Cyberangrepp lika farligt som vanlig krigsföring - Världen behöver en ny organisation som övervakar vad som sker i cyberrymden, på samma sätt som IAEA övervakar kärnkraftverk, eller som OPCW kontrollerar kemiska vapen. Det föreslår den amerikanska tankesmedjan Rand, efter den senaste tidens uppmärksammade dataintrång.
OSLO Till skillnad från andra vapen finns det inga internationella regler som säger vad som är rätt och fel i cyberrymden, eller internationella institutioner som på ett objektivt sätt kan avgöra vem som är skyldig till en cyberattack.
Har Ryssland påverkat den amerikanska presidentkampanjen? Konstruerades viruset WannaCry, som tidigare i år krypterade informationen på hundratusentals datamaskiner världen över, ursprungligen av CIA? Hur står det till med den svenska IT-säkerheten när myndigheter som Transportstyrelsen överlåter tillgången på hemlig information till utländska tekniker som inte säkerhetskontrollerats, bland annat på alla militära fordon? Sådana frågor har gjort att cyberattacker också blivit en del av säkerhetspolitiken.
- I Frankrike arbetade 100 personer med cybersäkerhet för fem år sedan. Idag är det mellan 300 och 400 personer. Det är så snabbt utvecklingen sker - 34 gånger fler personer på bara fem år, säger Kenneth Geers, en amerikansk forskare som skrivit tre böcker om cyberkrig.
En cyberattack kan vara över på en halvtimme och ingen utom de som är direkt involverade behöver se att något skett. Men konsekvenserna kan vara att elförsörjningen slås ut, att radarantenner visar fel information, eller, som en yttersta konsekvens, att kontrollen över kärnvapen hamnar i fel händer.
Enligt National Intelligence, myndigheten som samordnar USA:s underrättelsetjänster, har 30 länder idag utvecklat offensiva program för cyberkrigföring.
- Det tas för givet att datakod på egen hand idag kan vålla skador på andra sidan av världen. Frågan är hur man ska kunna avskräcka en fiende från att använda ett sådant vapen, säger Kenneth Geers, när SvD möter honom efter att han varit en av huvudtalarna på en konferens om cybersäkerhet i Oslo.
SvD Världen - omvärldens viktigaste händelser direkt i din mejlkorg
Han var den första amerikanska representanten på det center för cyberförsvar, CCDCOE, som Nato upprättade i Estland 2008. Geers har även arbetat i den amerikanska armén, den nationella säkerhetsmyndigheten NSA och som hotanalytiker på säkerhetsbolaget Fire Eye.
Enligt tankesmedjan Rand är offensiva cyberprogram nu så kraftfulla att de kan destabilisera regeringar och hota Internetteknologier som vi blivit allt mer beroende av. Så sent som 2016 förklarade Nato att cyberrymden är en militär domän, på samma sätt som land, luft och hav är militära domäner.
- Vi har också bestämt att cyberangrepp kan aktivera paragraf 5, sade Natos generalsekreterare Jens Stoltenberg på en presskonferens den 28 juni i år, när det hölls ett försvarsministermöte i alliansen.
Paragraf 5 i Natofördraget innebär att om ett av de 29 länderna i alliansen angrips ska de övriga länderna komma till undsättning.
- Tänk på det en stund! Det här är ett enormt område, som täcker en fjärdedel eller mer av planeten. Hur ska vi kunna klara av det? säger Kenneth Geers.
Cyberrymden, eller cyberspace, likställs ofta med Internet, men är egentligen vidare, eftersom det handlar om alla former av elektronisk kommunikation. Till skillnad från andra militära domäner finns det inga klara gränser.
- I cyberrymden är vi konstant på varandras nätverk. Vår egen digitala personlighet, eller ett företags, är spritt på många olika nätverk i många länder, påpekar Kenneth Geers.
Det är också en gråzon mellan vad som är statlig cyberkrigföring och kriminalitet. Det är relativt sällan att länder pekas ut. USA har bara gjort det fyra gånger:
• Kina för att det attackerat amerikanska företag.
• Ryssland för att de påverkat det senaste amerikanska valet.
• Iran för att ha angripit finansinstitutioner på Wall Street.
• Nordkorea för att det attackerat Sony.
Även om det första dataviruset utvecklades 1986, dröjde det innan datakoder användes offensivt. Ett av de första exemplen på en cyberoperation är Stuxnet, ett datavirus som antas ha utvecklats av USA och Israel 2010. Det infekterade iranska urananrikningscentrifuger och fick dem att spinna för fort. Men har människor verkligen dött på grund av cyberattacker? Kenneth Geers är övertygad om att det redan skett:
- Under en enda vecka 2014, tog hackergruppen Syrian Digital Army, som stöder president Bashar-al Assad, kontrollen över tre webbplatser: Tango, Viber och Truecaller. Tillsammans har de en miljard användare.
- Därmed kunde de se vilka syriska IP-adresser som kommunicerat med utländska journalister, ambassader eller människorättighetsorganisationer. Jag är tämligen säker på att så fort den syriska armén fick den informationen försvann en del av dessa personer.
Svårigheterna att bevisa vem som står bakom en datorattack gör att det är få som döms. I en studie som sju forskare på tankesmedjan har Rand gjort, “Stateless Attribution", skriver de:
"En angripare, som bokstavligen kan vara vem som helst i världen, kan dirigera en attack genom oskyldiga tredjeparter, vars datorer kapats och därmed dölja sitt ursprung. "
Forskarna går i detalj igenom de tekniska problemen med att hitta bevis för vem står bakom en attack. Till skillnad från andra brott, där det kan finnas DNA, pistolhylsor eller andra tekniska bevis, handlar det vid cyberbrott mer om indiciekedjor och omdöme. Det gör att även om någon utpekas kan bevisen ifrågasättas. Därför behövs det en organisation som har internationellt förtroende.
I sitt förslag anser Rand-forskarna att stater inte bör vara direkt representerade i en sådan organisation. Istället bör den bestå av experter från privata IT-säkerhetsbolag och akademiker inom säkerhetspolitik och cyberfrågor.