Krig och väpnade konflikter blir alltmer digitala företeelser. Strider har tidigare i huvudsak varit fysiska, men stater och väpnade grupper använder sig mer och mer av cyberdomänen som en krigsskådeplats i likhet med land, luft och hav. Det här kräver stora förändringar i hur stater och grupper ser på krigföring – men det har också väckt frågan om hur folkrätten ska appliceras på cyberangrepp.
Folkrätten är ett brett område bestående av en mängd mellanstatliga lagar och överenskommelser. Där ingår bland annat rymd-, havs- och miljörätt, bestämmelser om diplomatiska förhållanden och mänskliga rättigheter. Cyberdomänen överlappar givetvis stora delar av folkrätten. Det gäller även den internationella humanitära rätten, som reglerar hur stridande parter får agera i ett pågående krig.
Den internationella humanitära rätten har betydelse för cyberfrågor i den mån digitala vapen eller verktyg används i krigföring. Det förekommer redan idag i viss mån, och då ofta i syfte att sätta system ur spel för att minska motståndarens förmåga att agera. Samtidigt så finns också en farhåga att de skador av angreppen som vi ser idag bara är en försmak av mer påtagliga fysiska skador som kan drabba civila personer och objekt i framtiden. Internationell humanitär rätt ger dessa personer och objekt skydd från angrepp i den fysiska världen och, anser de flesta relevanta aktörerna, även inom ramen för cyberangrepp.
Till saken hör att de relativt nya cyberfrågorna ännu inte helt funnit sin plats i hur staterna (de huvudsakliga aktörerna inom folkrätten) väljer att tillämpa folkrätten. Att dess nuvarande regler ska gälla råder det nästintill konsensus om – statliga och mellanstatliga aktörer som svenska utrikesdepartementet, EU, Nato, FN och Internationella domstolen i Haag har alla på olika sätt uttryckt att man ser att folkrätten även gäller på cyberområdet. Likaså anser Internationella rödakorskommittén, som har en särställning bland icke-statliga aktörer vad gäller den internationella humanitära rätten, att existerande lagar som skrevs för fysisk krigföring även ska gälla cyberområdet.
De frågor som är eller kommer att bli aktuella handlar alltså snarare om hur man ska ta det internationella juridiska ramverk som utgörs av folkrätten och applicera det på ett område som på många sätt skiljer sig från konventionell krigföring. Inom den internationella humanitära rätten finns därför ett antal olösta utmaningar som världens stater kommer att behöva reda ut.
Till att börja med så innebär cyberkrigföring än större svårigheter vad gäller attribuering, det vill säga tillskrivning av begångna brott till en gärningsman, än konventionell krigföring. Ett cyberangrepp kan utformas på ett sätt som gör det svårt att avgöra om avsändaren faktiskt är den aktör spåren pekar mot. Därmed blir det svårt att införa proportionerliga motåtgärder eller att ställa de ansvariga inför rätta.
Just proportionerliga motåtgärder och cybersjälvförsvar är en annan svår fråga. En debatt som uppstått i kölvattnet av att cyberdomänen blivit en krigsskådeplats bland andra är om fysiskt våld som självförsvar efter ett initialt cyberangrepp kan anses proportionerligt. Cyberangrepp kan som sagt åsamka fysisk skada på personer och objekt – kan därmed en angripen aktör använda fysiskt våld för att försvara sig och hävda att det är att svara med samma mynt? Vilken nivå ska man i så fall lägga det fysiska våldet på?
Internationell humanitär rätt gäller enbart i en väpnad konflikt, vilket innebär att man måste dra en gräns mellan fred och krig. Även det är något som är lättare sagt än gjort i konventionell krigföring och det blir bara svårare när cyberkrigföring är inblandat. Själva tanken med ett cyberangrepp kan vara att genomföra operationer för att få en motståndare dit man vill men utan att utlösa en väpnad konflikt. Att använda sig av cyberdomänen ger därmed möjligheter att undvika just den situation som aktiverar internationell humanitär rätt. Ändå anses rättsområdets regler gälla. Hur man avgör om ett krig pågår, och när dessa lagar aktiveras, blir därmed en svår nöt att knäcka inför framtiden.
