siste årene stått sentralt i E-tjenestens trusselvurdering. Rapporten trekker frem eksempler på aksjoner hvor norske myndigheter offentlig har pekt på Russland og Kina som ansvarlig. Svaret er et skuldertrekk og et halvhjertet «Njet, ikke oss.» Etterretningsvirksomhet mellom stater er normalt. Alle gjør det og har alltid gjort det, også Norge. Så hvor går grensen mellom normal virksomhet og brudd på nasjonalstatens suverenitet?

Cybersikkerhetssenteret på Jørstadmoen, Lillehammer.
Ukrainere, vær redde!

I konflikten mellom Russland og Vesten over Ukraina, har det flere ganger blitt rapportert om cyberangrep og spredning av feilinformasjon. 14. januar kunne Ukraina melde om at Ukrainas regjerings offisielle nettsted var hacket og i knestående. Det skjedde dagen etter at en serie med samtaler mellom Russland og Vesten ikke hadde ført frem. «Ukrainere, vær redde og forbered dere på det verste. All deres personlige data har blitt lastet opp på internett,» sto det på det som inntil da hadde vært regjeringens forside på nett. For å være sikker på at flest mulig hadde mulighet til å få med seg innholdet lå meldingen på ukrainsk, russisk og polsk. Like etter ble hele nettsiden tatt ned. I ettertid er det ingenting som tyder på at trusselen var reell.

Men det kom flere angrep. Sikkerhetseksperter på cyberdomenet rapporterte økt aktivitet og flere forsøk på inntrenging på Ukrainas myndigheters offisielle nettsteder fra Russland i denne perioden. Samtidig ble ikke hackerne identifisert, og derfor var, og er, det også vanskelig å utpeke hvem eller hvilken nasjon eller gruppering, som står bak – i det minste offisielt.

Brudd på folkeretten

Dette er ikke væpnede angrep. Ingen ble drept eller skadet, ingen reell skade ble gjort. De siste angrepene på Ukraina er allikevel et forsøk på å plante spesifikke narrativ. – Det kan absolutt sees på som eskalering, om enn på lavt nivå, sier Lukasz Olejnik, en cybersikkerhetsforsker og tidligere rådgiver for cyberkrigføring i Den internasjonale komiteen for Røde Kors, til avisen Politico.

Hvis en statlig aktør står bak angrepene, kan vi med rimelighet vurdere dem som brudd på nasjonalstatens suverenitet, eller brudd på folkeretten, sier han. Men understreker at angrepene allikevel ikke er å anse som krigføring. Allikevel, burde ikke noen gjøre noe?

Noen, helt spesifikt Storbritannia og USA, har gjort noe. Relativt diskret har landene sendt noen av sine beste på cyber til Ukraina, for å bistå med å demme opp for cyberangrep. Det man frykter er at angrepene kan bli mer aggressive på den måten at de kan gå utover befolkningen på en mer direkte måte. Både i 2015 og i 2016 hacket Russland seg for eksempel inn i det Ukrainske strømnettet og slo det av i store områder. Målet var ikke nødvendigvis å skade lokalbefolkningen, men å få Ukrainas ledelse til å fremstå som udugelige og forsvarsløse.

Kan utløse artikkel 5

NATO har lenge vært klar på at et alvorlig cyberangrep vil kunne utløse artikkel 5. Men hva som helt spesifikt skal til, er ikke definert.

Det vil nok ikke være noen klar linje i sanden, sier Knut Grandhagen.

Knut Grandhagen, Cyberforsvaret.

Men en ting er sikkert, cybertrusler er kommet for å bli. – Enhver fremtidig krig vil ha elementer av cyber, sier Vytautas Butrimas, ved NATO Energy Security Center of Excellence i Vilnius.

Cyberdomenet er skapt av mennesker. Telefondekning, nettverk, master og så videre er ikke noe som kommer av seg selv. – Vi må sette opp domenedekningen der Forsvaret skal operere, slik at det moderne Forsvaret kan virke optimalt. Presisjonsstyring av våpen, at båter og fly kan virke sammen mot felles mål og så videre, det er noen som har jobben med å muliggjøre det, sier Grandhagen. – Du kan si at Cyberforsvaret står på tre bein – IKT-tjenester, militært samband (IKT i felt) og cyberforsvar.

