Carsten Fugleholm,2 major, Forsvarsstaben.
Hvorfor er det interessant at beskæftige sig med cyberstrategi i Danmark, når der ikke for nærværende eksisterer en dansk strategi for området? Der er mange grunde til, at det er vigtigt at undersøge, om Danmark har brug for en sådan strategi, og i hvilket omfang der allerede eksisterer en strategi, selvom den ikke italesættes som sådan. Området er nyt og repræsenterer en del af dansk sikkerhedspolitik, der får stadigt større bevågenhed og relevans i flere fora. Inden for det sidste år er det blandt andet blevet fremhævet som et fokusområde ved NATO-topmødet i Lissabon og i det efterfølgende nye koncept for NATO. 3 Et fokus, der blandt andet tager sit afsæt i de angreb i cyberspace, som Estland, Georgien og senest Frankrig har været udsat for. 4 Cyberdefence foregår i et globalt domæne, cyberspace, uden de normale fysiske begrænsninger og regler bestemt af tid, rum og territorialgrænser. 5 Danmark agerer som statslig aktør med afsæt i Danmarks fysiske placering og afgrænsning. På samme måde agerer internationale organisationer som NATO og EU ud fra internationalt anerkendte grænser. Cyberspace åbner nye muligheder ved at bryde med disse fysiske grænser. Derved udfordrer cyberspace begreber som det euro-atlantiske område og suveræne stater. Derved er udvikling af en dansk cyberstrategi ikke kun interessant, fordi den er i sin vorden, men også fordi den har en karakter, der kan udfordre vores traditionelle opfattelse af begreber som krig mellem stater, afskrækkelsespolitik og definitionen af angreb i militær forstand. Cyberstrategi udfordrer ved sin karakter ansvarsfordelingen i forhold til forsvaret af Danmark, der tillægges nye dimensioner i relation til cyberspace. Er det et anliggende for Forsvarsministeriet, eller er det nødvendigt med en bredere ansvarsfordeling, som igen kan afføde behov for koordineret planlægning? Hvornår er et cyber-angreb et angreb af en fremmed magt på dansk territorium og dermed et anliggende for forsvaret og Forsvarets Efterretningstjeneste (FE), og hvornår er det en kriminel handling, som er et anliggende for politiet og Politiets Efterretningstjeneste (PET)? Er vitale danske interesser truet? Der er i dansk politik ikke tradition for at italesætte strategier for sikkerhedspolitikken. Det kommer tydeligst til udtryk ved fraværet af en national sikkerhedsstrategi. 6 Sammenholdt med teorier om strategiformulering og strategisk planlægning synes det derfor sand synligt,7 at den samlede indsats risikerer både at efterlade huller og duplikere indsatsområder, eftersom arbejdet ikke foregår med et fælles, politisk defineret udgangspunkt – eller rettes mod en fælles vision. At en stat inden for et bestemt område ikke eksplicit italesætter og/eller rammesætter tiltag som en eksplicit strategi behøver imidlertid ikke at betyde, at der ikke i praksis udarbejdes en strategi. Essensen af en strategi kan ses som en proces, der oversætter politiske visioner til opnåelige mål ved at anvende de midler, der er til rådighed på en brugbar måde.8 Således er der en række tiltag på vej i Forsvarsministeriet og Forsvarskommandoen (FKO), 9 og der eksisterer allerede en række tiltag i Ministeriet for Videnskab, Teknologi og Udvikling (Videnskabsministeriet), der samlet kan betragtes som en strategi, uden at initiativerne er italesat som en sammenhængende strategi. På trods af at cyberstrategi har fået øget bevågenhed, kan det diskuteres, om emnet fremstår som vitalt for danske interesser. Der kan argumenteres for, at de vitale danske interesser fastsættes på politisk niveau, herunder af regeringen og Folketinget, og at det politiske niveau agerer ud fra befolkningens opfattelse af, hvad der opfattes som vitalt. Cybertrusler mod Danmark kan i befolkningens øjne være ret diffust og dermed vanskeligt at tage alvorligt som sikkerhedspolitisk centralt. Det kan derfor være en udfordring dels at finde den fornødne legitimitet i befolkningen og dels at oparbejde den fornødne motivation hos underlagte myndigheder, der i praksis skal indfri de politisk fastsatte mål på området. Hvis cybertrusler