Hvorfor bør vi bry oss om cyber?

Cyberdomenet er en menneskelig konstruksjon og burde derfor vært relativt enkelt å definere. Imidlertid er sannheten tilsynelatende en annen. Definisjonene er mange og begrepet «cyber» kan for mange oppfattes som et uhåndterbart og høytsvevende uttrykk utstrakt over mange ulike sektorer. Cybermakt, cybertrussel, cyberangrep og cybersikkerhet blir daglig omtalt av media, men i hvilken grad berører dette hver og en av oss? Denne artikkelen er et forsøk på å gjøre cyberdomenet til noe mer konkret og håndterbart og å opplyse om hva cyberdomenet har å si for oss. Jeg vil også sette fokus på risikoen dette innebærer for oss som brukere.

For noen består cyberdomenet av systemer og tjenester som er koblet enten direkte eller indirekte til internett, telekommunikasjonssystemer og andre datanettverk (ITU, 2011). For mange, meg inkludert, inneholder cyberdomenet også brukerne. Cyberdomenet er komplekst og består av mange ulike fysiske, logiske og kognitive komponenter. Avhengig av bruken kan cyberdomenet benyttes til både velmente og ondsinnede formål, og det er den praktiske bruken som er «cybermakt». Min kollega beskriver cybermakt som «evnen til å påvirke materielle og ikke-materielle aktiva på digitale måter» (Knox, 2018), og den kan benyttes for å påvirke noe innenfor eller utenfor cyberdomenet. Aktiva er i denne sammenheng noe som har en verdi innenfor den teknologiske verdenen og som gjør det verdt å beskytte, eksempelvis F35, fregattene eller andre systemer som inneholder sensitiv informasjon.

Samfunnets kritiske infrastrukturer (f.eks. helsetjenester, finansielle tjenester, kraftforsyning, kommunikasjonsnett, vannforsyning, Forsvaret mm.) er daglig utsatt for ulike typer av cyberangrep. Eksempelvis hackingen mot Helse Sør-Øst i 2018 og ransomware-angrepet mot Hydro i 2019, som fikk stor omtale i media. Det største flertallet av angrep som detekteres og håndteres er likevel ukjent for mange, og prinsippet om «ingen nyhet er en god nyhet» er så absolutt gjeldene. I Norge har vi en sektordeling basert på de ulike kritiske infrastrukturene. I cyberdomenet betyr det at de ulike sektorene selv har ansvar for sikringen av sine egne nettverk, inkludert Forsvaret. Å håndtere cyberangrep rettet mot militære nettverk er Cyberforsvarets oppgave.

Oppbygging, drift og vedlikehold av de fysiske og logiske komponentene innenfor cyberdomenet er arbeidsområde for blant annet software designere, system administratorer og tjenesteleverandører. Drift og vedlikehold av Forsvarets kommunikasjonsinfrastruktur er også en av de oppgavene som Cyberforsvaret utøver. Å passe på at våre digitale enheter både hjemme og på jobb er oppdaterte og at vi bruker sterke, ulike passord for autentisering (gjerne to-faktor autentisering, når det er muliggjort av tjenestelevandøren). Imidlertid har alle Forsvarets ansatte et ansvar til å bidra til cybersikkerheten, da spesielt beskyttelse av den kognitive delen. For å gjøre dette, er det viktig å forstå hvordan enkeltpersoner er en del av det store globale informasjonssystemet; en del av cyberdomenet.

Menneske – En del av informasjonssystem

Vi er alle del av ett eller flere informasjonssystemer. Vi samler inn informasjon, som vi videre analyserer, lagrer, redigerer og deler. Informasjon inkluderer ikke bare det språklige, muntlige eller skriftlige, men også alt det som er rundt oss som vi fanger opp via våre sensoriske systemer og sanser. Derfor vil all informasjon som vi føler, påvirke oss, enten vi erkjenner den eller ikke (Halász og Cunnington, 2012).

