Cyberstrategi i Danmark

Hvorfor er det interessant at beskæftige sig med cyberstrategi i Danmark, når der ikke for nærværende eksisterer en dansk strategi for området?

Der er mange grunde til, at det er vigtigt at undersøge, om Danmark har brug for en sådan strategi, og i hvilket omfang der allerede eksisterer en strategi, selvom den ikke italesættes som sådan. Området er nyt og repræ­senterer en del af dansk sikker­heds­politik, der får stadigt større bevågenhed og relevans i flere fora. Inden for det sidste år er det blandt andet blevet fremhævet som et fokusområde ved NATO-topmødet i Lissabon og i det efterfølgende nye koncept for NATO. [3]

Foto: Forsvaret.dk

Et fokus, der blandt andet tager sit afsæt i de angreb i cyberspace, som Estland, Georgien og senest Frankrig har været udsat for. [4] Cyberdefence foregår i et globalt domæne, cyberspace, uden de normale fysiske begræns­ninger og regler bestemt af tid, rum og territorialgrænser. [5] Danmark agerer som statslig aktør med afsæt i Danmarks fysiske placering og afgrænsning. På samme måde agerer internationale organisationer som NATO og EU ud fra internationalt anerkendte grænser. Cyberspace åbner nye muligheder ved at bryde med disse fysiske grænser. Derved udfordrer cyberspace begreber som det euro-atlantiske område og suveræne stater. Der­ved er udvikling af en dansk cyberstrategi ikke kun interessant, fordi den er i sin vorden, men også fordi den har en karakter, der kan udfordre vores traditionelle opfattelse af begreber som krig mellem stater, afskrækkelsespolitik og definitionen af angreb i militær forstand.

Cyberstrategi udfordrer ved sin karakter ansvarsfordelingen i forhold til forsvaret af Danmark, der tillægges nye dimensioner i relation til cyberspace. Er det et anliggende for For­svarsministeriet, eller er det nødvendigt med en bredere ansvarsfordeling, som igen kan afføde behov for koordineret planlægning? Hvornår er et cyber-angreb et angreb af en fremmed magt på dansk territorium og dermed et anliggende for forsvaret og Forsvarets Efterret­ningstjeneste (FE), og hvornår er det en kriminel handling, som er et anliggende for politiet og Politiets Efterret­ningstjeneste (PET)? Er vitale danske interesser truet?

Der er i dansk politik ikke tradition for at italesætte strategier for sikkerhedspolitikken. Det kommer tydeligst til udtryk ved fraværet af en national sikkerhedsstrategi. [6] Sammen­holdt med teorier om strategiformulering og strategisk planlægning synes det derfor sand­synligt,[7] at den samlede indsats risikerer både at efterlade huller og duplikere indsats­om­rå­der, eftersom arbejdet ikke foregår med et fælles, politisk defineret udgangspunkt – eller rettes mod en fælles vision.

At en stat inden for et bestemt område ikke eksplicit italesætter og/eller rammesætter tiltag som en eksplicit strategi behøver imidlertid ikke at betyde, at der ikke i praksis udar­bej­des en strategi. Essensen af en strategi kan ses som en proces, der oversætter politiske visioner til opnåelige mål ved at anvende de midler, der er til rådighed på en brug­bar måde.[8] Således er der en række tiltag på vej i Forsvarsministeriet og Forsvarskom­mandoen (FKO), [9] og der eksisterer allerede en række tiltag i Ministeriet for Videnskab, Teknologi og Udvikling (Videnskabs­mini­ste­riet), der samlet kan betragtes som en strategi, uden at initiativerne er italesat som en sammenhængende strategi.

På trods af at cyberstrategi har fået øget bevågenhed, kan det diskuteres, om emnet fremstår som vitalt for danske interesser. Der kan argumenteres for, at de vitale danske interesser fastsættes på politisk niveau, herunder af regeringen og Folketinget, og at det politiske niveau agerer ud fra befolkningens opfattelse af, hvad der opfattes som vitalt. Cyber­trusler mod Danmark kan i befolkningens øjne være ret diffust og dermed vanskeligt at tage alvorligt som sikkerhedspolitisk centralt. Det kan derfor være en udfordring dels at finde den fornødne legitimitet i befolkningen og dels at oparbejde den fornødne motivation hos underlagte myndigheder, der i praksis skal indfri de politisk fastsatte mål på området.

Hvis cybertrusler ikke opfattes som centrale i befolkningen, og cyberdefence dermed ikke opfattes som en vital dansk interesse, kan det få den selvforstærkende effekt, at der ofres mindre politisk fokus på emnet. Det kan bl.a. betyde, at tiltag som dem, der blev be­slut­tet på NATO-topmødet i Lissabon, i højere grad iværksættes af em­beds­værket end af politikerne. Det kan igen medføre svigtende legitimitet af de iværksatte tiltag og udfordre de implementeringsstrukturer, der skal omsætte tiltagene til konkrete handlinger.

