Men; er verden virkelig moden for det, og hvorfor var det nettopp Microsoft som foreslo dette?
Geneve-konvensjonene består av fire traktater. Den første, som omhandler Forbedring av sårede og sykes kår i de væpnede styrker i felten, ble vedtatt helt tilbake i 1864 etter den brutale krigen mellom Sardinia, Frankrike og Østerrike. De tre andre konvensjonene er Konvensjonen om forbedring av sårede, syke og skibbrudnes kår i de væpnede styrker til sjøs, Konvensjonen om behandling av krigsfanger og Konvensjonen om beskyttelse av sivile i krigstid. Sistnevte er den konvensjonen som er relevant for forslaget fra Microsoft.
Hensikten med konvensjonene er å sørge for at alle nasjoner som har signert dem, er pålagt å vedta et lovverk som gjør brudd på konvensjonene straffbare. Tanken er altså å komme frem til internasjonalt vedtatte spilleregler for konflikt i det digitale rom. På den måten kan verdenssamfunnet unngå store globale, regionale eller lokale skadevirkninger som følge av angrep på digital infrastruktur.
Tilbake til forslaget fra Microsoft. De setter opp seks punkter :
- No targeting of tech companies, private sector or critical infrastructure
- Assist private sector efforts to detect, contain, respond to and recover from events
- Report vulnerabilities to vendors rather than to stockpile, sell or exploit them
- Exercise restraint in developing cyber weapons and ensure that any developed are limited, precise and not reusable
- Commit to nonproliferation activities to cyberweapons
- Limit offensive operations to avoid a mass event
Det er en generell enighet om at sikkerhet på internett i hovedsak er et anliggende for privat sektor. Privat sektor eier det aller meste av infrastrukturen, og det er i hovedsak privat sektor som både bruker og som blir angrepet gjennom internett. Nasjonale myndigheters rolle er i hovedsak avgrenset til å etterse at privat og offentlig sektor følger de spillereglene som er satt opp. Vil en Digital Geneve-konvensjon endre på dette? Ja, jeg tror det. Hvis nasjonalstatene gjøres mer ansvarlig for sikkerheten i det digitale rom, må vi forvente at de også vil ta en større rolle i sikringen av det. Hva det eventuelt kan bety vet vi ikke enda.
Et annet spørsmål her er om alle nasjonalstater faktisk ønsker en slik konvensjon. Foreløpig er det enorme forskjeller i nasjonale kapasiteter for krigføring i det digitale rom. Cyberoperasjoner er asymmetriske, billige og de gir effekt. Attribusjon er vanskelig, i alle fall vanskeligere enn ved tradisjonelle operasjoner. De nasjonene som har opparbeidet seg et fortrinn, hvorfor skal de ville gi slipp på det?
Det er heller ikke slik at all sivil infrastruktur i det fysiske rom er beskyttet mot andre nasjoners krigføring. Veier, broer, strømlinjer, toglinjer osv kan være lovlige mål, dersom de direkte understøtter militære operasjoner. Generaladvokat Arne Willy Dahl skriver i sin Håndbok i militær folkerett at operasjoner i digital infrastruktur også kan være lovlige.
Poenget er at en Digital Geneve-konvensjon neppe vil kunne helt fjerne risikoen for at nasjonalstater angriper både sivil og militær digital infrastruktur. Men; en slik konvensjon kan trekke opp nye spilleregler som forhåpentligvis kan bidra til å forhindre at slike angrep får større skadevirkninger enn det som er nødvendig.
Et helt annet, og veldig interessant spørsmål er: Hvorfor er det nettopp Microsoft som kommer med dette forslaget? Hvorfor er det ikke en nasjonalstat som har foreslår det?
At globale IT-selskaper har blitt en betydelig maktfaktor er det ingen tvil om. Produktene deres styrer og utvikler hvordan vi lever livene våre, og både vi som enkeltpersoner og nasjonalstater må forholde oss til dem nærmest som om de er stater i det digitale rom.
Microsoft vil nok helst at vi tenker på deres Corporate Social Responsibility, altså at de nå tar ansvar for verdensfreden. I alle fall i det digitale rom. Og det skal vi absolutt tenke på. Vi er avhengige av at de har intensjon om å ivareta våre behov, også det for trygghet.
Men; til syvende og sist tror jeg at vi ser dette fra Microsoft fordi det er i deres egen interesse å få på plass en Digital Geneve-konvensjon. Cyberkrig og cyberkriminalitet skaper frykt og reduserer tillit, og er derfor en motkraft til den globale digitaliseringen. Det er dårlig nytt for Microsoft, Apple og alle de andre globale IT-gigantene. De er avhengig av et miljø som muliggjør vekst.
Heldigvis er det sammenfallende med våre egne interesser. Eller?
Jeg fikk følgende kommentar til artikkelen over:
SvarSletthttps://twitter.com/ScienceDefence/status/834428439499247617
Jeg er klar over at noen offentlige virksomheter eier nettverk som inngår i det vi kaller "internett". De er imidlertid likestilte med private eier av tilsvarende infrastruktur når det gjelder ansvar for egen sikkerhet.
Norsk Helsenett er en slik virksomhet. Forsvaret er en annen, selv om det meste av deres infrastruktur ikke er knyttet til internett.
Myndighetene har vedtatt lover som regulerer sikkerheten for alle slike nettverk, og tilsynsmyndigheter som Datatilsynet, NKOM og NSM passer på at virksomhetene, i privat og offentlig sektor, følger bestemmelsene. Ingen av disse er ansvarlig for sikkerheten i noen av virksomhetene.
Politiet etterforsker selvfølgelig lovbrudd på internett, men heller ikke de er ansvarlige for sikkerheten hos noen av virksomhetene. Justis- og beredskapsdepartementet er soleklare når de sier at virksomhetene selv er ansvarlig for, og følgelig må betale for, sikkerhet for seg selv.
Siden det aller meste av internett er privat eid (Telekom og IT-selskaper) mener jeg at det er legitimt å hevde at sikkerhet på internett i hovedsak er et privat anliggende. Det er i alle fall ingen myndigheter som kommer til å rykke ut for å ta ansvar for sikkerheten hos den enkelte virksomhet, enten den er privateid eller eid av det offentlige.