Cyber er ganske nytt, og nasjonene har ikke inngått bindende avtaler for hvordan man skal finne balansen på cybersiden sånn som for eksempel man har med atomvåpen. Alle stater har en viss operativ kapasitet på dette feltet, men i hvor stor grad er ofte hemmeligholdt, sier Grandhagen.

– Enhver fremtidig krig vil ha elementer av cyber.

Vytautas Butrimas, NATO

Tradisjonen er så langt at de som står bak cyberangrep ikke tar på seg ansvaret, sånn som man ville gjort i mer tradisjonelle angrep. Det finnes imidlertid unntak. Sommeren 2019 gjennomførte USA flere angrep mot Iran. Donald Trump avblåste i siste øyeblikk et væpnet angrep mot Iran på grunn av faren for tap av menneskeliv, men påtok seg samtidig ansvaret for et digitalt gjengjeldelsesangrep mot landet. Bakgrunnen var blant annet at Iran skjøt ned en amerikansk militær drone. I følge USA befant dronen seg i internasjonalt luftrom over Hormuzstredet, et strede med travel skipstrafikk og hvor det daglig blir transportert over 17 millioner fat olje. Revolusjonsgarden i Iran sier derimot at dronen befant seg i iransk luftrom da den ble skutt ned.

Både myk og hard makt

Cybermakt kan både være myk makt og hard makt, sier Grandhagen. Den kan anvendes på flere forskjellige måter. Krig er en politisk tilstand, en uenighet mellom to stater, som eskalerer og så blir forskjellige virkemidler tatt i bruk. Hvis uenigheten er stor nok kan man tilslutt ende med å prøve å påtvinge den andre sin vilje. Cyberangrep kan være et virkemiddel i flere faser i den utviklingen, sier han.

At et land slår ut systemer i et annet land for å så tvil om myndighetens kontroll, og på den måten skremme og gjøre befolkningen usikre er ett scenario. Et annet er at man bereder grunnen for andre operasjoner senere.

Russland har gjentatte ganger avvist at landet er involvert i dataangrep mot Ukraina.

For eksempel meldte Microsoft i januar om at mange av Ukrainas datasystemer er infisert med ødeleggende programvare som gir seg ut for å være et løsepengevirus. – Den skadelige programvaren er forkledd som løsepengevirus, men hvis det blir aktivert, vil det sette det infiserte datasystemet ut av drift, skriver Microsoft. Ifølge selskapet begynner programvaren å virke når tilhørende utstyr blir skrudd av, noe som er en typisk reaksjon etter et angrep med løsepengevirus. Microsoft har ennå ikke greid å finne ut noe om motivet for den destruktive aktiviteten eller knytte angrepet til aktører som er kjent for å utgjøre en trussel.

Den ukrainske sikkerhetstoppen, Serhij Demedjuk, sier til Reuters at angriperne brukte programvare som ligner på det som blir brukt av russisk etterretning. Russland har gjentatte ganger avvist at landet er involvert i dataangrep mot Ukraina.

Etterretning og informasjonsuthenting

Etterretningssjef Nils Andreas Stensønes hadde ikke scenen for seg selv da han la frem «Fokus», en fredags ettermiddag i februar. Sammen med ham sto sjef Politiets sikkerhetstjeneste (PST), Hans Sverre Sjøvold, og sjef Nasjonal sikkerhetsmyndighet, Sofie Nystrøm. For første gang presenterte de trusselvurderingene på sine områder i en felles seanse. Det var ikke det eneste de delte; fokuset på digitale trusler er gjennomgående i de tre rapportene.

Fremleggelse av Fokus 2022 i Oslo 11. februar 2022. Fra venstre: Nils Andreas Stensønes fra Etterretningstjenesten, sjef Politiets sikkerhetstjeneste (PST), Hans Sverre Sjøvold, og sjef Nasjonal sikkerhetsmyndighet Sofie Nystrøm.

