Mikkel Storm Jensen

4 GEOFORUM • JUNI 2024 AF MIKKEL STORM JENSEN, FORSVARSAKADEMIET Cyberresiliens vil sige modstandsdygtighed og evnen til at komme i gang igen efter uheld eller angreb. Det er ikke kun Danmark, der kaemper med de herover naevnte udfordringer. Dr. Mika Kerttunnen, der har bidraget til Finlands og over tyve andre landes nationale cyber-og informations sikkerhedsstrategier, sammenfatter situationen således: " Der er tre slags lande i verden: Dem uden cyberresiliensstrategier, dem med urealistiske strategier, der ikke kan imple-menteres, og dem med realistiske strategier, der er dårligt implementeret. " Hvilken kategori ville Kerttunnen så placere Danmark i? Cyber-og informationssikkerhedsstrategier i Danmark Vi har siden 2014 implementeret tre nationale cyber-og informationssikkerhedsstrategier samt EU's NIS-direktiv for cybersikkerhed i medlems-landenes kritiske infrastruktur. Vi står midt i det lidt forsinkede arbejde med at implementere EU's andet direktiv på området, NIS2. Er de så reali-stiske? Danmarks seneste cyberstrategi fra 2021 taler mere om hensigter end konkrete midler og metoder, men den står ikke alene. Den bygger på de to første, saerdeles konkrete strategier og implementeres sammen med EU's også ret klart formulerede krav. Det placerer Danmark i Kerttunnens tredje kategori: Vi har en realistisk strategi – men der er udfordringer med imple-menteringen. Denne artikel fokuserer på den rolle, som organi-satorisk overblik spiller for statens implemente-ring af resiliensstrategierne i Danmark. Det er blot en ud af statens mange nødvendige bidrag til at skabe cyberresiliens, men opgaven er blevet aktualiseret i lyset af de stadigt mere alvorlige trusler fra cyberdomaenet, hvor såvel kriminelle som statslige aktører konstant søger efter svag-heder, der kan udnyttes til afpresning, spionage og sabotage. Samtidig er Danmarks mangel på centralt beredskabsoverblik blevet kritiseret af NATO som noget, der begraenser vores evne til at leve op til Atlantpagtens artikel 3: Vores forpligtig-else til at passe på os selv. Central eller decentral opgaveløsning For at forstå den rolle, som overblik spiller, må man traede et skridt tilbage og se på, hvordan staten organiserer sit bidrag til den samfunds-maessige resiliens. Der er principielt to tilgange: Man kan centralisere eller decentralisere opgave-løsningen. I det analoge industrisamfund, som praegede det 20. århundrede, var centralisering en god løsning. En velfungerende statslig administration kunne i krig eller krise allokere ressourcer gennem standardkommunikationssystemer til kritisk infrastruktur, der i øvrigt ofte var statsligt ejet, eller i det mindste ejet af nationalt baserede private virksomheder med et overskueligt net af underleverandører. Det gjorde staten til en centralt placeret maskiningeniør, der ved hensigts-maessig allokering af ressourcer og kommandoer kunne prioritere, så ramte dele af kritisk infra-struktur kunne udbedres, og " samfundsmaskinen " komme op i omdrejninger igen. Dengang var samfundet kompliceret – opgaven med central styring i kriser var vanskelig – men nu Overblik, sikkerhed og kritisk digital infrastruktur-en vanskelig og traels opgave Man må have den dybeste respekt for hvor svaer en opgave, det er for staten at skabe rammerne for cyber-resiliens i Danmarks kritiske infrastruktur. Det er saerdeles komplekst at fastlaegge de organisa-toriske og juridiske rammer, og opgaverne er ovenikøbet teknisk vanske lige og under konstant udvikling, så man når aldrig i mål. 4

