Quantumrun

BILDEKREDITT:

iStock

Globale cybersikkerhetspakter: Én forskrift for å styre cyberspace

FNs medlemmer har blitt enige om å implementere en global nettsikkerhetspakt, men implementeringen vil være utfordrende.

Forfatter:
forfatternavn
Quantumrun Foresight
Juni 2, 2023

Flere globale cybersikkerhetspakter har blitt signert siden 2015 for å forbedre cybersikkerhetssamarbeidet mellom stater. Imidlertid har disse paktene blitt møtt med motstand, særlig fra Russland og dets allierte.

Kontekst for globale cybersikkerhetspakter

I 2021 overbeviste FNs (FN) åpen arbeidsgruppe (OEWG) medlemmene om å gå med på en internasjonal cybersikkerhetsavtale. Så langt har 150 land vært involvert i prosessen, inkludert 200 skriftlige bidrag og 110 timer med uttalelser. FNs cybersikkerhetsgruppe av statlige eksperter (GGE) har tidligere drevet den globale cybersikkerhetsplanen, med bare en håndfull land som deltar. I september 2018 godkjente imidlertid FNs generalforsamling to parallelle prosesser: den USA-godkjente sjette utgaven av GGE og den Russland-forslagte OEWG, som var åpen for alle medlemsnasjoner. Det var 109 stemmer for Russlands OEWG-forslag, som viser bred internasjonal interesse for å diskutere og danne normer for cyberspace.

GGE-rapporten anbefaler et vedvarende fokus på nye farer, internasjonal lov, kapasitetsbygging og opprettelsen av et regelmessig forum for å diskutere cybersikkerhetsspørsmål i FN. GGE-avtalene fra 2015 ble ratifisert som et viktig skritt mot å etablere cybernormer for å hjelpe nasjoner med å navigere på nettet på en ansvarlig måte. For første gang oppstod diskusjoner om sikkerheten til medisinsk og annen kritisk infrastruktur fra cyberangrep. Spesielt er kapasitetsbyggingsbestemmelsen betydelig; til og med OEWG anerkjente dens betydning i internasjonalt cybersamarbeid siden data konstant utveksles på tvers av landegrensene, noe som gjør landsspesifikke infrastrukturpolitikker ineffektive.

Forstyrrende påvirkning

Hovedargumentet i denne pakten er om det bør opprettes tilleggsregler for å imøtekomme den utviklende kompleksiteten til det digitale miljøet, eller om eksisterende cybersikkerhetsregler bør anses som grunnleggende. Den første gruppen av land, inkludert Russland, Syria, Cuba, Egypt og Iran, med en viss støtte fra Kina, argumenterte for førstnevnte. Samtidig sa USA og andre vestlige liberale demokratier at GGE-avtalen fra 2015 skulle bygges på og ikke erstattes. Spesielt anser Storbritannia og USA en internasjonal avtale som overflødig siden cyberspace allerede er styrt av internasjonal lov.

En annen debatt er hvordan man skal regulere den økende militariseringen av cyberspace. Flere stater, inkludert Russland og Kina, har bedt om et flatt forbud mot militære cyberoperasjoner og offensive cyberkapasiteter. Dette har imidlertid blitt motarbeidet av USA og dets allierte. Et annet problem er teknologiselskapenes rolle i globale nettsikkerhetspakter. Mange bedrifter har nølt med å delta i disse avtalene, i frykt for at de vil bli gjenstand for økt regulering.

Det er viktig å merke seg den geopolitiske spenningen denne globale nettsikkerhetspakten navigerer i. Mens statsstøttede cyberangrep fra Russland og Kina får mest dekning (f.eks. Solar Winds og Microsoft Exchange), har USA og dets allierte (inkludert Storbritannia og Israel) også utført sine egne cyberangrep. For eksempel plasserte USA skadevare i Russlands elektrisitetsinfrastruktur i 2019 som en advarsel til president Vladimir Putin. USA hacket også kinesiske mobiltelefonprodusenter og spionerte på Kinas største forskningssenter: Tsinghua University. Disse aktivitetene er grunnen til at selv autoritære stater som har blitt anklaget for regelmessig å sette i gang cyberangrep er opptatt av å implementere sterkere reguleringer på cyberspace. Imidlertid anser FN generelt at denne globale cybersikkerhetspakten er en suksess.

Større implikasjoner av globale nettsikkerhetspakter

Mulige implikasjoner av globale nettsikkerhetspakter kan omfatte:

Land som i økende grad regulerer (og i noen tilfeller subsidierer) sin offentlige og private sektor for å oppgradere deres cybersikkerhetsinfrastruktur.
Økte investeringer i cybersikkerhetsløsninger og offensive (f.eks. militær, spionasje) cyberkapasiteter, spesielt blant rivaliserende nasjonsgrupper som Russland-Kina-kontingenten og vestlige regjeringer.
Et økende antall nasjoner som unngår å slutte seg til Russland-Kina eller Vesten, i stedet velger å implementere sine egne cybersikkerhetsbestemmelser som fungerer best for deres nasjonale interesser.
Store teknologiselskaper – spesielt skytjenesteleverandører, SaaS og mikroprosessorselskaper – deltar i disse paktene, avhengig av deres implikasjoner for deres respektive operasjoner.
Utfordringer med å implementere denne pakten, spesielt for utviklingsland som ikke har de nødvendige ressursene, reguleringene eller infrastrukturen for å støtte avansert cybersikkerhetsforsvar.