"Cyberkrig-truslen er blevet voldsomt overdrevet."
Ordene kommer fra Bruce Schneier, forfatter og af mange regnet som lidt af en sikkerheds-guru.
I et blogindlæg giver han sit indspark i den debat om cyberkrige, der er blevet rejst i kølvandet på et større DDoS-anreb mod USA og Sydkorea, der fandt sted sidste sommer.
I USA gik det blandt andet ud over Finansministeriet, Secret Service, Det Hvide Hus, Forsvarsministeriet, New York Stock Exchange og Nasdaq, men efterfølgende er det blevet slået fast, at der ikke var tale om en egentlig cyberkrig, hvor et bestemt land stod bag.
Til gengæld har flere rapporter peget på, at der er behov for et bedre forsvar, hvis man skal undgå alvorlige problemer, hvis og når en cyberkrig opstår.
Tidligere på året konkluderede en engelsk rapport også, at organisationer som EU og NATO slet ikke samarbejder nok om at styrke forsvaret mod cyber-angreb.
Bruce Schneier skriver, at der endnu er mange ubesvarede spørgsmål, når det kommer til, hvem der har ansvaret for at sikre USA mod et cyber-angreb, og at en række sikkerheds-ansvarlige nærmest overbyder hinanden med skræmmeeksempler.
"Det er ikke bare retorik fra nogle få over-ivrige "government officials og headline writers;" hele den nationale debat om cyberkrig er præget af overdrivelser," skriver Bruce Schneier.
Hverdagskost på internettet
Han forklarer, at internettet indebærer alle mulige trusler - indentitetstyveri og hacking eksempelvis.
"Disse trusler dækker over en række bagmænd, motivationer, taktikker og mål," skriver Bruce Schneier og peger på, at det eksempelvis var forkert at kalde det cyberkrig, da Estland i 2007 blev ramt af DDoS-angreb.
"Angrebene på estiske websider i 2007 var simple hacker-angreb begået af etniske russere, der var vrede på grund af anti-russiske politikker; det var denial-of-service-angreb, en normal risiko i cyberspace og næppe enestående."
Hvad er en cyberkrig?
Bruce Scheier skriver, at man gang på gang ser, at betegnelsen cyberkrig bliver klistret på noget, der måske nok er kriminelle handlinger, men ikke krig i ordets egentlige betydning.
"Et af problemerne er, at der ikke findes nogen klar definition af "cyberkrig". Hvordan ser den ud? Hvordan starter den? Hvornår er den slut?"
"Selv sikkerhedseksperter kender ikke svarene på disse spørgsmål, og det er farligt at anvende betegnelsen krig i bred forstand, medmindre vi ved, at en krig finder sted."
Bruce Schneier mener, at udfordringen er, at man i den fysiske verden typisk kender angriberen og/eller motivet - og derudfra kan svare igen inden for lovens rammer.
"Det er præcis de to ting, du ikke kender, når du bliver angrebet over internettet. Vi så det den 4. juli sidste år, da U.S.- og sydkoreanske websider blev angrebet af ukendte gerningsmænd fra Nordkorea - eller måske England. Eller var det Florida."
"Vi kæmper ikke imod en cyberkrig nu, og risikoen for en cyberkrig er ikke støre end risikoen for en land-invasion," slutter Bruce Schneier sit indlæg og opfordrer til, at man i højere grad bruger termen cyberkriminalitet end cyberkrig.
