Arbetsdefiniton av cybersecurity
Vaknade i morse och kunde inte sluta tänka på vad som egentligen menas med “cybersecurity”. Kanske hade jag drömt något om det? Cybersecurity har en slags neutral klang hos sig, som om det handlade enbart om åtgärder mot virus eller att se till att obehöriga inte får tillgång till datorsystem. Men jag kunde inte skaka av mig känslan av att något mer står på spel. Detta är mina försök att utröna detta. Tack till IRC för diskussioner som hjälpte fram distinktionerna!
Problemet med cyber security, förstått som “cyberspace security”, är att cyberspace inte existerar[1]. Det finns ingen digital dualism. Eller omvänt uttryckt, cyberspace är överallt. Det är något vi alltid befinner oss i vare sig vi för tillfället är påkopplade eller avkopplade. Därmed blir vi kvarlämnade med endast *security – strävan efter att radera alla störningsmoment i ett samhälle där allting kontrolleras av datorstödda system. Cyber i cyberspace refererar som bekant till cybernetics, vilket är vetenskapen om “command and control” inom formella system. Cybersecurity strävar sålunda efter ett samhälle där varje command åtföljs av en control utan störningsmoment på så vis att kommandot med säkerhet uppnår den önskade effekten. Med andra ord finns en risk att cybersecurity exanderar till att skydda mot allt som riskerar att störa de globala flödena – så kallad flow contol.
Om cyber expanderar till att omfatta samhället som helhet, finns det då någon gräns för vad som kan uppfattas som hot mot cybersecurity? Det finns uppenbarligen ingen sådan spatial gräns, eftersom hot mot cybersecurity kan uppstå varsomhelst i ett samhälle med allnärvarande cybersystem. Däremot finns det en topologisk(?) gräns. Cyberhot innefattar alltid hot som sker inom ett system. Ett cyberhot kan aldrig vara externt, utan bygger på något slags intrång av en extern aktör eller en omvandling av en intern aktör från en brukare till en hotfull agent. Exempelvis är det inte ett cyberhot om någon spränger ett datorstyrt kraftverk, däremot om ett virus i datorsystemet orsakar haveri. Den efterföljande förödelsen kan dock vara exakt den samma. Hur hanteras då ett externt hot mot ett datorstött system? Det faller under den vanliga anti-terrorismen. Det ska visa sig att anti-terrorism och cybersecurity kan ses som två sidor av samma mynt.
Men först tillbaks till detta med extern och intern i förhållande till system. Som explosionsexemplet visade har detta inte att göra med att spatialt vara innanför eller utanför systemets fysiska manifestation. Explotionen förstör systemet fullkomligt och håller sig därför inte alls till någon omringande fysisk gräns. Innanför och utanför ska istället förstås systemteoretiskt. I Luhmanns systemteori kan innanför ersättas med begreppet information. Information för Luhmann är inte något som existerar “där ute”. Istället är det något som systemet självt skapar. Något blir information för systemet när det omvandlar extern stimuli – retningar – till något som blir begripligt för systemet. På så vis kan Luhmann påstå att samhällen inte består av människor utan av kommunikation. Visserligen kan samhället vara beroende av att människor skapar den här kommunikationen, men det gör de inte en del av samhället. På samma vis är kablarna och servrarna nödvändiga för cybersystmet, men de är inte en del av det. Därför måste ett cyberhot vara något som cybersystemet förstår som information. Detta kan förstås både vara ett virus som tar sig in via internet, eller en anställd som har tillgång till systemet som trycker på fel knappar.
Så långt har vi alltså ställt upp att:
- Interna hot – cybersecurity
- Externa hot – anti-terror
Dessutom har det konstaterats att dessa olika hot inte är hot för olika typer av system. Det finns inte speciella cybersystem i samhället, utan alla samhälliga system har en mer eller mindre portion “cyber-aspekter” hos sig. Istället är det två slags hot som samma typer av system (eller samma typ av infrastruktur, mer korrekt). Är det här dock en vattentät definition eller finns det fortfarande oklarheter. Vad är internt och externt för ett system? Går det alltid att avgöra vad ett system gör till infomation eller inte. Kan vi tänka oss ett hack som gör att denna definitinon inte håller? Detta är lite kanske lite hollywoodmässigt, men tänk ett hack som går ut på att ett system hettas upp på en viss punkt som gör att det producerar ett error som får systemet att flippa ur. Är det terrorism eller cyberattack enligt denna defintion? Är uppdelningen mellan information och energi absolut eller en fråga om konvention? Det hela kompliceras ytterligare av att cybersystem inte bara ska förstås som datorsystem. I själva verket är de i de flesta verkliga fall hybrider av datorsystem och precisa instruktioner för mänsklig agens, alltså protokoll för beteende. En av de vanliga hackermetoderna – social engineering – vittnar inte minst om det. De villkor under vilka en säkerhetsvakt ska släppa in eller inte släppa in en person i serverhallen är lika mycket en del av systemet som om det vore ett kodlås där. Social engineering skulle alltså vara en cyberattack, dock vore det inte en cyberattack att klubba ner vakten och ta nycklarna. Även om utfallet i båda fallen är att man kommer in i serverrummet. Hur är det med en kortslutning förresten? En kortslutning kan sabotera ett system externt på samma sätt som en sprängladdning kan göra det. Men en kortslutning kan också producera information för systemet, t.ex. skicka ut “1” till en annan komponent i systemet istället för “0”. Kanske är gränserna definitionsmässigt absolut skiljda, men i praktiken kan det kvitta om det är ett internt eller externt hot mot systemet – effekten blir densamma. Välkomnar kommentarer om detta!
Hittils alltså en början till en arbetsdefinition av cybersecurity och cyberattacker. Vad det får för praktisk inverkan får gärna diskuteras här nedan och blir kanske frågan för ett framtida inlägg.
Tillägg om cyberspace: Cyberspace som term för internet idag kan både avfärdas som ontologiskt felaktig och som historiskt felaktig (vilket tas upp här). Det historiska avfärdandet består i att för tidiga datoranvändare var verkligen internet en anna plats, helt skiljd från deras övriga liv, men att detta nu inte längre är sant. Detta verkar vara grunden för William Gibsons avfärdande av termen idag. Den ontologiska kritiken däremot syftar till att internet aldrig varit skiljt från övriga samhället, även om det kunde verka så för dessa datoranvändare. Skiljelinjen går nog vid om man väljer att ta användaren eller systemets objektiva uppbyggdnad som utgångspunkt. ↩︎