Den internationale komite fra Røde Kors (ICRC) har for første gang nogensinde udstedt regler for krigsførelse i cyberspace, regler, der er rettet mod civile hackere.
Godt initiativ, der dog kan være meget svært at håndhæve, forklarer sikkerhedsekspert
I konventionel krig og konflikter er der regler for, hvad de involverede parter må og ikke mindst ikke må. Disse regler kaldes for ’Rules of Engagement’, magtanvendelsesdirektiver, og nu har den internationale komite fra Røde Kors (ICRC) så ifølge BBC udgivet et regelsæt, der gælder for civile hackere, der er involverede i konflikter.
ICRC fortæller, at siden krigen i Ukraine brød ud, har der været et hidtil uset stort antal patriotiske hackere, der har meldt sig under cyberfanerne og udfører cyberangreb mod den anden part, og det har betydet kaos for mange civile borgere og organisationer såsom hospitaler og banker.
De 8 regler inkluderer forbud mod angreb på netop hospitaler, hackerværktøjer, der spreder sig ukontrolleret, og trusler, der spreder frygt hos civile.
”Rules of Engagement kan fungere i en fysisk krig, men cyberkriminalitet og nationalstaters digitale krigsførelse er noget helt andet,” påpeger Leif Jensen, sikkerhedsekspert hos ESET Nordics, og fortsætter:
”Civile hackere er helt anderledes, for deres aktivitet er ofte ikke rettet mod en bestemt fjende – noget, der er yderst sjældent i en fysisk krig.”
Fordelene ved at kunne fungere stort set usynligt i en krig gør, at regler nærmest er født til at fejle. Samtidig betyder måden, hvorpå mål vælges af cyberkriminelle, at der ofte er indirekte ofre langt væk fra målet. Simpelthen på grund af den måde, netværk er sat op på, og hvordan tredjeparter bruger nettet.
”Når så mange hospitaler og humanitære faciliteter er blevet ramt af cyberkriminelle, er det tydeligt, at cyberbanditterne ikke har samme etiske eller moralske holdning som dem, der udsteder reglerne,” siger Leif Jensen og fortsætter:
”Men der er ingen tvivl om, at disse regler er et godt sted at starte. Vi har desperat brug for nogle retningslinjer, der om ikke andet kan få de cyberkriminelle med bare en smule samvittighed til at tænke sig om en ekstra gang,” siger Leif Jensen.
De 8 regler fra ICRC
(de oprindelige regler på engelsk kan findes her.)
- Udfør ikke direkte cyberangreb mod civile objekter
- Brug ikke malware eller andre værktøjer eller teknikker, der spredes automatisk og ødelægger både militære og civile objekter
- Når et cyberangreb planlægges mod militære mål, skal der gøres så meget som muligt for at minimere den effekt, som operationen kan have mod civile
- Udfør ikke cyberoperationer mod medicinske og humanitære faciliteter
- Udfør ikke cyberangreb mod objekter, der er essentielle for befolkningens overlevelse, eller som kan slippe farlige kræfter fri
- Fremsæt ikke trusler om vold for at sprede rædsel blandt den civile befolkning
- Tilskynd ikke til krænkelser af international humanitær lovgivning
- Overhold disse regler, også selvom fjenden ikke gør det
Leif Jensen, sikkerhedsekspert hos ESET Nordic, kan kontaktes hvis der er spørgsmål, eller yderligere kommentarer ønskes.