ikke opfattes som centrale i befolkningen, og cyberdefence dermed ikke opfattes som en vital dansk interesse, kan det få den selvforstærkende effekt, at der ofres mindre politisk fokus på emnet. Det kan bl.a. betyde, at tiltag som dem, der blev besluttet på NATO-topmødet i Lissabon, i højere grad iværksættes af embedsværket end af politikerne. Det kan igen medføre svigtende legitimitet af de iværksatte tiltag og udfordre de implementeringsstrukturer, der skal omsætte tiltagene til konkrete handlinger. Derfor er det relevant at undersøge hvilke kapaciteter og implementeringsstrukturer de øvre statslige myndigheder benytter sig af i arbejdet med cyberstrategi, samt med hvilken legitimitet det foregår. Formålet med analysen er at pege på, hvilke huller eller overlappende indsatsområder der kan være i strategiudviklingen. På grund af den transnationale karakter af cyberdefence er det nødvendigt at undersøge såvel nationale som internationale forhold. Da emnerne cyber og cyberdefence er relativt nye, kan der være en tendens til, at begreberne på området bruges i flæng og uden øje for, hvor der er overlap eller modstridende anvendelser. I denne artikel defineres begreberne som følger: Cyberspace anvendes i betydningen det elektroniske medium af computernetværk, hvori online kommunikation foregår, hvilket er en amerikansk ordbogsdefinition. 10 Begrebet Computer Netværk Operationer (CNO) anvendes omkring de egentlige militære kapaciteter til gennemførelse af defensive, informationsindhentende/informationsudnyttende og offensive militære operationer i cyberspace.11 Cyberdefence som begreb anvendes i betydningen sikkerhedsapplikationer til beskyttelse af infrastrukturen for computerinformationssystemer mod cyberangreb.12
Kapaciteter
I Danmark er de statslige kapaciteter inden for cyberdefence domineret af to sektorer:13 Den militære sektor, hvor femårige forsvarsforlig angiver den politiske vision på området14 og NATO, der løbende udvikler politiske visioner for området.15 Den anden sektor er den civile, hvor danske og EU-politiske visioner løbende skaber arbejde til processen med at omsætte idealistiske mål til strategier.16 I feltet cyberstrategi ophæves de traditionelle grænser mellem den civile og den militære sektor,17 fordi der kan ske angreb direkte på vitale, civile danske interesser og institutioner, uden at militæret har været varslet eller indsat. Det betyder, at der er behov for ikke-militære kapaciteter inden for cyberdefence, hvis ikke militæret skal forestå den daglige beskyttelse af den civile sektor. Det taler for, at de generelle ressourcer, der er til rådighed i de øverste statslige myndigheder, skal tildeles både den militære og den civile sektor. Det forhold afspejles i den nuværende overordnede opdeling af de økonomiske ressourcer på statsbudgettet, der danner det økonomiske grundlag for statens virksomhed.18 Udtrykt ved finansloven tildeler statsbudgettet økonomiske ressourcer til cyberdefence gennem bevillinger til henholdsvis Forsvarsministeriet og Videnskabsministeriet.19 Når det på statsligt niveau skal afgøres, om der er tilstrækkelige generelle kapaciteter til rådighed for planlægning og implementering af cyberdefence, er det nødvendigt at et samlet behov kan opgøres eller anslås. I fraværet af en fælles national policy for cyberdefence bliver det samlede behov lig med summen af de to sektorers opgjorte behov hver for sig. Det giver risiko for, at der tildeles for mange ressourcer til cyberdefence, fordi tilsvarende kapaciteter kan findes to steder, og fordi de samme vidensressourcer genereres i begge sektorer, frem for at komplementære ressourcer udvikles under hensyntagen til, at cybertrusler går på tværs af sektorer. Den politisk stillede opgave til den militære sektor anviser, at der inden for Forsvarsministeriets område skal opbygges en Computer Network Operations (CNO)-kapacitet med henblik på at forsvare egen brug af og forhindre modstanderes udnyttelse af cyberspace.20 De militære kapaciteter, der afsættes til den stillede opgave, består dels af et Military Computer Emergency Response Team (MilCERT) etableret