Ulykken ligger i navnet: Teknisk Ukeblad.
Med sju dager mellom hver utgave, er det alltid en liten risiko for å intervjue en statsråd som ikke lenger har jobben når bladet skal gå i trykken.
Normal fasit: Skrot intervjuet, bedre lykke neste gang.
Vi ville snakke med forsvarsministeren om storpolitiske perspektiver på en gryende krig i cyberspace, på mange måter den manglende brikken i et tema vi har dekket bredt her i TU.
Når statsråden så går hen og ikke får fyken, men blir forfremmet – er han da fortsatt relevant, har det han sier likevel verdi?
Og hvem er det i så fall som teknisk sett svarer – daværende forsvarsminister eller nåværende utenriksminister, ingen av dem eller begge?
Les også:
Ingen vei tilbake
Espen Barth Eide (Ap) smiler litt fraværende bak kraftige briller mens han på Ipaden korrekturleser en pressemelding om det han nettopp har gjennomført: Åpningen av det nye Cyberforsvaret på Jørstadmoen.
TUs opprinnelige avtale med departementet lød: Lite om personen, mye om saken – altså Norges strategi og forsvarsevne mot cyberangrep, og hvordan militariseringen av internett har gitt forsvarspolitikere over hele verden tidstrøbbel med å etablere noen grunnleggende kjøreregler, en slags Genève-konvensjon på nett.
Cyberangrepene på Estland (2007) og Georgia (2008), og ikke minst dataormen Stuxnets demonstrerte ødeleggelseskraft (2010), brakte temaet til topps i Nato.
– Jeg pleier å si det i taler: Etter at flyvemaskinen ble oppfunnet, var det aldri et alternativ å velge bort luftforsvar.
– Fordi de første til å utnytte et nytt teknologisk domene alltid er militære krefter?
– Ja. Og du kunne ikke velge problemstillingen bort, eller si «vi har så fin marine at vi ikke trenger å tenke på luftforsvar». Det var et valg du bare måtte ta. Det vi ser nå, er et slikt kvantesprang, sier Eide.
Gåtefull
Den formelle jobbtittelen er kanskje ikke så viktig likevel.
Få andre norske politikere mestrer nemlig politiske gråsoner, kunststykket å være både ingensteds og overalt i mange prosesser samtidig, like elegant som Espen Barth Eide.
Spør bare amerikanske diplomater, som i Wikileaks-notater fra 2008 avslører en nærmest morbid fascinasjon for den transnasjonale og transdepartementale akademikeren med de mange motsetningene:
Den evige statssekretær, men likevel «makten bak tronen». Edderkoppen som var Pro-USA, men samtidig «upålitelig når det kommer til amerikanske interesser».
Stort nettverk og mektige venner, men samtidig en «tørr intellektuell» uten folkelig appell.
Les også:
Slik knuste nordmennene Stuxnet
Nerden
Vi tenker høyt om å presentere statsråden som en atypisk politiker: En som i samtaler aldri skyr unna lange fremmedklingende navn, vanskelige begreper og inngående detaljanalyser når han snakker, en som…
– Du mener en nerd?
– Vel … ja.
– Det må du gjerne skrive. Jeg skal ikke protestere.
– Men som nerd virker du å være oppriktig interessert og langsiktig engasjert i cybertrusselen, uavhengig av embetet du er satt til?
– Ja, akkurat dét tror jeg nok er sant, sier forsvars-/utenriksministeren.
Cyberstrategen
Eide loser TU videre med sikker historisk hånd gjennom Forsvarets kontinuerlige fokus på teknologi, FFIs reformerende etterkrigsrolle, hvordan satsingen på cyberdomenet er kulminasjonen av hele den rådende tenkningen rundt et nettverksbasert forsvar og overgangen til det moderne innsatsforsvaret.
Han forklarer til og med inngående hvorfor nettopp nettverkene, sensordelen – «cyberdelen» – var utslagsgivende for at F-35 ble Norges nye kampfly.
35 000 tegn med rånotater av slikt er jo bra for en journalist. Men så har han altså i dagene etterpå blitt utenriksminister, og brått er det Anne-Grete Strøm-Erichsen vi heller burde snakket med.
Les også:
Slik skjuler du dine internettspor
Slik kan hackere mørklegge Norge
En finger i spillet
Eller kanskje ikke. Tilbake til Wikileaks: Sist Anne-Grete Strøm-Erichsen var forsvarsminister, ble Espen Barth Eide av amerikanerne kalt «den egentlige forsvarsministeren» mens Strøm-Erichsen fikk merkelappen «svak».
USAs analyse forblir deres. Men det var i denne fasen at den militære paraplyorganisasjonen INI – i dag ombygget, tilført store ressurser og omdøpt til Cyberforsvaret – ble opprettet.
– Et privilegium jeg har hatt, er at jeg egentlig har jobbet med disse tingene uansett hva jobben min har hett. Enten det nå er Nupi, FD, UD eller FN: Det har alltid hatt elementer av sikkerhetspolitikk i seg, sier han.
Med en slik utenriksminister, er det bare passende at cybertrusselen nå har flyttet seg til de tunge internasjonale diskusjoner. Det er Eides bord, enten han nå styrer UD eller FD.
Han påpeker at det er lenge siden forrige store krig mellom nasjonalstater. De fleste konflikter i dag er mer avgrensede, med formål om å påvirke noen til å gjøre noe de ellers ikke ville gjort, mener han. Og da er cyberangrep perfekt.
– Virkemidlene man bruker, vil være tilpasset de mulighetene som er. Det er helt åpenbart at man ville forsøke å undergrave vår evne til å opprettholde en suveren stat gjennom et større dataangrep, dersom man først skulle slå til.
– Det er vel også beleilig at man ikke trenger å stå ansvarlig for angrepet heller?
– Ja. Dette er noe vi jobber mye med i alliert sammenheng: Å få opp evnen til såkalt «attribution» – altså at man likevel finner ut hvem det er. Det er på gang, for å si det sånn.
– På et teknologisk nivå, hvilke tiltak kan man enes om på samarbeidsnivå i Nato for å gjøre det enklere å spore opp hvem en cyberangriper er?
– Det går mye på innsamling av mønstre. Men det kan også ligge i kildekoden, at du kan peile det bakover når du ser mønsteret i hvor den dukker opp. Her er det et betydelig internasjonalt samarbeid, sier forsvars-/utenriksministeren.
Gamle regler, ny verden
Cyberkrigføringens videre utvikling ligger altså midt i den påtroppende utenriksministerens kompetanseområde: Krigens folkerett, innslagspunktet for Nato-paktens artikkel 5 – kort og godt internasjonal statsvitenskap og juss.
Nettet virker kanskje lovløst, men det er ikke noe galt med retten, mener Eide («krigens folkerett er helt fin, den») og trekker fram prinsippet om distinksjon: At et angrep skal rettes mot militære og ikke sivile mål.
– Dette kan du godt overføre: At et cyberangrep som skulle ramme Jørstadmoen i stedet rammer Lillehammer sykehus, ville være et uakseptabelt brudd på en slik lovgivning. Vi trenger ikke nødvendigvis nye regler, men en moderne forståelse av de eksisterende reglene i møte med en helt ny verden.
– Det nye er at man ikke nødvendigvis vet hvem man kriger mot?
– Ja, men samtidig vet vi altså litt mer enn hva folk tror. Vi har store stater og vi har ikke-statlige aktører. Tyveri, manipulering og fysisk skade er de tre hovedkategoriene, i økende alvorsgrad.
– Går det en diskusjon rundt hvor tung bevisbyrde du trenger for å kunne fastslå opprinnelsen til et dataangrep? Når er man sikker nok?
– Før du kommer dit, er det en diskusjon om hvilke typer angrep som legitimerer hvilke mottiltak. Kan du gå til bombeangrep mot noen som bare har gått inn i datamaskinen din? Det vil de fleste mene at du ikke kan. Men du kan kanskje gjøre noe innenfor cyberverdenen.
– Et massivt, lammende angrep som skaper stor fysisk ødeleggelse uten bruk av en eneste bombe, kan gå over en terskel hvor et eller annet motangrep kan være aktuelt.
– Og det er når angrepet trer ut i det fysiske rommet at krigens folkerett og gjengjeldelsesretten trer i kraft, er det Norges offisielle syn overfor Nato?
– Ja. Hvis folk dør i Nord-Norge fordi et cyberangrep har kuttet strømmen på vinterstid, er det en åpenbar fysisk skade.
Les også:
Har du sikret deg mot Java-hullet?
Nå skal oljeriggene software-testes
Juridisk felle
Vi gir forsvars-/utenriksministeren et oppdiktet angrepsscenario for å sette jussen litt på prøve.
– La oss si at russerne ønsker å signalisere «Du kommer ikke utenom oss når det gjelder gassleveranser til Europa». Mens Norge sitter midt i gassforhandlinger med britene, går en gassledning ved Ormen Lange i lufta. Så viser det seg senere at dette var et cyberangrep mot Scada-systemer.
– En gassledning? Vel, da er det jo et fysisk angrep.
– Forsvaret påpeker selv at dersom angrepet er stort nok, er ikke defensive cyberteknikker nok – du må ut av landet for å avskjære, altså «tilkjennegi deg selv som kombattant», som det heter i jussen. Da har man vel trådt over en juridisk grense?
– Jeg tror ikke det behov for lovendring. Politiske myndigheter kan erklære oss som kombattanter hvor vi vil – under forutsetning at vi mener at vi har folkerettslig hjemmel. Og den loven kan ikke vi skrive om, den er internasjonal, slår Eide fast.
Grenseløst
Teknisk Ukeblad vet at enkelte i Forsvaret frykter det de kaller å paramilitarisere cyberforsvaret av kritiske kraft, olje- og industriinstallasjoner – at såkalte CERT-er, private «cyberhærer» som ventes å dukke opp i alle sektorer, vil kunne ta seg til rette på folkerettslig omstridte områder.
– Ormen Lange-eksempelet igjen: En olje-gass-CERT tenker: «Vi kan bare redde gassledningen om vi avskjærer signalet ved angrepets opprinnelse», og denne serveren ligger i utlandet.
– Nå skal jo ikke de sivile CERT-ene ha kapasitet for offensive operasjoner. De skal heller kunne stenge veien inn og avgrense angrepet og skaden.
– Samtidig er vel sjansen stor for at flere av dem vil ha yrkesbakgrunn fra plikttjenesten i Cyberforsvaret, at de har kompetansen til en offensiv cyberoperasjon, at de vet at dette må til for å unngå en stor eksplosjon. Så må de ta valget: Handle nå, eller gå tjenestevei?
– En sivil aktør kan ikke på statens vegne ta del i offensive operasjoner. Men det er klart: Selv om det overordnede regelverket etter min mening er bra, er skillet mellom offensiv og defensiv operasjon ikke så åpenlys i cyberverdenen som den er i den fysiske verden, innrømmer Eide.
Les også:
Sikkerhetsforsker frykter spøkelsesfly
Internasjonal forvirring
– Hvordan har det påvirket den politiske arenaen og militærdoktrinene at det nå er mulig for et land på andre siden av kloden å utøve stor skade? At det ikke trenger å være naboen som har et horn i siden til oss, men en stat på andre siden av kloden?
– Det er helt riktig. For andre typer strid betyr geografien fortsatt noe, i cyberrommet betyr det bortimot ingenting. Det andre er mangelen på forberedelse. Tradisjonelt kan man se en negativ politisk utvikling over tid, forberede seg, styrke seg. I cyberdomenet er du heldig om du vet at du blir angrepet i det angrepet starter. Vi er fortsatt helt i startfasen av å utforske hva dette egentlig betyr.
– Hvor mye kan du si om hvilke cyberstyrker og kapasiteter ulike nasjonalstater er i ferd med eller allerede har bygget opp?
– Det vi vet, er at en rekke stater har bygget opp kapasitet i forlengelsen av Stuxnet- og Duqu-angrep med betydelig lammende effekt, og langt ut over det som hittil er sett. Og at det konstant drives testing av ulike lands forsvarsverk, også Norges: «Hvor langt inn kommer vi?»
– Uten noen klar konflikt i bunn?
– Nei, mer en slags virtuell katalogføring, slik en tradisjonell etterretningtjeneste ville kartlagt en motstander. Dette ser vi spor av. Det er også grunn til å tro at de mest avanserte holder tilbake. Trolig er det litt som trollmannens læregutt: Man vet ikke helt sikkert hva det er man har funnet opp, eller hva konsekvensen kan være, sier Eide.
Gjensidig utslettelse
I sin nye jobb i UD vil forsvars-/utenriksministeren finne en slags trygghet i at de færreste ønsker at internasjonale pengeoverførings- og handelssystemer skal bryte sammen. At alle har en egeninteresse i å opprettholde det.
– Det minner litt om atomkappløpet og prinsippet om gjensidig utslettelse?
– Ja, på en måte. «Nå har jeg 10 000 atomvåpen, men kanskje ikke så lurt å bruke dem alle». Men vi ser altså likevel målrettet bruk. Det vil si: Noe har vi sett, men det verste har vi til gode å se.
– Da er jeg programforpliktet til å spørre: Har Norge noen slike offensive cyber-trumfkort liggende, eller i det minste en avdeling som jobber med dette som mål?
– Det må du nesten spørre om, ja. Men det vil jeg ikke si så mye om, sier Espen Barth Eide – i kraft av å være forsvarsminister. Eller påtroppende utenriksminister. Eller begge deler.
Flere profiler:
Nina Jensen: – Den rødgrønne regjeringen er forbausende lite grønn
Fred Kavli: – Det er viktigere ting i livet enn penger
Tor Helge Dokka: Boligekspert spår fjernvarmens død
Helge Lund: – Vi driver vår virksomhet i flomlys
Erik Tandberg: – Jeg tror det er liv på Mars
Øystein Stray Spetalen: Ville bli samferdselsminister