In 2014, Denmark launched its first national strategy for cyber resilience of critical infrastructure (CI). The ‘National Cyber and Information Security Strategy’ and its two subsequent successors from 2018 and 2022 follow the Sector Responsibility Principle (SRP). According to the principle, the state distributes the task of achieving and maintaining societal resilience to individual sectors, for example, health, energy supply, or finance, while maintaining central oversight and responsibility for implementation. Denmark is not alone in taking this approach: in fact, all the Nordic countries have applied some version of SRP. Danish governments have over the last decade taken significant steps to implement and facilitate societal cyber resilience through development of institutions, strategies, legal measures, and public-private partnerships (PPP). That said, Danish governments have gone less far than, for example, Finland’s to take measures to achieve efficacy, and significant weaknesses are still left to be addressed. The article outlines the principles behind SRP and, using mainly Danish examples, demonstrates why implementation of SRP is both legally, organisationally, and echnically difficult but also politically ‘unpleasant’. Resilience is desirable but also a tedious chore. An inherent risk with SRP at both strategic, political level and individual private or public entity level are incentives to strive for legal compliance, rather than operational efficacy and act more according to a ‘sector responsibility avoidance principle’. In that light, the article outlines how the SRP has been implemented in Denmark so far, along with examples of both what drives the effort and challenges to successful SRP implementation.

For decades, few NATO members, predominantly the US, had the

capabilities to conduct offensive cyberspace operations (OCO).

Today more than half of NATO’s members have, or are acquiring,

offensive cyberspace operations capabilities (OCOC). Historically,

NATO’s planning and coordination is based on shared knowledge

of the members’ military capabilities, to a degree even their nuclear

capabilities. In the cyber domain, the principle has evolved to

include allies’ emerging defensive cyber capabilities. NATO’s

approach to OCOC, however, deviates radically: NATO’s doctrine

merely integrates OCO’s effects, that is, allow members to contribute

with OCOs in operations without sharing information with

allies on what OCOCs are available or how the OCOs deliver the

effects. OCOC’s technical and tactical characteristics incentivize

NATO’s members to keep OCOCs secret, also from allies. This results

in a dilemma: Either the allies providing OCOC’s effects risk sharing

sensitive information on the means, or the allies, who depend on

the provided effects, act without sufficient knowledge of the

deployed OCOCs to assess their efficacy, legality, or impact on

own offensive or defensive cyber operations. NATO’s limited

approach to OCOC is a pragmatic mitigation of the dilemma that

allows NATO to train and develop doctrine in the field further.

After a long and – from an analytical and philosophical perspective – relatively dormant existence as an analytical tool taught and used by Danish officers since the early 1960s, the Capability Cycle (the literal translation from Danish, “the Cycle, of Warfare” is somewhat misleading) has been thoroughly analyzed over the last couple of years. Theoreticians as well as practical users of the model have all demonstrated a number of ways in which the model is philosophically and methodically lacking as a proper scientific model. This article reflects the author’s thoughts on the criticism of the model as well as the suggestions to alter and expand it based on his own experiences with practical use of the model as a tool for real-world intelligence analysis through more than a decade. The critics are right to argue that the model is not a proper theory in the social science sense. However, this article finds that the model should remain unmodified with an inner circle representing the examined entity and an outer circle reflecting the society in which the entity originates. In its current format, the model is a simple, but effective tool for organizing the analyst’s available information. Furthermore, it is a means to help him or her focus the search for further information and to generate hypotheses that can then be tested with scientific methods.

Denne artikel handler om, hvordan cybervåben giver småstater en række nye strategiske muligheder.Den forklarer først, hvorfor der ikke er megen hjælp at hente i den eksisterende forskningslitteratur. Artiklen gennemgår derefter en række generelle karakteristika for cybervåben ét ad gangen og beskrive hvad de betyder for småstater generelt og Danmark specifikt. Det konkluderes, at cybervåben delvist ændrer balancen mellem småstater og stormagter i småstaternes favør. Men der er grænser for de muligheder, våbnene åbner. Særligt for småstater, der somDanmark knytter deres sikkerhedspolitik snævert til medlemskab af en militær alliance som NATO. Cybervåben er vanskeligere at anvende i NATO end konventionelle våben både på det strategiske og operative niveau – og især hvis vi ikke er i krig. Det er derfor måske ikke overraskende, at det stadig ikkeer helt klart, hvordan Danmark vil anvende disse våben – særligt i fredstid.