Forsvaret blir kontinuerlig utfordret av forskjellige aktører, sier Knut Grandhagen. – Det er få kriminelle som velger å engasjere seg mot en nasjonalstats maktapparat; de vil først og fremst ramme andre sektorer, så Forsvaret er først og fremst bekymret over andre stater, som er ute etter etterretning og informasjonsuthenting, sier han.

Så hvordan jobber Forsvaret for å motstå angrepene?

Det er egentlig flere ting som er viktig, sier Grandhagen. – Man må ha gode driftsrutiner for tetting av sikkerhetshull. Det som er trygt i dag, er ikke nødvendigvis trygt i morgen. Det andre er godt forebyggende sikkerhetsarbeid. Vi leter aktivt i infrastrukturen etter ting vi ikke vil ha der. For det tredje er det essensielt å etablere en forsvarbar infrastruktur. Hvor stor er angrepsflaten? Kan de ansatte laste ned ting selv? Kan de koble seg på hvilket som helst trådløst nett og laste ned ting? Hvor mange ansatte er det som bruker maskinene? Alt dette spiller en rolle for hvor sårbar man er. For det fjerde må man ha et godt system for deteksjon av skadevare, og tilslutt en evne til å gjennomføre defensive cyberoperasjoner. Her virker hele organisasjonen sammen.

Først inne og siste ute

I internasjonale operasjoner er Cyberforsvaret så godt som alltid tilstede. – Satt litt på spissen, så kan du si at vi er først inne i en operasjon og sist ute, sier Grandhagen.

Cyberforsvarets Communication and Information Systems Task Group) har gjort alt til rette for at det norske transportflybidraget i Mali skal bli klare for oppdrag. De er en del av Theatre Enabling Force, som er navnet på styrken som har lagt alt til rette for transportflybidraget NORTAD II.

Det er to skoler innenfor Cyberforsvaret. Noen er veldig dypt inne i det tekniske, mens andre er kanskje det man ville tenke på som en mer tradisjonell soldat. Teknikerne er håndverkerne. – Det er en del sivile stillinger i Cyberforsvaret, omtrent 50 prosent. Og så er det flere på doktorgradsnivå, sier han. Grandhagen er litt usikker på om han er enig i at nerden nå har fått innpass i Forsvaret. – Det å være nerd er egentlig bare en betegnelse på noen som har gått veldig dypt inn i et fag, så for meg er det å være nerd noe positivt, men det er kanskje en del stereotypier forbundet med det, som ikke stemmer. Som alle andre steder i Forsvaret må ansatte i Cyberforsvaret ha et visst fysisk nivå. Men selvfølgelig er det en del som jobber både dypt og snevert, og stort sett sitter stille i stolen sin i arbeidstida, sier han.

Hvor mye skal vi frykte cyberangrep? Hvor mye skade kan noen egentlig gjøre?

Det vi må erkjenne er at trusselaktører kan gjøre veldig mye forskjellig, dersom de først får tilgang inn i digitale systemer. Kriminelle kan for eksempel tilrane seg penger ved å holde IT-systemer som gissel mot løsepenger. Noe av det mest vanlige er at man forsøker å hente ut informasjon, ren etterretningsvirksomhet. Andre kan ha interesse av å manipulere informasjon, for eksempel tukle med GPS-koordinater for å få det til å se ut som skip er et annet sted enn de egentlig er – eller et fly – man kan jo bare tenke seg rekkevidden av eventuelle konsekvenser ved et sånt type angrep, sier Grandhagen.