I dag ser vi en utvikling der digital teknologi kan skape skadelige sansekontekster. Per dags dato er direkte effekter sjeldne, men negative effekter som kommer fra kontinuerlig bruk av digitale midler blir mer og mer vanlig. Eksempelvis er det rapportert om at hørsel og syn kan endre seg som en konsekvens av kontinuerlig bruk. Når bruken av teknologi påvirker alt annet i personens liv (familie, penger, arbeid mm.) snakker vi om avhengighet. Disse plagene blir sett på som selvpåført, men i fremtiden er det sannsynlig å tro at eksisterende digitale metoder kan benyttes til å fremme disse fysiske plagene i større grad.

Imidlertid er verken kroppen vår den mest utsatte eller mest ettertraktede delen å ramme -det er sinnet vårt. Hvis vi tar utgangspunktet i definisjonen av cybermakt som en evne til å påvirke menneske via digitale midler er påvirkning av menneskets sinn en direkte innvirkning av cybermakt. Forskjellen mellom påvirkningstilfeller avhenger av hvem som bruker cybermakt, over hvilken målgruppe og med hvilket formål. Dette vil forsterkes ved bruke av en multisensorisk tilnærming.

I kommersiell sammenheng kalles det sensorisk markedsføring. Farger, mønster, lys- og lyd brukes i kombinasjon for å trekke oppmerksomhet, imponere oss og manipulere humøret. Alt i den hensikt å få oss til å kjøpe et bestemt produkt. Sensorisk markedsføring, spesielt audiovisuelle effekter, brukes også i markedsføring i sosiale medier. Elektronisk markedsføring er også gjort interaktivt ved at forbrukere kan diskutere produkter med de andre forbrukerne og produsenten online.

«Likes», poster og oppfølging av forskjellige profiler, grupper og sider i sosiale medier gir verdifull informasjon om oss som blir benyttet i den kommersielle sektor. Forbrukerrådets rapport «Out of control» (2020) trekker frem hvordan applikasjoner på mobilen fanger opp og sender personlig informasjon til forskjellige selskaper, som igjen selger det videre. Naivt nok er det mange som tenker at slik informasjon er ubetydelig, men det er summen av all informasjon som kan bli skadelig. For Forsvarets ansatte må vi huske at summen av ugraderte informasjon fort kan bli gradert informasjon. For eksempel kan treningsdata, fra mobilapper brukt på jobb av deg og dine kollegaer, avsløre plasseringer av hemmelige militærbaser. Dette har vi sett fra tidligere operasjoner (The Morning Call, 2018).

Det er viktig å huske at mottakerene av informasjonen vi sender ut ikke nødvendigvis blir benyttet innenfor den kommersiell sektoren. Informasjonen er ukontrollerbar og kan derfor bli brukt i påvirkningsoperasjoner for å endre våre tanker, meninger, og etterhvert vår atferd – uten at du som sender kan kontrollere det.

Målrettet trussel mot masser

En studie rundt innlegg på nettstedet Facebook har vist at emosjonell smitte er et faktum. Med andre ord er dette overføring av følelsesmessige tilstander fra en person til en annen over nett, uten fysisk interaksjon mellom personer (Kramer et al., 2014). Dette gir Facebook og profesjonelle «nettroll» en mulighet til å manipulere deg. Profesjonelle nettroll er kjent for å bruke passende emosjonelt innhold, gjennom bilder, tekst og film, for å vekke følelser og forherde holdninger til mottakeren. Under riktige omstendigheter kan den samme handlingen utføres av et helt vanlig individ (Cheng et al., 2017). Noen av de sterke hatytringer i kommentarfelter kan være resulter av dette.

Bevisstgjøringskampanjer, som vaksinasjonskampanjer, er et eksempel på planlagt massemålretting med formål om å fremme befolkningens beste. Vi ser også at ikke- planlagte massemålrettede hendelser kan ha stor påvirkning. Dette så vi i 2018 da et modifisert klipp av en sikkerhetsdemonstrasjonsvideo ble spredt og medførte at borgervernere drepte flere personer som ble anklaget for bortføringen av flere barn i India, uten at disse hadde vært bevist skyldige (BBC, 2018).

«Phishing» e-poster er også eksempel om massemålretting, der e-post blir sendt til mange i håp om at flere vil reagere på den. Phishing e-poster hører til så kalt «social engineering» angrep, og brukes til å overbevise folk til å avsløre tilgangsinformasjon, gi konfidensielle data, og/ eller gjøre handlinger som infiserer datamaskiner med skadelig programvare. Det må sies at «social engineering» ikke er et nytt fenomen. Det å lure mennesker kan gjennomføres på alle samhandlingsmåter: ansikt til ansikt, over telefon, brev, chatterom, innlegg, osv.

Målrettede trussel mot individer

Studier har vist at vi deler informasjon lettere hvis vi blir emosjonelt påvirket (Berger, 2011). Villigheten til å dele personlig informasjon danner grunnlaget for individrettet «spear phishing»-angrep. Dette er blant annet meldinger som tilsynelatende virker legitime og gir et inntrykk av at de er sendt fra en arbeidsgiver, en kollega eller en venn. Ukjente profiler, som oppfattes visuelt attraktive og har en emosjonell historie, er også ofte benyttet. Voksne som er utsatt for slike angrep er ofte offer for økonomisk svindel. Et mål kan være å få tak i brukertilgangen til systemene som enten brukes av angriperen selv eller blir solgt videre. Slik informasjon kan brukes i utpressing, og det er ofte et mål når offeret er et barn.

Som soldat har man tilgang til varierende mengder med gradert informasjon. Man blir dermed ansett som attraktive etterretnings- og påvirkningsmål, uavhengig av stilling, grad eller avdeling. Som enkeltindivid kan dette være lett å glemme i en travel hverdag. Det er flere eksempler der falske profiler har prøvd å fiske ut gradert informasjon eller drive utpressing ved å innblande informasjon fra/om familie og venner. Det finnes eksempler der soldater har mottatt trusselmeldinger vedrørende deres nærmeste (Military Times, 2020).

Det finnes flere tekniske tiltak som kan redusere antallet «phishing»-forsøk. Spamfiltre, brannmurer og sikre nettlesere vil, sammen med stramme personvernregler, bidra til å redusere risikoen for målrettede forsøk. Imidlertid er det mest effektive verktøyet for å motvirke informasjonsinnflytelse og tankemanipulasjon vår egen evne til å tenke.

Kritisk tenking

Det at vi har evne til å tenke er ikke nok. Soldater må inneha en forståelse for risikoen man tar ved å benytte seg av sosiale medier, og aktivt gå inn for å forebygge. Det kan være krevende og slitsomt, men jo mer man øver, jo bedre blir man. Vi må ta oss tid til å tenke kritisk og stille oss selv spørsmål som «hva», «hvem», «hvordan», «hvorfor», «hvorfor akkurat nå» og «hva skjer hvis...». I tillegg må vi lære av egne og andres feil for sammen å bygge opp vår evne til å håndtere utfordringene som kommer parallelt med utviklingen av teknologiens voksende rolle i hverdagen. Sammen må vi lære å ta hensyn og forstå at hver sak har sine særegne synspunkter. Vi må derfor analysere begreper, teorier og forklaringer, samt utforske implikasjoner og konsekvenser til hver sak.

Kritiske forbrukere av informasjon er innforstått med at i et hvert samfunn vil enkelte synspunkter innenfor informasjonsstrømmen oppfattes som mer dominerende enn andre. Som et resultat av dette vil deler av informasjonen bli publisert på et mer privilegert og befalende utgivelsessted. Det er derfor viktig å fremme at ettertraktet informasjon som blir publisert kort tid etter en hendelse ikke nødvendigvis inneholder hele sannheten. Dette er eksemplifisert gjennom en rekke større nyhetssaker nasjonalt og internasjonalt. Dette tvinger oss til å kontinuerlig søke mer informasjon, fra ulike kilder, og forholde seg objektiv til hva man leser (Paul og elder, 2005).

Følgelig er det like aktuelt å være seg bevist når man inntar rollen som sender. Ved å videresende eller produsere informasjon må man stille seg kritisk til hvilket narrativ man ønsker å skape, eller ta del i. Spesielt som soldat, da man representerer noe større en selg selv, uavhengig av intensjon eller hensikt. Er det sann informasjon som jeg publiserer? Har jeg lov til å publisere dette? Er dette noe jeg virkelig står for? Cyberdomenet gir oss muligheten til å spre informasjon til et stort antall i løpet av kort tid, og vi vil aldri ha kontroll over hvem som blir mottakeren. Alt vi legger ut påvirker andre, spørsmål er bare i hvor stor grad og på hvilken måte.

Selvregulering er evnen til å kontrollere egne tanker, følelser og handlinger. (Baumeister, Heatherton og Tice,1995). Ved å mestre god selvregulering vil vi oppnå den nødvendige, kritiske tankeprosessen som forhåpentligvis forhindrer oss i å dele sensitive informasjon når vi er følelsesmessig vekket. Dette er også en motkraft for å dempe avhengighetsskapende atferd. Selv om selvregulering antas å være et relativt stabilt trekk, kan det utvikles ved ekstern påvirkning, f.eks med veiledning og myndiggjøring (Bandura, 1986). Her er konstruktive og motiverende tilbakemeldinger og mentoreringviktigepunkter.Mentoreringerenvanligdel av militære øvelser, og dermed har vi en gyllen mulighet å utvide praksisen i forhold tilcyberdomenet, for å styrke selvregulering og kritisk tenking.

Cybersikkerhet

Definisjonen av cybersikkerhet varierer avhengig av hvem man spør. Personlig vil jeg beskrive det som en verktøykasse av mottiltak som brukes til å hindre cybertruslene rettet mot materielle og ikke-materiell aktiva. Dette innebærer tekniske og logiske mottiltak, men også menneskelige. Dermed er kognitive aktiviteter også en del av cybersikkerheten, og noe alle kan utføre. Å stille kritiske spørsmål og se den større sammenhengen er del av cybersikkerheten. Var det tilfeldig at jeg så en filmsnutt om grovt menneskerettighetsbrudd, når jeg få dager senere skulle reise ned og bidra i en nøytral fredsbevarende operasjon?

Til slutt vil jeg minne om at vi alle må ta del av det ansvaret det foreligger i å benytte seg av dagens teknologi, enten i sammenheng med jobb, skole eller fritid. Vi må opprettholde makkersjekk og passe på at alle rundt oss utviser varsomhet. En overtredelse kan fort få konsekvenser for flere. Forsvarets kjerneverdier: respekt, ansvar og mot, gjelder også i den digitale verden. Jegviloppfordrealletilåtenkeoverihvilkengradduer avhengige av digitale tjenester og reflektere over hva som ville skjedd dersom disse hjelpemidlene ikke lengre var tilgjengelige. Hva er din «back-up» plan?

Jeg vil oppfordre alle til å gjøre sin egen risikoanalyse og lage en beredskapsplan. Ved å ha en velfungerende beredskapsplan er vi som soldater mer resistente mot effekten av cyberangrep, både individuelt og som del av et større fellesskap. Dette er også i seg selv et tiltak mot cybertrussel og dermed del av cybersikkerhet.

Foto: Elevene ved Cyberforsvarets (våpenskoles) cyberteknikerutdanning i klasserommet for undervisning (Anette Ask / Forsvaret)

Artikkelen er publisert i Forposten 4/2019