En cyberkrigare:de etiska principerna för Just War Theory är fortfarande giltiga när man överväger cyberkrigföring. Kredit:Shutterstock
Cyberattacker är sällan borta från rubrikerna. Vi vet att statliga aktörer, terrorister och brottslingar kan utnyttja cybermetoder för att rikta in sig på de digitala infrastrukturerna i våra samhällen. Vi har också lärt oss att, i den mån våra samhällen blir beroende av digital teknik, blir de mer sårbara för cyberattacker.
Det råder ingen brist på exempel, allt från 2007 års attacker mot Estlands digitala tjänster och 2008 cyberattack mot ett kärnkraftverk i Georgien till WannaCry och NotPetya, två ransomware-attacker som krypterade data och krävde lösensumma och cyberattacken med ransomware på US Colonial Pipeline, ett amerikanskt oljeledningssystem som tillhandahåller bränsle till sydöstra stater.
När man analyserar cyberattackers etiska och juridiska konsekvenser är det avgörande att särskilja de inblandade aktörerna, eftersom tillåtligheten av vissa handlingar också beror på de inblandade aktörerna.
Mitt arbete fokuserar mest på statliga kontra statliga cyberattacker. Ett av de senaste exemplen på den här typen av attacker var de som inleddes mot Ukrainas militära styrkor och tillskrivs UNC1151, en militärenhet i Vitryssland, inför den ryska invasionen av Ukraina.
Observatörer tittade på den ryska invasionen och förväntade sig att cyber skulle vara ett nyckelelement. Många fruktade en "cyber-Pearl Harbor", det vill säga en massiv cyber-attack som skulle få oproportionerligt destruktivt resultat och leda till en eskalering av konflikten.
Hittills har invasionen av Ukraina visat sig mycket destruktiv och oproportionerlig, men cyber har spelat liten, om ingen roll alls, i leveransen av dessa resultat. Betyder detta att en cyber-Pearl Harbor aldrig kommer att hända? Ännu viktigare, betyder detta att cyberattacker är en sekundär förmåga i krig, och att vi kan fortsätta att låta deras användning vara underreglerad?
Det korta svaret på båda frågorna är nej, men det finns nyanser. Hittills har cyberattacker inte använts för att orsaka massiv förstörelse; en cyber-Pearl Harbor, som vissa kommentatorer hävdade i början av 2000. Bristen på cyberelementet i Ukraina är inte en överraskning, med tanke på hur våldsam och destruktiv den ryska invasionen har varit. Cyberattacker är mer störande än destruktiva. De är inte värda att lansera när skådespelare siktar på massiv kinetisk skada. Sådan förstörelse uppnås mer effektivt med konventionella medel.
Men cyberattacker är varken offer eller ofarliga och kan leda till oönskade, oproportionerliga skador som kan få allvarliga negativa konsekvenser för individer och för våra samhällen i stort. Av denna anledning behöver vi adekvata regler för att informera statens användning av dessa attacker.
Under många år har den internationella debatten om detta ämne letts av ett närsynt synsätt. Skälet var att reglera mellanstatliga cyberattacker i den mån de har liknande resultat som en väpnad (konventionell) attack. Som ett resultat har majoriteten av mellanstatliga cyberattacker lämnats oreglerade.
Detta är misslyckandet med vad jag kallade "analogmetoden" till regleringen av cyberkrigföring, som syftar till att reglera sådan krigföring endast i den utsträckning den liknar kinetisk krigföring, d.v.s. om den leder till förstörelse, blodsutgjutelse och offer. I själva verket misslyckas den med att fånga nyheten med cyberattacker, som är mer störande än destruktiv, och allvaret i de hot som de utgör mot ett digitalt samhälle. Grunden för detta tillvägagångssätt är misslyckandet att erkänna det etiska, kulturella, ekonomiska, infrastrukturella värdet som digitala tillgångar har för våra – digitala – samhällen.
Det är betryggande att, efter 2017 års misslyckande, 2021, kunde FN:s grupp av statliga experter för att främja ansvarsfullt statligt beteende i cyberrymden inom ramen för internationell säkerhet komma överens om att mellanstatliga cyberattacker bör regleras i enlighet med principerna för internationella Humanitär rätt (IHL).
Även om detta är i rätt riktning, är det bara ett första, och försenat, steg. Faktum är att principerna för IHR, och de etiska principerna för Just War Theory, fortfarande är giltiga när man överväger cyberkrigföring. Vi behöver mellanstatliga cyberattacker för att vara proportionerliga, nödvändiga och för att skilja kombattanter från icke-stridande. Implementeringen av sådana principer är dock problematisk i samband med cyber – till exempel saknar vi en tydlig tröskel för proportionerliga och oproportionerliga attacker och kriterier för att bedöma skada på immateriella tillgångar. Vi saknar också regler för att överväga frågor som rör suveränitet och due diligence.
Filosofiska och etiska analyser behövs för att övervinna denna klyfta och förstå karaktären av en krigföring som frikopplar aggression från våld, som riktar sig mot icke-fysiska objekt och ändå kan förlama våra samhällen. Samtidigt måste vi se till att, eftersom fler försvarsinstitutioner ser digital teknik som en avgörande tillgång för att upprätthålla överlägsenhet gentemot motståndarna, investerar de i, utvecklar och använder dessa förmågor i linje med de värderingar som ligger till grund för demokratiska samhällen och för att upprätthålla internationell stabilitet.
I takt med att digital teknik fortsätter att integreras i försvarsförmågan, se till exempel artificiell intelligens (AI), dyker fler konceptuella och etiska frågor upp kring deras styrning. För detta ändamål är det viktigt att försvarsinstitutionerna identifierar och tar itu med de etiska risker och möjligheter som dessa tekniker medför och arbetar för att mildra de förra och utnyttja de senare.
Igår utfärdade Försvarsministeriet i Storbritannien ett policydokument:Ambitiöst, säkert, ansvarsfullt:vårt svar på leveransen av AI-aktiverad kapacitet inom försvaret, innehållande en bilaga som ger etiska principer för användning av AI i försvaret. Det är ett steg i rätt riktning. Principerna är breda och mer arbete behöver göras för att implementera dem i specifika försvarssammanhang. De sätter dock en viktig milstolpe, eftersom de visar på MoD:s engagemang att fokusera på de etiska konsekvenserna av att använda AI och att ta itu med dem i överensstämmelse med värderingarna i demokratiska samhällen.
Dessa principer kommer två år efter de som publicerats av U.S. Defense Innovation Board. Mellan de två uppsättningarna av principer finns det vissa konvergeringar som kan antyda framväxten av en delad uppfattning bland allierade om hur AI och, mer allmänt, digitala möjligheter används för försvar. Min förhoppning är att dessa principer kan vara fröet till att utveckla ett gemensamt ramverk för den etiska styrningen av användningen av digital teknik för försvarsändamål.