Sabotasje av vannforsyning, vannrensing, overbelastning av strømnettet …, alt som er koblet opp i nettverk kan, i prinsippet, påvirkes. Samtidig, at det at det er mulig betyr ikke at det er enkelt. – Vi har enda ikke sett de helt store terroroperasjonene av denne typen. Et av de mest spektakulære militære cyberangrepene er kanskje da Israel allerede for mange år tilbake tok ned syrisk luftradar i to-tre døgn og hadde full kontroll over luftrommet hvor de skulle operere. Sannheten er at vi ikke helt vet hva nasjonalstater er i stand til å gjøre enda, siden vi fortsatt ikke har sett full krig understøttet av cyberoperasjoner, sier Grandhagen.

Cybersikkerhetssenteret (CSS), Cyberforsvaret på Jørstadmoen, Lillehammer.

Amerikanere og briter har sendt spesialister på cyber til Ukraina. NATO kan komme til å spørre etter denne type kapabilitet også fra det norske militæret, i fremtidige konfliktområder. – Det har ikke skjedd enda, så vidt jeg vet. Mest på grunn av at det i de NATO-operasjonene vi har bidratt i de siste årene, ikke har vært relevant. Men dette kan fort forandre seg, sier han. – NATO har etablerte rutiner for styrkegenerering også av cyberkapasiteter til sine operasjoner, og vil hovedsakelig følge i samme spor som land-, sjø- og luftstyrker.

Politiet har derimot deltatt i internasjonale cyberoperasjoner. I oktober 2021 deltok Nasjonalt cyberkrimsenter (NC3) ved Kripos i den Europol- og Eurojust-koordinerte etterforskningen som følge av løsepengevirus-angrepet mot Hydro i mars 2019. Hydro betalte ikke løsepenger, men angrepet kostet firmaet 800 millioner kroner. Kripos samarbeidet med franske, britiske og ukrainske politimyndigheter i et såkalt «Joint investigation team” (JIT), initiert av fransk politi. I tillegg har det vært tett samarbeid med amerikanske, nederlandske, og sveitsiske og tyske politimyndigheter.

De ansatte måtte erstatte datasystemer med penn og papir, da Hydro ble hacket i 2019.

Vi har etterforskere, teknikere, påtale, analyse, liaisoner og annet personell på plass for å bistå i etterforskningen. NC3 har en verdifull kompetanse på denne typen etterforskning som er høyt verdsatt av våre samarbeidspartnere, sa leder for seksjon for datakriminalitet ved Kripos, Håvard Aalmo.

Samarbeidet resulterte i en stor aksjon mot organiserte digitale kriminelle, hvor adresser til 12 personer ble ransaket. Det ble tatt flere store beslag.

Krigens regler

Hvilke regler har vi for denne typen krigføring? – Krigens folkerett vil legge til grunn, men det er selvfølgelig ikke alltid direkte overførbart. Man har ikke et eget regelverk rettet direkte mot cyberoperasjoner. Prinsippet er at Folkeretten og konvensjonene skal tolkes og overføres når nye våpenteknologier introduseres. Noe er åpenlyst, som at det ikke er greit å angripe journalister og lignende med cybermaktmidler, men så det er andre deler som er preget av vanskelige spørsmål, sier Grandhagen og legger til at det også er slik at cybermakt på noen områder utfordrer hvordan man ser på eksempelvis prinsippene om militær nødvendighet og proporsjonalitet.

Det jobbes imidlertid fortløpende med et mer passende og oppdatert lovverk på området, blant annet i regi av FN. Det er også produsert håndbøker, som Tallin-manualen, i forsøk på å tolke Krigens folkerett i lys av cyber.

Hvor gode vi i Norge egentlig er på cyber er noe vi ikke ønsker å avsløre, i likhet med alle andre land. Det som er sikkert er at den raske utviklingen innen teknologi og militære kapasiteter på cybersiden, hele tiden vil utfordre Forsvaret på dette området, og vi må jobbe kontinuerlig for å utvikle oss raskt nok og i riktig retning, avslutter Grandhagen.

Som NATO-leder Jens Stoltenberg sa allerede i 2019:

Cyberspace is the new battleground and making NATO cyber ready — well-resourced, well-trained, and well-equipped — is a top priority.

Den prioriteringen har neppe endret seg.

Denne artikkelen ble skrevet før Russland invaderte Ukraina.