Introduksjon

Eksperter – selvutnevnte og noen andre – hevder ofte at ondsinnet programvare er det perfekte verktøy for terroristgrupper. Ideen er at terroristgrupper er interessert i å bryte ned deler av en nasjons kritiske infrastruktur, som et middel for å oppnå sine langsiktige mål. Land, og organisasjoner som er viktige i et lands kritiske infrastruktur, bør derfor ha spesielt fokus på denne potensielle trusselen når de sikrer sine systemer.

Ondsinnet programvare har vært lett tilgjenglig lenge, og vi har ikke sett noe som likner på forsøk på å bruke skadeprogramvare som et terroristvåpen. Vi vil likevel prøve å analysere påstanden i denne sikkerhetsinformasjonen.

For å unngå misforståelser, bør du merke deg at vi her vil diskutere bruken av skadeprogramvare som en terrorhandlig i seg selv. Skadeprogrammer kan selvfølgelig brukes som et av mange virkemidler i forberedelsen til terrorhandlinger. For eksempel kan trojaner og spionvare on crucial computers to gather information about the ultimate target.

Argumentene som forsvarer påstanden

De som tror at ondsinnet programvare vil være neste generasjons våpen i en terroristgruppes arsenal, har følgende argumenter:

1. En kan bruke skadeprogramvare til å ramme og ødelegge/paralysere en nasjons kritiske infrastruktur
2. En trenger ingen stor organisasjon, for å sette opp et angrep med skadeprogrammer
3. Ondsinnet programvare, som skal rettes mot en nasjons infrastruktur, er både enkelt og billig å lage, sammenlignet med andre midler som er nødvendig for å oppnå en lignende effekt
4. For personene bak et slikt angrep er det ikke vanskelig å gjemme seg bort slik at de nesten blir umulige å spore opp.

Alle disse argumentene ser ut til å være riktige. Er da skadelig programvare virkelig en terrorists våte drøm? Er vi villige til å kjøpe den generelle påstanden? Ikke helt – eller i hvert fall ikke enda, som vi vil vise nedenfor. For at denne diskusjonen skal bli brukbar, må vi bruke litt tid til å gjennomgå terrorisme i seg selv.

Terrorismens karakteristika

Det kan være greit å starte med å definere ordet ”terrorisme”. To definisjoner er:

Encyclopædia Britannica (Gratisversjon på nett) (oversatt fra engelsk):

Systematisk bruk av vold for å skape allmenn frykt i befolkningen og dermed å fremme et politisk synspunkt (…)

Wikipedia (oversatt fra engelsk):

Terrorisme, i moderne forstand, er vold eller annen skadelig handling utført (eller truet med å bli utført) ovenfor sivile, for å oppnå politiske eller ande ideologiske mål. De fleste definisjoner inkluderer bare handlinger som har til hensikt å skape frykt eller ”terror”, er begått for å oppnå et ideologisk mål (i motsetning til et enkeltangrep), og med fullt overlegg retter angrepet mot eller fullstendig overser sikkerheten til ikke-stridende. Mange definisjoner inkluderer også bare ulovlig voldshandling. (…)

Andre kilder viser lignende definisjoner.

Det er to nøkkelelementer som er sentrale i begge sitatene ovenfor – vold og allmenn frykt.

Det er mange eksempler på typiske terrorhandlinger, for eksempel:

• Utløse bilbomber
• Sprenge fly
• Kidnappe fly
• Tvinge kidnappede fly til å krasje inn i bygninger 
• Utløse selvmordsbomber i folkemengder
• Angripe offentlige bygninger med selvmordslastebil
• Avfyre rakett inn i mennesker eller bygninger
• Skyte inn i folkemengder
• Angripe befolkningen med giftig gass
• Ta gisler

Samtlige av disse eksemplene er mer eller mindre i samsvar med nøkkelelementene som vi fokuserte på ovenfor. Det skulle også være korrekt å anta at jo mer vold som involveres, desto mer frykt vil en terrorhandling skape i den allmenne befolkning.
[Hvorvidt det er taktisk klokt av en terroristgruppe å bruke slike midler for å oppnå dens endelige mål er et helt annet spørsmål og utenfor denne sikkerhetsinformasjonens rekkevidde]

Ondsinnet programvare som verktøy for å skape allmenn frykt ved bruk av vold

Sikkerhetsinformasjonen for uke 38 omhandlet skadeprogramvarehistorien, og inkluderte eksempler på noen av skadeprogramvareangrepene som har forårsaket flest problemer de siste 25 årene. Mange karakteristikker er blitt og kan bli brukt om disse angrepene. Men ”voldelig” og ”skaper allmenn frykt” er sjelden blant de ordene en tenker på først.