under FE i perioden 2010-2014.21 MilCERT har til opgave at indsamle informationer om hændelser, der har speciel interesse for sikkerheden i koncernens informationssystemer. MilCERT skal bearbejde og videreformidle informationer til koncernens myndigheder med henblik på at advare mod potentielle trusler samt at støtte koncernens myndigheder i undersøgelse af eventuelle uregelmæssigheder på koncernens informationssystemer, der har sikkerhedsmæssig karakter.22 Desuden har MilCERT en kapacitet til rådighed, der kan gennemføre CNO med henblik på at gennemføre militære operationer i cyberspace i sammenhæng med de øvrige militære operationer.23 Den politisk stillede opgave til den civile sektor løses af den civile pendant til MilCERT, Governmental Computer Emergency Response Team (GovCERT). GovCERT blev oprettet i IT- og Telestyrelsen under Videnskabsministeriet i 2009 på baggrund af en regeringsbeslutning som en statslig varslingstjeneste for internettrusler.24 Formålet med GovCERT er, at staten får overblik over trusler og sårbarheder i tjenester, net og systemer relateret til internettet. Endvidere skal GovCERT løbende vurdere det IT-sikkerhedsmæssige risikobillede for statens anvendelse af internettet og varsle myndigheder om internetbaserede hændelser og trusler.25 Vægtningen af de stillede opgaver synes derved balanceret mellem den militære og civile sektor, hvor begge opstiller CERT, og den militære sektor desuden skal udvikle kapacitet til CNO. Der synes at være stort sammenfald i GovCERTs og MilCERTs opgaveportefølje. Overlappet kunne indikere, at de tildelte ressourcer kunne prioriteres og vægtes bedre ved en sammenlægning eller fælles placering af de to agenturer med henblik på at opnå synergi ved samarbejde og nedlægge kapaciteter, der ikke udnyttes eller findes i flere sektorer. Da CNO-kapaciteterne er en del af cyberdefence, men samtidig omfatter de rent militære områder vedrørende informationsudnyttende og offensive operationer, der ikke er en del af den civile kapacitet, favner Forsvarsministeriet bredere end Videnskabsministeriet inden for cyberdefence. Det kan samlet tale for, at kapaciteter til cyberdefence samles under Forsvarsministeriets område, da det vil give mulighed for en enklere og lettere gennemskuelig vægtning af de tildelte ressourcer inden for cyberdefence. Der er tiltag i Danmark, der indikerer, at man fra politisk hold har forståelse for de særlige karakteristika ved cyberdefence, der giver behov for indgriben på tværs af sektorer. Det fremgår blandt andet af den opgave, der er blevet tildelt den militære sektor. Det fremgår af Forsvarsforliget 2010-14, at en cyber-kapacitet skal have evnen til at samarbejde med samfundets øvrige kapaciteter på dette område og med tilsvarende kapaciteter i andre lande.26 Endvidere er IT- og Telestyrelsen oprettet under Statens IT-råd Denne institution har til formål at sætte dagsordenen for en offensiv anvendelse af IT i den offentlige sektor. Rådets medlemmer repræsenterer alle danske ministerier og har direktøren for IT- og Telestyrelsen som formand.27 Det betyder, at der i form af Statens IT-råd eksisterer en koordinerende kapacitet, der har vidensressourcer fra samtlige ministerier og udfylder en rådgivende rolle i forhold til regeringen. Flere vesteuropæiske stater har opbygget kapaciteter i cyberdefence, der er underlagt én myndighed. I Norge hører cyberdefence under Nasjonal Sikkerhetsmyndighet. Denne myndighed er igen underlagt det norske forsvarsministerium og rapporterer til justits- og politiministeriet vedrørende civile opgaver og til forsvarsministeriet vedrørende militære opgaver.28 I Frankrig er der oprettet en national myndighed til cyberdefence,29 som varetager både civile og militære opgaver.30 Det giver mulighed for udarbejdelse af en samlet policy og en samlet opgørelse af erkendte eller anslåede behov for generel ressourcetildeling. Blev en tilsvarende opbygning etableret i Danmark, synes det sandsynligt, at koordinationen og samordningen af indsatsen ville blive styrket. Derved ville problemet med overlappende kapaciteter og vidensressourcer mindskes.