Derfor er det relevant at undersøge hvilke kapaciteter og implementeringsstrukturer de øvre statslige myn­digheder benytter sig af i arbejdet med cyberstrategi, samt med hvil­ken legitimitet det foregår. Formålet med analysen er at pege på, hvilke huller eller over­lap­pende indsatsområder der kan være i strategiudviklingen. På grund af den trans­na­tio­na­le karakter af cyberdefence er det nødvendigt at undersøge såvel nationale som inter­na­tio­nale forhold.

Da emnerne cyber og cyberdefence er relativt nye, kan der være en tendens til, at be­gre­berne på området bruges i flæng og uden øje for, hvor der er overlap eller mod­stri­dende anvendelser. I denne artikel defineres begreberne som følger: Cyberspace anven­des i betydningen det elektroniske medium af computernetværk, hvori online kommunika­tion foregår, hvilket er en amerikansk ordbogsdefinition. [10] Begrebet Computer Netværk Opera­tioner (CNO) anvendes omkring de egentlige militære kapaciteter til gennemførelse af defensive, informationsind­hen­tende/informationsudnyttende og offensive militære ope­ra­tio­ner i cyberspace.[11] Cyberdefence som begreb anvendes i betydningen sikker­hedsap­plika­tioner til beskyttelse af infrastrukturen for computer­informa­­tions­sys­te­mer mod cyber-angreb.[12]

Kapaciteter

I Danmark er de statslige kapaciteter inden for cyberdefence domineret af to sektorer:[13] Den militære sektor, hvor femårige forsvarsforlig angiver den politiske vision på området[14] og NATO, der løbende udvikler politiske visioner for området.[15] Den anden sektor er den civile, hvor danske og EU-politiske visioner løbende skaber arbejde til processen med at omsætte idealistiske mål til strategier.[16]

I feltet cyberstrategi ophæves de traditionelle grænser mellem den civile og den mil­itære sektor,[17] fordi der kan ske angreb direkte på vitale, civile danske interesser og institutioner, uden at militæret har været varslet eller indsat. Det betyder, at der er behov for ikke-militære kapaciteter inden for cyberdefence, hvis ikke militæret skal forestå den daglige beskyttelse af den civile sektor. Det taler for, at de generelle ressourcer, der er til rådighed i de øverste statslige myndigheder, skal tildeles både den militære og den civile sektor.

Det forhold afspejles i den nuværende overordnede opdeling af de økonomiske res­sourcer på statsbudgettet, der danner det økonomiske grundlag for statens virksomhed.[18] Udtrykt ved finansloven tildeler statsbudgettet økonomiske ressourcer til cyberdefence gennem bevillinger til henholdsvis Forsvarsministeriet og Videnskabs­mini­steriet.[19]

Når det på statsligt niveau skal afgøres, om der er tilstrækkelige generelle kapaciteter til rådighed for planlægning og implementering af cyberdefence, er det nødvendigt at et samlet behov kan opgøres eller anslås. I fraværet af en fælles national policy for cyber­de­fence bliver det samlede behov lig med summen af de to sektorers opgjorte behov hver for sig. Det giver risiko for, at der tildeles for mange ressourcer til cyberdefence, fordi tilsva­rende kapaciteter kan findes to steder, og fordi de samme vidensressourcer genereres i begge sektorer, frem for at komplementære ressourcer udvikles under hensyntagen til, at cybertrusler går på tværs af sektorer.

Den politisk stillede opgave til den militære sektor anviser, at der inden for Forsvars­ministeriets område skal opbygges en Computer Network Operations (CNO)-kapacitet med henblik på at forsvare egen brug af og forhindre modstanderes udnyttelse af cyberspace.[20] De militære kapaciteter, der afsættes til den stillede opgave, består dels af et Military Com­puter Emergency Response Team (MilCERT) etableret under FE i perioden 2010-2014.[21] MilCERT har til opgave at indsamle informationer om hændelser, der har speciel interesse for sikkerheden i koncernens informationssystemer. MilCERT skal bearbejde og videreformidle informationer til koncernens myndigheder med henblik på at advare mod potentielle trusler samt at støtte koncernens myndigheder i undersøgelse af eventuelle uregelmæssigheder på koncernens informationssystemer, der har sikkerhedsmæssig ka­rak­ter.[22] Desuden har MilCERT en kapacitet til rådighed, der kan gennemføre CNO med henblik på at gennemføre militære operationer i cyberspace i sammenhæng med de øvri­ge militære operationer.[23]

Den politisk stillede opgave til den civile sektor løses af den civile pendant til MilCERT, Governmental Computer Emergency Response Team (GovCERT). GovCERT blev oprettet i IT- og Telestyrelsen under Videnskabsministeriet i 2009 på baggrund af en regeringsbe­slut­ning som en statslig varslingstjeneste for internettrusler.[24] Formålet med GovCERT er, at staten får overblik over trusler og sårbarheder i tjenester, net og systemer relateret til internettet. Endvidere skal GovCERT løbende vurdere det IT-sikkerhedsmæssige risikobil­lede for statens anvendelse af internettet og varsle myndigheder om internetbaserede hæn­delser og trusler.[25]

Vægtningen af de stillede opgaver synes derved balanceret mellem den militære og ci­vile sektor, hvor begge opstiller CERT, og den militære sektor desuden skal udvikle kapa­ci­tet til CNO.