På den andre siden må det sies at ingen terroristgrupper har, så langt vi vet, vært involvert i utvikling og distribuering av disse skadeprogrammene. Er det da mulig å se for seg et skadeprogram som kunne forårsake allmenn frykt og involvere noe vold?

”Vold” er et uttrykk som ikke er presist, og en kunne kanskje bruke dette om for eksempel et virus som er spesielt aggressivt, eller en orm som sprer seg veldig effektivt. La oss akseptere dette for et øyeblikk.

Så tar vi for oss ”den generelle frykten”. Dersom en organisasjon blir alvorlig rammet av et skadeprogram, og dermed ikke er i stand til å gjennomføre den vanlig virksomheten, kan selvfølgelig eierne og de ansatte bli redde siden organisasjonen vil tape penger og i verste fall bli tvunget til å legge ned. Enkeltbrukere, som blir alvorlig rammet, vil føle at dette er brysomt siden de kanskje ikke lenger får lest e-posten sin, surfet på Internett osv. Men allmenn frykt blant befolkningen, neppe!

Men terroristgruppene vil prøve å ramme institusjoner som er kritiske for at det moderne samfunnet skal fungere, påstår forsvarerne. Og det er så absolutt mulig at spesiallagede skadeprogram kan være i stand til å få et lands banksystemer, strømforsyning (i hvert fall i noen regioner om gangen), kommunikasjonssystemer osv. til å bryte sammen. Problemet, sett fra terroristens side, er at det er vanskelig å holde slike systemer nede veldig lenge. Samarbeidet mellom forskjellige nasjoners beredskapsgrupper ved datakriser (computer emergency response teams) er ganske godt, og det skal være mulig å sammen stoppe et koordinert angrep mot et bestemt land. Det kan være nødvendig å ty til ganske drastiske virkemidler for å stoppe et avansert angrep. Men hvis det har alvorlige konsekvenser for det rammede landet, vil internettfellesskapet mest sannsynlig ta på seg omkostningene, ved å avbryte andre tjenester en kort periode inntil angrepet er stoppet for godt. En kan derfor anta at befolkningen i det rammede landet vil bli irritert, føle at deres normale aktiviteter blir forstyrret og oppleve at oppgaver de tar for gitt nå blir vanskelig eller umulig å utføre. Landet kan potensielt oppleve å tape store pengebeløp. Men det er imidlertid tvilsomt at det vil oppstå allmenn frykt i befolkningen.

Andre faktorer bør også tas i betraktning: For effektivt å kunne forstyrre et lands kritiske infrastruktur, må det samles inn ganske avansert kunnskap om disse systemene og deres (potensielle) svakheter. Dette vil normalt være mer komplisert og komplekst enn noen av terrorhandlingene nevnt ovenfor. På den andre siden er det nevnt andre eksempler på terrorisme, som krever betydelige forberedelser og kunnskap om målene.

Basert på diskusjonen ovenfor virker det trygt å konkludere at ondsinnet programvare, i den formen som eksisterer nå, ikke egner seg spesielt godt som terrorhandling i seg selv. Det er ikke tilstrekkelig samsvar med vilkåret om ”generell frykt”.

Skadelig programvare som et middel i krig mellom land

I en situasjon hvor det er krig mellom to land, er det involvert andre faktorer som må tas i betraktning. Skadeprogramvare kan da gjerne bli sett på som et nyttig våpen for en av partene, spesielt kombinert med andre tilgjengelige våpen. Mange av de hensyn en terroristgruppe hadde måttet ta, vil her ikke være relevante. 
Den diskusjonen er imidlertid ikke relevant for denne sikkerhetsinformasjonen.