Distinktionen mellan civilt och militärt är central inom internationell humanitär rätt. För att ett angrepp ska anses vara folkrättsenligt behöver den anfallande parten försäkra sig om att målet är militärt och att civila förluster minimeras. Civila personer eller objekt får aldrig vara mål för ett angrepp, men vissa civila skador tillåts om de står i proportion till de militära fördelarna som angreppet innebär. För att detta ska fungera ska parterna separera militära och civila personer och objekt, så att civila inte i praktiken blir mänskliga sköldar mot angrepp från andra parter. I teorin och i den fysiska världen är det nog så svårt att avgöra sådana distinktioner. De potentiella konsekvenserna på cyberområdet är ännu större, eftersom civil och militär användning av cyberinfrastruktur överlappar, och livsavgörande civila system samsas om till stor del samma hård- och mjukvara som militära. Skulle gränsdragningen mellan civilt och militärt därmed förändras i och med krigets digitalisering skulle det kunna få förödande konsekvenser för en av den internationella humanitära rättens viktigaste principer om skydd för civila.
Slutligen så måste man också förhålla sig till indirekta effekter av de medel man använder sig av på cyberarenan. Autonoma system, som använder sig av AI för att angripa antingen fysiska mål eller cybermål, kommer också att ha tekniska sårbarheter som kan utnyttjas av en annan aktör. Därmed så blir beröringspunkterna mellan cyber och autonoma vapen många och konsekvenserna av angrepp stora.
Dessutom kan de verktyg som används i cyberangrepp komma att spridas till andra aktörer än till de stater som utvecklat dem för egen användning och ett cyberangrepp kan komma att slå mot andra än det huvudsakliga målet. Ett sådant exempel är det danska fraktbolaget Mærsk, vars datorsystem över hela världen stängdes ned av NotPetya – en skadlig programvara som sedan dess tillskrivits ryska statsstödda hackare. Till saken hör att företaget inte var ett mål för NotPetya, men drabbades ändå. Det ligger därför inte långt bort att tänka sig att vapen som i bästa fall är i enlighet med internationell humanitär rätt och tänkta för militära mål i en väpnad konflikt slår mot civila mål – både inom och utom konflikten i fråga.
Idag pågår det kontinuerligt olika typer av angrepp på cyberområdet mot svenska myndigheter, företag och privatpersoner. Det är i sig allvarligt och kräver åtgärder. Skulle det dessutom bli krig i landet skulle internationell humanitär rätt börja tillämpas, varför det ligger i Sveriges intresse att tolkningar av existerande lag och eventuell kommande ny lagstiftning på området går i linje med hur vårt civila och militära försvar hanterar cyberangrepp.
De nya situationer och tolkningar som sannolikt kommer att uppkomma till följd av att kriget i högre grad utspelar sig i cyberdomänen kommer också att få konsekvenser för hur Totalförsvarets alla aktörer behöver arbeta för att förbereda sig inför ett potentiellt krig. Sverige är en förespråkare för folkrätten, inklusive internationell humanitär rätt, men för att sådana uttalanden ska ha någon tyngd behöver det finnas en väl underbyggd förväntan på att Sverige lever upp till de folkrättsliga lagar man förbundit sig till. Idag har Sverige en stark position som bygger på att man i praktiken också lägger stor vikt vid folkrätten – men det i sin tur kräver att inte bara Försvarsmakten och relaterade aktörer har förståelse och respekt för folkrätten. För ett land som förlitar sig på ett totalförsvarskoncept behöver samma förståelse och respekt finnas i hela befolkningen. Detta gäller sedan en tid tillbaka båda i det fysiska och det digitala kriget.
Daniel Kjellén,
Programansvarig för totalförsvar och krisberedskap, Folk och Försvar