Der synes at være stort sammenfald i GovCERTs og MilCERTs opgaveportefølje. Overlappet kunne indikere, at de tildelte ressourcer kunne prioriteres og vægtes bedre ved en sammenlægning eller fælles placering af de to agenturer med henblik på at opnå syner­gi ved samarbejde og nedlægge kapaciteter, der ikke udnyttes eller findes i flere sektorer. Da CNO-kapaciteterne er en del af cyberdefence, men samtidig omfatter de rent militære områder vedrørende informationsudnyttende og offensive operationer, der ikke er en del af den civile kapacitet, favner Forsvarsministeriet bredere end Videnskabsmini­steriet inden for cyberdefence. Det kan samlet tale for, at kapaciteter til cyberdefence samles under Forsvarsministeriets område, da det vil give mulighed for en enklere og lettere gennemskuelig vægtning af de tildelte ressourcer inden for cyberdefence.

Der er tiltag i Danmark, der indikerer, at man fra politisk hold har forståelse for de særlige karakteristika ved cyberdefence, der giver behov for indgriben på tværs af sektorer. Det fremgår blandt andet af den opgave, der er blevet tildelt den militære sektor. Det fremgår af Forsvarsforliget 2010-14, at en cyber-kapacitet skal have evnen til at samarbejde med samfundets øvrige kapaciteter på dette område og med tilsvarende kapaciteter i andre lande.[26] Endvidere er IT- og Telestyrelsen oprettet under Statens IT-råd Denne institution har til formål at sætte dagsordenen for en offensiv anvendelse af IT i den offentlige sektor. Rådets medlemmer repræsenterer alle danske ministerier og har direktøren for IT- og Telestyrelsen som formand.[27] Det betyder, at der i form af Statens IT-råd eksisterer en koordinerende kapacitet, der har vidensressourcer fra samtlige ministerier og udfylder en rådgivende rolle i forhold til regeringen.

Flere vesteuropæiske stater har opbygget kapaciteter i cyberdefence, der er underlagt én myndighed. I Norge hører cyberdefence under Nasjonal Sikkerhetsmyndighet. Denne myn­dighed er igen underlagt det norske forsvarsministerium og rapporterer til justits- og politiministeriet vedrørende civile opgaver og til forsvarsministeriet vedrørende militære opgaver.[28] I Frankrig er der oprettet en national myndighed til cyberdefence,[29] som vare­tager både civile og militære opgaver.[30] Det giver mulighed for udarbejdelse af en samlet poli­cy og en samlet opgørelse af erkendte eller anslåede behov for generel ressour­ce­til­deling. Blev en tilsvarende opbygning etableret i Danmark, synes det sandsynligt, at koor­di­nationen og samordningen af indsatsen ville blive styrket. Derved ville problemet med overlappende kapaciteter og vidensressourcer mindskes.

Implementeringsstrukturer

Ser vi på det internationale niveau, indgår Danmark aktivt og konstruktivt i udviklingen af den fælles udenrigs- og sikkerhedspolitik i EU. EU fungerer som en støtte for Danmarks omsættelse af mål for cyberdefence til fælles handling i samarbejde med dets allierede i NATO.[31] Inden for rammerne af Europarådet har Danmark allerede i 2005 ratificeret Kon­ven­tionen om cyber-kriminalitet og er dermed med til at implementere de cyber-tiltag, som staten har tiltrådt.[32] FN’s Generalforsamling har siden 2000 vedtaget fem resolutioner, der omhandler cyber-sikkerhed.[33] Gennem dansk medlemskab og tiltræden til resolutio­ner­ne har Danmark medvirket til at imple­men­tere tiltag, der kan støtte statens ønsker inden for cyberdefence.

Under FN findes Den Internationale Telekommunikationsunion (ITU), som har vedtaget foreløbig otte resolutioner, som relaterer sig til cyber-sikkerhed, og som Danmark via sine seks medlemmer har indflydelse på.[34]

The Cybercrime Convention Committee har eksisteret under Europarådet siden 2004 og har i alt fem medlemmer, der vælges årligt, inklusiv formand og viceformand.[35] Dens konvention er den eneste bindende internationale aftale vedrørende cyber-kriminalitet og sy­nes derfor at være med til at påvirke, hvilken retning det internationale samfund bevæger sig i på cyberdefence området.[36] Danmark har endnu ikke haft et medlem i komitéen.[37] Det indikerer, at Danmark sandsynligvis vil kunne opnå større legitimitet i og en mere direkte anvendelse af komitéen ved aktivt at søge medlemskab af den.

