– På oppdrag fra Nato har en gruppe forskere og juridiske eksperter utarbeidet Tallinn-manualen for å vurdere hvordan folkeretten skal tolkes når det gjelder cyberangrep. De er enige om at Stuxnet, dataormen som gjorde fysisk skade på sentrifuger ved et iransk anlegg for anriking av uran i 2007, var bruk av makt slik dette forstås i FN-pakten. Hva vil det si?
– Det er forbudt å bruke eller true med bruk av makt mot andre stater. Det trenger ikke bare være væpnet makt. Forfatterne av Tallinn-manualen vurderer altså dataorm-angrepet som ulovlig i henhold til internasjonal rett. Iran kunne dermed gått til FN med saken.
Les også: Slik knuste nordmennene Stuxnet
– Det er en utbredt oppfatning at det var USA sammen med Israel som sto bak Stuxnet for å bremse Irans atomprogram, men landene har ikke offisielt tatt på seg ansvaret. Hva slags konsekvenser får det at det er vanskelig å vite hvem som står bak cyberangrep?
– Det er et kjempestort problem og en av de største utfordringene når det gjelder cyberangrep. Dersom noen hadde vedkjent seg ansvaret for Stuxnet, kunne teoretisk sett FNs Sikkerhetsråd ha spilt en rolle, og Iran kunne krevd erstatning. Når man ikke vet hvem som sto bak, kommer man ikke så mye lenger. Ofte vil man aldri finne ut hvem som har stått bak et cyberangrep – om det er statlige aktører, ikke-statlige grupper eller til og med privatpersoner. Dersom man skal respondere, må det være stor grad av sikkerhet rundt hvem som sto bak. På alle konferanser jeg har vært på om temaet, er konklusjonen derfor at man må fokusere på de defensive tiltakene.
Les også: Slik kan hackere mørklegge Norge
– Hva betyr det at ekspertene bak Tallinn-manualen er delte i sine oppfatninger av om Stuxnet var et væpnet angrep?
– FN-pakten beskriver retten til nasjonalt selvforsvar, altså retten til å bruke nødvendig og proporsjonal militær makt for å forsvare seg, enten det er med cybermetoder eller med kinetiske midler som bomber og raketter. Et væpnet angrep utløser denne retten.
– Så lenge terskelen for et væpnet angrep ikke er nådd, har man ikke hjemmel til å respondere med militær maktbruk. I forbindelse med Stuxnet vet vi nok for lite om hva som faktisk skjedde, hvem som sto bak, og hva som var hensikten. Om denne terskelen er nådd, beror på en konkret vurdering fra tilfelle til tilfelle, men det må normalt betydelige ødeleggelser til. Det vil si skader på mennesker eller død, eller materiell skade i et større omfang.
– Man sammenligner gjerne med konsekvensene av et kinetisk angrep. Ødelegging eller manipulering av dataprogrammer som fører til at en demning åpnes og mennesker drukner, vil være en væpnet handling. I dagens samfunn er det mange sårbare datasystemer, for eksempel flykontroll eller sykehussystemer. Cyberangrep på tilsynelatende militære mål kan også få store konsekvenser for sivil infrastruktur, fordi nettverkene i stor grad er knyttet sammen.
Les også: Slik skjuler du dine internettspor
– I USA har det vært mye diskusjon om muligheten for et cyber-Pearl Harbor, og retten til forkjøpsangrep dersom amerikansk etterretning oppdager planlegging av et angrep. Hva går dette ut på?
– Først og fremst fokuserer de nok på å beskytte seg mot cyberangrep. De bruker også argumenter om at de har en rett til å forsvare seg mot et forestående angrep. Her er den generelle oppfatningen at trusselen må være overhengende. Amerikanerne har tidligere blitt kritisert for at de drar tolkningen av denne retten langt.
Les også: 16 spektakulære cyberangrep
– Hva skal til for å klargjøre hvordan krigens folkerett gjelder for cyberkriging?
– Tallinn-manualen har ingen formell status, men er skrevet av eksperter, og vil nok derfor følges av mange som gode råd. Jeg har liten tro på at et eget autorativt regelverk for cyberkriging kommer på plass. Etter hvert som det dukker opp flere cyberangrep, vil det utvikle seg en praksis og en sedvane for hvordan man lovlig kan respondere. Dette vil bli vurdert opp mot de allerede eksisterende regler i krigens folkerett som man i hovedsak finner i Genevekonvensjonene.
Les også: Slik er dataskurkenes nye metode