Oklart hur stater får agera mot varandra i cyberdomänen

Folkrätten reglerar hur stater får agera mot varandra. Men när det gäller aktiva operationer i cyberdomänen saknas samförstånd kring hur folkrätten ska tillämpas. Därför finns det inga tvingande lösningar, rapporterar forskare på FOI.

Varje dag blir Sverige och Försvarsmakten utsatta för olika typer av cyberangrepp. Enligt landets försvarspolitiska inriktning ska Sverige stärka försvaret mot attacker genom att bland annat utveckla förmågan till aktiva operationer i cyberdomänen. En aktiv operation kan exempelvis vara en proaktiv motåtgärd som ska hindra upplevda hot från omvärlden att förverkligas. FOI har fått i uppdrag att stödja uppbyggnaden och samtidigt undersöka hur aktiva cyberoperationer fungerar tillsammans med folkrätten.
Folkrätten reglerar hur stater får agera gentemot varandra och har växt fram under århundranden. Att den även ska gälla i cyberdomänen är de flesta stater överens om. Däremot saknas det samförstånd om hur folkrätten ska omsättas i praktiken.

– Många stater tycker det är viktigt att folkrätten tillämpas i cyberdomänen för att de ska kunna skapa säkerhet, stabilitet och förtroende mellan sig och varandra. Men hittills har man bara kommit fram till icke bindande lösningar som vägledningar, manualer och studier, berättar Erik Zouave, analytiker på FOI:s avdelning för försvarsanalys i Kista, och författare till rapporten Folkrätt vid aktiva operationer på cyberdomänen.

Diplomatiskt spel

Till exempel har FN, som är en särskilt viktig organisation för utvecklingen av folkrätten, tagit fram en uppförandekod för cyberoperationer – utan mycket gehör från andra berörda stater.

– Ofta ligger det ett diplomatiskt spel bakom att staterna inte kommer överens. Lättast är att skapa samstämmighet inom likasinnade grupperingar av stater, säger Erik Zouave.
Sedan några år tillbaka har Nato ett nytt cyberoperationscentrum som samordnar medlemsstaternas förmågor. Cyberförsvaret ska främst användas till att skydda egna nätverk och staterna måste använda sina förmågor i enlighet med folkrätten.

Ramverk för cyberförsvar

På EU-nivå finns ett ramverk för cyberförsvar och en verktygslåda för cyberdiplomati. Trots att medlemsländerna har olika lagstiftning kring cyberförsvar vill man försöka skapa en gemensam syn i hela unionen på hur folkrätten ska tillämpas. Bland annat ska angrepp besvaras i proportion till fiendens handling, och dessutom har man en hel lista med diplomatiska svar att ta till, innan unionen går till gemensamt försvar mot en misstänkt stat. Listan innehåller allt från generella uttalanden till sanktioner.

– Det finns cirka 200 stater i världen i olika storlek, med olika politiska intressen och militär förmåga. Alla värnar om sina nationella intressen vilket gör att frågan om hur folkrätten ska tillämpas vid aktiva cyberoperationer ofta faller ner på en regional nivå med sammanslutningar av likatänkande grupper, säger Erik Zouave.

Aktiva cyberoperationer

Aktiva cyberoperationer kan vara:

• Dator- och nätverksförsvar eller att man kartlägger en motståndares informationssystem
• Kartläggning av motståndares informationssystem
• Dator- och nätverksattacker i syfte att försvåra motståndarens operationer.