I NATO har Danmark gennem sit medlemskab medvirket til at implementere blandt andet NATO policy vedrørende cyberdefence.[38] For eksempel afspejles prioriteringen i valg af implementeringsstrukturer ved det igangværende arbejde med opbygning af CNO-kapa­citeter, som netop blev vedtaget på NATO topmødet i Lissabon. Én NATO implemen­te­rings­struk­tur er dog bevidst fravalgt. Danmark er ikke med i NATO Cooperative Cyber Defence Centre of Excellence, der er ét af NATO’s i alt ni Centers of Excellence.[39] Disse centre er oprettet med henblik på at forbedre kapaciteter, samarbejde og informationsdeling mellem NATO, NATO-lande og NATO-partnere inden for cyberdefence.[40] Her synes det danske strategiske samarbejde med USA og Storbritannien, der ligesom Danmark står uden for dette forum, at blive prioriteret højere end samarbejdet inden for NATO, som mini­mum indtil centeret har skabt resultater. Når centeret har demonstreret at det kan levere va­ren, er der mulighed for at Danmark udvider paletten af implementerings­værk­tø­jer i NATO til også at omfatte dette center.

Idet Danmark har mulighed for at øve indflydelse gennem internationale implemente­rings­kanaler, synes det formålstjenligt, at strukturerne påvirkes i en fælles retning. Når strategi inden for cyberdefence udvikles inden for flere ministerielle områder, bliver det van­skeligere at koordinere en fælles retning på internationalt plan, frem for hvis strate­gi­ud­viklingen var samlet under én myndighed. I det efterfølgende undersøges de væsent­lig­ste strukturer under de overordnede organisationer og ministerier:

Ser vi på det nationale niveau, anvendes Videnskabsministeriets IT- og Telestyrelse som den primære struktur for implementering af tiltag inden for cyberdefence i den civile sek­tor. Under styrelsen eksisterer der en række fora, der tager sig af forskellige dele af cyberdefence.[41] En anden væsentlig national implementeringsstruktur er det nationale bered­skab. Relateret til cyberdefence aktiveres denne struktur først i tilfælde af større IT- og telehændelser, men da beredskabet periodevist øves ud fra relevante trusler, synes det tydeligt at medvirke til implementering af tiltag inden for cyberspace, der afprøves under øvelse og videreudvikles på baggrund af erfarin­ger herfra.[42]

Når større IT- og telehændelser indtræffer, koordinerer repræsentanter fra GovCERT, FE og PET snitfladerne mellem myndigheders ansvarsområder og tager stilling til, om hæn­del­sen kan håndteres af den enkelte myndighed gennem et samarbejde mellem de tre myndigheder, eller om hændelsen skal løftes til Den Nationale Operative Stab (NOST) ni­veau.[43]

NOST har faste medlemmer fra Rigspolitiet, PET, FKO, FE, Beredskabsstyrelsen, Sund­heds­styrelsen og Uden­rigsmi­nisteriet.[44] Staben har til opgave at skabe overblik over en given situation med henblik på at tilvejebringe et relevant beslutningsgrundlag for de sek­tor­ansvarlige og skabe grundlag for den fornødne koordination og prio­ritering af både opga­veløsning og ressourcer.[45] Repræsentanter fra andre myndigheder kan inddrages i grup­pen ef­ter behov.[46]

Beredskabet bygger på en all-hazard-tilgang, hvor ét beredskab skal kunne håndtere typer af hændelser,[47] og er dermed også relateret til cyberdefence. Det peger i retning af, at implementeringen af tiltag på cyberdefence-området ville styrkes såfremt IT- og Tele­sty­rel­sen blev en del af NOSTs faste stab, da styrelsen er pålagt det overordnede IT-ansvar i Danmark og står for GovCERT. De centrale opgaver der varetages af styrelsen peger på, at den er en relevant myndighed at inddrage i hændelser med nationalt omfang.

Under Videnskabsministeriet arbejdes der således specifikt med strategiudvikling for IT, der er en del af den samlede cyberstrategi. Det indikerer, at der inden for cyberdefence anvendes implementeringsstrukturer, der bidrager til at legitimere opbygningen af langsig­tet strategisk planlægning. Derfor synes der at være voksende konsensus om, at en sam­men­hængende cyberstrategi er en forudsætning for at udnytte statens kapaciteter opti­malt.

Samlet taler antallet og spændvidden af nationale implementeringsstrukturer for, at der er et relativt robust grundlag for, at statens tiltag inden for cyberdefence løbende kan im­plementeres i de relevante dele af det civile samfund. Det kan eksempelvis være i stats­ad­ministrationen, energiinfrastrukturen og sygehusvæsenet, hvor der er præcedens for en så­dan fremgangsmåde.

