9. september 2020

Cyberangreb presser folkeretten

CYBERANGREB

Fjendtlige cyberoperationer mellem stater, som fx spionage, spredning af misinformation og angreb på computersystemer bliver mere og mere almindelige. Men på trods af de mange cyberangreb er der ingen klare regler for, hvordan stater kan svare igen på fjendtlige cyberoperationer, der ligger under tærsklen for egentlig cyberkrig. Det skyldes, at der på tværs af verdens lande er usikkerhed om, hvordan de folkeretlige regler skal overføres fra den analoge verden til den digitale. I en ny rapport peger to juraforskere på, at Danmark lige nu har en særlig mulighed for at påvirke den retlige udvikling.

Hackning

I 2015 og 2016 hackede statsstyrede russiske hackere det danske forsvar og skaffede sig adgang til ansattes e-mails. Rusland nægtede at stå bag angrebene, og selvom angrebet udgjorde en sikkerhedsrisiko, afviste daværende forsvarsminister Claus Hjort Frederiksen (V) at tage kontakt til russerne, fordi han ikke forventede at få et svar. 

Ifølge Forsvarets Efterretningstjenestes Center for Cybersikkerheds seneste trusselsvurdering udsættes Danmark løbende for politisk og kommercielt motiveret cyberspionage fra fremmede stater. Men selvom der klart er tale om fjendtlige handlinger fra fremmede stater, er det ikke klart, hvordan Danmark kan tage til genmæle over for disse mindre, fjendtlige cyberoperationer inden for rammerne af folkeretten, dvs. uden at overtræde traktater eller internationale retssædvaner.

Lovgivning fra den fysiske verden gælder også i cyberspace

I rapporten ”Modforanstaltninger i cyberdomænet: Den folkeretlige ramme” redegør juraforskerne Astrid Kjeldgaard-Pedersen fra Københavns Universitet og Marc Schack fra Forsvarsakademiet for de udfordringer, der opstår i kølvandet på de stadigt hyppigere angreb i cyberspace:

- Der er i dag bred enighed om, at de eksisterende folkeretlige regler og principper, der gælder i den fysiske verden, også skal regulere staters interaktion i cyberspace. Men det debatteres fortsat heftigt, hvordan de enkelte regler konkret skal anvendes – og hér opstår en lang række tvivlsspørgsmål, siger Astrid Kjeldgaard-Pedersen, professor mso på Det Juridiske Fakultet på KU.

Hun forklarer videre, at der er forskel på typen af angreb, og at de uklare regler især omfatter de mindre indgribende cyberangreb:

- Væbnede angreb, dvs. angreb der resulterer i fysiske skader enten på materiel eller personer, udløser som oftest ret til at bruge væbnet magt i selvforsvar - uanset om angrebet foregår i den analoge verden eller i cyberspace. Denne form for cyberkrig er dog mindre sandsynlig. Der er langt større risiko for cyberangreb, som ligger under grænsen for væbnet angreb. Det kunne være cyberspionage, udbredelse af misinformation blandt befolkninger eller hacking af offentlige systemer. Og disse mindre angreb kan være ganske alvorlige og skadelige for det danske samfund.

Muligheden for at forsvare sig

Mens folkeretten ikke giver en stat mulighed for at bruge væbnet magt som selvforsvar i forbindelse med et mindre cyberangreb, åbner den for, at staten kan forsvare sig på anden måde, nemlig ved såkaldte ’modforanstaltninger’:

- Modforanstaltninger er handlinger, som under normale omstændigheder ville være ulovlige, men som man får lov til at gennemføre, fordi formålet er at bringe en anden stats folkeretsbrud til ophør. Det kunne fx være at igangsætte en lignende cyberoperation, eller at Danmark vælger at se stort på handelsaftaler indgået med den angribende stat, indtil staten indstiller angrebet. Men brugen af modforanstaltninger er forbundet med væsentlige tvivlsspørgsmål. Det er fx uklart, om stater kan søge bistand hos deres allierede eksempelvis ved at lave en fælles handelsblokade. Det er også uklart, om modforanstaltninger lovligt kan bringes i spil i forhold til fjendtlige cyberoperationer, der udføres af ikke-statslige aktører. Det er et problem, fordi det ofte er meget vanskeligt at finde ud af, om det er en stat eller en privat aktør, der står bag en konkret cyberoperation, siger Astrid Kjeldgaard-Pedersen.

Danmark kan præge debatten

I rapporten peger de to juraforskere på, at der lige nu er et vindue til at påvirke landes muligheder for at benytte modforanstaltninger, når de angribes i cyberspace.

- Danmark har en generel interesse i at fastholde og styrke den regelbaserede verdensorden – også i cyberspace – og netop nu er der en unik åbning for, at selv en lille stat som Danmark kan påvirke den retlige udvikling. Indtil videre har kun relativt få stater, herunder tætte allierede som Estland, Frankrig og Holland, tilkendegivet deres holdninger til folkeretten i cyberspace, og her i august 2020 offentliggjorde Iran sit bidrag. Sådanne udmeldinger fra selv mindre stater modtages med stor bevågenhed fra andre stater og fra folkeretseksperter verden over. Det er en mulighed, som også Danmark kan udnytte, pointerer Astrid Kjeldgaard-Pedersen, men efterhånden som flere og flere stater melder ud, vil de enkelte bidrag drukne i mængden, og muligheden være forspildt.

Hun og Marc Schack anbefaler derfor, at Danmark officielt melder ud, hvad den danske holdning er til en række spørgsmål, som kan være vigtige for Danmark. Eksempelvis om stater må få hjælp fra allierede stater i deres modforanstaltninger mod en angribende stat:

- Det kunne godt være, at et lille land som Danmark syntes, at det godt ville være en god ide med kollektive modforanstaltninger. Det mener Estland eksempelvis, siger Marc Schack.