Stríð nútímans er falið í tölvunni þinni

Áður en tókst að komast fyrir vandann voru 200.000 manns í vesturhluta Úkraínu án rafmagns. Það varð fljótt ljóst að hakkararnir voru vel undirbúnir, höfðu unnið vikum eða mánuðum saman að því að finna sér leið inn í stýribúnað rafkerfisins og höfðu greinilega peninga og önnur úrræði sem til þurfti. Tilgangurinn var þó ekki endilega að slá út rafmagninu, heldur að sýna fram á að það væri hægt. Hrista upp í fólki, ógna yfirvöldum í Úkraínu. Vekja jafnvel svolítinn ótta.

Þessari frásögn eru gerð skil í fremur melódramatísku myndskeiði sem framleitt var fyrir NATO. Og af hverju lét NATO gera myndband um árás hakkara á orkuver einhvers staðar í Úkraínu? Af því að þetta var árás rússneskra hakkara og skilgreind sem stríðsaðgerð.

Því stríð er ekki lengur einungis það sem við sjáum flest fyrir okkur: Hermenn með byssur eða kannski dróna sem varpa sprengjum.  Í dag getur vopnið verið tölva í höndum hakkara eða upplýsingaóreiða – falsfréttir. Sérfræðingar tala um fjölþáttaógn – hybrid-ógn. Í dag eru landamæri hvorki víglína né vörn . Það er netið er bæði vopnið og vettvangurinn.

Laura Galante er sérfræðingur í því hvernig hægt er að beita netinu við njósnir, glæpi eða í stríði. Í hefðbundnu stríði eru ummerkin augljós og óvinurinn þekktur. En í þessu breytta umhverfi er oft erfitt að átta sig á því hvort eitthvað er um að vera, hvers vegna og hver stendur á bak við það.

„Við erum að velta fyrir okkur hvernig þjóðríki, glæpamenn og almenningur nýtir internetið og þá ekki aðeins fyrir liðug  samskipti og til að senda netpóst heldur einnig í vafasamari tilgangi. Hvort sem það eru njósnir eða beiting sýndarárásarflauga. Við nýtum netið á þann hátt sem ekki var farið að hugsa út í fyrir bara áratug. Það sem við glímum nú við er mun gruggugra, eins konar viðvarandi og undirliggjandi átök, þar em þjóðríki geta átt í starfsemi sem hefur ámóta afleiðingar og dæmigerður stríðsrekstur án þess að það liggi klárt fyrir að verið sé að ráðast á persónu, ríki eða fyrirtæki í þeirri merkingu sem við leggjum í árás. Og án þessara skilgreininga og skilnings óttast ég að við stefnum í átök og þau vefja svo upp á sig að við vitum ekki einu sinni að þau hafa hafist.“

Þessi fjölþáttaógn getur haft margar birtingarmyndir og stundum er fleiri en ein aðferð notuð í einu, eins og nafnið gefur kannski til kynna. Í sumum tilvikum er hefðbundnu herafli beitt, eða málaliðum, eins og gert var í Austur-Úkraínu þegar Rússar réðust þar inn. En oftar en ekki er hefðbundinn her hvergi sjáanlegur. Í staðinn eru kerfi hökkuð, til að valda skaða eða nálgast upplýsingar. Allt frá umferðarljósum til sjúkrahúsa, rafstöðva og flugumferðastjórnar – í því augnamiði að skapa glundroða. Stolnar upplýsingar eru notaðar til að kúga fólk eða fölskum fréttum er komið í umræðuna. Sá sem að þessu stendur er ósýnilegur og oft erfitt að vita að árás hafi verið gerð. Þessum aðferðum er ekki síst beitt þegar hervald eitt dygði ekki til eða þegar skotmarkið er einfaldlega meiri máttar á því sviði.

Hanna Smith er sérfræðingur hjá Hybrid Center of Excellence, stofnun í Finnlandi þar sem fulltrúar margra ríkja koma saman til að finna leiðir til að bregðast við þessari nýju ógn. Hún segir tilgang svona ógnar oftar en ekki að hafa þannig áhrif á ákvarðanir mótherjans, að þær ákvarðanir verði honum sjálfum til tjóns. Óneitanlega hljómar það eins og lýsing á afskiptum Rússa af kosningabaráttunni í Bandaríkjunum 2016.

„Það gæti verið eitt dæmið; það augljósa er að Rússar vildi að Trump yrði kosinn og þeim tókst það. Hinn tilgangurinn er að skapa sundrungu,“ segir Hanna Smith.

Hér heima hefur Elfa Ýr Gylfadóttir, framkvæmdastjóri fjölmiðlanefndar, skoðað upplýsingaóreiðu og falsfréttir ofan í kjölinn. Hún tekur undir með hinum sérfræðingunum, að einn megintilgangur með upplýsingaóreiðu sé að rýra traust stofnana, samfélagsins, réttarríkisins. Einnig alþjóðastofnana eins og NATO og Evrópusambandsins.

Rússar eru oftast nefndir þegar rætt er um tölvuárásir og upplýsingaóreiðu, og ekki að ástæðulausu. Sumir sérfræðingar vilja meina að þetta sé í raun og veru þróun á aðferðum sem hafi verið beitt allt frá á tímum Sovétríkjanna. Aðrir benda á að Rússar hafi markvisst þurrkað út mörkin á milli stríðs og friðar, því þeir séu í sífelldri árás til að búa sér í haginn fyrir eiginleg stríðsátök, komi til þeirra. Í verkfærakistunni, eða vopnabúrinu, er því allt frá hefðbundnu tölvuhakki til aðgerða sem mætti helst líka við að hakka heil samfélög. Frá því að hakka lykilstofnanir og slá þær jafnvel út til þess að nota viðkvæmar persónuupplýsingar til að kúga áhrifafólk.

Siim Alatalu starfar hjá miðstöð tölvuglæpa og tölvustríðs í Eistlandi, miðstöð tengdi NATO sem rekin er innan herstöðvar hærri Tallinn. Hann segir eina hliðina á þessum ógnum snúa að stöðum hökkurum, sem geti þess vegna verið tólf ára krakki.

„Hinar öfgarnar eru þessar þróuðu og viðvarandi ógnir sem yfirleitt eru kenndar við leyniþjónustur ákveðinna ríkja. Þær nefnast apt og svo ákveðnu númeri. Apt-28 er oft tengt hernaðarnjósnum Rússa til dæmis. Nú er talið að um þrjátíu þjóðir búi yfir getu til netárása svo að Rússar eru ekki einir um hitunina. En þeir er þó einna mest áberandi.“

Hanna Smith nefnir líka Kínverja og segir stundum Íran talið til þeirra ríkja sem beita brögðum af þessu tagi. Hafa beri í huga að svona aðferðir séu hefðbundnar hjá alræðisríkjum. Svo að í því ljósi sé fjöldi landa sem beiti þessum brögðum, þar sem þau vilji hafa áhrif en búi ekki yfir nægilegri getu sjálf til þess, og þurfi því að sameina mismunandi aðferðir.

„Í ofanálag við það eru allnokkrir utan þjóðartengsla, sem hafa ákveðna hagsmuni að verja. Jafnvel alþjóðleg skipulögð glæpasamtök geta nýtt þessar aðferðir til að glíma við og ógna þjóðríkjum.“

Geta lamað stofnanir

Og þótt þjóðríki kunni að vera skotmarkið er það á þessum vígvelli, eins og öðrum, að almennir borgarar verða fyrir áhrifunum. Laura Galante nefnir sem dæmi árás í Úkraínu 2017. Þar lét rússneska herleyniþjónustan GRU til sín taka, en hakkarar hennar eru sagðir hafa verið virkir fyrir kosningarnar í Bandaríkjunum 2016.

Í árásinni í Úkraínu var starfsemi fjölmargra alþjóðafyrirtækja með bækistöðvar í Úkraínu  fullkomlega lömuð vegna spilliforrita sem hafði verið komið fyrir í kerfunum í gegnum úkraínskan skattahugbúnað sem ráðist var gegn. Allir þeir sem nýttu hugbúnaðinn urðu skyndilega fyrir árásum sem knésettu starfsemina. Skotmarkið var ekki þjóðríki og engri sprengju varpað, en venjulegt fólk og fyrirtæki í eldlínunni.

Með því að raska starfi fyrirtækja og setja jafnvel störf fólks í hættu, var markmiðinu náð: að gera viðskipti í Úkraínu óþægileg og draga úr tiltrú á að yfirvöld gætu haldið öllu gangandi. En sérfræðingar eru ekki sammála um hvort árás af þessu tagi jafngildi stríðsyfirlýsingu eða því að varpa sprengju.

Antonio Guterres, framkvæmdastjóri Sameinuðu þjóðanna, hefur hvatt til þess að reglur verði settar um svona átök, rétt eins og í hefðbundnu stríði, þannig að Genfar-sáttmálarnir eða alþjóðlegir mannúðar- og mannréttindasáttmálar gildi, til dæmis.

Á Íslandi höfum við verið fjarri vígaslóð, legu landsins vegna. En í stríði af þessari tegund skiptir legan engu máli, einungis mikilvægið. Óvinurinn – sá sem vill hafa  áhrif af einhverju tagi – getur verið nánast ósýnilegur hinum megin á hnettinum.

„Það eru engar eyjar í netheimum en þegar Ísland á í hlut þá eruð þið jafntengd og hver önnur þjóð á netinu á alþjóðlegum mörkuðum,“ segir Laura Galante. „Og geta netárása eða jafnvel netnjósna til að fara langt yfir ætlað skotmark er einn þeirra þátta sem magnar ógnina gagnvart smærri þátttakendum, þátttakendum sem annars teldu sig utan skotmarksins.“

Þjóðaröryggisráð og netöryggisráð hafa staðið fyrir samráðsfundum og ráðstefnum um þessi mál undanfarið, en fyrirspurnir Kveiks til stjórnkerfisins um hvernig væri staðið að vörnum og aðgerðum skiluðu litlu. Þannig að það er í besta falli óljóst hvernig vel Ísland er undir það búið að takast á við þessa nýju ógn.  Viðmælendur Kveiks staðfestu hins vegar að tölvuárásum hverskonar hefði fjölgað mjög mikið undanfarið. Það væri hins vegar erfitt að segja til um tilgang þeirra og nánast vonlaust að segja hver stæði fyrir þeim.

Hanna Smith, yfirmaður hjá Hybrid Center of Excellence í Helsinki, segir að hnattstaða Íslands sé afar mikilvæg. Stríð snúist ekki um landamæri lengur heldur lykilaðstöðu af annari tegund, hvor sem í hlut á upplýsingaflæði, fjárstreymi eða bara hernaðarlegir þættir. Með tilliti til þessara þátta er Ísland mjög miðlægt.

Hnattstaðan skiptir máli

Ísland er NATO-ríki og hér eru til dæmis alls konar gagnaver – og þeim fjölgar í sífellu. Þeim tengjast sæstrengir suður af Íslandi sem bera nánast öll samskipti á milli heimsálfanna. Þar hefur orðið vart við rússneska kafbáta og ein tilgátan er sú að þar reyni Rússar að komast inn í samskiptaleiðirnar, til að trufla samskiptin, hlera þau eða jafnvel breyta boðum sem fara fólks, fyrirtækja, stofnana og þjóðríkja á milli. Siim Alatalu, hjá Cyber Center of Excellence í Tallinn, segir að Íslendingar séu í farar broddi á heimsvísu í nýtingu jarðvarma. Það geti gert Ísland að skotmerki fyrir aðra þjóð.

Laura Galante nefnir líka Kína, sem hefur í vaxandi mæli hagsmuni að verja á norðurslóðum og kínversk stjórnvöld hafa sannarlega sýnt Íslandi áhuga.

„Kínverjar hafa fyrir siðvenju, kínversk yfirvöld og kínverskt atvinnulíf, hafa fyrir siðvenju að brjótast inn í tölvukerfi fyrir samningaviðræður og meðan á samingaviðræðum stendur. Svo að það kæmi mér ekki á óvart að slíkt sé í gangi eftir því sem Kína færir út kvíarnir í Belti og braut frumkvæðinu og stefnir á norðurslóðir. Og Kínverjar fara ekki í grafgötur með ætlanir sínar og hvernig þeir hyggjast beita afli sínu. Þá þætti og þau áform þurfa Íslendingar að hafa í huga þegar þeir íhuga hvað sé ógn og svo vinsamleg tilboð.“

Og svo er það upplýsingaóreiðan – tilraunir til að valda uppnámi og úlfúð með falsfréttum, ekki síst með því að beita samfélagsmiðlum.

Elfa Ýr, framkvæmdastjóri fjölmiðlanefndar, segir að í raun og veru sé lítið vitað um landslagi á Íslandi. Hér hafi ekki verið gerðar jafnmarkvissar rannsóknir og erlendis á því, hver sé uppspretta upplýsinga, svo dæmi séu tekin.

Þróunin hröð en viðbrögðin ekki

Þeir sem þekkja til þessarar nýju og óræðu ógnar segja að þróunin sé bæði mikil og hröð. En viðbrögðin séu það hins vegar ekki. Þau séu allt of hæg og miðist iðulega við þau brögð sem síðast var beitt.  En Rússar, sem eru öðrum fremri í þessari nýju tegund hernaðar, séu ávallt skrefi á undan. En þegar ógnin er eiginlega ósýnileg, þótt áhrifanna verði vart, er ekki hætta á að menn sjái ógn í hverju horni?

„Það er eitt þeirra atriða sem við þurfum að grandskoða. Hvað er ógn og hvað líkist bara ógn en er það ekki? Og það sem enn er ekki ógn en gæti orðið það. En stundum er það markmið andstæðingsins, að við bregðumst rangt við í ákveðnum atriðum. Tökum rangar ákvarðanir og verðum því berskjaldaðri fyrir vikið,“ segir Hanna Smith.

Tilgangur árásanna er að hafa áhrif á framvindu eða skoðanamyndun. En það er ekkert nýtt. Bandaríkin voru fyrst allra ríkja til að stofna fjölmiðla sem útvörpuðu  „sönnum og heiðarlegum“ fréttum austur yfir járntjaldið á sínum tíma.
Hver er munurinn á því sem Vesturlönd hafa nú opinskátt stundað alllengi og það sem við sjáum nú, það sem kalla má stafrænan hernað?

„Vesturlönd hafa gert þetta fyrir opnum tjöldum. Og það hafa þessir gerendur sem beita fyrir sig stafrænum meðölum ekki gert. Og því reynist mun snúnari að greina það. Fyrir áróðri er gömul hefð og hann hefur verið af margvíslegum toga. Allir beita fyrir sig áróðri. En þessum ákveðna áróðri er beint að vestrænum lýðræðisríkjum og kerfislægum veikleikum innan þeirra þó svo að lýðræðið sé styrkur í sjálfu sér.“