I den militære sektor anvender Forsvarsministeriet primært FKO og FE til at imple­men­tere de overordnede strategiske tiltag inden for cyberdefence. FKO har eksempelvis i 2011 udgivet Bestemmelser for Den militære Sikkerhedstjeneste.[48] De indeholder retningslinjer for informationssikkerheden generelt og specifikt for Military Computer Emergency Re­spon­se Team (MilCERT),[49] som under FE’s ledelse varetager cyberdefence i relation til de systemer, som bruges i den hjemlige eksisterende struktur.[50]

Legitimitet

I det teoretiske koncept som er en del af undervisningen på Forsvarsakademiet handler legitimitet på statsligt niveau om at vinde opbakning til den politisk ramme for et policy­område. I dette tilfælde er policyområdet cyberdefence, hvorfor det bliver relevant at iden­ti­ficere partnere, der støtter dansk policy samt de potentielle modstandere, der kan for­hin­dre Danmark i at nå sine mål med cyberdefence.[51]

Gennem lovgivning er der givet retningslinjer for, hvordan ansvaret for IT-sikkerhed eller cyberdefence er fordelt. Hermed er der skitseret et permanent partnerskab. Det en­kel­te ministerium har sektoransvar, og Videnskabsministeriet har det overordnede ansvar på IT-området og dermed for cyberdefence inden for landets grænser.[52]

Det betyder, at der imellem samtlige ministerier er et regelbestemt gensidigt afhæn­gig­hedsforhold. Det kan bidrage til legitimitet både internt og i forhold til det øvrige offent­lige Danmark, fordi de offentlige myndigheder går ensartet ind i tiltag vedrørende IT/cy­ber­space.

På det tværministerielle plan, som synes at være en vigtig faktor i den interne legitimi­tet i et felt, hvis karakter griber ind i samfundet på tværs af sektorer, har Danmark tradi­tion for tværministerielle arbejdsgrupper og råd. Disse nedsættes, når sager har betydning for flere dele af statsadministrationen.[53]

Nationalt er legitimitet i praksis søgt etableret og øget, dels ved at indgå samarbejde med såvel relevante statslige myndigheder som danske teleoperatører samt udvalgte leve­ran­dører af informations- og kom­munika­tions­teknologi, og dels ved at skabe stor åbenhed omkring iværksatte tiltag. GovCERT har egen hjemmeside med beskrivelser af såvel lovmæssig baggrund for GovCERT som overordnet budget samt vejledninger til brug pri­mært for statslige institutioner, men som er tilgængelige for alle interesserede.[54] IT- og Tele­styrelsen indbyder til borgermøder, når CERT-tiltag skønnes at have den gennerelle offentligheds interesse, eksempelvis i forbindelse med høring af et lovudkast vedrørende behandling af personoplysninger i den statslige varslingstjeneste for internettrusler, og mø­derne suppleres med pressemeddelelser.[55]

I den militære sektor bliver der måske ikke indkaldt til borgermøder i samme stil som i IT- og Telestyrelsen, men store dele af beslutningsgrundlaget for de militære arbejder er offentligt tilgængelige. Det gælder naturligvis forsvarsforligsteksten, men også Bestem­mel­ser for Den militære Sikkerhedstjeneste, der blandt andet detaljeret beskriver MilCERT og kommunikationssikkerhed generelt,[56] samt Forsvarsministeriets IKT-strategi 2008-2011. For dele af CNO-kapaciteternes vedkommende synes det naturligt, at mindre information er til rådighed, da der er tale om militære kapaciteter, der også kan anvendes offensivt og informationsudnyttende og derfor ikke kan udstilles offentligt, da modstandere i cyber­spa­ce derved kan beskytte sig mod sådanne tiltag.

I forhold til den nationale legitimitet kan der være modstandere af de statslige mål med cyberdefence i form af repræsentanter fra ikke-statslige myndigheder, der kan være utilfredse med omfanget eller typen af statsligt cyberdefence. Et sådant eksempel er kritik­ken fra formanden for Rådet for større IT-sikkerhed i 2009 af GovCERT,[57] hvor han i pres­sen kritiserede, at GovCERT alene beskytter statslige instanser og dermed ikke kom­muner og regioner.[58] Det synes mindre sandsynligt, at den type modstandere kan hindre staten i at nå målene med strategisk planlægning, men de kan potentielt reducere den legitimitet, som staten måtte have opnået på området. Det peger i retning af, at der i et land som Dan­mark, hvor der synes at være relativ stor offentlig debat, kan være behov for til­sva­rende stor åbenhed omkring tiltag i den strategiske planlægning af cyberdefence. Dette fordi åbenhed og beredvillig deling af information om beslutningsgrundlag sandsynligvis kan reducere kritikken i den offentlige debat og derved understøtte legitimiteten.

