Självständigt arbete (15 hp)
Författare Program/Kurs
Kd Fia Stockelberg OP SA 17-20
Handledare Antal ord: 11999
Fil. Dr. Kristin Ljungkvist Beteckning Kurskod 1OP415 CYBERKRIGFÖRING
En begreppsutredande studie utifrån John Gerrings teori ABSTRACT:
A state’s right to self-defense depends on whether an attack on the state is regarded an act of war according to jus ad bellum. The UN Charter does not specifically mention cyber warfare and it is therefore unclear whether a cyber-attack can be classified as an act that corresponds to an armed attack. The debate amongst scholars has not led to consensus on the meaning of the concept of cyber warfare nor whether it can be regarded as an act of war.
The purpose of this study was to analyze the concept of cyber warfare according to the theory of good concepts formed by John Gerring. The study aims to answer the questions of whether the definitions meet Gerring's criteria for a good concept and if any of the analyzed definitions can be considered compatible with jus ad bellum and thus give a state the right to self-defense. This study uses a qualitative concept analysis and analyzes three different definitions of cyber warfare with a focus on intention, effect and actor respectively.
The results show that all definitions meet all the criteria to some extent. The actor-focused definition was considered a good concept at a high level, the intention-focused definition at a low level and the effect-focused at a very low level. Only Hathaway's effect-focused definition could in itself be considered compatible with jus ad bellum. The other definitions would require a more comprehensive interpretation of the UN Charter.
Nyckelord:
Innehållsförteckning
1. INLEDNING 3 1.1PROBLEMFORMULERING 3 1.2TIDIGARE FORSKNING 4 1.3SYFTE 7 1.4FRÅGESTÄLLNINGAR 7 1.5DISPOSITION 7 2. BEGREPPSANALYS 9 2.1FORSKNINGSDESIGN 9 2.2BEGREPPSUTREDANDE STUDIE 92.2.1JOHN GERRING –HÅLLBARA BEGREPP 10
2.3OPERATIONALISERING 11
2.3.1GERRINGS KRITERIER FÖR HÅLLBARA BEGREPP 12
2.3.2ANALYSSCHEMA 18
2.4METODDISKUSSION 19
2.4.1RELIABILITET, INTERSUBJEKTIVITET OCH FORSKARETIK 19
2.4.2BEGREPPSVALIDITET 20
2.5MATERIALDISKUSSION 21
3. BEGREPPSANALYS AV BEGREPPET CYBERKRIGFÖRING 23
3.1INTENTIONSFOKUS -EILSTRUP-SANGIOVANNI 23
3.2EFFEKTFOKUS -HATHAWAY ET AL 27
3.3AKTÖRFOKUS -GREEN (RED.) 32
3.4SAMMANFATTNING 37 4. AVSLUTNING 39 4.1DISKUSSION 39 4.1.1RESULTATDISKUSSION 39 4.1.2JUS AD BELLUM 39 4.2ÅTERKOPPLING 40 4.3VIDARE FORSKNING 40 4.4RELEVANS FÖR YRKESUTÖVNINGEN 41
LITTERATUR OCH REFERENSFÖRTECKNING 42
VETENSKAPLIGA ARTIKLAR 42
BÖCKER 43
RAPPORTER 44
1. Inledning
1.1 Problemformulering
Det råder idag delade meningar om definitionen av begreppet cyberkrigföring och vad det innebär för en stat. Den internationella humanitära rätten (IHL) skiljer på internationella väpnade konflikter (IAC) och icke-internationella väpnade konflikter (NIAC) där klassificeringen av en konflikt och dess parter avgör vilka juridiska förutsättningar som gäller.1
Om ett angrepp inte räknas som väpnad konflikt enligt jus ad bellum påverkar det i mycket hög grad vilka åtgärder ett angripet land kan vidta. Jus ad bellum reglerar om och hur ett land får reagera på ett angrepp och en viktig del i det är FN-stadgan. Enligt artikel 2:4 får medlemsländerna inte bruka våld mot någon annan stat samtidigt som artikel 51 reglerar att ingenting i stadgan kan frånta en stat dess rätt till självförsvar vid ”händelse av väpnat angrepp”.2 Huruvida cyberkrigföring kan ses som ett väpnat angrepp är därmed helt avgörande
för en stats rätt till självförsvar och vilka medel som i så fall kan nyttjas. Ändå finns det ingen konsensus, varken i den akademiska världen eller mellan stater, kring vad cyberkrigföring innebär eller om det ens existerar.
Till skillnad från flera länder som öppet redovisat sin ståndpunkt för huruvida ett cyberangrepp är att betrakta som en krigshandling eller inte så har inte Sverige eller den svenska Försvarsmakten gjort så. Militärstrategisk doktrin 2016 (MSD 16) placerar cyberangrepp och cyberaktivism under okonventionella medel, inte under militära medel.3 Krigföring inom cyberrymden placeras inom hybridkrigföring som skall utgöra ett hot mot Sverige då den utmanar den traditionella förståelsen av krig och fred. MSD 16 beskriver även hur Försvarsmakten ska kunna ta striden även in i cyberrymden.4 Regeringens inriktning av
totalförsvaret kan tolkas som att cyberangrepp inte är att likställa med krigshandlingar, exempelvis ”Krigshandlingar kan komma att skada eller förstöra fjärrvärmeanläggningar. De
kan också utsättas för cyberangrepp mot styrsystemen.”5.
1 International Committee of the Red Cross, Handbook of international rules governing military Operations. Geneve: ICRC,
2013 s55, se vidare s55-61.
2 United Nations, 1 UNTS XVI (1945) UN Charter Geneve: kapitel I, artikel 2:4, kapitel VII, artikel 51 3 Försvarsmakten, Militärstrategisk doktrin: MSD 16, Stockholm: Försvarsmakten, 2016 s35-36 4 Försvarsmakten s60
5 Försvarsdepartementet, Ds 2017:66 (2017). Motståndskraft Inriktningen av totalförsvaret och utformningen av det civila
Totalförsvarets forskningsinstitut menar att idag ”tenderar det att finnas en övergripande konsensus att folkrätten gäller och i synnerhet FN-stadgan, krigets lagar och mänskliga rättigheter.”.6 Denna konsensus uppfattas inte lika klar vid en granskning av forskningsläget.
FOI baserar stor del av sin tolkning på Tallinnmanualen7, ett icke-bindande akademiskt avtal
från 2013 kring hur internationell lag är applicerbar på cyberkrigföring, men påtalar samtidigt att ” internationella domstolar och tribunaler ännu inte har dömt i något fall som relaterar till militära cyberoperationer stater emellan”. Detta innebär att tolkningen av IHLs applicerbarhet på cyberkrigföring inte är normativt styrkt.8
Cyberkrigföring är alltså ett omdiskuterat område som saknar enighet kring såväl moral och lagar som i hur skadan som görs skall jämföras med konventionella vapen. Avsaknaden av tydlig definition i Sverige påverkar landets rätt att försvara sig och dess möjligheter att utveckla förmågan inom cyberkrigföring. Därför bör det anses finnas ett behov av en tydligare begreppsdefinition med en skarp gränsdragning mellan cyberbrott, -terrorism och -krigföring.