Implementeringsstrukturer
Ser vi på det internationale niveau, indgår Danmark aktivt og konstruktivt i udviklingen af den fælles udenrigs- og sikkerhedspolitik i EU. EU fungerer som en støtte for Danmarks omsættelse af mål for cyberdefence til fælles handling i samarbejde med dets allierede i NATO.31 Inden for rammerne af Europarådet har Danmark allerede i 2005 ratificeret Konventionen om cyber-kriminalitet og er dermed med til at implementere de cyber-tiltag, som staten har tiltrådt.32 FN’s Generalforsamling har siden 2000 vedtaget fem resolutioner, der omhandler cyber-sikkerhed.33 Gennem dansk medlemskab og tiltræden til resolutionerne har Danmark medvirket til at implementere tiltag, der kan støtte statens ønsker inden for cyberdefence. Under FN findes Den Internationale Telekommunikationsunion (ITU), som har vedtaget foreløbig otte resolutioner, som relaterer sig til cyber-sikkerhed, og som Danmark via sine seks medlemmer har indflydelse på.34 The Cybercrime Convention Committee har eksisteret under Europarådet siden 2004 og har i alt fem medlemmer, der vælges årligt, inklusiv formand og viceformand.35 Dens konvention er den eneste bindende internationale aftale vedrørende cyber-kriminalitet og synes derfor at være med til at påvirke, hvilken retning det internationale samfund bevæger sig i på cyberdefence området.36 Danmark har endnu ikke haft et medlem i komitéen.37 Det indikerer, at Danmark sandsynligvis vil kunne opnå større legitimitet i og en mere direkte anvendelse af komitéen ved aktivt at søge medlemskab af den. I NATO har Danmark gennem sit medlemskab medvirket til at implementere blandt andet NATO policy vedrørende cyberdefence.38 For eksempel afspejles prioriteringen i valg af implementeringsstrukturer ved det igangværende arbejde med opbygning af CNO-kapaciteter, som netop blev vedtaget på NATO topmødet i Lissabon. Én NATO implementeringsstruktur er dog bevidst fravalgt. Danmark er ikke med i NATO Cooperative Cyber Defence Centre of Excellence, der er ét af NATO’s i alt ni Centers of Excellence.39 Disse centre er oprettet med henblik på at forbedre kapaciteter, samarbejde og informationsdeling mellem NATO, NATO-lande og NATO-partnere inden for cyberdefence.40 Her synes det danske strategiske samarbejde med USA og Storbritannien, der ligesom Danmark står uden for dette forum, at blive prioriteret højere end samarbejdet inden for NATO, som minimum indtil centeret har skabt resultater. Når centeret har demonstreret at det kan levere varen, er der mulighed for at Danmark udvider paletten af implementeringsværktøjer i NATO til også at omfatte dette center. Idet Danmark har mulighed for at øve indflydelse gennem internationale implementeringskanaler, synes det formålstjenligt, at strukturerne påvirkes i en fælles retning. Når strategi inden for cyberdefence udvikles inden for flere ministerielle områder, bliver det vanskeligere at koordinere en fælles retning på internationalt plan, frem for hvis strategiudviklingen var samlet under én myndighed. I det efterfølgende undersøges de væsentligste strukturer under de overordnede organisationer og ministerier: Ser vi på det nationale niveau, anvendes Videnskabsministeriets IT- og Telestyrelse som den primære struktur for implementering af tiltag inden for cyberdefence i den civile sektor. Under styrelsen eksisterer der en række fora, der tager sig af forskellige dele af cyberdefence.41 En anden væsentlig national implementeringsstruktur er det nationale beredskab. Relateret til cyberdefence aktiveres denne struktur først i tilfælde af større ITog telehændelser, men da beredskabet periodevist øves ud fra relevante trusler, synes det tydeligt at medvirke til implementering af tiltag inden for cyberspace, der afprøves under øvelse og videreudvikles på baggrund af erfaringer herfra.42 Når større IT- og telehændelser indtræffer, koordinerer repræsentanter fra GovCERT, FE og PET snitfladerne mellem myndigheders ansvarsområder og tager stilling til, om hændelsen kan håndteres af den enkelte myndighed gennem et samarbejde mellem de tre myndigheder, eller om hændelsen skal løftes til Den Nationale Operative Stab (NOST) niveau.43 NOST har faste medlemmer fra Rigspolitiet, PET, FKO, FE, Beredskabsstyrelsen, Sundhedsstyrelsen og Udenrigsministeriet.44 Staben har til opgave at skabe overblik over en given situation med henblik på at tilvejebringe et relevant beslutningsgrundlag for de sektoransvarlige og skabe grundlag for den fornødne koordination og prioritering af både opgaveløsning og ressourcer.45 Repræsentanter fra andre myndigheder kan inddrages i gruppen efter behov.46 Beredskabet bygger på en all-hazard-tilgang, hvor ét beredskab skal kunne håndtere typer af hændelser,47 og er dermed også relateret til cyberdefence. Det peger i retning af, at implementeringen af tiltag på cyberdefence-området ville styrkes såfremt IT- og Telestyrelsen blev en del af NOSTs faste stab, da styrelsen er pålagt det overordnede IT-ansvar i Danmark og står for GovCERT. De centrale opgaver der varetages af styrelsen peger på, at den er en relevant myndighed at inddrage i hændelser med nationalt omfang. Under Videnskabsministeriet arbejdes der således specifikt med strategiudvikling for IT, der er en del af den samlede cyberstrategi. Det indikerer, at der inden for cyberdefence anvendes implementeringsstrukturer, der bidrager til at legitimere opbygningen af langsigtet strategisk planlægning. Derfor synes der at være voksende konsensus om, at en sammenhængende cyberstrategi er en forudsætning for at udnytte statens kapaciteter optimalt. Samlet taler antallet og spændvidden af nationale implementeringsstrukturer for, at der er et relativt robust grundlag for, at statens tiltag inden for cyberdefence løbende kan implementeres i de relevante dele af det civile samfund. Det kan eksempelvis være i statsadministrationen, energiinfrastrukturen og sygehusvæsenet, hvor der er præcedens for en sådan fremgangsmåde. I den militære sektor anvender Forsvarsministeriet primært FKO og FE til at implementere de overordnede strategiske tiltag inden for cyberdefence. FKO har eksempelvis i 2011 udgivet Bestemmelser for Den militære Sikkerhedstjeneste.48 De indeholder retningslinjer for informationssikkerheden generelt og specifikt for Military Computer Emergency Response Team (MilCERT),49 som under FE’s ledelse varetager cyberdefence i relation til de systemer, som bruges i den hjemlige eksisterende struktur.50
Legitimitet
I det teoretiske koncept som er en del af undervisningen på Forsvarsakademiet handler legitimitet på statsligt niveau om at vinde opbakning til den politisk ramme for et policyområde. I dette tilfælde er policyområdet cyberdefence, hvorfor det bliver relevant at identificere partnere, der støtter dansk policy samt de potentielle modstandere, der kan forhindre Danmark i at nå sine mål med cyberdefence.51 Gennem lovgivning er der givet retningslinjer for, hvordan ansvaret for IT-sikkerhed eller cyberdefence er fordelt. Hermed er der skitseret et permanent partnerskab. Det enkelte ministerium har sektoransvar, og Videnskabsministeriet har det overordnede ansvar på IT-området og dermed for cyberdefence inden for landets grænser.52 Det betyder, at der imellem samtlige ministerier er et regelbestemt gensidigt afhængighedsforhold. Det kan bidrage til legitimitet både internt og i forhold til det øvrige offentlige Danmark, fordi de offentlige myndigheder går ensartet ind i tiltag vedrørende IT/cyberspace. På det tværministerielle plan, som synes at være en vigtig faktor i den interne legitimitet i et felt, hvis karakter griber ind i samfundet på tværs af sektorer, har Danmark tradition for tværministerielle arbejdsgrupper og råd. Disse nedsættes, når sager har betydning for flere dele af statsadministrationen.53 Nationalt er legitimitet i praksis søgt etableret og øget, dels ved at indgå samarbejde med såvel relevante statslige myndigheder som danske teleoperatører samt udvalgte leve randører af informations- og kommunikationsteknologi, og dels ved at skabe stor åbenhed omkring iværksatte tiltag. GovCERT har egen hjemmeside med beskrivelser af såvel lovmæssig baggrund for GovCERT som overordnet budget samt vejledninger til brug primært for statslige institutioner, men som er tilgængelige for alle interesserede.54 IT- og Telestyrelsen indbyder til borgermøder, når CERT-tiltag skønnes at have den gennerelle offentligheds interesse, eksempelvis i forbindelse med høring af et lovudkast vedrørende behandling af personoplysninger i den statslige varslingstjeneste for internettrusler, og møderne suppleres med pressemeddelelser.55 I den militære sektor bliver der måske ikke indkaldt til borgermøder i samme stil som i IT- og Telestyrelsen, men store dele af beslutningsgrundlaget for de militære arbejder er offentligt tilgængelige. Det gælder naturligvis forsvarsforligsteksten, men også Bestemmelser for Den militære Sikkerhedstjeneste, der blandt andet detaljeret beskriver MilCERT og kommunikationssikkerhed generelt,56 samt Forsvarsministeriets IKT-strategi 2008-2011. For dele af CNO-kapaciteternes vedkommende synes det naturligt, at mindre information er til rådighed, da der er tale om militære kapaciteter, der også kan anvendes offensivt og informationsudnyttende og derfor ikke kan udstilles offentligt, da modstandere i cyberspace derved kan beskytte sig mod sådanne tiltag. I forhold til den nationale legitimitet kan der være modstandere af de statslige mål med cyberdefence i form af repræsentanter fra ikke-statslige myndigheder, der kan være utilfredse med omfanget eller typen af statsligt cyberdefence. Et sådant eksempel er kritikken fra formanden for Rådet for større IT-sikkerhed i 2009 af GovCERT,57 hvor han i pressen kritiserede, at GovCERT alene beskytter statslige instanser og dermed ikke kommuner og regioner.58 Det synes mindre sandsynligt, at den type modstandere kan hindre staten i at nå målene med strategisk planlægning, men de kan potentielt reducere den legitimitet, som staten måtte have opnået på området. Det peger i retning af, at der i et land som Danmark, hvor der synes at være relativ stor offentlig debat, kan være behov for tilsvarende stor åbenhed omkring tiltag i den strategiske planlægning af cyberdefence. Dette fordi åbenhed og beredvillig deling af information om beslutningsgrundlag sandsynligvis kan reducere kritikken i den offentlige debat og derved understøtte legitimiteten. Internationalt lægger Danmark sig i den civile sektor naturligt op ad sine allierede på den internationale scene, som for eksempel FN, EU og Europarådet. Her er fokus på cyberkriminalitet, og dermed bygger på den opfattelse, at fjenden er den eller dem, der begår handlinger mod fortroligheden og integriteten af nationers computersystemer.59 Koblingen mellem international og national legitimitet kan blandt andet ske gennem de konventioner, Danmark tiltræder, og de love, forordninger og cirkulærer, som Danmark i relation til EU-medlemsskabet er forpligtet til at implementere nationalt.60 I 2010 hidrørte 50-60 % af alle love og forordninger, der blev vedtaget i Danmark, fra EU.61 Dermed synes det sandsynligt, at kommende love og forordninger inden for cyberdefence, der vedtages i EU og har indflydelse på Danmark, vil have relativ stor legitimitet på statsligt niveau. I den militære sektor er partneren naturligt primært NATO, som beskriver fjenden/modstanderen i cyberspace bredere til at udgøres af enkeltpersoner eller grupperinger.62 Der er således i identifikationen ingen skelnen mellem, om fjenden befinder sig i eller uden for staten. Med afsæt i NATO’s nye strategiske koncept er et nyt koncept om NATO’s cyberdefence blevet udviklet og godkendt af medlemmernes forsvarsministre i marts 2011.63 Ud fra dette koncept forventer NATO at revidere den eksisterende fælles cyberdefence policy frem mod juni 2011.64 NATO har yderligere anerkendt, at cyberdefence har global karakter, idet der i 2008 og 2009 blev oprettet to koordinerende fora,65 der rækker ud over NATO’s medlemslande og omfatter NATO-partnerlande og internationale organisationer.66 Arbejdet med Danmarks CNO-kapacitet i Forsvarsministeriet blev tilsvarende sat i gang i forlængelse af godkendelsen af NATO’s nye strategiske koncept.67 Med forsvarsministrenes godkendelse af NATO-konceptet om cyberdefence synes det sandsynligt, at udviklingen af den danske kapacitet vil tilpasses den reviderede fælles policy. Dermed kan Danmark formentlig opnå relativt stor accept af statens strategiske mål med cyberdefence blandt internationale parlamentarikere, andre stater og deres ministre.68 Samlet taler det for, at Danmark har relativt høj legitimitet på det militære cyberfelt både internt i NATO og blandt de stater, der er partnere med NATO, samt blandt de stater, der som minimum respekterer NATO. Det skyldes, at Danmark opfattes som et mønstermedlem af NATO.69
Konklusion og perspektivering
Efter at have undersøgt de kapaciteter og implementeringsstrukturer som Danmark allerede anvender samt den legitimitet, der understøtter cyberdefence, kan det konkluderes, at de politiske visioner rent faktisk omsættes til mål. Endvidere vurderes det at de midler, der er til rådighed, anvendes på en brugbar måde. Dermed har Danmark i praksis en cyberstrategi. Den danske tradition for både uofficielt og officielt samarbejde på tværs af myndigheder synes at medvirke til, at Danmark er på vej mod at opbygge en cyberstrategi, der tager højde for den særlige transnationale karakter, som trusler i cyberspace har. Undersøgelsen af de nævnte områder peger dog samtidig på, at manglen på en nedskrevet national cyberstrategi betyder, at områder, der er udpeget som centrale for cybersikkerhed, ikke varetages, og samtidig at nogle indsatsområder varetages af flere enheder. Eksempelvis beskyttes regionale og kommunale administrationer fra centralt hold, mens samtlige sektorer på statsligt niveau har egne kapaciteter til at varetage dele af cyberdefence. De undersøgte forhold indikerer, at antallet og størrelsen af huller og overlappende indsatsområder vil kunne reduceres, såfremt det overordnede ansvar for den strategiske planlægning af cyberdefence underlægges én myndighed. Én sådan myndighed kan gennem et råd, hvis medlemmer repræsenterer alle statens ministerier, udarbejde policy som grundlag for en fælles cyberstrategi. Det kunne eksempelvis ske ved, at Statens IT-råd under IT- og Telestyrelsen får udvidet sine opgaver til at omfatte rådgivning om og udvikling af policy for cyberdefence. Med henblik på at forenkle og lette den indbyrdes vægtning og prioritering af opgaver inden for feltet kan kapaciteter til cyberdefence samles under Forsvarsministeriets område. Grundlaget for den nytiltrådte regering peger i retning af en sådan sammenlægning. 70 Såfremt todelingen af ansvarsfordelingen fastholdes, kunne et skridt til øget ekspertise inden for cyberdefence og strategien herfor være, at IT- og Telestyrelsen gøres til fast medlem af NOST. Undersøgelsen peger i retning af, at Danmark som stat har et relativt stort handlerum for at agere i strategisk planlægning af cyberdefence, og at staten såvel nationalt som internationalt anvender en bred vifte af implementeringsstrukturer. Det betyder, at Danmark har gode forudsætninger for at kunne styrke feltet cyberdefence. Dog understreger karakteren af cybertrusler, at det ikke er noget Danmark som stat kan håndtere alene, hvorfor Danmarks relativt store handlerum kan udnyttes til gennem stærke internationale partnerskaber at opnå statens mål inden for cyberdefence. Nationalt har og udvirker Danmark en cyberstrategi, også selvom den ikke er nedskrevet i ét dokument. Internationalt deltager Danmark i gennemførelsen af en række tiltag inden for cyberdefence, men her kan fraværet af overordnet nedskrevet cyberstrategi vanskeliggøre det internationale samarbejde, fordi det fremstår uklart hvilke mål Danmark som stat har på området.
Fodnoter
1 Grundlaget for artiklen er forfatterens speciale, skrevet på Stabskursus 2010-11.
2 Major Carsten Fugleholm. Officer i hærens siden 1998, indledningsvis som infanterist ved Gardehuserregimentet. Er senere uddannet jægersoldat. Har efterfølgende gjort tjeneste ved Forsvarets Efterretningstjeneste samt Hærens Officersskole. Har gjort international tjeneste i Kosovo og Irak. Efter gennemført Operations og Føringsuddannelse samt Stabskursus på Forsvarsakademiet arbejder nu i Specialoperationselementet i Forsvarsstaben.
3 NATO New Concept, Strategic Concept For the Defence and Security of The Members of the North Atlantic Treaty Organisation, NATO Headquarters, 2010, s. 5.
4 Et angreb, der skete i december 2010, og dermed efter topmødet i Lissabon.
5 Peter Gottlieb, Cybersecurity: A Primer, American Intelligence Journal, National Military Intelligence Association, Arizona, USA, 2010, s. 18.
6 Henrik Ø. Breitenbauch, Kompas og kontrakt. For en dansk sikkerhedsstrategi, Dansk Institut for Militære Studier, København, 2008, s. 6.
7 Liselotte Odgaard og Villiam Krüger-Klausen (O&K), Preparing for the Imperfect World: A Proposal for How to Carry Out Strategic Planning, Forsvarsakademiet, København, 2011.
8 Ibid, s. 7.
9 Blandt andet arbejde med CNO, jf. Forsvarsforlig 2010-14, og Udkast til lovforslag om behandling af personoplysninger i den statslige varslingstjeneste for internettrusler (GovCERT).
10 The American Heritage® Dictionary of the English Language, Fourth Edition copyright ©2000 by Houghton Mifflin Company. Updated in 2009.
11 Rapport fra analysearbejdet vedrørende Computer Network Operations. Forsvarets Materieltjeneste, 2008.
12 NATO, Policy on Cyber Defence, C-M(2007)0120. EU: Tilsvarende ordlyd, men kaldet ”Critical Information Infrastructure Protection”, Green Paper on A European Programme For Critical Infrastructure Protection, 2005.
13 Forsvarskommandonotat (FKO Notat), Beskrivelse af de aktuelle eller kommende IKT-relaterede aktiviteter og initiativer på Forsvarsministeriets ministerområde, som er særligt relevante i relation til Højhastighedskomiteens arbejde, Forsvarskommandoen, København, 2009, s. 1.
14 Forligstekst, Forsvarsforlig2010-2014, Folketinget, København, 2009, s. 9.
15 NATO New Concept, 2010, s. 5.
16 Dansk eksempel: Lov om den statslige varslingstjeneste for internettruslers behandling af personoplysninger, 11. februar 2011. EU eksempel: EU-Kommissionens meddelelse ”Beskyttelse mod storstilede cyber-angreb og sammenbrud: øget beredskab, sikkerhed og robusthed” af 30. marts 2009.
17 Gottlieb 2010, s. 18.
18 Grundloven § 45.
19 Finansloven 2010, pkt. 12.21.01 og 19.11.04.
20 Forligsteksten 2009, s. 9.
21 FKO Notat 2009, s. 1.
22 Forsvarskommandobestemmelse 358-1 (FKOBST), Bestemmelser for den militære sikkerhedstjeneste Elektronisk version 2.39.00, Forsvarskommandoen, København, 2011, s. 233.
