När cyberattacker utnyttjar folkrättens gråzoner

Cyberattacker anses vara ett av de största hoten mot vårt moderna samhälle. Men hotet ser kanske inte ut som man trodde under internets barndom i början av 2000-talet. Då fanns en oro för enorma cyberattacker som skulle slå ut hela länder på en kvart. Istället har cyberattacker visat sig vara ett effektivt sätt att utnyttja gränsområden mellan regelverken för krig och fred och de traditionella uppdelningar mellan polisiära och militära organisationer som regelverken inom internationell och nationell rätt bygger på. Det menar Marika Ericson, som disputerat med avhandlingen On the Virtual Borderline: Cyber Operations and their Impact on the Paradigms for Peace and War.

Den 27 juni 2017 drabbas det danska rederiet A/P Møller Maersk av den skadliga programvaran Notpetya. Snabbt stänger IT-avdelningen ner alla globala nätverk och hela verksamheten stannar. För det danska rederiet, som står för ungefär 20% av världens handelstransporter och får 90% av sina ordrar digitalt, innebär den kommande 10-dagarsperioden utan internet förlorade inkomster på mellan 200-300 miljoner dollar.

På World Economic Forum 2018 beskriver företagets ordförande Jim Hagemann Snabe att Maersk trots detta aldrig var måltavla för attacken. Man menade att det handlade om en indirekt effekt av en statlig cyberattack. Samma år rankar World Economic Forum cyberattacker som det tredje största hotet mot samhället i sin Global Risk Report.

I sin avhandling använder Marika Ericson bland annat händelsen med Notpetya och Maersk som ett exempel på hur en modern cyberattack kan se ut, och för att visa skillnaderna mot de ”cybergeddonscenarier” man såg framför sig i början av 2000-talet.

- En attack är svår att begränsa och styra för att bara få verkan exakt där man vill. Nätverken är så sammanbundna idag. Därför finns en risk att även den egna staten påverkas om slår man ut en annan stats infrastruktur. Så det verkar som att stater håller ner cyberattacker till en lägre nivå än vad man trodde de skulle göra i början av 2000-talet, stater har inte intresse av att skapa Hiroshima i cyberspace.

Vid sidan av Notpetya beskriver Marika Ericson flera välkända cyberattacker med misstänkt statlig inblandning, som Wannacry, Stuxnet och attackerna mot Ukrainas elnät 2015 och 2016.

Istället för att skapa kaos och kollaps menar hon att den stora potentialen med den typen av cyberattacker kan förstås i relation till hur folkrätten är konstruerad.

Juridiken syftar till att tydligt placera en händelse antingen i fred eller krig, men cyberattacker är väl lämpade att spela på den gränslinjen och därmed göra det svårt att entydigt avgöra om de ska placeras i fred eller krig. Det i sin tur skapar ett gynnsamt utgångsläge för en stat som relativt riskfritt vill påverka andra stater.

Cyberattacker – fred, krig eller något mittemellan?

Inom internationell rätt finns en tydlig uppdelning mellan regler som gäller i fred respektive krig. När det är fred mellan stater reglerar fredstida lagar deras relationer, och när det är krig gäller krigets lagar.

Det här systemet bygger på att det finns en tydlig gränsdragning mellan regelverken och vilka handlingar som innebär att gränsen överskrids, till exempel att en stat genomför ett traditionellt väpnat angrepp mot en annan.

- Juridiken betraktar i grunden krig som något som sker mellan två olika stater. I det systemet blir den här omslagspunkten mellan fred och krig väldigt kopplad till en konventionell våldsanvändning. Men omslagspunkten, det väpnade angreppet, i termer av cyberattacker är fortfarande inte helt utrett. När når cyberattacker en nivå som skulle innebära ett väpnat angrepp?

En viktig poäng enligt Marika Ericson är att cyberattacker medvetet kan utformas för att hålla sig under gränsen för vad som anses vara användning av våld eller ett väpnat angrepp. Till exempel genom att få en cyberattack att se ut som ett fredstida brott, eller kanske en olycka. På det sättet har man som stat mycket att vinna utan att riskera de konsekvenser som krigets lagar skulle medföra.

- Här finns en potential i cyberattacker som stater verkar uppleva är mer användbar än att skapa de riktiga haveriscenarierna. Cyberattacker är väldigt effektiva för underrättelsearbete och för att göra mer störande, saboterande eller attacker i syfte att påverka opinioner eller politik i en annan stat. Eller som förberedelse inför en mer konventionell attack. Titta på Ukraina - oavsett om vi pratar om annekteringen av Krim eller om östra Ukraina så ser man att konflikten har väldigt tydliga cyberkomponenter med till exempel attacker på energisystemen 2015 och 2016.

Svårt att avgöra vem som är skyldig

I cyberspace finns stora möjligheter till anonymitet för såväl kriminella grupper som stater. Det gör att cyberattacker är svåra att attribuera – alltså att knyta till en förövare.

Därtill är det vanligt att stater använder sig av ombud för att utföra själva attacken. Det kan vara grupper av hackare eller andra organisationer på hemligt uppdrag från staten. På det sättet ser man som stat till att alltid kunna presentera en annan version av vad som hänt om man skulle utpekas som skyldig.

- Man har då möjlighet att förneka sin inblandning och att säga 'det var inte jag, jag hade inte med det här att göra'. Oavsett hur mycket andra stater attribuerar så kommer den osäkerheten ändå alltid att ligga kvar. Det finns alltid en möjlighet att driva andra narrativ, d.v.s. påverkansaspekterna blir viktiga återigen. Det tycker jag man ser tydligt vad gäller till exempel Notpetya, där många stater pekat ut Ryssland som skyldiga. Men de har i sin tur all möjlighet att driva narrativet 'ja det är klart att de tycker det, vi får ju skulden för allt.' Och det kommer alltid finnas en viss grupp som gärna bidrar till att sprida den versionen vilket ytterligare ökar osäkerheten kring vad det egentligen är man har att hantera.

Samtidigt menar Marika Ericsson att det under senare år blivit vanligare att stater faktiskt pekar ut varandra. Förutom Notpetya nämner hon attacken Wannacry som enligt bland andra USA kunde spåras till Nordkorea. För även om man inte har bevis som håller juridiskt kvarstår möjligheten att skicka en tydlig politisk signal:

- I USA exempelvis bedrivs individuella rättsfall mot personer man menar är statliga hackare från till exempel Kina, Nordkorea och Ryssland. Det är nog sällan så att man tror att personerna kommer bli utlämnade. Men man skickar signaler och visar att man kan ta reda på vem som ligger bakom en attack – ”vi har koll på er”. Dessutom ger det möjligheter till att begränsa personernas rörlighet, och därigenom verksamhet, genom att de riskerar utlämnande till USA om de reser till andra länder än sitt hemland.

Olika former av motmedel

Trots att cyberattacker utmanar folkrättens grundläggande uppdelning mellan lagar för fred och lagar för krig är Marika Ericson inte säker på att uppdelningen i sig kommer försvinna. De flesta stater är trots allt överens om var gränsen går. Och om de fysiska skadorna av en cyberattack blir tillräckligt omfattande är det enligt rådande uppfattning möjligt att kategorisera den som ett väpnat angrepp.

Problemet, enligt Marika Ericson, är istället hur folkrätten ska hantera de attacker som stater gör men som håller sig under den nivå som generar en väpnad konflikt och aktiverar krigets lagar.

- Staterna är osams om väldigt mycket på det här området, men man är ganska överens om att är man väl i en väpnad konflikt med en annan stat, då gäller krigets lagar även om det är cyberoperationer man ägnar sig åt. Det intressanta är snarare det som sker i fredstid, men som är ett statligt agerande. Olika typer av spionage eller interventioner i andra staters inre angelägenheter till exempel. Det är där de intressanta gränslinjerna egentligen finns idag.

I sin avhandling beskriver Marika Ericson hur länder på lite olika sätt har försökt att strukturera och kontrollera händelser i gråzonen mellan fred och krig.

I flera fall handlar det om beredskapslagar eller olika varianter av undantagstillstånd som ger makthavare tillfälligt utökade befogenheter. Det finns till exempel i Norge, där beredskapslagen har en paragraf om konstitutionell nödrätt, vilket i praktiken ger makthavare mandat att kringgå ordinarie lagstiftning om en situation kräver det. Inte bara i krig, utan också i andra kriser som bedöms tillräckligt allvarliga.

En annan variant, som förekommer i till exempel Finland, Italien och Tyskland, är att i kombination med tydliga beredskapslagar även för fredstida kriser använda sig av ett slags hybridstyrkor med både polisiära och militära mandat. Marika Ericson ser en tendens att dessa styrkor ofta får ta sig an utredningar på cyberområdet just för att kunna växla mellan olika juridiska mandat om utredningen kräver det.

Ytterligare ett alternativ, som också är aktuellt i Sverige, är att etablera särskilda cybersäkerhetscenter.

- Via ett cybersäkerhetscentrum kan man öka samarbetet mellan polisiära och militära styrkor på olika sätt. Och delvis säkerhets- och underrättelsetjänster. Oftast handlar det om att öka informationsdelningen och samverkan i syfte att snabbt kunna flytta ansvaret för att hantera olika händelser.

Medan enskilda stater hittar egna vägar framåt är det fortfarande oklart hur de internationella reglerna kommer utvecklas framöver. Marika Ericson ser här en risk för att stater som är starka på området kommer driva den internationella rättsutvecklingen åt ett håll som är önskvärt ur deras perspektiv. Samtidigt berättar hon att det finns två multinationella grupper knutna till FN som just nu arbetar med just dessa frågor. Utfallet är fortfarande oklart, och många stater är oeniga – men enligt Marika Ericson är det samtidigt viktigt att diskussionerna förs på hög internationell nivå.