1.2 Tidigare forskning
Det finns många studier kring cyberkrigföring och det finns nästan lika många forskare som konstaterar att det inte finns en given definition av vad cyberkrigföring eller cyberangrepp innebär. Matt Sleat menar att det finns tre skolor av forskare som studerar cyberangrepp i relation till teorin kring ”just war” (eng.) där jus ad bellum och jus in bello ingår. De flesta anser han ingå i den första skolan, som anser att cyberkrigföring inte kräver något nytt regelverk alls, alternativt den andra som kan se ett behov av viss uppdatering. Det finns dock även de som anser att cyberkrigföring är något helt nytt som inte kan omfattas av gällande regelverk, det kallar han den tredje ”radikala” skolan.9
Catherine Lotrionte står till stor del för den första skolan som anser att regelverket fungerar som det är. Hon menar att den generella uppfattningen idag är att det inte krävs ett faktiskt
6 FOI, Aktiva operationer på cyberdomänen Folkrättslig normativ utveckling. FOI-R--4776--SE (2019) Stockholm:
Totalförsvarets forskningsinstitut s26
7 Michael N. Schmidt, Tallinn Manual on the International Law applicable to Cyber warfare. Cambridge: Cambridge
University Press (2013)
8 FOI, s26
9 Matt Sleat, Just cyber war?: Casus belli, information ethics, and the human perspective. Review of International Studies,
fysiskt angrepp för att klassificeras som ett väpnat angrepp utan att även angrepp som motsvarar sådana faller in under samma regelverk. Därmed krävs inga nya regler. Hon hänvisar till ”scale and effects”, alltså vilken effekt angreppet får snarare än att det är väpnade styrkor som utför det. Lotrionte menar att tiden kommer utvisa vilka angrepp som når upp till tröskeln för att räknas som väpnade angrepp enligt FN-stadgan.10
Thomas Rid i samma skola menar istället att det inte behövs något nytt regelverk helt enkelt för att cyberkrigföring inte är krigföring. Cyberangrepp, hur fruktansvärda konsekvenser de än må ha, kan alltså inte ses som krigshandlingar. Rid menar, något kontroversiellt, att det inte skett några cyberangrepp i historien som kan klassificeras som krigföring och han baserar större delen av sin argumentation på Clausewitz.11 Rid, som mötts av både kritik och medhåll, har systematiskt gått igenom Clausewitz definition av begreppet krigföring och han menar att få cyberangrepp motsvarar ett enda av de element Clausewitz nämner. Rid menar inte att cyberangrepp inte finns men att de inte är krigshandlingar och att det inte kan handla om krig i sig.12
Pool, som hör till den andra skolan Sleat beskriver, ser ett behov av utveckling av ramverket kring cyberkrigföring men är inte lika konservativ som Rid i tolkningen av väpnat angrepp. Han diskuterar i sin analys av krigföring, med stort fokus på FN-stadgan, att även om ett angrepp inte kan klassas som väpnat, och alltså inte skulle kunna ge rätt till självförsvar enligt FN-stadgans artikel 51, så kan det ändå vara otillåtet enligt artikel 2:4. Detta medför ytterligare situationer med oklara juridiska lägen där åtgärderna från världssamfundet inte är självklara.13
Både Pool och Droege lyfter problemet med olika definitioner och Droege menar att inte bara forskare har olika syn på begreppet. Hon går igenom olika länders tolkning av cyberkrigföring och medan länder som USA, Storbritannien och Australien har valt att se IHL som applicerbart på cyberangrepp så har exempelvis Kina gjort tvärtom.14 Samtidigt konstaterar Pool att Ryssland, som ingått avtal med just Kina och andra centralasiatiska länder om en definition av
10 Catherine Lotrionte, Cyber Operations: Conflict Under International Law. Georgetown Journal of International Affairs,
International Engagement on Cyber2012: Establishing Norms and Improving Security (2012), s15-24
11 Thomas Rid, Cyber war will not take place. Journal of Strategic Studies. Vol. 35:1 (2012) s5-32 12 Rid, s32
13 Phillip Pool, War of the Cyber World: The Law of Cyber Warfare. The International Lawyer, Vol. 47:2 (2013), s299-323 14 Cordula Droege, Get off my cloud: cyber warfare, international humanitarian law, and the protection of
cyberkrigföring, gått ut med att de räknar all informationskrigföring mot Ryssland eller dess militär som en fas av en konflikt.15 Två länder med samma, relativt breda, definition av
cyberkrigföring har alltså olika syn på om cyberangrepp omfattas av IHL.
Droege anser, till skillnad från forskare som menar att cyberkrigföring är ett sätt att minska det civila lidandet, att det drabbar den civila befolkningen hårdare. Detta bland annat då de flesta militära nätverken i botten vilar på civil infrastruktur och för att slå ut de militära målen drabbas då även civila.16 Whetham menar samtidigt att civilbefolkningen kan nyttjas som gisslan för att få en stat att vika sig.17 Droege diskuterar även hur debatten kring cyberkrigföring kommit att handla mer om att parter anklagar varandra för spionage och sabotage och mycket lite om det juridiska läget. Det skiljs inte på väpnad konflikt och andra situationer trots att det gör all skillnad för huruvida IHL gäller.18
Whetham diskuterar vidare svårigheten i att veta när ett land är i krig och menar att gråzonsproblematiken ökat. Han lyfter att länder som trots att de utsätts för kontinuerliga attacker ändå inte själva anser sig vara i krig.19 Whetham hör till de som vill se ett effektfokus och menar att de konsekvenser som ett cyberangrepp medför kan få samma effekter som en motståndare kan uppnå med mer traditionella fysiska angrepp.20
Precis som Sleat menar Nguyen att det finns tre olika huvudskolor bland forskare för när ett cyberangrepp kan klassificeras som väpnat angrepp. Han delar dock in dem i mål, medel och effekt och menar att det borde finnas en fjärde som fokuserar på intention. Om intentionen är att orsaka irreversibel störning eller fysisk skada på ett cyber-fysiskt system så bör angreppet klassificeras som ett väpnat angrepp.21
15 Pool, s309 16 Droege, s538-539
17 David Whetham, "Are We Fighting Yet?" Can Traditional Just War Concepts Cope with Contemporary Conflict and the
Changing Character of War? The Monist, Vol. 99:1 (2016), s55-69
18 Droege, s533-578 19 Whetham, s55 20 Whetham, s61
21 Reese Nguyen, Navigating "Jus Ad Bellum" in the Age of Cyber Warfare. California Law Review, Vol. 101:4 (2013)
För att en militär organisation ska kunna utarbeta en effektiv strategi för att hantera cyberangrepp behövs först och främst en tydlig definition av fenomenet som sådant. Huruvida ett cyberangrepp kan anses vara en krigshandling är, som tidigare nämnts, dessutom direkt avgörande för vilka lagar som kan anses gälla. Sammantaget finns det därför ett behov av att utreda begreppet cyberkrigföring och undersöka några av de begreppsanvändningar som förekommer i den aktuella diskursen.
1.3 Syfte
Den här studien har gjorts i syfte att belysa behovet av en tydlig definition av cyberkrigföring och vilka konsekvenser avsaknaden av en sådan kan få för en stats rätt till självförsvar och motåtgärder vid cyberangrepp. Ett delsyfte har varit att utreda tre olika definitioner som representerar tre olika perspektiv på cyberkrigföring enligt Gerrings teori kring hållbara begrepp, ett annat att föra en diskussion kring hur de analyserade begreppsdefinitionerna lever upp till jus ad bellum.
