On Cyber: Towards an Operational Art for Cyber Conflict.

Forfatter: Gregory Conti og David Raymond

Forlag: Kopidion Press
Diverse: 2017; 334 sider; ca. 370 kr., ISBN-13: 978-0692911563.

Anmelder: Henrik Palbo, kaptajnløjtnant, M.Sc., specialist i cyberspaceoperationer, Forsvarsakademiet

For de som savner praktiske værktøjer og modeller til at tale cyberspaceoperationer ind i militære planlægningsprocesser, er der nu hjælp at hente. “On Cyber” er både letlæselig og fuld af eksempler på, hvordan cyberspaceoperationer kan forstås ud fra klassiske værktøjer til analyse af eksempelvis operationsmiljø og terræn.1 “On Cyber” beskæftiger sig med, hvordan militære styrker kan kæmpe og vinde i cyberspace og retter sig mod det strategiske, det operative og det taktiske niveau.

For snart 200 år siden nedskrev den preussiske general Carl von Clausewitz sine tanker om begrebet krig i et værk, som i den engelske oversættelse blev publiceret under titlen “On War”. Clausewitz hovedværk er uomgængelig i enhver diskussion af fænomenet krig, og det er en nærliggende tanke, at forfatterne bag “On Cyber” med deres valg af titel referer til netop dette værk. “On Cyber” er dog ikke en teoretisk undersøgelse af konflikter i cyberspace, men (som undertitlen afslører) et forsøg på at tage de første spadestik mod udviklingen af en krigskunst (operational art) for militære operationer i cyberspace.

I amerikansk doktrin er operational art defineret som “the cognitive approach by commanders and staffs—supported by their skill, knowledge, experience, creativity, and judgment—to develop strategies, campaigns, and operations to organize and employ military forces by integrating ends, ways, means, and risks.”2 Formålet med krigskunst er at omsætte strategiske mål til gennemførlige planer,3 og det er dette formål, som “On Cyber” forsøger at bidrage til.

Bogens klare styrke er, at den oversætter gængse militære principper og doktriner til cyberspace, hvor den benytter termer, som er bredt anvendt inden for den militære profession. Der er et rigt brug af forklarende tabeller, herunder en eksemplificering af vildledning på de forskellige dimensioner af cyberspace, både anskuet fra et angrebs- og et forsvarsperspektiv.4 Herigennem sender forfatterne et klart signal: Cyberspace er nok unikt, men det er ikke så unikt, at vi ikke kan anvende viden fra kinetisk krigsførelse til at forstå det nye domæne.

Bogen rummer en række diskussioner, tabeller og konklusioner, som kan gavne forståelsen for cyberspaceoperationer og dermed, på sigt, bidrage til en bedre militær udnyttelse af domænet. Eksempelvis er analysen af mulige angrebsveje i kapitel 6 værdifuld læsning for officerer på enhedsniveau i forhold til at øge egen enheds cybersikkerhed.5 Især fordi høj cybersikkerhed afhænger af høj fysisk sikkerhed, så en fjendtlig aktør ikke uden videre kan få adgang til computere og routere.

Forfatternes metodik er forankret i antagelsen om, at processer og planlægningsteknikker fra den amerikanske hærs kinetiske operationer kan overføres til operationer i cyberspace. Bogens afgrænsning tjener derfor også et formål, idet den muliggør, at forfatterne kan basere sig på konventionel amerikansk doktrin. Dette bliver dog også en sovepude, idet forfatterne aldrig kommer ind i en dybere diskussion af, hvordan vestlige lande skal forholde sig militært til blandt andet informationskrig. I bogens afsluttende og perspektiverende kapitel anfører forfatterne endda, at “[o]ne of the biggest risks to the United States as a nation is that these attacks [informationskrig og småoperationer som tilsammen fører til “death by a thousand cuts”] continue at a level that fails to catalyze deliberate long-term action from senior leaders in government and the private sector.”6 Hvis disse er blandt de største trusler, så havde det klædt bogen at diskutere hvordan sådanne trusler kan imødegås og hvordan vestlige styrker selv kan gennemføre tilsvarende operationer.

Hvor det metodiske valg bliver en let løsning for forfatterne, der udelukker vigtige perspektiver, så er der andre steder, hvor forfatterne med fordel kunne skære indhold væk. Eksempelvis er det omsonst at nævne, at “gode ledere” inden for cyberområdet er gode at have,7 hvis man alligevel ikke har tænkt sig at udforske, hvad der adskiller sådanne ledere fra gode ledere inden for andre discipliner end cyberspaceoperationer. Her kommer bogen til at lide under en lidt for slap afgrænsning, hvor forfatterne efterlader et indtryk af, at deres projekt i for høj grad baserer sig på doktrinære publikationer, end hvad som giver værdi at nuancere i forhold til operationer i cyberspace.

