CAMBRIDGE, MASSACHUSETTS – En serie af episoder i de senere år – Ruslands hackerangreb for at påvirke USA’s præsidentvalg til fordel for Donald Trump i 2016, de anonyme cyberangreb, der afbrød Ukraines elektricitetssystem i 2015 og den “Stuxnet” virus, der ødelagde et tusinde iranske centrifuger – har forstærket den stigende bekymring for en konflikt i cyberspace.
Ved sikkerhedskonferencen i München i sidste måned annoncerede den hollandske udenrigsminister Bert Koenders dannelsen af en ny ikke-statslig organisation, Global Commission on the Stability of Cyberspace, som supplement til FN’s Group of Governmental Experts (GGE).
GGE’s rapporter i 2010, 2013, og 2015 dannede grundlaget for forhandlingsdagsordenen vedrørende cybersikkerhed, og de nyeste definerede normer, der er godkendt af FN’s Generalforsamling. Men trods succes i begyndelsen har GGE sine begrænsninger: Medlemmerne er teknisk set rådgivere for FN’s generalsekretær og ikke fuldt bemyndigede nationale forhandlere, og selvom antallet af deltagere er forøget fra de oprindelige 15 til 25, er de fleste lande fortsat ikke repræsenteret.
Kan normer etablere grænser for staters handlinger?
Men der lurer imidlertid et større, mere grundlæggende, spørgsmål bag GGE: Kan normer i realiteten overhovedet begrænse staters adfærd?
De fleste eksperter er enige om, at en global traktat, der regulerer cyberspace, ikke er politisk mulig at etablere eller blive enig om på nuværende tidspunkt (selvom Rusland og Kina faktisk har foreslået det i FN).
Kan normer i realiteten overhovedet begrænse staters adfærd?
Men udover formelle traktater omfatter normative begrænsninger for stater også etableringen af adfærdskodeks, konventionel statslig praksis og bredt accepterede forventninger til passende handlinger inden for en gruppe (hvilket kan skabe fælles lovgivning). Omfanget af disse begrænsninger kan variere fra globale til plurilaterale (aftaler indgået mellem flere lande, red.) eller bilaterale (aftaler indgået mellem to lande, red.). Så hvad fortæller historien os om effektiviteten af normative politiske instrumenter?
I årtiet efter Hiroshima blev taktiske kernevåben betragtet som “normale” våben, og det amerikanske militær udstyrede de udsendte styrker med et atombevæbnet artilleri, atomlandminer, og atomvåbenbærende antiluftskyts.
I 1954 og 1955, fortalte formanden for de øverste militære ledere præsident Dwight Eisenhower, at forsvaret af Dien Bien Phu i Vietnam og øerne ud for Taiwan ville kræve anvendelse af kernevåben (Eisenhower afviste anbefalingen).
Omkostningen ved at bryde et tabu
I tidens løb har udviklingen af en uformel norm om ikke at anvende kernevåben ændret på dette.
Nobelprismodtageren økonomen Thomas Schelling argumenterede således for, at udvikling af en norm for ikke-anvendelse af kernevåben var et af de vigtigste elementer i våbenkontrol gennem de sidste 70 år, og at dette ville lægge bånd på beslutningstagerne.Men med de nye atommagter som Nordkorea kan man imidlertid ikke længere være sikker på, at omkostningerne ved at bryde tabuet vil blive betragtet som større end gevinsterne.
Efter Første Verdenskrig udvikledes et tilsvarende tabu mod anvendelse af giftgasser, og Geneve-protokollen af 1925 forbød brugen af kemiske og biologiske våben. To traktater i 1970’erne forbød produktion og lagring af sådanne våben og medførte således omkostninger ikke bare ved deres anvendelse men også for at besidde dem.