Internationalt lægger Danmark sig i den civile sektor naturligt op ad sine allierede på den internationale scene, som for eksempel FN, EU og Europarådet. Her er fokus på cyber­kri­minalitet, og dermed bygger på den op­fat­telse, at fjenden er den eller dem, der begår handlinger mod fortroligheden og integriteten af nationers compu­ter­systemer.[59]

Koblingen mellem international og national legitimitet kan blandt andet ske gennem de konventioner, Dan­mark tiltræder, og de love, forordninger og cirkulærer, som Danmark i relation til EU-medlemsskabet er forpligtet til at implementere nationalt.[60] I 2010 hidrørte 50-60 % af alle love og forordninger, der blev vedtaget i Danmark, fra EU.[61] Dermed synes det sandsynligt, at kommende love og forordninger inden for cyberdefence, der vedtages i EU og har indflydelse på Danmark, vil have relativ stor legitimitet på statsligt niveau.

I den militære sektor er partneren naturligt primært NATO, som beskriver fjen­den/mod­standeren i cyberspace bredere til at udgøres af enkeltpersoner eller gruppe­ringer.[62] Der er således i identifikationen ingen skelnen mellem, om fjenden befinder sig i eller uden for staten. Med afsæt i NATO’s nye strategiske koncept er et nyt koncept om NATO’s cyberdefence blevet udviklet og godkendt af medlemmernes forsvarsministre i marts 2011.[63] Ud fra dette koncept forventer NATO at revidere den eksisterende fælles cyber­defence policy frem mod juni 2011.[64] NATO har yderligere anerkendt, at cyber­de­fence har global karakter, idet der i 2008 og 2009 blev oprettet to koordinerende fora,[65] der rækker ud over NATO’s medlemslande og omfatter NATO-partnerlande og internatio­nale organisationer.[66]

Arbejdet med Danmarks CNO-kapacitet i Forsvarsministeriet blev tilsvarende sat i gang i forlængelse af godkendelsen af NATO’s nye strategiske koncept.[67] Med forsvarsmi­ni­strenes godkendelse af NATO-konceptet om cyberdefence synes det sandsynligt, at udviklingen af den danske kapacitet vil tilpasses den reviderede fælles policy. Dermed kan Danmark formentlig opnå relativt stor accept af statens strategiske mål med cyberdefence blandt internationale parlamentarikere, andre stater og deres ministre.[68]

Samlet taler det for, at Danmark har relativt høj legitimitet på det militære cyberfelt både internt i NATO og blandt de stater, der er partnere med NATO, samt blandt de stater, der som minimum respekterer NATO. Det skyldes, at Danmark opfattes som et mønster­med­lem af NATO.[69]

Konklusion og perspektivering

Efter at have undersøgt de kapaciteter og implementeringsstrukturer som Danmark allerede anvender samt den legitimitet, der understøtter cyberdefence, kan det konklu­deres, at de politiske visioner rent faktisk omsættes til mål. Endvidere vurderes det at de midler, der er til rådighed, anvendes på en brugbar måde. Dermed har Danmark i praksis en cyberstrategi.

Den danske tradition for både uofficielt og officielt samarbejde på tværs af myndig­heder synes at medvirke til, at Danmark er på vej mod at opbygge en cyberstrategi, der tager højde for den særlige transnationale karakter, som trusler i cyberspace har.

Undersøgelsen af de nævnte områder peger dog samtidig på, at manglen på en nedskrevet national cyberstrategi betyder, at områder, der er udpeget som centrale for cybersikkerhed, ikke varetages, og samtidig at nogle indsatsområder varetages af flere enheder. Eksempelvis beskyttes regionale og kommunale administrationer fra centralt hold, mens samtlige sektorer på statsligt niveau har egne kapaciteter til at varetage dele af cyberdefence.

De undersøgte forhold indikerer, at antallet og størrelsen af huller og overlappende indsatsområder vil kunne reduceres, såfremt det overordnede ansvar for den strategiske plan­lægning af cyberdefence underlægges én myndighed. Én sådan myndighed kan gen­nem et råd, hvis medlemmer repræsenterer alle statens ministerier, udarbejde policy som grundlag for en fælles cyberstrategi. Det kunne eksempelvis ske ved, at Statens IT-råd under IT- og Telestyrelsen får udvidet sine opgaver til at omfatte rådgivning om og ud­vik­ling af policy for cyberdefence. Med henblik på at forenkle og lette den indbyrdes vægtning og prioritering af opgaver inden for feltet kan kapaciteter til cyberdefence samles under Forsvarsministeriets område. Grundlaget for den nytiltrådte regering peger i retning af en sådan sammenlægning. [70]

Såfremt todelingen af ansvarsfordelingen fastholdes, kunne et skridt til øget eks­per­tise inden for cyberdefence og strategien herfor være, at IT- og Telestyrelsen gøres til fast medlem af NOST.