Enkelte afsnit som eksempelvis “Control Measures”8, vil også have gavn af en mere grundig analyse. Det er ikke umiddelbart klart, hvilken værdi det giver, at overføre de taktiske begreber ’faselinje’ eller ’opmarchområde’ til cyberspaceoperationer. Det er for søgt at nævne, at et opmarchområde kan være det Q-drev, hvorpå man gemmer sin malware.9

Under alle omstændigheder kan man sige, at der er plads til en “On Cyber 2.0” for enten at luge ud i sådanne intetsigende afsnit eller udfylde dem til et meningsfuldt niveau. Dette skal dog ikke trække ned i den samlede vurdering, idet bogen er et prisværdigt forsøg, og endda et godt et, på at beskrive krigskunst i cyberspace. Eksempelvis forklarer forfatterne i letforståeligt sprog, hvordan cyberspaceoperationer adskiller sig fra kamp i de fysiske domæner, hvor bevægelse er begrænset af geografi og fysik. I cyberspace kan vand derimod flyde opad; en metafor for, at reglerne for hvordan data bevæger sig gennem et netværk, er baseret på menneskeskabte algoritmer, og dermed kan ændres til egen fordel.10

Bogen er løseligt bygget op omkring den amerikanske hærs seks warfighting functions, som defineret i ADRP 3-0.11 Der er ikke en klar kobling mellem de seks funktioner og bogens kapitelinddeling. For eksempel har protection ikke sit eget kapitel, men det er dog behandlet forskellige steder i bogen.12

Udgangspunktet i amerikansk hærdoktrin er formentlig et udslag af forfatternes baggrund som undervisere på West Point (den amerikanske hærs officersskole) og ikke et udtryk for, at denne opdeling skulle være bedre end fx NATO’s joint functions.13 Valget kan endda vise sig, at være en fordel for de, som har interesse for den taktiske anvendelse af cyberspaceoperationer, idet den amerikanske hær indtil videre er de eneste, som offentligt har publiceret en doktrin for cyberspaceoperationer på det taktiske niveau.14 Den videre diskussion af cyberspaceoperationer er nu engang nemmere, når der anvendes et fælles sprog - dette tilfælde så et “hærsprog”.

Sproget i bogen er let tilgængeligt selv for læsere uden militær eller teknisk baggrund og medvirker samlet set til en afmystificering af cyberspace som militært domæne. Bogen har sine klare mangler, men er et absolut anbefalelsesværdigt udgangspunkt for at nuancere og forbedre diskussionen om, hvordan militære styrker skal operere i cyberspace.

God fornøjelse med læsningen.

 

Noter

1 Analyse af operationsmiljøet er baseret på PMESII-niveauerne, Gregory Conti og David Raymond, On Cyber: Towards an Operational Art for Cyber Conflict (Kopidion Press, 2017), 58–59. PMESI refererer til political, military, economic, social, information og infrastructure, “Army Doctrine Reference Publication No. 3-0: Operations” (Headquarters, Department of the Army, 11. november 2016), 1-2, tilgængelig fra https://usacac.army.mil/sites/default/files/misc/doctrine/cdg/cdg_resour.... Terrænanalyse er baseret på OAKOC, Conti og Raymond, On Cyber, 75–83. OAKOC refererer til observation and fields of fire, avenues of approach, key terrain, obstacles and movement og cover and concealment, “Field Manual 5-0: The Operations Process,” Change No. 1 (Headquarters, Department of the Army, 18. marts 2011), C-6, tilgængelig fra https://www.globalsecurity.org/military/library/policy/army/fm/5-0/fm5-0....

2 “Joint Publication 5-0: Joint Planning” (U.S. Joint Chiefs of Staff, 16. juni 2017), IV-1, tilgængelig fra http://www.jcs.mil/portals/36/documents/doctrine/pubs/jp5_0_20171606.pdf.

Ibid.

4 Conti og Raymond, On Cyber, 251.

5 Ibid., 76–78.

6 Ibid., 261.

7 Ibid., 218.

8 Ibid., 224–27.

9 Ibid., 226.

10 Ibid., 31.

11 De seks funktioner er mission command, movement and manouver, intelligence, fires, sustainment og protection, “Army Doctrine Reference Publication No. 3-0: Operations”, 5-2–5-7.

12 For eksempel ang. kommando-/kontrolforhold (C2), Conti og Raymond, On Cyber, 235–40; og ang. vildledning, ibid., 246, 251.

13 “Allied Joint Publication-01: Allied Joint Doctrine,” Edition E Version 1 (North Atlantic Treaty Organization, 28. februar 2017), 4-2, tilgængelig fra http://nso.nato.int/nso/zPublic/ap/prom/ajp-01%20ede%20v1%20e.pdf.

14 “Field Manual No. 3-12: Cyberspace and Electronic Warfare Operations” (Headquarters, Department of the Army, 11. april 2017), tilgængelig fra https://rdl.train.army.mil/catalog-ws/view/100.atsc/12bab5e3-1c00-4db8-b....

 

Del: