Daniel Moore leverer i boken Offensive Cyber Operations - Understanding Intangible Warfare et nyskapende rammeverk for hvordan offensive cyberoperasjoner bedre kan benyttes i en militær kontekst. Ifølge Moore er det lite nyttig å diskutere om eller når vi befinner oss i cyberkrig. Krig i tradisjonell forstand, utkjempet utelukkende i cyberdomenet, vil ikke finne sted. Cyber er et domene hvor det pågår en kontinuerlig ‘konkurranse’ mellom stater. I nyere amerikanske cyberstrategier omtales dette som «persistent engagement»-teorien. Dette gjelder i særdeleshet for etterretningstjenester som kontinuerlig forsøker å oppnå permanent tilgang til fremmede staters IT-systemer. Det er ifølge Moore derfor mer nyttig å diskutere når vi står overfor cyberkrigføring. Altså offensive cyberoperasjoner som på grunn av sine karakteristikker skiller seg tradisjonelle etterretningsoperasjoner eller andre former for «lavskala» trusselaktivitet i cyberdomenet.
Tidlig i boken påpeker Moore utfordringen med at «cyber» fort blir en sekkepost som inneholder alt fra de simpleste teknikker til de mest avanserte operasjonene. Dette vanskeliggjør raffinert analyse og dermed en bedre forståelse av hva offensive cyberoperasjoner faktisk er, eller bør være. Rammeverket som Moore presenterer i boken muliggjør analyse og klassifisering av cyberoperasjoner, basert på bestemte parametere. I så måte er Moores bok et svært velkomment bidrag til en mer informert og kunnskapsbasert diskusjon om et komplisert og utilgjengelig tema. Et tema som i økende grad virker inn på våre høyteknologiske samfunn, men som fremdeles er preget av både myter og lite åpenhet.
Offensive Cyber Operations er basert på Moores doktorgradsavhandling ved King’s College London og er i så måte tungt vitenskapelig forankret, noe som gjenspeiles i den omfattende referanselisten av høykvalitets faglitteratur som ligger til grunn for arbeidet. Selv om cyberoperasjoner er virkemidler som kan benyttes både i en militær og i en ikke-militær (sivil) kontekst, er det de militære operasjonene som får hovedfokus i Moores analyse. Innledningsvis tilkjennegir forfatteren sitt mål med verket som er å undersøke «hvordan offensive cyberoperasjoner best kan bidra til suksess på slagmarken i alle nivåer [av militære] operasjoner.» I boken redegjør forfatteren for bruk av offensive cyberoperasjoner i en større historisk, militær og geopolitisk kontekst, noe som er nyttig for den påfølgende analysen. Her får leseren dykke ned den historiske utviklingen innen immateriell krigføring («intangible warfare») herunder temaer som elektronisk krigføring og nettverkssentrert krigføring, altså forløperne til dagens avanserte cyberoperasjoner. Deretter redegjør Moore videre for sitt teoretiske rammeverk for å analysere de offensive cyberoperasjonene.
Hendelsesbaserte og tilstedeværende operasjoner
Først introduserer han i avhandlingen skillet mellom hendelsesbaserte operasjoner («event-based operations») og tilstedeværende operasjoner («presence-based operations»). Hendelsesbaserte er operasjoner som representerer umiddelbare angrep mot nettverk og utstyr, mens tilstedeværende operasjoner innebærer langsiktige inntrengninger som kulminerer i et etterfølgende angrep. Dermed utformer Moore et skille mellom kapabiliteter som kan fungere som felt-deployerbare våpen for militære styrker (de hendelsesbaserte) og kapabiliteter som trenger et høyere nivå av politisk godkjenning (de tilstedeværende). Dette gjør det igjen enklere å fordele ansvaret for kapabiliteter som ifølge Moore bør inngå som en del av de militære styrkene, og de som fremdeles bør være forbeholdt etterretningstjenester.
Hver av de to formene for offensive cyberoperasjoner deles igjen inn i fire faser etter det amerikanske forsvarsdepartementets Cyber Threat Framework. Dette er forberedelse («preparation»), involvering («engagement»), tilstedeværelse («presence») og effekt («effect»). I bokens andre del benyttes dette rammeverket også til å analysere hvordan fire utvalgte stater; USA, Russland, Kina og Iran, tilnærmer seg bruk av offensive cyberoperasjoner.
Cyberoperasjoner som innebærer langsiktige inntrengninger i IT-systemer tilhørende andre staters militære enheter eller kritisk infrastruktur, kan være politisk og diplomatisk betydelig mer sensitivt sammenliknet med å gjennomføre en hendelsesbasert operasjon med bruk av offensive cyberkapabiliteter i felt, rettet mot spesifikke militære enheter, installasjoner eller i forbindelse med militære stridssituasjoner. Derfor bør også ansvaret for å gjennomføre offensive cyberoperasjoner, samt kapabilitetene og kompetansen, fordeles tilsvarende.
For å benytte et illustrerende eksempel på hvordan en hendelsesbasert operasjon fra slagmarken kan fungere kan man se for seg følgende: Det utplasseres teknisk utstyr på soldater, droner eller andre mobile militære kapabiliteter slik som kjøretøyer, stridsvogner, skip eller fly. Dette utstyret scanner etter tekniske installasjoner på fiendtlige mål og identifiserer deres sårbarheter. I tillegg er den satt opp med programvare som automatiserer deler av angrepsprosessen, og som benytter skadelig kode for å ødelegge, manipulere, eller utføre ulike former for ‘angrep’, herunder tjenestenekt, mot fiendens IT-, og kommando og kontrollsystemer. Ikke ulikt tradisjonell «jamming», bare mer avansert og med mange flere muligheter. For å følge opp Moores resonnement, så bør det ikke være nødvendig med politisk godkjenning fra øverste hold for å gjennomføre en slik operasjon, i felt, under en stridssituasjon. Dette er potensielt en svært effektfull måte å integrere cyberoperasjoner inn i en militær kontekst, på.
Teknologien er sårbar for angrep - også i F-35
Som forfatteren flere ganger i boken påpeker, innebærer det faktum at militær teknologi ofte har lang brukstid at teknologien også forblir sårbar for cyberoperasjoner og -angrep over tid. Tekniske sårbarheter avdekkes fortløpende og kan enkelte ganger være krevende å utbedre. Spesielt i gammel teknologi. Dette fikk også den norske offentligheten godt belyst i fjor med Riksrevisjonens undersøkelser av forsvarssektoren. På den andre siden kan og bør slike forhold nettopp utnyttes som en styrkemultiplikator på slagmarken ved å integrere metoder for immateriell krigføring i allerede eksisterende militær doktrine og strategier, ifølge Moore.
Det er imidlertid ikke bare gammel teknologi som er sårbar for offensive cyberoperasjoner. Ett eksempel på en plattform som ifølge Moore er sårbar for både hendelsesbaserte og tilstedeværende operasjoner, og som i tillegg er relevant for det norske Forsvaret, er kampflyplattformen F-35. Det faktum at F-35 er et svært teknologisk avansert kampfly kan gjøre den samme plattformen sårbar for offensive cyberoperasjoner. Dette er ikke bare en teoretisk sårbarhet ifølge Moore da det er avdekket betydelig med svakheter i forbindelse med sikkerhetstester av programvare for logistikksystemer og systemer ombord i kampflyet, sist i 2020. Selv om F-35 plattformen ikke er tilkoblet internett, vil den fremdeles være sårbar for cyberoperasjoner via andre sensorer. Dette gjør det naturligvis vanskeligere å utnytte sårbarhetene, men for en avansert og målrettet trusselaktør er det ingen umulighet. En cyberoperasjon mot militære enheter, slik som F-35 flyet, kan ifølge Moore være å anse som cyberkrigføring etter Moores rammeverk, dersom fem spesifikke parametere, oppfylles.
Når står vi overfor cyber-krigføring?
