Har du varit inblandad i en cyberattack? Sanningen är att du kanske inte ens vet om så är fallet. När Estland attackerades 2007 i vad som har kallats ”Web War 1” användes datorer över hela världen, utan att datorernas ägare nödvändigtvis kände till det. Trojanska hästar, som är virusliknande datorprogram, kan kidnappa en del av en hårddisk och använda den kapaciteten för olaglig verksamhet, som till exempel cyberattacker.
Cyberkrigföring kliver över många invanda gränser – mellan privat och offentligt, civilt och militärt, terrorism och konventionellt krig.
Attacken mot Estland har inte kunnat knytas till den ryska staten. Ändå anser man att unga ryska nationalister kan ha utfört operationen med regeringens goda minne. Kanske skedde det i samarbete med IT-brottssyndikatet Russian Business Network.
Orsaken till att ett antal estländska banker och myndigheter mer eller mindre sattes ur spel under ett par veckor var att ett ryskt krigsmonument i centrala Tallinn skulle flyttas, vilket rörde upp ryska känslor. Men bör händelsen klassas som krigföring, som statligt sanktionerad terrorism eller som en olaglig, civil protest jämförbar med Greenpeaces aktioner? Något enkelt svar finns inte.
Cyberrymden som ny arena för angrepp på nationer är dock ett faktum. Misstankar har riktats mot Ryssland för attacker mot Georgien 2008 och Kirgizistan 2009. Israeliska myndigheter utsattes för en e-jihad kring 2001. Al-Qaida planerade en attack mot elnätet i västra USA 2002.
2009 avslöjades ett spionnät, Ghostnet, som hade infekterat datorsystem på banker, ambassader och utrikesdepartement i 103 länder – i bland annat USA. Men det var inte USA:s underrättelsetjänst som låg bakom upptäckten, utan forskningsgruppen Information Warfare Monitor, som är ett samarbete mellan universitetet i Toronto och en kanadensisk tankesmedja.
Ett nätverk som Ghostnet kan få oanade användningsområden: när en trojansk häst har placerats på en dator kan den ladda ner nya program – för att avlyssna, fjärstyra eller helt enkelt slå ut den infekterade datorn. Gränsen mellan spionage och attack suddas ut.
Det bör mana till eftertanke att även kärnkraftverk, nationella el- och telenät eller globala finanscentra är mottagliga för denna typ av intrång. Det finns ingen anledning att utveckla cyberparanoia. Säkerheten är nog på många håll rimlig, även om det också finns brister som behöver åtgärdas.
Men i Sverige och många andra länder saknas tydlighet i vilken myndighet som ansvarar för den nationella cybersäkerheten. Vem garanterar att Stockholmsbörsen inte kan sättas ur spel genom en knapptryckning i ett framtida fiendeland? Försvaret? Företaget självt? Någon statlig myndighet?
Det håller på att växa fram ett globalt säkerhetsperspektiv i cyberrymden, som angår såväl privatpersoner och företag som stater och deras underrättelsetjänster. Det kan ligga nära till hands att tänka sig ett slags cyberrymdens Interpol, men de frågor som väcks om individens rätt till integritet är närmast ohanterliga.
Det krävs också internationella konventioner som klargör vad som är att betrakta som en cyberattack och vilka regler som gäller för ett motangrepp.
Kapprustningen och attackerna på internet pågår redan för fullt, Kina, USA, Ryssland, Iran – listan på länder som vill dominera nätet kan göras lång. Sverige deltar denna månad i en hemligstämplad Nato-övning i cyberförsvar.
Det rör sig om en skuggvärld, utan insyn och regleringar. Det är ett problem. Militära strategier och utformningen av ett nationellt säkerhetstänkande kan kanske inte röjas i sin helhet. Det vore att göra det väl lätt för angriparna. Men diskussionen om dessa frågor måste lyftas upp i det offentliga.
Det är en politisk fråga hur cyberkrig ska bekämpas och vilka intrång på den personliga integriteten som kan accepteras ens i ett krigsläge. Det finns all anledning att väcka den debatten nu. 11 september-attentaten visade hur snabbt det kan gå att införa dramatiska inskräkningar av den personliga friheten i säkerhetens namn. Det vore bättre att ta diskussionen om cyberkrigets lagar – innan det står för dörren.