Konventionen om Kemiske Våben forhindrede ikke hverken Saddam Hussein eller Bashar al-Assad i at bruge kemiske våben mod deres egne befolkninger, men fordi 173 lande har ratificeret Konventionen om Biologiske Våben, må stater, der ønsker at udvikle den slags våben, gøre det i hemmelighed og være indstillet på bred international fordømmelse, hvis der findes beviser for deres aktiviteter
Kontrolbestemmelserne i Konventionen om Biologiske Våben er dog ringe (kontrollen består udelukkende i en rapportering til FN’s Sikkerhedsråd), og disse forholdsregler forhindrede ikke, at Sovjetunionen fortsat besad og udviklede biologiske våben i 1970’erne. Tilsvarende forhindrede Konventionen om Kemiske Våben ikke hverken Saddam Hussein eller Bashar al-Assad i at bruge kemiske våben mod deres egne befolkninger.
Men begge disse traktater har ikke desto mindre påvirket, hvordan andre opfatter den type aktiviteter. Opfattelserne bidrog eksempelvis til retfærdiggørelsen af invasionen af Irak i 2003 og til den internationale afmontering af de fleste syriske våben i 2014. Fordi 173 lande har ratificeret Konventionen om Biologiske Våben, må stater, der ønsker at udvikle den slags våben, gøre det i hemmelighed og være indstillet på bred international fordømmelse, hvis der findes beviser for deres aktiviteter.
Kan man lave regler for Cyberspace?
Normative forholdsregler kan muligvis også blive relevante på det informationsteknologiske område, selvom der her er forskel på våben og ikke-våben afhængig af formålet, og det vil være vanskeligt at forbyde design, besiddelse og selv implementering af computerprogrammer til brug for spionage. Det vil formentlig også være umuligt at gøre på pålidelig vis. Så på den måde kan forebyggelse af cyberkonflikter ikke sammenlignes direkte med kontrollen med kernevåben, som blev udviklet under Den Kolde Krig og omfattede omhyggeligt udarbejdede traktater og kontrolbestemmelser.
En mere frugtbar tilgang til kontrol med cyberkrigsførelse kunne være at skabe tabuer ikke omkring våbnene men omkring målene. USA har slået til lyd for det synspunkt, at Loven om Væbnet Konflikt (Law of Armed Conflict, LOAC), der forbyder bevidste angreb på civile, også skal gælde i cyberspace. Derfor har USA foreslået, at i stedet for at give tilsagn om “ikke at benytte dem først”, bør landene love ikke at benytte cybervåben mod civile mål i fredstid.
En mere frugtbar tilgang til kontrol med cyberkrigsførelse kunne være at skabe tabuer ikke omkring våbnene men omkring målene. USA har slået til lyd for det synspunkt, at Loven om Væbnet Konflikt (Law of Armed Conflict, LOAC), der forbyder bevidste angreb på civile, også skal gælde i cyberspace.
Denne tilgang til et nyt normsæt er blevet vedtaget af GGE. Forholdsreglerne skulle underbygges af tillidsskabende tiltag så som kriminalteknisk assistance og løfter om ikke at blande sig i arbejdet i computersikkerhedstjenester, de såkaldte Computer Security Incident Response Teams (CSIRT).
GGE rapporten fra juli 2015 fokuserede på forhindring af angreb på bestemte civile mål i stedet for at foreskrive et bestemt regelsæt. Ved topmødet i september 2015 mellem USA’s præsident Barack Obama og den kinesiske præsident Xi Jinping enedes de to ledere om at etablere en ekspertkommission, der skal granske GGE’s forslag. Efterfølgende blev GGE rapporten støttet af lederne af G20-landene og videresendt til FN’s Generalforsamling.
Men angrebet på den ukrainske energiforsyning skete i december 2015, og det var kort tid efter at GGE-rapporten forelå. Og i 2016 betragtede Rusland åbenlyst ikke den amerikanske valgprocedure som beskyttet civil infrastruktur. Vi kan med andre ord konkludere, at udviklingen af normativ kontrol af cybervåben fortsat er en langsommelig – og i øjeblikket også ufuldkommen – proces.
Oversættelse: Lisa Rasmussen.
Topillustration: Flickr – U.S. Army CERDEC
Modtag POV Weekend, følg os på Facebook – eller bliv medlem!
Hold dig opdateret med ugens væsentligste analyser, anmeldelser og essays i POV Weekend – hver fredag morgen.
Det er gratis, og du kan tilmelde dig her
POV er et åbent og uafhængigt dansk non-profit medie.
Har du mulighed for at bidrage til vores arbejde? Bliv medlem her