Vi trenger en digital Genèvekonvensjon!

Nasjonal sikkerhetsmyndighet avholdt nylig Sikkerhetskonferansen 2017. Rundt 700 sikkerhetsspesialister samlet seg for å diskutere cyberangrep. Et høyaktuelt tema med et dramatisk økende trusselbilde Det siste året har vi ikke bare vært vitne til veksten innen datakriminalitet, men også nye og mer urovekkende cyberangrep.

PST, Statens Strålevern, UD, FD og Høgskolen i Bodø er bare noen av eksemplene på norske institusjoner som har vært utsatt for angrep fra statlige aktører. Cyberangrep har med andre ord ikke bare truffet økonomiske mål, men også politiske.

Vi må innse at det ikke finnes én enkel løsning på problemet. Alle verdens tech-selskaper må fortsette arbeidet med å beskytte og forsvare sine kunder, mens myndighetene må implementere lover som beskytter siviles bruk av internett.

Forpliktelsen bør være forsvar og ikke angrep.

På sammen måte som at den fjerde Genèvekonvensjonen omhandler beskyttelse av sivile i krigstid, trenger vi nå en digital Genèvekonvensjon som forplikter myndighetene til å beskytte sivile fra cyberangrep i fredstid. Og akkurat slik som Genèvekonvensjon anerkjenner at beskyttelse av sivile trenger assistanse fra Røde Kors, beskyttelse mot cyberangrep fra statlige aktører krever at hjelp fra tech-selskapene.

Teknologisektoren har derfor en unik rolle som internetts «førstelinje», og vi bør derfor forplikte oss til en kollektiv handling som vil gjøre internett til et tryggere sted.

Hele 74 prosent av verdens selskaper forventer å bli hacket hvert år (kilde: isaca.org). Det økonomiske tapet av cyberkriminalitet er anslått å nå tre billioner dollar innen 2020. Selv om disse økonomiske tapene vokser, overskygges de av en ny og mer omfattende trussel som cyberangrep mot nasjoner og politiske institusjoner. Nord Koreas hackerangrepet mot Sony i 2014, for å stoppe lanseringen av den kontroversielle filmen «the Interview», var et synlig vendepunkt i denne sammenheng. Siden den tid har vi sett flere cyberangrep av statlige aktører, også med det formål å påvirke utfallet av et demokratisk valg.

I myndighetenes møte med et stadig økende risikobilde, ser vi en samtidig- positiv økning i offentlige satsning innenfor cyber sikkerhet. Dagens «slagmark», cyberspace, er ikke som før. Cyberspace er i hovedsak laget, operert, administrert og sikret av private aktører.

Målet for disse angrep kan være alt fra sjøkabler til datasentre, servere, bærbare datamaskiner og smarttelefoner – som ofte er privat eiendom. I hjerte av cyberangrepene er fortsatt epost.

Teknologiselskaper tar stadig nye skritt for å beskytte sine kunder mot angrep. Microsofts årlige satsning på cybersikkerhet alene, utgjør mer enn en milliard dollar. Dette er bare starten. Sky, dataanalyse og maskinlæring, er sammen banebrytende forsvarsmekanismer som kan hjelpe myndigheter og bedrifter til å oppdage og stoppe disse cyberangrep.

Tiden er inne for at nasjoner kommer sammen og anerkjenner cybertruslene vi står overfor.

Microsoft sine datasentre er koblet til over en milliard datamaskiner og mottar over en billion datapunkter hver dag. Alene behandler Microsoft-teknologiens «Advanced Threat Protection» over seks milliarder eposter hver dag, og fanger opp tegn på angrep i sanntid. Når angrep oppdages varsles umiddelbart vårt Cyber Defense Operations Center, et døgnbemannet kommandosenter og «førstelinje» som jobber med å sikre kundene og oss. Vi jobber også med å forebygge datakriminalitet ledet av vår Digital Crimes Unit som siden sist sommer har jobbet med å ta ned 60 domener i 49 land, alle knyttet til statlige cyberangrep.

Dette er utfordringer ingen kan løser alene.

Tiden er inne for at nasjoner kommer sammen og anerkjenner cybertruslene vi står overfor. Vi trenger nye lover og regler, og vi trenger å implementere dem nå i en digital Genèvekonvensjon som beskytter sivile på internett i fredstid.

Til slutt, vi i teknologisektoren må som «førstelinje» mot disse truslene handle kollektivt for å bedre beskytte internett, kunder og til syvende og sist nasjonen mot cyberangrep.Konvensjonen bør forplikte myndigheter og nasjoner globalt til å forebygge og unngå cyberangrep rettet mot private sektorer, kritiske infrastrukturer, og tyveri av immaterielle rettigheter. En digital Genèvekonvensjon bør også opprette en egen uavhengig organisasjon som kan undersøke, analysere, og åpent dele funn av cyberangrep gjennomført av statlige aktører.

Forpliktelsen bør være forsvar og ikke angrep. Slik er det nå, og slik må det forbli i fremtiden. Skal vi snu ord til handling må vi i teknologibransjen også forplikte oss til et tettere og mer proaktivt samarbeid mot statlige cyber angrep.

Kristine Beitland er direktør for myndighetskontakt i Microsoft Norge.