Undersøgelsen peger i retning af, at Danmark som stat har et relativt stort handlerum for at agere i strategisk planlægning af cyberdefence, og at staten såvel nationalt som internationalt anvender en bred vifte af implementeringsstrukturer. Det betyder, at Dan­mark har gode forudsætninger for at kunne styrke feltet cyberdefence. Dog understreger ka­rakteren af cybertrusler, at det ikke er noget Danmark som stat kan håndtere alene, hvor­for Danmarks relativt store handlerum kan udnyttes til gennem stærke internationale part­nerskaber at opnå statens mål inden for cyberdefence.

Nationalt har og udvirker Danmark en cyberstrategi, også selvom den ikke er nedskrevet i ét dokument. Internationalt deltager Danmark i gennemførelsen af en række tiltag inden for cyberdefence, men her kan fraværet af overordnet nedskrevet cyber­stra­tegi vanskeliggøre det internationale samarbejde, fordi det fremstår uklart hvilke mål Dan­mark som stat har på området.

PDF med originaludgaven af Militært Tidskrift hvor denne artikel er fra:

militaert_tidsskrift_140.aargang_nr.4_2011.pdf

_______________________________

[1] Grundlaget for artiklen er forfatterens speciale, skrevet på Stabskursus 2010-11.

[2] Major Carsten Fugleholm. Officer i hærens siden 1998, indledningsvis som infanterist ved Gardehuserregimentet. Er senere uddannet jægersoldat. Har efterfølgende gjort tjeneste ved Forsvarets Efterretningstjeneste samt Hærens Officersskole. Har gjort international tjeneste i Kosovo og Irak. Efter gennemført Operations og Føringsuddannelse samt Stabskursus på Forsvarsakademiet arbejder nu i Specialoperationselementet i Forsvarsstaben.

[3] NATO New Concept, Strategic Concept For the Defence and Security of The Members of the North Atlantic Treaty Organisation, NATO Headquarters, 2010, s. 5.

[4] Et angreb, der skete i december 2010, og dermed efter topmødet i Lissabon.

[5] Peter Gottlieb, Cybersecurity: A Primer, American Intelligence Journal, National Military Intelligence Association, Arizona, USA, 2010, s. 18.

[6] Henrik Ø. Breitenbauch, Kompas og kontrakt. For en dansk sikkerhedsstrategi, Dansk Institut for Militære Studier, København, 2008, s. 6.

[7] Liselotte Odgaard og Villiam Krüger-Klausen (O&K), Preparing for the Imperfect World: A Proposal for How to Carry Out Strategic Planning, Forsvarsakademiet, København, 2011.

[8] Ibid, s. 7.

[9] Blandt andet arbejde med CNO, jf. Forsvarsforlig 2010-14, og Udkast til lovforslag om behandling af personoplysninger i den statslige varslingstjeneste for internettrusler (GovCERT).

[10] The American Heritage® Dictionary of the English Language, Fourth Edition copyright ©2000 by Houghton Mifflin Company. Updated in 2009.

[11] Rapport fra analysearbejdet vedrørende Computer Network Operations. Forsvarets Materieltjeneste, 2008.

[12] NATO, Policy on Cyber Defence, C-M(2007)0120. EU: Tilsvarende ordlyd, men kaldet ”Critical Information Infrastructure Protection”, Green Paper on A European Programme For Critical Infrastructure Protection, 2005.

[13] Forsvarskommandonotat (FKO Notat), Beskrivelse af de aktuelle eller kommende IKT-relaterede aktiviteter og initiativer på Forsvarsministeriets ministerområde, som er særligt relevante i relation til Højhastighedskomiteens arbejde, Forsvarskommandoen, København, 2009, s. 1.

[14] Forligstekst, Forsvarsforlig2010-2014, Folketinget, København, 2009, s. 9.

[15] NATO New Concept, 2010, s. 5.

[16] Dansk eksempel: Lov om den statslige varslingstjeneste for internettruslers behandling af personoplysninger, 11. februar 2011. EU eksempel: EU-Kommissionens meddelelse ”Beskyttelse mod storstilede cyber-angreb og sammenbrud: øget beredskab, sikkerhed og robusthed” af 30. marts 2009.

[17] Gottlieb 2010, s. 18.

[18] Grundloven § 45.

[19] Finansloven 2010, pkt. 12.21.01 og 19.11.04.

[20] Forligsteksten 2009, s. 9.

[21] FKO Notat 2009, s. 1.

[22] Forsvarskommandobestemmelse 358-1 (FKOBST), Bestemmelser for den militære sikkerhedstjeneste Elektronisk version 2.39.00, Forsvarskommandoen, København, 2011, s. 233.

[23] FKO Notat 2009, s. 1-2.