1.4 Frågeställningar
Hur motsvarar de undersökta definitionerna av begreppet cyberkrigföring Gerrings kriterier för ett hållbart begrepp?
I vilken utsträckning kan de undersökta definitionerna av cyberkrigföring anses vara kompatibla med jus ad bellum och därmed ge en stat rätt till självförsvar?
1.5 Disposition
I det andra avsnittet beskrivs hur studien har genomförts och vad en begreppsutredande studie innebär. För att ge en grund för hur arbetet har utformats och varför Gerrings metod har valts beskrivs dennes forskning och hans teori kring vad som gör ett begrepp hållbart. Avslutningsvis görs en operationalisering av Gerrings teori som senare kommer att användas för att genomföra en analys av tre olika definitioner av cyberkrigföring. Då en begreppsutredande studie till sin natur nyttjar den vetenskapliga teorin redan i metodarbetet så innehåller studien inget separat teoriavsnitt utan beskriver teorin och motiveringen till valet av densamma utförligt redan i begreppsanalysavsnittet.
I det tredje avsnittet genomförs, redovisas och sammanfattas analysen. I det avslutande avsnittet förs en diskussion kring resultatet som sådant samt dess kompatibilitet med jus ad bellum. Därefter återkopplas till syfte och frågeställningar och avslutningsvis redovisas slutsatser kring behov av vidare forskning samt resultatets relevans för officersprofessionen.
2. Begreppsanalys
2.1 ForskningsdesignDen här studien har genomförts som en begreppsutredande studie av begreppet cyberkrigföring. Inledningsvis har Gerrings ramverk kring begreppsbildning analyserats och genom att operationalisera de kriterier han menar är viktiga för ett begrepp så kunde ett analysschema tas fram. Genom att följa detta schema har sedan tre olika begreppsdefinitioner analyserats vars författare representerar tre olika perspektiv på cyberkrigföring.
Efter att definitionerna har analyserats i förhållande till Gerrings ramverk fördes en diskussion kring resultatet och om någon av de definitioner som använts kan anses motsvara jus ad bellum och en stats rätt till självförsvar.
2.2 Begreppsutredande studie
En begreppsutredande studie fokuserar på innebörden av själva begreppet och sätter inte in begreppet i en empirisk undersökning.22 Då cyberkrigföring är ett så omdiskuterat begrepp som trots detta inte har en enhetlig definition bedömdes det lämpligt att endast utreda begreppet och inte att applicera detta på specifika fall. Esaiasson menar att en begreppsutredning görs ”för att bringa ordning i en redan existerande diskussion kring ett samhällsfenomen”23 och kan följas av en empirisk pilotstudie. I det här fallet har beslutet varit att stanna vid begreppsutredningen även om det hade varit önskvärt med en empirisk undersökning för att pröva begreppen.
Kurunmäki och Marjanen försöker att skilja mellan begrepp och ord och menar att en del av den kritik som framförts mot, i deras fall, begreppshistoriska studier är just svårigheten i att definiera vad ett begrepp de facto är.24 De uttrycker att begrepp är ord som alltid är potentiellt mångtydiga. Goertz vill istället inte göra en explicit definition utan väljer att implicit definiera ”begrepp” genom att diskutera hur de bildas.25
22 Esaiasson, Peter., Gilljam, Mikael., Oscarsson, Henrik., Towns, Ann., Wängnerud, Lena. Metodpraktikan – Konsten att
studera samhälle, individ och marknad. 5.uppl., Visby: Wolters Kluwer Sverige AB, 2017 s36
23 Esaiasson et al. s36
24 Kurunmäki, Marjanen Begreppshistoria i Textens mening och makt. Metodbok i samhällsvetenskaplig text- och
diskursanalys. Bergström, Göran och Boréus, Kristina (Red.), Lund: Studentlitteratur AB, 2018 s207-208
Det finns flera sätt att förhålla sig till begreppsbildning och ett av de äldsta är att se till ett begrepps vanligaste användningar. Begrepp används ofta olika genom historien, på olika språk eller inom olika områden. Forskning kan inte vila på begrepp som endast har en ämnesöverskridande definition, det krävs dock långt ifrån alltid att ett område kommer fram till helt egna begrepp utan snarare någon form av begreppsutredning för att se hur ett begrepp bör eller skall användas inom det specifika området.26
Trots att begreppsbildning är nödvändig för att bedriva studier inom samhällsvetenskap finns det inte någon omfattande modern litteratur. Därmed har källorna kring metodavsnittet i denna studie varit begränsade till Gerring, Collier och Goertz. Valet av Gerrings teori kring hållbara begrepp som bas för studien grundas dels i hans ställning inom området, dels i att inga andra, relativt moderna, ramverk har kunnat hittas inom samhällsvetenskaplig litteratur. Esaiasson beskriver visserligen fem steg för att utreda ett begrepp men utvecklar inte dessa vilket gör modellen svår att använda.
2.2.1 John Gerring – Hållbara begrepp
För att leda begreppsbildningen åt rätt håll skapade Giovanni Sartori ett antal regler som ska styra begrepp och uttryck genom noggrann differentiering. Enligt honom fanns en fara i hur begrepp nyttjades med tvetydighet, svaga avgränsningar, låg signifikans och vaghet.27
Samtidigt är det hans fasta regler som forskare som just Collier och Gerring ifrågasätter och de diskuterar om det är rimligt att arbeta efter enligt en standard som inte alltid går att uppnå.28
John Gerring har valt att utveckla Sartoris teorier kring begreppsbildning. Han menar att fokus legat på hur tydligt eller relevant ett begrepp är men att begreppsmässig användbarhet inte undersökts tillräckligt väl. 1999 publicerades hans teori kring hållbara begrepp med vilket han avsåg skapa ett teoretiskt ramverk för begreppsbildning inom samhällsvetenskaperna. Medan Sartori ansåg att det finns ett antal regler som behöver uppfyllas menar istället Gerring att det finns åtta, av varandra beroende, kriterier som skall bemötas i all bildning och användning av
26 Gerring, s362
27 Collier, David och Gerring, John, Introduction. I Concepts and Method in Social science, Collier, David och Gerring, John
(red.) New York: Routledge, 2009 s4
begrepp inom samhällsvetenskaplig forskning för att ett begrepp ska kunna betraktas som hållbart.
Gerring förklarar begreppens betydelse med hur alla gör val när de använder ett begrepp i en artikel eller studie. De valen påverkar hur ett begrepp så småningom tolkas i en diskurs och han beskriver det som en pågående tolkningsstrid.29 Vare sig definitionsvalet är aktivt eller passivt
så är det avgörande och utan begrepp är det omöjligt att genomföra studier. Det finns enligt Gerring ingen semantiskt neutral språkanvändning och en studies resultat påverkas i högsta grad av hur olika begrepp har tolkats, definierats och använts. Genom att tolka begrepp bekvämt så går det att bevisa det mesta. För att forskningen skall bidra med ny kunskap krävs det dock att även begreppen utvecklas, det går inte att nöja sig med sedan tidigare väletablerade begrepp. Gerring påtalar därför vikten att kunna skilja mellan hållbara och icke hållbara begrepp.30 Till skillnad från fasta regler beskriver Gerring hur det måste göras avvägningar mellan olika kriterier och han ser det snarare som en varierande process än en strikt metod.31
De kriterier som Gerring kommer fram till är förtrogenhet (familiarity), resonans (resonance), återhållsamhet (parsimony), koherens (coherence), differentiering (differentiation), djup (depth), teoretisk användbarhet (theoretical utility) och ämnesspecifik användbarhet (field utility).
2.3 Operationalisering
För att kunna undersöka om de analyserade begreppsdefinitionerna lever upp till Gerrings kriterier kommer här samtliga åtta gås igenom och brytas ned till analyserbara enheter. Utgångspunkten är endast Gerrings eget teoretiska ramverk då det är det som utgör grunden för analysen.
29 Gerring, s359 30 Gerring, s360 31 Gerring, s357
2.3.1 Gerrings kriterier för hållbara begrepp
2.3.1.1 Förtrogenhet
Gerring beskriver förtrogenhet som hur vettig en definition låter eller hur intuitivt tydlig den är. Förtrogenheten är beroende av hur begreppet redan används, antingen i det vardagliga språket eller inom en specifik språkkultur. En bra definition ska avvika så lite som möjligt från tidigare definitioner, om det inte finns något att anmärka på i dessa. En framgångsfaktor är att införliva så många av dess befintliga betydelser som möjligt i den nya definitionen, om inte annat bör det undvikas att de olika definitionerna hamnar i motsatsläge till varandra.32
Gerring hänvisar till Emile Durkheim, som redan i slutet av 1800-talet uttryckte att begreppsbildning alltid ska utgå från lekmannens begrepp och lekmannatermer. Endast när skillnaden är alldeles för stor mellan det vardagliga språket och vetenskapens behov så behövs nya och distinkta uttryck.33
För att kunna svara på om de analyserade begreppsdefinitionerna kan anses uppfylla kriteriet förtrogenhet har detta operationaliserats i följande frågor:
• Motsvarar författarens definition/användande av uttrycket redan befintliga definitioner? • Kan författarens definition/användande av uttrycket uppfattas som vardagligt eller
högspecialiserat?
2.3.1.2 Resonans
Resonans är en del i varför vissa begreppsbildningar fungerar och andra inte och handlar om ifall ett uttryck låter rätt. Det ska klicka kognitivt och begrepp inom samma område kan exempelvis följa samma röda tråd, rimma eller sluta med samma suffix. Ord med hög resonans används mer än begrepp med låg sådan. Det går inte alltid ihop med övriga kriterier då exempelvis förtrogenhet och att hitta nya slående begrepp inte går hand i hand. Gerring vill ändå inte avfärda resonans som rent estetiskt och undrar exempelvis om Marx arbete hade fått samma genomslag om han hade nyttjat ”arbetarklass” som begrepp istället för proletariat.34
32 Gerring, s368 33 Gerring, s369-370 34 Gerring, s370-371
I denna studie analyseras hur samma begrepp definieras av olika forskare. Resonansen i begreppet är därför inte relevant att bedöma och kommer således inte operationaliseras.
2.3.1.3 Återhållsamhet
För att räknas som återhållsamt ska ett begrepp inte ha oändliga definitioner vilket innebär en ständig avvägning mellan vad ett attribut kan tillföra en definition och hur sparsam vi vill att definitionen skall vara. Återhållsamheten kan även appliceras på själva begreppet och Gerring lyfter återigen ”ideologi” som exempel. Det finns flera begrepp för samma sak såsom ”trossystem” och ”värdesystem” men inget av dessa är så kort och precist som ”ideologi”. Om ett begrepp kan ses som ett nyckelbegrepp och därmed används ofta kan dessutom kraven öka på att begreppet är kort.
Återhållsamhet i definition och i begrepp kan vara svårt att kombinera. Med ett väldigt kort och precist begrepp kan behovet av en utförligare definition öka medan ett mer omfattande begrepp kan klara sig med en mer sparsam definition.35 Vad som är kortfattat kan vara en tolkningsfråga men Gerring uttrycker själv att ”Det bör gå att säga vad man pratar om utan att lista ett halvt dussin attribut.”36. Det bör kunna tolkas som att redan vid sex attribut så kan en definition anses
som icke kortfattat.
I denna analys kommer endast återhållsamheten i definitionen av begreppet studeras. För att kunna svara på om de analyserade begreppsdefinitionerna kan anses uppfylla kriteriet återhållsamhet har detta operationaliserats i följande frågor:
• Hur kortfattad är den begreppsdefinition författaren använder? • Hur precis är den begreppsdefinition författaren använder?
2.3.1.4 Koherens
Den interna koherensen är känslan av att de attribut som definierar begreppet och de egenskaper som faktiskt kännetecknar fenomenen i fråga hör ihop. Attributen skall ha en logisk relevans
35 Gerring, s371-373 36 Gerring, s371
och att få koherens i en begreppsbildning innebär kontinuerliga avvägningar. Om en definition kan identifiera essensen i ett begrepp så blir koherensen som störst och Gerring menar att sådana definitioner i regel också blir återhållsamma.37
Om en definition innefattar flera attribut som inte står i relation till varandra men inte heller säger emot varandra blir koherensen lidande. Den interna koherensen definieras som graden av likhet. Om då attributen har mycket få eller svaga likheter så kommer även den interna koherensen bli låg.38 Gerring menar att koherens är tämligen enkelt att uppnå om det bortses från en eller flera vardagliga, traditionella betydelser av begreppet. Om istället alla befintliga definitioner ska tas med blir det betydligt svårare.39
För att kunna svara på om de analyserade begreppsdefinitionerna kan anses uppfylla kriteriet koherens har detta operationaliserats i följande fråga:
• Har de olika attribut författaren använder för begreppet logisk relevans?
2.3.1.5 Differentiering
Extern differentiering beskrivs som motpolen till intern koherens och det är svårt att uppnå det ena utan det andra. Ett begrepp behöver särskiljas från andra liknande begrepp och differentieringen kommer genom tydliga avgränsningar från andra begrepp inom samma område. Behovet av särskiljning ligger i att kunna beskriva vad något hade kunnat vara men inte var och det kan då även definieras av vad det inte är.40 Samtidigt påverkar den typen av definition förtrogenheten i negativ riktning enligt tidigare avsnitt.
Differentiering genom vad ett begrepp inte är kan göra särskild nytta när ett begrepp inte är väl avgränsat. För att göra ett sådant begrepp tydligare går det att lägga till attribut som det inte har för att differentiera det mot närliggande begrepp.41 Exempelvis är en sommarstuga ett hus men
37 Gerring, s373-374 38 Gerring, s374 39 Gerring, s375 40 Gerring, s377 41 Gerring, s378
för att särskilja det mot alla andra typer av hus kan det beskrivas som ett hus människor inte bor i året runt.
För att kunna svara på om de analyserade begreppsdefinitionerna kan anses uppfylla kriteriet differentiering har detta operationaliserats i följande frågor:
• Är begreppet avgränsat från cyberterrorism och cyberbrott?
• Beskriver författaren begreppet genom att definiera saker det inte är?
2.3.1.6 Djup
Hur meningsfullt ett begrepp är påverkas av dess djup. Ett hållbart begrepp ska kunna gruppera fenomen med samma karakteristika så att begreppet kan användas istället för att behöva använda alla underbegreppen. Ett begrepps användbarhet påverkas av dess förmåga att ”bunta ihop” karakteristika eller attribut. Ju fler attribut som delas av de olika fenomenen desto större djup och ju större djup ett begrepp har desto mer övertygande blir det anspråk det gör på att definiera en grupp av fall.42
Gerring menar att djup inte står i motsats till återhållsamhet även om det kan tyckas så. Ibland kan förvisso ett enda attribut vara nog för att definiera ett begrepp men djupet för att faktiskt beskriva det kommer då saknas. Gerring kopplar även djup till förtrogenhet genom att förklara hur förtrogenhet inte uppnås när ett begrepp definieras av vad det inte är. En sådan definition inkräktar på möjligheten till djup i definitionen även om den kan öka möjligheten till differentiering.
För att kunna svara på om de analyserade begreppsdefinitionerna kan anses uppfylla kriteriet djup har detta operationaliserats i följande frågor:
• Hur många attribut använder författaren kopplat till begreppet?
2.3.1.7 Teoretisk användbarhet
En av grundbultarna i Gerrings syn på begreppsbildning är hur användbart ett begrepp är. Ett klassiskt sätt att se på begreppsbildning är som underordnad teoriutveckling. Begreppen är då reducerade till byggstenar och begreppsbildningen blir alltså teoridriven. Begreppen har troligen inte heller något större värde utanför det specifika teoretiska ramverket vilket ger en låg teoretisk användbarhet.
Om ett begrepp har mycket stort djup kan det minska dess användbarhet utanför en mycket precis kontext och en del begrepp med hög teoretisk användbarhet kan i sin extrem ha svårare att uppfylla kraven på djup eller förtrogenhet. Om istället endast allmänt förstådda attribut används så skadar det klassificeringen som inte blir lika exakt.
För att kunna svara på om de analyserade begreppsdefinitionerna kan anses uppfylla kriteriet teoretisk användbarhet har detta operationaliserats i följande frågor:
• Hur användbart är begreppet i en bredare kontext?
2.3.1.8 Ämnesspecifik användbarhet
Gerrings definition av ämnesspecifik användbarhet är hur ett begrepps ombildning leder till förbättring, eller så liten skada som möjligt, på angränsande begrepp. Han förklarar hur en förändring av ett begrepp alltid kommer påverka andra begrepp och att det är omöjligt att omdefiniera ett begrepp utan att definiera om även angränsande begrepp. Även vid nybildning av begrepp måste hänsyn tas till redan befintliga begrepp. Det här kriteriet är kanske det som är mest bundet till övriga kriterier.43
Risken för att begrepp blir tomma kategorier uppstår när nya begrepp bildas och övertar attributen från tidigare begrepp. En forskare kan försöka öka koherensen genom förtrogenhet men om det nya begreppet då egentligen innehar samma attribut men med ett nytt namn finns det begränsad användbarhet. Förtrogenheten har uppnåtts på bekostnad av ett annat begrepp som tappat sitt värde.44
43 Gerring, s382 44 Gerring, s383
För att kunna svara på om de analyserade begreppsdefinitionerna kan anses uppfylla kriteriet ämnesspecifik användbarhet har detta operationaliserats i följande frågor:
2.3.2 Analysschema
Ur operationaliseringen har följande indikatorer framkommit:45
Tabell 1. Analysschema
Dessa frågor kommer besvaras för respektive författare enligt följande: • I mycket hög grad alternativt Ja, i mycket hög grad
• I hög grad alternativt Ja, i hög grad • I låg grad alternativt Ja, i låg grad • Inte alls alternativt Nej
I de fall frågan rör hur många kommer svaret ske i siffror.
2.4 Metoddiskussion
Värdet i en akademiskt grundad definition för stater som producerar doktriner och handböcker kan diskuteras. Även om det för en stat är viktigt med en tydlig definition i det strategiska arbetet så kan det finnas ett egenintresse i att den inte är öppet redovisad då det kan ge en ökad handlingsfrihet inom ett område som cyberarenan. Det är dock aldrig de inblandade staterna som i slutänden avgör om en konflikt är legitim utan oberoende krigsdomstolar.46 Alltså är det avgörande att det finns en gemensam förståelse för vad som är cyberkrigföring och vad som istället är cyberbrottslighet eller cyberterrorism.
Valet att analysera just cyberkrigföring och inte cyberangrepp, trots att dessa ofta används synonymt, gjordes för att kunna särskilja den del av cyberoperationerna som kan påverka, och påverkas av, jus ad bellum. Även om cyberangrepp i högsta grad är ett relevant begrepp i debatten så är det samtidigt ett begrepp som kan ingå i såväl cyberterrorism och cyberbrott som cyberkrigföring.
Ett alternativ till en begreppsutredande analys hade varit att genomföra en argumentationsanalys och istället analysera de olika argumenten i debatten kring om cyberangrepp kan vara krigshandlingar. Då dessa argument baseras på olika definitioner av begreppet cyberkrigföring och olika syn på vilka konsekvenser det kan få ansågs dock en begreppsutredning vara mer relevant.
2.4.1 Reliabilitet, intersubjektivitet och forskaretik47
Begreppsutredande studier tenderar att få brister i reliabiliteten då det i hög grad sker en tolkning av materialet. Intersubjektivitet kan vara svårare att uppnå då en tolkning alltid präglas av den som tolkar men är en indikator på hög reliabilitet och något att eftersträva.48 För att öka möjligheten till hög reliabilitet har ansatsen varit att få en så hög transparens i operationaliseringen och tolkningen som möjligt och i största möjliga mån nyttja citat i analysen för en högre spårbarhet. För att processen i operationaliseringen ska vara tydlig att följa har
46 International Court of Justice, Jurisdiction [Elektronisk]
47 Då studien inte innehåller några persondata och heller inget primärmaterial har inga forskningsetiska problem kunnat
identifieras.
strävan varit att de operationella indikatorerna ska vara möjliga att tolkas så explicit som möjligt.
Då studien har ett komparativt element så är även intrasubjektiviteten av största vikt vilket här möjliggjorts genom att samtliga tolkningar sker enligt analysverktyg med fasta svarsalternativ. En författare måste vara medveten om att de data som används sällan är neutrala, forskaren är ”en selektivt utväljande aktör”49. Även för detta har så hög transparens i samtliga val försökt
uppvisas. En stor del i forskaretiken är källhänvisning.50 En begreppsutredande studie baseras på hur andra uttryckt begrepp och metoder och därför har det här varit mycket viktigt att kontinuerligt referera till vad författaren uttryckt och särskilja från egna tolkningar och bedömanden.
2.4.2 Begreppsvaliditet51
Ett potentiellt problem i studier med översatt material är att begreppsvaliditeten kan påverkas negativt. Det ska enligt Esaiasson finnas en överensstämmelse mellan de teoretiska begreppen och de valda empiriska indikatorerna52. Då såväl teori som empiri i den här studien var på engelska ökade risken att ett analysverktyg inte skulle vara tillräckligt känsligt. Då ett bristande analysverktyg kan ge systematiska fel i analys och resultat så har ett omfattande arbete gjorts med att få med nyanserna i Gerrings kriterier till den svenska översättningen. Analysverktyget baseras av samma anledning inte på den översatta rubriken utan på hur Gerring beskriver kriteriet. Ett alternativ hade varit att inte översätta rubrikerna men då hans kriterier ändå kommer analyseras utifrån någon form av översättning bedömdes det inte göra någon reell skillnad för resultatet. Samtidigt finns det alltid en risk att begreppen betyder olika saker på olika språk53, den risken har alltså försökts minimeras genom att inte operationalisera enskilda
ord. Det har även gjorts ett val att behålla definitionerna på originalspråk i analysen då en översättning här kan innebära att analysen inte analyserar det den avser.