De fem parameterne er angrepsmål («target»), konsekvenser («impact»), angriper («attacker»), målsettinger («goals») og relasjon («relationships»). Det er nemlig unntaket ifølge Moore, ikke hovedregelen, at dagens cyberoperasjoner befinner seg i kategorien cyberkrigføring. De aller fleste offensive cyberoperasjoner er ifølge Moore rutinemessige inntrengninger, utført av etterretningstjenester, for å oppfylle nasjonale sikkerhetsmål i fredstid. Dette til tross for at en tilstedeværende operasjon utført av en etterretningstjeneste med et påfølgende målrettet angrep i effektfasen også kan være å anse som cyberkrigføring. Gitt at angrepet oppfyller tersklene til de fem parameterne som nevnes over. Modellen Moore har utviklet gjør det dermed mulig å identifisere hvilke cyberoperasjoner og som overskrider tersklene for å kvalifisere til cyberkrigføring, og hvilke som ikke gjør det. Noe som igjen vil kunne ha konsekvenser for hvordan stater vurderer behovet for respons, og med hvilke virkemidler. Dette kan være nyttig nettopp fordi det gjentatte ganger har vist seg at mange høytstående representanter har hatt manglende forutsetninger for å vurdere digitale trusler og -angrep. Derfor har metaforer som Cyber Pearl Harbor og atomvåpenanalogier ofte vært hyppig brukt til tross for at disse treffer svært dårlig om man tar de tekniske realitetene i betraktning.
Når det gjelder konkrete hendelser som kvalifiserer til cyberkrigføring og som oppfyller alle de fem parameterne etter Moores vurdering, finner vi den russiske etterretningstjenesten GRU sin bruk av wiper-skadevaren NotPetya i 2017. Spesifikt den delen av operasjonen som rettet seg mot, og som fikk betydelige konsekvenser i Ukraina. Herunder ved å slå ut ukrainske banksystemer. Dette kvalifiserte ifølge Moore til definisjonen av krigføring med bruk av cyberkapabiliteter. Cyberkrigføringen gjaldt imidlertid ikke ovenfor andre stater selv om NotPetya også medførte betydelige konsekvenser også utenfor Ukrainsk territorium, slik som for det danske shippingkonsernet Maersk. Det er nemlig en forutsetning etter Moores modell at alle parameterne oppfylles for at en operasjon skal være å anse som del av en cyber-krigføring. Relasjonen mellom Russland og Ukraina var derfor av vesentlig betydning.
I tillegg påpeker Moore at det ikke kun er angrep mot militære installasjoner og enheter som vil kunne kvalifisere til cyberkrigføring, men også angrep mot sivil kritisk infrastruktur som medfører konsekvenser, slik tilfellet var med NotPetya. Samtidig fremhever han at NotPeyta ikke førte til noen strategisk gevinst for Russland til tross for at skadevaren medførte betydelig skade. Dette blant annet som følge av slurvete implementering og manglende disiplin, noe som ifølge forfatteren er et kjennetegn ved mange russiske cyberoperasjoner.
USA, Russland, Kina og Iran underlegges analyse
Etter at bokens fire første kapitler med teori, historie og militærstrategi er redegjort for, har Moore valgt seg ut fire sentrale stater på den internasjonale cyberarenaen som analyseres nærmere. Dette er USA, Russland, Kina og Iran. Hver av de fire statene har fått tilegnet et eget dedikert kapittel hvor forfatteren tar utgangspunkt i kjent empiri og beskriver hvordan staten har benyttet offensive cyberoperasjoner frem til i dag, og hva de kan gjøre videre for å videreutvikle sin tilnærming til militære cyberoperasjoner. I så måte kan deler av innholdet nærmest betraktes som en instruksjonsmanual for hvordan nevnte stater kan gå frem for at cyberoperasjoner i større grad skal kunne bli en militær styrkemultiplikator. Hver av de fire statene har i dag svært ulike forutsetninger for å utføre offensive cyberoperasjoner, herunder tekniske kapabiliteter og kompetanse. De har derfor også tatt i bruk cyberoperasjoner på ulike måter. Noen mer vellykket enn andre. Samtidig har ingen av dem, ifølge Moore, en fullstendig vellykket integrering av offensive cyberoperasjoner i sine militære doktriner.