[24] IT- og Telestyrelsen, GovCERT Grundlag, indledende afgrænsning og operationalisering, IT- og telestyrelsen, København, 209, s. 3.

[25] Ibid.

[26] Forligsteksten 2009, s. 9.

[27] http://www.itst.dk/it-arkitektur-og-standarder/it-styring/rad-og-fora/st.... 22. august 2011.

[28] https://www.nsm.stat.no/Om-NSM/Organisasjon. 22. august 2011.

[29] Agence Nationale de la Sécurité des Systèmes d’Information.

[30] GovCERT Faktablad på https://www.govcert.dk. 22. august 2011.

[31] Gorm Rye Olsen og Jess Pilegaard, Småstater og international indflydelse, Danmark og EU’s fælles sikkerheds- og forsvarspolitik, Dansk Institut for Internationale Studier, København, 2005, s.6.

[32] Convention on Cybercrime CETS No.: 185, 2001.

[33] Resoultioner: 55/63(2000), 56/121(2002), 57/239(2002), 58/199(2004), 64/211(2009).

[34] http://www.itu.int/cybersecurity. 23. august 2011.

[35] Jf. Information Document Concerning the Cybercrime Convention Committee, s. 4.

[36] Convention on Cybercrime Committee, 2010, s. 1.

[37] Jf. Mødereferater fra de årlige møder i komiteen, 2006-10.

[38] C-M(2007)0120, NATO Policy on Cyber Defence.

[39] http://www.nato.int/docu/update/2008/05-may/e0514a.html. 23. august 2011.

[40] http://www.ccdcoe.org/11.html. 23. august 2011.

[41] Eksempelvis IT-sikkerhedskommitén, Beredskabsforum for IT og Tele samt Statens informationssikkerhedsforum.

[42] Jf. Redegørelse fra regeringen om indsatsen mod terrorisme, 2008, s. 12.

[43] Interview med chef for dansk GovCERT Thomas Kristmar.

[44] http://www.kriseinfo.dk. 23. august 2011.

[45] Terrorberedskab, Det danske samfunds indsats og beredskab mod terror, Statsministeriet, København, 2005, s. 5.

[46] http://www.kriseinfo.dk. 23. august 2011.

[47] Beredskabsstyrelsens Fact Finding Mission i forbindelse med The Ontario-US Power Outage 14. august 2003, s. 15.

[48] FKOBST 2011: 1-526.

[49] FKOBST 2011: 211-226.

[50] FKO Notat 2009: 1.

[51] O&K, 2011.

[52] Bredskabsloven, LBK nr. 660 af 10/06/2009 Gældende (Beredskabsloven), Folketinget, København, 2009, kap. 5.

[53] Eksempelvis Den tværministerielle økonomiske arbejdsgruppe omkring kampfly, jf. Økonomi- og erhvervsministerens redegørelse til beretning nr. 9/2008.

[54] http://www.govcert.dk. 23. august 2011.

[55] http://www.govcert.dk. 23. august 2011.

[56] FKOBST, 2011, s. 211-233.

[57] Et råd nedsat i 1998 af forskningsministeren med henblik på at medvirke til at både national og international IT-brug kan ske sikkert, jf. http://www.rfsits.dk. 23. august 2011.

[58] Bragt i internetmagasinet Version2.dk, den 28. maj 2009.

[59] Cyberkonvention, Convention on Cybercrime, European Treaty Series - No. 185, Council of Europe, Budapest, 2001, s. 4.

[60] Jf. Lov nr. 447 af 11/10/1972, Lov om Danmarks tiltrædelse af De europæiske Fællesskaber, § 2 og 3.

[61] Jacob Mchangama, EU-rettens stigende indflydelse på Danmarks demokratiske styrefor, Center for Politiske Studier, København, 2011, s. 1.

[62] Risikovurdering, Efterretningsmæssig Risikovurdering 2010, Forsvarets Efterretningstjeneste, København, 2010, 51.

[63] http://www.nato.int/cps/en/natolive/topics_49193.htm. 22. august 2011.

[64] http://www.nato.int/cps/en/natolive/topics_49193.htm. 22. august 2011.

[65] Council Guidelines for Cooperation on Cyber Defence with Partners and International Organisations og Framework for Cooperation on Cyber Defence between NATO and Partner Nations.

[66] http://www.nato.int/cps/en/natolive/topics_49193.htm. 22. august 2011.

[67] Kommissorium for Etablering af en CNO-kapacitet inden for Forsvarsministeriets område, af 27. januar 2011.

[68] O&K, 2011, s. 13.

[69] Jens Ringsmose, Danmarks NATO-omdømme, Fra Prügelknabe til duks, Dansk Institut for Militære Studier, København, 2007, s. 2.

[70] Regeringsgrundlag, Et Danmark der står sammen, Statsministeriet, København, 2011, s.40.
 

Litteraturliste

Del: