Computerworld News Service: Den amerikanske politik i forhold til håndteringen af cyberkrig skal omdefineres og ikke nødvendigvis ligne den, man har i forhold til andre typer angreb, erklærede tre eksperter i cyber-sikkerhed over for kongressen i sidste uge.
Det bliver svært for den amerikanske regering at gennemføre en vellykket cyberkrigs-politik, der er baseret på afskrækning på samme måde som i forhold til atomvåben, siger Martin Libicki, som er 'senior management scientist' og specialist i cybersikkerhed ved den ikke-kommercielle tænketank Rand.
Det er for det første svært at identificere angriberne, og særligt når visse nationer tilsyneladende sponsorerer private angreb, argumenterede han under et møde arrangeret af the Congressional Cyber Caucus i Washington.
Men samtidig kan det også blive svært for USA at gennemføre trusler om modangreb, så længe de amerikanske cyber-eksperter ikke ved, hvor meget skade et angreb rent faktisk kan gøre, tilføjer han.
Der er risiko for, at nogle lande vil være villige til at gamble i forhold til USA's evner til modangreb, på en måde de aldrig ville gøre, når det drejer sig om atomvåben, sagde han.
"Enhver afskrækningspolitik er designet til at skræmme folk væk," sagde han.
"Problemet er, at hvis ikke man kan gennemføre truslen, så er der bare tale om bluff. Det er muligt, at nogle mennesker gerne vil afsløre os i at bluffe. Hvis det viser sig, at vi ikke kan det, vi siger, så vil det ikke bare være pinligt for os selv, men det vil også virke negativt på den afskrækningspolitik, vi fører på andre områder."
Politik og taktik
Martin Libicki advarede sammen med to andre eksperter i cyber-sikkerhed medlemmerne af den amerikanske kongres om, at det bliver vanskeligt at finde den helt rigtige politik i forhold til cyberkrig. Mødet var arrangeret af kongresmedlemmer med interesse i cyberforsvar.
Talerne på mødet noterede sig, at det amerikanske forsvarsministerium begyndte at opsætte en samlet cyber-kommando tidligere i år. Men det er stadig uklart, hvordan kommandoens cyberkrigs-politkker vil blive udformede, fortalte Paul Kurtz, som er partner i Good Harbor Consulting, der beskæftiger sig med cyber-sikkerhed.
"På den ene side så skal man selvfølgelig ikke gå rundt og fortælle højt, at man ikke vil føre en afskrækningspolitik, og at man ikke regner med at gennemføre modangreb. Men på den anden side så kan det også skabe en masse problemer, hvis man går ud siger, at man vil gøre det," sagde Martin Libicki.
Samarbejde med kina
Et af problemerne ved cyberkrig er, at det ikke er klart defineret, hvad der rent faktisk udgør en krigshandling, tilføjede Paul Kurtz. Der er ingen klar adskillelse mellem et 'almindeligt' cyberangreb og en krigshandling, sagde han.
Så længe definitionerne ikke er på plads, er det svært at føre en offentlig debat om, hvordan den amerikanske cyberkrigs-politik skal se ud.
Derudover er det nok ikke klogt at henvise til visse lande som cyber-fjender, siger han. Selv om den kinesiske regering ofte bliver anklaget for at sponsorere cyberangreb, så bør den amerikanske regering alligevel samarbejde med kineserne om cyberforsvar, sagde Paul Kurtz.
"Vi er stadig nødt til at kunne diskutere emnet med dem," sagde han. "Hvad udgør fornuftig adfærd? Det vil være uklogt at angribe en vigtig samarbejdspartner."
Samtidig bør den amerikanske regering dog anerkende, at cyber-angreb kan påføre landet "horrible skader," tilføjede Scott Borg, som er bestyrelsesmedlem og cheføkonom ved den ikke-kommercielle U.S. Cyber Consequences-enhed, som beskæftiger sig med konsekvenserne af cyber-angreb.
Afhængig af reservedele
Et cyber-angreb på en større antal elektricitets-generatorer kunne for eksempel få vidtrækkende konsekvenser, eftersom USA ikke er godt udrustede i forhold til reservedele på det område, sagde han.
De fleste reservedele kommer fra Kina og Indien, fortalte han. Nyhedsrapporter fortalte, hvordan sikkerhedseksperter i 2007 demonstrerede, at man kan ødelægge en generator ved hjælp af et cyberangreb.
"Vi har endnu ikke fundet en måde at erstatte dem, der ikke tager flere måneder," sagde han.
De første par dage vil et område uden elektricitet fungere nogenlunde, fortalte Scott Borg. Men efter otte til 10 dage vil 72 procent af al økonomisk aktivitet i området ophøre, tilføjede han.
Hvis man kan slukke for elektriciteten i et større område i USA i en periode på nogle måneder, så vil det have lige så omfattende økonomiske konsekvenser som et atomangreb, sagde Scott Borg.
Oversat af Marie Dyekjær Eriksen
