Hvad er der i den nye amerikanske internationale cyberstrategi?
Indholdsfortegnelse:
På RSA-konferencen den 6. maj afslørede USA en strategi for opbygning af et stærkere og mere sikkert digitalt økosystem over hele verden. Det USAs internationale cyberspace og digital politikstrategi (ICDPS)'s underliggende etos er "digital solidaritet" i lyset af øgede trusler fra Rusland, Kina, Nordkorea og Iran.
Men hvilken indflydelse vil det have på almindelige virksomheder? Det burde i det mindste være endnu en påmindelse om behovet for god digital styring.
Dykning dybere
Dette dokument vises ikke i et vakuum. Det bygger direkte på USA's National Cybersikkerhedsstrategi fra sidste år, som havde en hel egen søjle dedikeret til internationalt samarbejde og konsensus. Diplomati er et af tre principper, der ligger til grund for det seneste dokument, som siger, at det vil anvende "internationalt statshåndværk" på tværs af en række forskellige områder lige fra applikationssoftware til undersøiske kabler.
De to andre grundlæggende principper for ICDPS er afhængighed af positiv handling for at sprede fordelene ved teknologi og fokus på cybersikkerhed og modstandskraft.
Strategien vil eksekvere disse principper på fire centrale indsatsområder. Den første handler om at bygge et åbent, sikkert digitalt økosystem. Dette økosystem er funderet i telekommunikationsnetværk, som får deres eget underafsnit i dokumentet, der eksplicit adresserer 5G og kommende 6G telekommunikation. Et andet fokusområde er skyen og datacentre. Undersøiske kabler (som har en grim vane at være klippet eller snoget efter) og satellitter (den amerikanske regering blev for nylig foruroliget over at opdage det Rusland planlagde et rumbaseret anti-satellitsystem) er også interesseområder.
Det andet indsatsområde opfordrer til aftaler om dataforvaltning med internationale partnere, der respekterer menneskerettighederne. ICDPS opfordrer til frie datastrømme mellem lande og skitserer det arbejde, som USA allerede har udført for at udforme grænseoverskridende privatlivsregler med andre lande. Den havde også en sidelæns grav i Europa: "Opblomstringen af en voksende digital suverænitetsfortælling, som er blevet omfavnet af nogle af vores nære partnere og allierede, har potentialet til at underminere nøglemålene for digital økonomi og cybersikkerhed," hedder det.
Andre fokuspunkter på dette indsatsområde er udviklingen af åbne, upartiske standarder. Her tager dokumentet et eksplicit swipe mod Kina, som det siger skubber en "top-down tilgange til standardudvikling" og bruger sin økonomiske indflydelse til at skubbe til støtte for sine standardforslag. Udenrigsministeriet har en pointe, da Kina har presset på internetstandarder på ITU, og har hjulpet med at bygge infrastruktur til autoritære regimer ved hjælp af sit eget udstyr.
Dokumentet fremhæver også behovet for at udvide borgernes deltagelse i teknologibeslutninger, fremme af borgerrettigheder online og etablering af en traktat om cyberkriminalitet, der respekterer rettighederne. Dens to-do-liste dækker også promovering af pålidelig AI og kampen mod desinformation.
Holder dårlige skuespillere ansvarlige
Det tredje indsatsområde fokuserer på at skabe konsensus blandt statslige aktører for ansvarlig adfærd i cyberspace. Den fokuserer specifikt på at tælle trusler mod kritisk infrastruktur. Måske ikke overraskende kalder dokumentet Rusland, Kina, Nordkorea og Iran som vigtige agitatorer.
Denne aktivitetssøjle omfatter hærdning af kritisk infrastruktur til cyberangreb fra andre stater gennem internationalt samarbejde og isolering af dårlige aktører på verdensscenen. Dette inkluderer genbekræftelse af gensidige forsvarstraktater med andre nationer, når de gælder for cyberspace. Artikel fem af NATO's Washington-traktat – som giver medlemmerne mulighed for at komme hinanden til hjælp i tilfælde af et angreb – dukker op her i betragtning af de igangværende spændinger mellem Rusland og alliancelandene om Ukraine.
Bekæmpelse af kriminel aktivitet – især ransomware – får sit eget afsnit i den tredje søjle, hvilket giver genklang med opfordringen til en traktat om cyberkriminalitet i søjle to. Strategien kalder "nogle stater" (de taler om dig, Rusland), der "bruger ransomware-aktører som proxyer eller som lukker øjnene for deres aktiviteter og den betydelige indvirkning af deres cyberangreb på kritisk infrastruktur".
Interessant nok er der også en dedikeret sektion til spyware. I marts føjede USA seks lande til en original 10, der underskrev en forpligtelse fra Det Hvide Hus til at modvirke spredningen af denne kategori af angrebsværktøjer. Israel, hjemsted for den berygtede NSO-spywaregruppe, er især fraværende.
Endelig fokuserer det fjerde område i strategien på at styrke digital politik og cyberkapacitet internationalt. På dette område lover USA at arbejde sammen med andre stater for at hjælpe dem med at styrke deres cyberresiliens, herunder skabe nye værktøjer og stærke samarbejdsnetværk for at hjælpe dem med at møde nye udfordringer såsom angreb på infrastruktur.
En privat sektors rolle?
Hvad skal den private sektor tage væk fra alt dette? Strategien opfordrer specifikt til en multi-stakeholder tilgang til sine digitale solidaritetsmål, som omfatter virksomheder, ikke kun regeringer. Selvom disse er politiske diskussioner på højt niveau med resultater, der forhåbentlig vil sive ned over tid, vil virksomheder, der følger god digital forvaltningspraksis – lige fra cybersikkerhedshygiejne til ansvarlig brug af nye teknologier – bevæge sig i samme generelle retning som strategi.
Det er et klæbrigt problem, denne internationale cyberdiplomativirksomhed. På dette niveau spiller USA på et felt, hvor der er meget få love, og hvor efterretningstjenester ofte arbejder bag lukkede døre, siger én ting og gør en anden.
På den ene side skal USA bevæge sig for at øve den samme slags indflydelse over global politik i cyberspace, som det har gjort i den fysiske verden så længe, især da det digitale område er blevet et kritisk teater for skjult krigsførelse af enhver art; infrastrukturelle, økonomiske og informationsmæssige.
Denne ambitiøse indsats kræver en masse troværdighed og gennemslagskraft. Alligevel er dette den samme nation, der digitalt udspioneret sine egne borgere massevis, angiveligt hackede udenlandske virksomheder, fejlede dens egne allierede på højeste niveau, og undermineret krypteringsstandarder at introducere tekniske svagheder. Blandt mange andre eskapader.
Og selvfølgelig kan alting på mindre end seks måneder igen ændre sig, da den politiske mønt i USA snurrer igen. Hvis en ny, berygtet isolationistisk administration tager magten, hvad så? I den berusende verden af global politik er intet sikkert, og alt er på højkant.
