Is attack the best defence?

Tidligere publisert på G+ i oktober:

http://letstalk.globalservices.bt.com/en/security/2012/09/is-attack-the-best-form-of-defence/

Denne artikkelen stiller spørsmålet "is attack the best defence"? Selv om artikkelen forsåvidt trekker opp noen interessante momenter, så er dette selvfølgelig feil spørsmål. Riktig spørsmål er "what is the point of defence without attack"?

Formålet med militære operasjoner er jo å påtvinge andre sin vilje. De væpnede styrker har mange forskjellige virkemidler, noen er defensive i sin natur mens andre er offensive. (Defence & Attack for å bruke terminologien fra artikkelen). En militær operasjon vil bruke mange slike virkemidler, satt sammen og synkronisert slik at man oppnår størst mulig effekt. 

Imidlertid har defensive og offensive virkemidler forskjellige grunnleggende egenskaper og begrensninger. Defensive virkemidler har som formål å forberede for og gi handlingsrom til offensive virkemidler. De har en helt åpenbar begrensning: de kan ikke oppnå annet enn å opprettholde status quo. Det er det maksimale vi kan oppnå. Å tenke sikkerhet i det digitale rom, der vi kun bruker defensive virkemidler, vil altså i beste fall sørge for at ingenting forandres. En annen egenskap med defensive virkemidler er at de i sin natur er reaktive. Om vi står overfor en potent motstander vil han til slutt slite ut det digitale forsvaret, fordi han har initiativet og våre ressurser ikke er uttømmende. Løsningen er ikke mer ressurser til defensive virkemidler, vi kan ikke betale oss ut av dette. 

Effektiv Cyber Defence må bruke begge typer virkemidler. Først da er det mulig å påvirke en trusselaktør, og å oppnå et effektivt forsvar mot alvorlige trusler mot våre interesser og virksomheter.