Denne advarselen på russisk , ukrainsk og polsk dukket opp på de offisielle nettsidene til det ukrainske utenriksdepartementet etter et massivt cyberangrep 14. januar 2022. Illustrasjonsfoto: Valentyn Ogirenko/REUTERS/NTB

Russland regnes av mange som én av verdens mest kapable cyberaktører. Hvorfor har vi ikke sett store cyberangrep i krigen de nå fører mot Ukraina.

I årevis er det blitt snakket om hybrid krigføring, at fysisk maktbruk i større eller mindre grad erstattes av digital krigføring og andre virkemidler for å ramme en fiende. Det kan for eksempel være cyberangrep som lammer viktig infrastruktur, etterretningsvirksomhet eller påvirkningsoperasjoner.

Måten Russland opererer på i Ukraina, med en «gammeldags» konvensjonell invasjon med bakkestyrker, har overrasket mange. Vi har snakket med FFI-forskere Torbjørn Kveberg og Ronny Windvik om Russlands evner innen cyberkrigføring og det som nå skjer.

Ronny Windvik har siden 1999 jobbet som forsker innen datasikkerhet ved Forsvarets forskningsinstitutt (FFI), og har ledet en rekke forskningsprosjekter innen fagfeltet. Windvik er i dag forskningssjef innen cybersikkerhet og cyberoperasjoner ved FFI. Seniorforsker Torbjørn Kveberg er statsviter, og har jobbet med cybermakt og cyberpåvirkning ved FFI i ti år.

Har det vært mange cyberangrep i Ukrania siden invasjonen?

– Mange eksperter ventet nok å se sabotasje av sivil og militær kritisk infrastruktur i de første fasene av krigen, men så langt har vi ikke sett tydelige tegn på det. Det er noe overraskende, mener Windvik.

– En mulig årsak er at det er gjennomført, men at vi ikke vet om dem. De kan også ha mislyktes, eller de kan ha hatt en effekt som ikke var umiddelbart synlig og som av ulike årsaker holdes hemmelig. Men vi må regne med at både Russland og Ukraina har vurdert muligheten for en ytterligere eskalering av konflikten, og verdien av cyberoperasjoner skulle dette skje.

Vil ikke avsløre sine cyberegenskaper

Ifølge Kveberg står partene også overfor et dilemma: Tilgangene landene har til hverandres datasystemer representerer også etterretningsverdi. 

– Om de bruker en slik tilgang til sabotasje, så risikerer de å miste den verdien. Da skal en være veldig sikker på at sabotasjen er nyttig. Her er det også viktig å huske at landene har vært i konflikt en god stund nå, og at en beslutning om å ikke prioritere avansert sabotasje kan ha blitt tatt tidligere, påpeker Kveberg.

Hvilke kapasiteter har Russland som cyberaktør og hva slags angrep kan man se for seg? 

– Når det gjelder hvor sofistikerte eller omfattende angrep de kan gjennomføre, så trenger vi å erstatte «angrep» med litt flere ord. Russland virker for oss mer interessert i å benytte cyberoperasjoner for etterretning og påvirkning, enn for sabotasje. Det meste av den kapasiteten Russland har benyttes tilsynelatende til etterretningsinnsamling. Russland er likevel blant et fåtall land som har vist evne og vilje til å ta steget videre fra etterretning, og til sabotasje, sier Kveberg.

Sabotasjen mot kraftforsyning i Ukraina for litt over fem år siden er ett slikt eksempel.

– Dette var ikke nødvendigvis voldsomt sofistikert sammenlignet med andre operasjoner for både etterretning og sabotasje, men viljen til å gjøre nettopp dette mot et naboland er verdt å merke seg. Flere land har også hevdet at Russland står bak løsepengeviruset «NotPetya», som må regnes som en av historiens mest skadelige og kostbare cyberoperasjoner. Og i opptaktene til det amerikanske presidentvalget i 2016 brukte de cyberoperasjoner til å blant annet få tak i informasjon om demokratpartiet, og deretter publisere dette i et forsøk på å sverte dem.

Hvor synlige er de ulike aktørene? Vet vi alltid hvem som står bak et angrep?

– Det kan være uhyre vanskelig å etterforske denne typen hendelser. Oppgaven blir ikke enklere når en snakker om hendelser i mer lukkede land eller i konteksten av høyintensiv konvensjonell krigføring. Da er det grunn til å være ekstra varsom, siden motivene kan være mange, mener Windvik.

Vanskelig å bevise hvem som står bak

At en hackergruppe tar æren for å ha tatt ned en nettside, betyr ikke at det er de som står bak, understreker Windvik.

– De tar ofte æren for ting de ikke har gjort, eller blåser opp hvor vanskelig eller skadelig det de har gjort skal være. Framfor å ha brutt seg inn og ødelagt siden, for eksempel, kan de ha overbelastet den med trafikk utenfra. 

For å få oversikt over hvem som faktisk står bak og hva de har gjort så kreves mer tekniske bevis.

FFI-RAPPORT 2014Cyberdomenet, cybermakt og norske interesserTorbjørn Kveberg, Siw Tynes JohnsenLes merLast ned

– Disse bevisene kan være vanskelig å få tak i og arbeidskrevende å analysere. Enda vanskeligere er det når aktøren er godt organisert og bemidlet, slik som landenes hemmelige tjenester og andre statsstøttete grupperinger i større grad er. De beste bevisene vil nok derfor la vente på seg, i det minste for offentligheten, påpeker Windvik.

Omtrent samtidig med Russlands invasjon av Krim tilbake i 2014 dukket gruppen «Cyber Berkut» opp. Den framstilte seg selv som en hacktivistgruppe. Som del av Storbritannias svar på Russlands bruk av nervegift i et attentatforsøk på britisk jord i 2018, så offentliggjorde de at denne gruppen høyst sannsynlig var et skalkeskjul for russisk militær etterretning (GRU).  Avsløringen kastet nytt lys på Russlands annektering av Krim fire år tidligere.

r av årsakene til at Russland er gode på cyberoperasjoner, er rett og slett størrelse, mener Windvik og Kveberg.

– Som innen mange områder er det en fordel å være stor. I en stor befolkning vil det for eksempel være flere mennesker med teknisk talent. De store landene kan også ofte tillate seg mer enn de små. Russland virker å være en ganske aktiv aktør som omtales i mange lands trusselvurderinger.

– Hvor reell er cybertrusselen mot Norge?

– Vi ser av senere års åpne trusselvurderinger at norske hemmelige tjenester tar Russland på alvor. De trekkes fram som aktør med evne og vilje til å benytte blant annet cyberoperasjoner som ledd i sin etterretningsvirksomhet mot oss. Og så har det vært konkrete angrep, som cyberoperasjonen mot Stortinget.