For den interesserte leser som fremdeles leser denne anmeldelsen, så skal jeg ikke røpe alle detaljene fra den grundige analysen i andre del av Moores bok som tar for seg hver av de fire statene. Noe må forbeholdes de som går til anskaffelse av boken. Til tross for at flere av eksemplene på konkrete cyberoperasjoner som Moore viser til i kapitlene er godt kjent fra andre kilder, slik som den amerikansk-Israelske operasjonen Stuxnet og russiske NotPetya, er det likevel analysen av hvordan de fire statene har tatt i bruk offensive cyberoperasjoner som del av sine militære doktriner, eller nettopp mangelen på sådan, som er av størst interesse i bokens andre del.
En kort oppsummering av Moores analyse er likevel på sin plass: amerikanerne har kapabilitetene, men har til dags dato ikke innlemmet offensive cyberoperasjoner tilstrekkelig i sin militære doktrine. Derfor mangler det i dag en sammenkobling mellom de tilgjengelige kapabilitetene, og dem som i strid vil kunne benytte seg av dem mest effektivt. Russland har derimot en bredere tilnærming til bruk av offensive cyberoperasjoner enn vestlige stater gjennom deres informasjonsoperasjoner, men feiler, ifølge Moore, ofte med å nå sine politiske og strategiske målsettinger. Kina har derimot utviklet en moden doktrine når det kommer til å utføre militære offensive cyberoperasjoner, men mangler operasjonell erfaring. Kineserne har derimot lang erfaring med å gjennomføre etterretningsoperasjoner og spionasje, noe som har likhet med Moores beskrivelse av tilstedeværende operasjoner. Likevel er det ikke helt identisk å utføre spionasje som offensive cyberoperasjoner der sistnevnte innebærer en effektfase som har til hensikt å påføre motstanderen skade. Til slutt har vi Iran som er den minst avanserte, men samtidig den mest aggressive staten. Bruk av proxy-aktører for å gjennomføre offensive, støyende cyberoperasjoner mot mål i andre stater kan i større grad minne om cyberterrorisme enn statlige cyberoperasjoner og cyber-krigføring. Irans bruk av proxy-aktører er en tilnærming som man også kan kjenne igjen fra den fysiske verden, slik som Irans finansielle og materielle støtte til Hezbollah. Statenes tilnærming til cyberdomenet blir dermed langt på vei en forlengelse av hvordan de projiserer makt, for øvrig.
Cyber bør ikke betraktes som et eget domene
Offensive Cyber Operations - Understanding Intangible Warfare er en bok som anbefales for både akademikere, praktikere og faginteresser. Det er lite teknisk språk i boken slik at innholdet fint kan leses uten spesielle forkunnskaper. En god anmeldelse bør også omtale bokens svakheter. Denne jobben har imidlertid Moore selv påtatt seg ettersom boken er basert på doktorgradsavhandlingen hans, så for de som er interessert kan man lese avsnittet «limitations» – der avhandlingens begrensninger oppsummeres. Skal jeg legge til noe kritikk, så er det at innholdet er tungt rettet mot forsvarssektoren til tross for at mye av teknologien og nettverksinfrastrukturen som utgjør cyberdomenet eies av sivile og private aktører. Hva har dette å si for de offensive cyberoperasjonene og fremtidens cyber-krigføring?
Boken er spesielt relevant for personer i forsvarssektoren som har interesse for, eller som sitter i en formell eller uformell posisjon til å påvirke staten og Forsvarets tilnærming til bruk av immateriell krigføring, herunder offensive cyberoperasjoner. Selv om det rettslige mandatet for slike operasjoner i dag –så langt undertegnede er kjent med – er gitt Etterretningstjenesten, er det gode grunner til å vurdere om styrker tilhørende de øvrige forsvarsgrenene også bør kunne benytte seg av kapabiliteter for å utføre hendelsesbaserte cyberoperasjoner i tilknytning til militær strid. Nettopp for, som Moore påpeker, å oppnå en styrkemultiplikator. Noe han best beskriver på denne måten: “datamaskiner og nettverk gjennomsyrer i dag alt og kan derfor ikke betraktes som et eget domene av krigføring.”