23 FKO Notat 2009, s. 1-2.
24 IT- og Telestyrelsen, GovCERT Grundlag, indledende afgrænsning og operationalisering, IT- og telestyrelsen, København, 209, s. 3.
25 Ibid.
26 Forligsteksten 2009, s. 9.
27 http://www.itst.dk/it-arkitektur-og-standarder/it-styring/rad-og-fora/statens-it-rad. 22. august 2011.
28 https://www.nsm.stat.no/Om-NSM/Organisasjon. 22. august 2011.
29 Agence Nationale de la Sécurité des Systèmes d’Information. 30 GovCERT Faktablad på https://www.govcert.dk. 22. august 2011.
31 Gorm Rye Olsen og Jess Pilegaard, Småstater og international indflydelse, Danmark og EU’s fælles sikkerheds- og forsvarspolitik, Dansk Institut for Internationale Studier, København, 2005, s.6.
32 Convention on Cybercrime CETS No.: 185, 2001.
33 Resoultioner: 55/63(2000), 56/121(2002), 57/239(2002), 58/199(2004), 64/211(2009).
34 http://www.itu.int/cybersecurity. 23. august 2011.
35 Jf. Information Document Concerning the Cybercrime Convention Committee, s. 4.
36 Convention on Cybercrime Committee, 2010, s. 1.
37 Jf. Mødereferater fra de årlige møder i komiteen, 2006-10.
38 C-M(2007)0120, NATO Policy on Cyber Defence.
39 http://www.nato.int/docu/update/2008/05-may/e0514a.html. 23. august 2011.
40 http://www.ccdcoe.org/11.html. 23. august 2011.
41 Eksempelvis IT-sikkerhedskommitén, Beredskabsforum for IT og Tele samt Statens informationssikkerhedsforum.
42 Jf. Redegørelse fra regeringen om indsatsen mod terrorisme, 2008, s. 12.
43 Interview med chef for dansk GovCERT Thomas Kristmar.
44 http://www.kriseinfo.dk. 23. august 2011.
45 Terrorberedskab, Det danske samfunds indsats og beredskab mod terror, Statsministeriet, København, 2005, s. 5.
46 http://www.kriseinfo.dk. 23. august 2011.
47 Beredskabsstyrelsens Fact Finding Mission i forbindelse med The Ontario-US Power Outage 14. august 2003, s. 15.
48 FKOBST 2011: 1-526.
49 FKOBST 2011: 211-226.
50 FKO Notat 2009: 1.
51 O&K, 2011.
52 Bredskabsloven, LBK nr. 660 af 10/06/2009 Gældende (Beredskabsloven), Folketinget, København, 2009, kap. 5.
53 Eksempelvis Den tværministerielle økonomiske arbejdsgruppe omkring kampfly, jf. Økonomi- og erhvervsministerens redegørelse til beretning nr. 9/2008.
54 http://www.govcert.dk. 23. august 2011.
55 http://www.govcert.dk. 23. august 2011.
56 FKOBST, 2011, s. 211-233.
57 Et råd nedsat i 1998 af forskningsministeren med henblik på at medvirke til at både national og international IT-brug kan ske sikkert, jf. http://www.rfsits.dk. 23. august 2011.
58 Bragt i internetmagasinet Version2.dk, den 28. maj 2009.
59 Cyberkonvention, Convention on Cybercrime, European Treaty Series - No. 185, Council of Europe, Budapest, 2001, s. 4.
60 Jf. Lov nr. 447 af 11/10/1972, Lov om Danmarks tiltrædelse af De europæiske Fællesskaber, § 2 og 3.
61 Jacob Mchangama, EU-rettens stigende indflydelse på Danmarks demokratiske styrefor, Center for Politiske Studier, København, 2011, s. 1.
62 Risikovurdering, Efterretningsmæssig Risikovurdering 2010, Forsvarets Efterretningstjeneste, København, 2010, 51.
63 http://www.nato.int/cps/en/natolive/topics_49193.htm. 22. august 2011.
64 http://www.nato.int/cps/en/natolive/topics_49193.htm. 22. august 2011.
65 Council Guidelines for Cooperation on Cyber Defence with Partners and International Organisations og Framework for Cooperation on Cyber Defence between NATO and Partner Nations.
66 http://www.nato.int/cps/en/natolive/topics_49193.htm. 22. august 2011.
67 Kommissorium for Etablering af en CNO-kapacitet inden for Forsvarsministeriets område, af 27. januar 2011.
68 O&K, 2011, s. 13.
69 Jens Ringsmose, Danmarks NATO-omdømme, Fra Prügelknabe til duks, Dansk Institut for Militære Studier, København, 2007, s. 2.
70 Regeringsgrundlag, Et Danmark der står sammen, Statsministeriet, København, 2011, s.40.