49 Asbjörn Johannessen och Per Arne Tufte, Introduktion till samhällsvetenskaplig metod Malmö: Liber, 2003 s27
50 Ann-Marie Ekengren och Jonas Hinnfors, Uppsatshandbok: Hur du lyckas med din uppsats Lund: Studentlitteratur, 2012
s108
51 Avseende validitet kommer fokus endast ligga på begreppsvaliditet då det är det enda som är relevant i en
begreppsutredande studie.
52 Esaiasson et al. Metodpraktikan. s59
2.5 Materialdiskussion
Inklusionskriterierna för respektive författare var att deras texter behövde innehålla en uttalad definition av begreppet cyberkrigföring. Artikeln skulle vara skriven efter 2010 i syfte att jämföra definitioner från samma tidsperiod då cyberarenan utvecklas i hög takt. Då flera definitioner kan ha drag av mer än ett perspektiv så har kravet varit att det skall gå att urskilja ett huvudperspektiv. Den del av respektive utvald text som analyserats är hur författaren definierar begreppet cyberkrigföring.
De tre definitionerna skulle innebära olika perspektiv på cyberkrigföring. Utgångspunkt för urvalet var de fyra olika perspektiv Nguyen pekar ut vilka nämndes i forskningsöversikten. Därifrån hämtades effektfokus och intentionsfokus.54 De definitioner som kunnat hittas som
kan kategoriseras som mål- och medelfokuserade har dock haft svårt att leva upp till kravet på ett tydligt huvudperspektiv och valet blev därför att istället ta med aktörfokus som i hög grad kan anses komplettera effekt och intention. Då syftet endast varit att undersöka tre olika perspektiv och inte tre specifika perspektiv har detta inte bedömts påverka validitet eller reliabilitet.
De begreppsdefinitioner som valdes ut var:
1. Mette Eilstrup-Sangiovanni - Why the World Needs an International Cyberwar
Convention.55
Eilstrup-Sangiovannis definition fokuserar på vad intentionen är för nyttjandet av cybervapen. Det ska vara medvetet och fientligt och det ska finnas en intention att orsaka allvarlig skada på människor, tillgångar eller kritisk infrastruktur. Här finns även ett visst fokus på aktör men valet av Eilstrup-Sangiovannis definition baseras på hennes intentionsfokus.
2. Oona A. Hathaway et al. - The law of cyber-attack56
54 Jmf Nguyen s1117-1123
55 Eilstrup-Sangiovanni, Mette Why the World Needs an International Cyberwar Convention. Philosophy & Technology,
Vol.31(3) (2018) s379-407
56 Hathaway, Oona A., Crootof, Rebecca., Levitz, Philip., Nix, Haley., Nowlan, Aileen., Perdue, William., Spiegel, Julia.,
Hathaways definition fokuserar på vilken effekt ett cyberangrepp får genom fysisk skada på människor eller egendom. I den här analysen har deras definition därför valts ut för att representera effektfokus.
3. James A. Green (red.) Cyber warfare: a multidisciplinary analysis57
Begreppsdefinitionen i boken som Green redigerat har ett tydligt fokus på såväl vem som står bakom angreppet som vem som utsätts för det. Även om de nämner att hotet skall vara allvarligt så menar de att det inte måste vara reellt utan även upplevt. Deras perspektiv representerar således det aktörfokuserade.
3. Begreppsanalys av begreppet cyberkrigföring
3.1 Intentionsfokus - Eilstrup-Sangiovanni“…the deliberate and hostile use by a state of a cyber weapon with the intention of causing injury or death to persons, and/or to significantly disrupt, damage, or destroy another state’s strategic assets or critical national infrastructure.”58
3.1.1 Förtrogenhet
Det finns flera författare som diskuterar cyberkrigföring utifrån perspektivet att det är cyberangreppets intention som är styrande. Eilstrup-Sangiovanni lägger till en aspekt genom att även ha ett aktörsfokus vilket innebär att hennes definition inte fullt ut motsvarar tidigare sådana. Samtidigt så finns det inte någon fast definition som används inom den befintliga diskursen vilket innebär att det i högre mån går att säga att åtminstone underdefinitionerna används på samma sätt. Författaren hänvisar kontinuerligt till tidigare forskning i beskrivningen av underkategorierna, exempelvis kring hur strategiska tillgångar ”…är användbart definierade av Salzman”59 vilket visar på en ansträngning att i hög utsträckning nyttja tidigare
attributsförklaringar. Definitionen bedöms därför i hög grad motsvara redan befintliga definitioner.
Bortsett från uttrycken ”strategiska tillgångar” och ”kritisk nationell infrastruktur” så bedöms språket som vardagligt snarare än högspecialiserat. Då även dessa begrepp senare bryts ned med ytterligare relativt vardagliga definitioner så bedöms sammantaget användandet av uttrycket i låg grad uppfattas som vardagligt.
3.1.2 Återhållsamhet
Eilstrup-Sangiovannis huvuddefinition är språkligt kort men har en omfattande kringtext. Definitionen innehåller enligt författaren endast tre attribut; medvetet fientliga handlingar av och mot en stat, nyttjande av cybervapen och en intention att orsaka allvarlig skada. Det går att argumentera för att dessa tre attribut egentligen är fem stycken där ”medvetet fientliga handlingar” och ”av och mot en stat” är två separata på samma sätt som ”allvarligt skada…” och ”en annan stat” är det. Samtliga attribut förtydligas i sin tur i anslutning till definitionen där 58 Eilstrup-Sangiovanni, s379-407
cybervapen definieras som ”vapen primärt konstruerade av mjukvara och data, avsedda att skapa riktad skada eller utbredd förstörelse i eller genom cyberdomänen”60. ”Allvarlig skada”
förklaras omfatta såväl skada och dödsfall hos människor som ”allvarlig skada eller störning hos en stats strategiska tillgångar eller kritisk nationell infrastruktur”61 varpå ”strategiska
tillgångar” i sin tur definieras som ”…tillgångar vars förstörelse kan ha en kolossal effekt på en stats nationella säkerhet och dess förmåga att fungera normalt”62. Även den definitionen
beskrivs sedan genom exempel för vad den kan innefatta. Vad som initialt framstår som en mellanlång definition blir för att förstås därmed tämligen omfattande. Det innebär att definitionen här bedöms som i mycket låg grad kortfattad då underdefinitionerna är väsentliga för huvuddefinitionen.
Om underdefinitionerna nyttjas upplevs definitionen som i mycket hög grad precis men det faktum att dessa har krävts innebär att huvuddefinitionen tolkas som precis i lägre grad. Det tydliga fokuset på intentionen redan i huvuddefinitionen leder dock till en sammantagen bedömning som i hög grad precis.
