Den internationale komite fra Røde Kors (ICRC) har for første gang nogensinde udstedt regler for krigsførelse i cyberspace. Regler, der er rettet mod civile hackere. Godt initiativ, der dog kan være meget svært at håndhæve, forklarer sikkerhedsekspert.
ICRC fortæller, at siden krigen i Ukraine brød ud, har der været et hidtil uset stort antal patriotiske hackere, der har meldt sig under cyberfanerne og udfører cyberangreb mod den anden part. Det har betydet kaos for mange civile borgere og organisationer såsom hospitaler og banker.
De otte regler inkluderer forbud mod angreb på netop hospitaler, hackerværktøjer, der spreder sig ukontrolleret, og trusler, der spreder frygt hos civile.
Leif Jensen, der er sikkerhedsekspert hos ESET Nordics, advarer om, at de nye regler kan være svære at håndhæve.
– Rules of Engagement kan fungere i en fysisk krig, men cyberkriminalitet og nationalstaters digitale krigsførelse er noget helt andet. Civile hackere er helt anderledes, for deres aktivitet er ofte ikke rettet mod en bestemt fjende – noget, der er yderst sjældent i en fysisk krig, påpeger Leif Jensen.
Fordelene ved at kunne fungere stort set usynligt i en krig gør, at regler nærmest er født til at fejle. Samtidig betyder måden, hvorpå mål vælges af cyberkriminelle, at der ofte er indirekte ofre langt væk fra målet. Simpelthen på grund af den måde, netværk er sat op på, og hvordan tredjeparter bruger nettet.
– Når så mange hospitaler og humanitære faciliteter er blevet ramt af cyberkriminelle, er det tydeligt, at cyberbanditterne ikke har samme etiske eller moralske holdning som dem, der udsteder reglerne, siger Leif Jensen.
– Men der er ingen tvivl om, at disse regler er et godt sted at starte. Vi har desperat brug for nogle retningslinjer, der om ikke andet kan få de cyberkriminelle med bare en smule samvittighed til at tænke sig om en ekstra gang, siger Leif Jensen.
De 8 regler fra ICRC
- Udfør ikke direkte cyberangreb mod civile objekter.
- Brug ikke malware eller andre værktøjer eller teknikker, der spredes automatisk og ødelægger både militære og civile objekter.
- Når et cyberangreb planlægges mod militære mål, skal der gøres så meget som muligt for at minimere den effekt, som operationen kan have mod civile.
- Udfør ikke cyberoperationer mod medicinske og humanitære faciliteter.
- Udfør ikke cyberangreb mod objekter, der er essentielle for befolkningens overlevelse, eller som kan slippe farlige kræfter fri.
- Fremsæt ikke trusler om vold for at sprede rædsel blandt den civile befolkning.
- Tilskynd ikke til krænkelser af international humanitær lovgivning.
- Overhold disse regler, også selvom fjenden ikke gør det.