Listan över amerikanska myndigheter som har komprometterats genom cyberattacken mot SolarWinds fortsätter att växa, med rapporter om intrång på finansdepartementet, handelsdepartementet, Homeland Security samt potentiellt utrikesdepartementet, försvarsdepartementet och hälsodepartementet. Detta är en stor händelse rörande nationell säkerhet: Det är det största kända dataintrånget på amerikanska regeringens nätverk sedan 2014, och kan ge angriparna en stor mängd information.
Även om omfattningen av denna attack fortfarande är under utvärdering, väcker en sådan extraordinär överträdelse en ganska uppenbar fråga: Fungerar USA:s cyberstrategi? USA har historiskt förlitat sig på, för det första, en avskräckningsstrategi och, mer nyligen, idén om ett ”framskjutet försvar” för att förebygga och reagera på fientligt beteende i cyberrymden.
Vad som har hänt är alltså att vad som troligen är en främmande makt (som pekas ut som Ryssland) har hackat en tredje part (företaget SolarWinds) för att få tillgång till ett ännu okänt antal amerikanska statliga nätverk och deras data, något som är en betydande spionageprestation. Det illustrerar hur tredjepartsleverantörer kan vara en vektor för hotaktörer att genomföra spionagekampanjer i en omfattning som vanligtvis inte ses utanför cyberrymden. Nämnas skall också att även Microsoft har pekats ut som en attackvektor, genom sin molntjänst Office 365.
Just nu verkar operationen främst ha varit spionage för att stjäla nationell säkerhetsinformation, snarare än att störa, blockera eller förvanska amerikanska regeringens data eller nätverk. Även om det kan verka petigt är terminologin viktig eftersom det har politiska, och ibland rättsliga, konsekvenser. Spionage är en accepterad del av internationell statskonst, en som stater ofta svarar på med gripanden, diplomati eller kontraspionage. Däremot har en attack (även en cyberattack) internationella och inhemska rättsliga konsekvenser som kan tillåta stater att svara med våld.
Frågan är vad denna incident innebär för USA:s cyberstrategi. För att förstå varför detta är en komplicerad fråga är det bra att förstå hur denna strategi fungerar (och inte). Avskräckning handlar om att övertyga en motståndare att inte göra något genom att hota med straff eller att få det att verka osannolikt att operationen kommer att lyckas. Detta är en svår sak att göra på grund av flera skäl. För det första måste stater hota med en respons som är både skrämmande och trovärdig. Ett hot kanske inte är trovärdigt eftersom staten saknar förmåga att genomföra det. Eller, som oftare är fallet med USA, kan hotet sakna trovärdighet eftersom motståndaren inte tror att det kommer att genomföras. Till exempel kan USA hota med att använda kärnvapen som svar på cyberspionage, men ingen stat skulle tro att USA faktiskt skulle inleda en kärnvapenattack som svar på ett dataintrång. Det är helt enkelt inte ett trovärdigt hot.
För att göra saken ännu mer komplicerad är det också svårt att säga när avskräckning faktiskt fungerar, eftersom om det gör det, ingenting händer. Så även om en stat avskräcktes av ett bra försvar, är det nästan omöjligt att veta om staten inte fullföljde en attack bara för att den inte tänkte göra det oavsett försvaret.
Det finns få, om ens några, avskräckande mekanismer som fungerar för att förhindra cyberspionage. Eftersom stater rutinmässigt spionerar på varandra, både vänner och fiender, finns det ett mycket begränsat antal trovärdiga straff stater kan använda för att hota andra till att inte spionera. USA har försökt använda en handfull alternativ för cyberavskräckning, som att utfärda arresteringsordnar för statligt sponsrade hackare eller att hota med sanktioner för cyberspionage. Men dessa har haft begränsad framgång.
Men det finns indikationer på att avskräckning kan fungera i cyberrymden. Ingen motståndare har någonsin genomfört en cyberattack mot USA som lett till våld eller ihållande, betydande effekter på infrastruktur eller militär kapacitet. Förmodligen beror detta på att USA:s stora konventionella militära kraft är en trovärdig avskräckande faktor för den sortens attacker. Den mer komplicerade strategiska utmaningen för USA är i utrymmet mellan nationellt säkerhetsspionage (där avskräckning inte riktigt fungerar) och stora cyberattacker (där avskräckning verkar fungera).
När det gäller SolarWinds-incidenten är situationen ännu inte klar. Intrånget pågår fortfarande, och hur det kommer att sluta är fortfarande okänt. Information som samlats in vid intrånget kan användas för andra skadliga utrikespolitiska mål utanför cyberrymden, eller så skulle angriparen kunna utnyttja sin tillgång till amerikanska statliga nätverk för att genomföra störande eller destruktiva åtgärder (med andra ord, genomföra en cyberattack).
Men hur är det med försvarsdepartementets nya strategi för ”framskjutet försvar”, Defend Forward, som var tänkt att fylla i gapet där traditionella avskräckande mekanismer kanske inte fungerar? Vissa ser det pågående intrånget som ett misslyckande eftersom försvarsdepartementet till synes inte lyckades stoppa det innan det inträffade. Denna strategi introducerades 2018 som ”Defense Department Cyber Strategy” och syftar till att ”störa eller stoppa skadlig cyberaktivitet vid källan”. Detta innebar en förändring i hur försvarsdepartementet såg på sitt agerande i cyberrymden och gick utöver att bara agera i nätverk de själva äger till att verka i andras. Det har naturligtvis varit en del kontroverser om denna hållning. Delvis kan detta bero på att Defend Forward har beskrivits på många olika sätt, vilket gör det svårt att förstå vad begreppet faktiskt innebär och under vilka förhållanden det är tänkt att gälla.
Förenklat verkar det dock betyda två typer av aktiviteter: Den första är informationsinsamling och delning med allierade underrättelsetjänster genom närvaro i nätverk där motståndare verkar. Dessa aktiviteter skapar mer robusta försvarsmekanismer, men lämnar stort manöverutrymme för motståndaren. Den andra omfattar att motverka motståndarens offensiva cyberkapacitet och infrastruktur inom motståndarens egna nätverk, med andra ord, att utföra cyberattacker mot motståndarens hackergrupper eller andra aktörer för främmande makt. Det är inte känt hur mycket av sådant som försvarsdepartementet har gjort, men SolarWinds-incidenten tyder på att USA skulle kunna ha gjort mer.
Hur ska den amerikanska cyberstrategin anpassa sig efter SolarWinds-incidenten? Avskräckning må vara en ineffektiv strategi för att förhindra spionage, men andra alternativ kvarstår. För att minska omfattningen och svårighetsgraden av dessa underrättelseintrång kommer förmodligen USA att skärpa sitt cyberförsvar, genomföra kontraspionageoperationer och kanske även genomföra motattacker för att försämra den kapacitet och infrastruktur som gör det möjligt för motståndare att bedriva spionage, det vill säga mer av Defend Forward.