3.1.3 Koherens
Att bedöma om det finns en logisk relevans innebär stor risk för en subjektiv tolkning vilket i den här analysen kommer innebära en väldigt strikt bedömning. Inget av attributen står i motsats till något annat attribut men inget av dem är heller direkt kopplat till ett annat. Det är eftersträvansvärt att attributen ser till begreppets essens vilket här skulle kunna vara att handlingarna är medvetna och med intention att allvarligt skada. Det går att argumentera för att essensen i cyberkrigföring är att handlingarna sker inom cyberarenan. Det är dock gemensamt för samtliga handlingar inom den arenan och skulle här inte betraktas fånga kärnan i begreppet. Då några attribut kan anses fånga kärnan och övriga attribut inte står i motsats till dessa bedöms attributen i hög grad ha en logisk relevans. För en mycket hög grad hade det varit önskvärt med färre attribut som alla fångade kärnan. Detta hade dock helt frångått möjligheten till djup.
60 Eilstrup-Sangiovanni, s383 61 Eilstrup-Sangiovanni, s383 62 Eilstrup-Sangiovanni, s383
3.1.4 Differentiering
Eilstrup-Sangiovanni beskriver cyberkrigföring i sin helhet med vilka attribut som krävs. På samma sätt bryter hon ner underdefinitionerna men här använder hon även beskrivningar av vad dessa inte är; hon påtalar att ”ett kinetiskt angrepp mot en stats informations- och
kommunikationsteknologiska infrastruktur inte skulle utgöra en cyberkrigshandling” som
exempel på vad som inte kan betraktas som cybervapen. Det skulle även kunna läsas som vad cyberkrigföring inte kan vara. I sammanfattningen av definitionsarbetet lyfter hon handlingar som inte kan anses kvalificeras som cyberkrigföring enligt hennes definition; ”cyberintrång
utförda för ren ekonomisk vinning eller för övervakningsändamål, samt för låggradig informationskrigföring för politisk vinning”63. Härmed särskiljer författaren tydligt cyberkrigföring från cyberbrottslighet medan cyberterrorism endast kan särskiljas genom förutsättningen att den inte uppfyller attributen för cyberkrigföring. Då kravet finns på att aktören är statlig bedöms det dock som orimligt.
Sammantaget bedöms Eilstrup-Sangiovannis definition i låg grad differentiera mellan cyberkrigföring och cyberbrott eller cyberterrorism. För en högre grad hade det varit önskvärt med en explicit distinktion mot cyberterrorism samt attribut tillskrivna såväl cyberbrott som cyberterrorism. Definitionen bedöms även i låg grad beskriva begreppet genom vad det inte är.
3.1.5 Djup
Enligt författaren själv innehåller definitionen tre attribut. Som beskrivits ovan, går det dock att diskutera om det inte egentligen är fem stycken. I nedbrytningen av definitionen väljer Eilstrup-Sangiovanni att beskriva “…the deliberate and hostile use by a state…” som ett attribut men i denna analys har detta bedömts som två attribut. Dels att handlingen är medveten och fientlig dels att dess aktör skall vara en stat. Mellandelen ”…of a cyber weapon…” talar för med vilket medel handlingen måste utföras medan den avslutande delen ”…with the intention of causing
injury or death to persons, and/or to significantly disrupt, damage, or destroy another state’s strategic assets or critical national infrastructure.” också den kan delas upp. Dels skall det
finnas en intention att allvarligt skada dels ska motparten också vara en stat. En sådan tolkning
ger ett större djup med fler attribut och bedöms här som mer korrekt. Antalet attribut bedöms således här som fem trots författarens egen nedbrytning till tre.
3.1.6 Teoretisk användbarhet
Även om Eilstrup-Sangiovannis huvudfokus är cyberhandlingarnas intention så har hon med det uttryckliga kravet att handlingarna skall ske såväl av som mot en stat. Det gör att definitionen, trots att den inte specifikt särskiljer mot cyberterrorism, går att nyttja i forskning även inom andra områden. Kravet på intention kan samtidigt vara svårt att nå upp till då intentionen hos angripande part inte alltid är uppenbar. Författaren väljer i sin underdefinition att fokusera på vad som är intentionen, inte intention som sådan, vilket är problematiskt. Hon diskuterar senare att genom att förklara olika handlingar som olagliga i internationella överenskommelser skulle det tydliggöras att när en sådan handling ändå utförs finns det en implicit intention64. Det förutsätter dock att samtliga parter skrivit under dessa överenskommelser. För studier inom andra områden ställer det höga krav på en förförståelse för cyberområdet. Sammantaget bedöms definitionen därför endast i låg grad vara användbar i en bredare kontext.
3.1.7 Ämnesspecifik användbarhet
Precis som för användbarhet i en bredare kontext kan det anses problematiskt att ett huvudattribut, intention, för begreppet inte är fritt från tolkning. Om intentionen med ett angrepp kan fastslås kan Eilstrup-Sangiovannis definition i mycket hög grad användas för att särskilja olika cyberhandlingar. Om intentionen däremot är otydlig skulle det öppna för att brott för ekonomisk vinning, om utförda av en statlig aktör, skulle kunna klassificeras som cyberkrigföring. Utan en tydlig beskrivning av hur intentionen avgörs bedöms därför här definitionen ha en låg ämnesspecifik användbarhet.
3.1.8 Sammanfattning
Eilstrup-Sangiovannis definition har ett bra djup men trots det kräver den flera underdefinitioner för att fungera fullt ut vilket påverkar dess återhållsamhet. Överlag uppfyller definitionen de operationaliserade indikatorerna, och därmed även kriterierna, i låg grad
bortsett från den interna koherensen. Även om det kriteriet är viktigt så väger det inte upp för låg uppfyllnad generellt. Definitionens användbarhet, såväl ämnesspecifikt som i en bredare kontext, påverkas av att intentionen med ett angrepp kan vara svår att undersöka objektivt. Då ett begrepps användbarhet var en av ursprungsanledningarna till att Gerring utformade sina kriterier väger detta tungt i den här analysen där koherensen inte kan bli avgörande.
Sammantaget leder analysen till bedömningen att Eilstrup-Sangiovannis definition i låg grad kan anses vara ett hållbart begrepp enligt Gerrings åtta kriterier.
3.1.9 Kompatibilitet med jus ad bellum
Eilstrup-Sangiovanni har i sin intentionsfokuserade definition även med ett krav på vilken grad av effekt som skall vilja uppnås. Denna skall allvarligt skada, förstöra eller störa en stats tillgångar eller infrastruktur alternativt skada eller döda människor. Definitionen bedöms inte fullt ut motsvara de krav på väpnat angrepp som finns i jus ad bellum men bedöms här ändå i låg grad vara kompatibel med densamma. I låg grad skall här inte tolkas som godtagbar, snarare att det med ett förtydligande avseende effektens likställande med väpnat angrepp möjligen finns potential för en högre kompatibilitet.
3.2 Effektfokus - Hathaway et al
“Finally, cyber-warfare should be defined as a cyberattack that causes physical injury or
property damage comparable to a conventional armed attack.”65
3.2.1 Förtrogenhet
Hathaway har i hög utsträckning sökt efter befintliga definitioner av olika begrepp och för- och nackdelar med dessa.66 Samtliga deras attribut förekommer därför i den befintliga debatten även om definitionen i sin helhet till viss del är ny. De lägger särskilt fokus på att definiera begreppet cyberangrepp, något som de inte anser har gjorts i tillräcklig omfattning tidigare varpå deras definition inte motsvarar hur det begreppet används mest vanligt förekommande. Ett exempel är att de även tillåter kinetiskt våld att klassificeras som cyberangrepp om målet är att betrakta
65 Hathaway et al. s881 66 Hathaway et al. s823-825
som cyberinfrastruktur67, detta kommer beskriva mer senare. Då deras definition av
cyberkrigföring är helt beroende av deras egen definition av cyberangrepp innebär det att den i stort skiljer sig från befintliga definitioner även om det på ytan kan te sig annorlunda. Definitionen bedöms därför här i låg grad motsvara redan befintliga sådana.
Definitionen i sig innehåller här ett vardagligt språk som är lätt att förstå. Användningen av det kräver dock mycket hög förförståelse inom internationell humanitär rätt och vad olika begrepp där innebär. Definitionen bedöms därför uppfattas som i hög grad högspecialiserat.
3.2.2 Återhållsamhet
Hathaways definition är relativt kort och innehåller bara två egentliga attribut. Det skall vara ett cyberangrepp och det ska orsaka fysisk skada eller skada på egendom som motsvarar en konventionell väpnad attack.68 Den senare delen kan möjligen delas upp i typen av skada och vilken nivå den skadan måste nå upp till. Begreppsdefinitionen kan därför anses vara i hög grad kortfattad. Författarna ser dock själva att den definitionen inte räcker hela vägen och ägnar stort utrymme åt att även definiera begreppet cyberangrepp. De väljer vad de själva anser vara en snäv definition som de i sin tur bryter ner. Det kan vara alla former av handlingar, inklusive bombning, men dessa måste ha i syfte att undergräva eller störa funktionen i ett datornätverk.69 Det går därför att ifrågasätta om definitionen verkligen är så snäv som författarna själva anser. Att även kinetiska angrepp kan ingå förklarar de med att krigföring inte måste definieras av typen av våld utan kan även baseras på syftet eller målet70.
Cyberangrepp särskiljs från cyberspionage och underrättelseinhämtning då dessa inte kan anses syfta till att störa ett nätverk.71 Författarna menar dessutom att ett cyberangrepp måste ske i ett
politiskt eller statssäkerhetssyfte och att alla angrepp som sker av en statlig aktör lever upp till det kravet per automatik. Samtidigt skulle det kunna tolkas som att icke-statliga aktörer som utför en cyberhandling i ett politiskt syfte också de lever upp till definitionen cyberangrepp. Författarna lyfter att det ska motsvara IAC och NIAC där krig kan vara såväl mellan stater som
67 Hathaway et al. s826 68 Hathaway et al. s881 69 Hathaway et al. s826ff 70 Hathaway et al. s827 71 Hathaway et al. s829
andra aktörer men med olika rättigheter. I sin sammanfattande tabell är dock handlingar med enbart icke-statliga aktörer att betrakta som cyberbrottslighet.
För att ett cyberangrepp ska klassas som cyberkrigföring skall effekten av angreppet motsvara en konventionell väpnad attack. Även det kräver att författarna gör en definition. Primärt menar de att detta är när ett cyberangrepp resulterar i fysisk förstörelse, en kinetisk effekt, som är jämförbar med en konventionell attack.72 Eftersom det är något som sällan prövats och därför kan anses vara spekulativt använder de istället jus ad bellum och menar att ett effektfokuserad perspektiv kan medge att ett cyberangrepp kan motsvara ett väpnat angrepp om effekten av angreppen är lika allvarliga. Samtidigt medger de att det inte finns en full konsensus ens inom det perspektivet kring vilka dessa effekter är, men att det står klart att endast ett mycket litet antal cyberangrepp kan leva upp till dem.73
Sett till de underdefinitioner som krävs för att huvuddefinitionen alls ska gå att nyttja är den därmed inte lika kortfattad och bedöms därför vara i mycket låg grad kortfattad. Det går att argumentera för att den istället är mycket precis. Det går däremot då att ifrågasätta hur snäv deras definition av cyberangrepp är eftersom de dessutom själva inte explicit kan uppge vilka cyberangrepp som når upp till nivån cyberkrigföring bedöms definitionen i den här analysen istället vara i mycket låg grad precis.
3.2.3 Koherens
Inget av attributen står i motsats till varandra oavsett om författarnas definition eller vanligare förekommande sådana används för attributet cyberangrepp. Att angreppet skall nå upp till skada jämförbar med ett väpnat angrepp får dessutom anses beskriva det Hathaway menar är begreppets kärna. Attributen bedöms därför i hög grad ha en logisk relevans.
3.2.4 Differentiering
Författarna lägger stort fokus på att särskilja cyberbrottslighet från cyberangrepp men menar att cyberkrigföring kan innehålla båda dessa. Samtidigt menar de att cyberkrigföring är unikt i
72 Hathaway et al. s841 73 Hathaway et al. s849
det att det även måste uppfylla kraven för ett cyberangrepp.74 Cyberterrorism förekommer inte
alls i artikeln men däremot nyttjas begreppet cyberaktivism vilket dock inte fullt ut kan anses motsvara det tidigare. Kraven för vad som kan anses uppnå nivån cyberkrigföring gör att det går att utesluta såväl cyberbrott som cyberterrorism även om det finns en otydlighet kring angrepp med politiska syften men med icke-statliga aktörer. Hypotetiskt skulle dessa möjligen kunna nå nivån cyberkrigföring om effekten av angreppet är tillräckligt allvarlig men ser man endast till författarnas sammanfattning så är detta mindre troligt. Det ger dock en lägre grad av distinktion mellan begreppen.
Begreppet bedöms därför sammantaget endast i låg grad särskiljas från cyberbrott och cyberterrorism. För en högre grad hade det krävts tydligare skiljelinjer mellan dem. Författarna bedöms av samma skäl i låg grad beskriva begreppet genom att definiera vad det inte är. Det förekommer men blir inte tydligt.
3.2.5 Djup
Som beskrivits tidigare innehåller huvuddefinitionen endast två attribut som möjligen kan anses vara tre. Om man lägger till underdefinitioner för cyberangrepp och väpnat angrepp så blir det fem stycken men det skulle frångå att djupet ska ligga i definitionen som sådan. Bedömningen blir här därför att definitionen innehåller tre attribut.
3.2.6 Teoretisk användbarhet
Att Hathaway öppnar för att angrepp som sker med konventionella vapen men mot mål som kan räknas som cyberinfrastruktur innebär en risk för konflikt mellan olika begrepp. Det finns därför utrymme att ifrågasätta om begreppet i sin nuvarande form går att använda utanför cyberarenan. Författarna menar att deras definition bidrar till att stater kan få en tydlig definition av cyberangrepp, cyberbrott och cyberkrigföring75 samtidigt som dessa är beroende av såväl aktör, syfte, mål och effekt. När inte längre medel är relevant kan det istället tolkas som en mer diffus särskiljning från andra typer av krigföring. Definitionen bedöms därför här ha en i mycket låg grad teoretisk användbarhet då särskiljningar kan vara svåra att göra.
74 Hathaway et al. s836 75 Hathaway et al. s881
3.2.7 Ämnesspecifik användbarhet
Ett problem inom cyberarenan är att det saknas konsensus om vad begreppet cyberkrigföring faktiskt innebär. Hathaway bidrar förvisso med ett förslag på en lösning men den ställer krav på att de som deltar i debatten inte bara accepterar deras definition av cyberkrigföring utan även definitionen av cyberangrepp och definitionen av vad som lever upp till nivån av ett väpnat angrepp. Eftersom författarnas definition av cyberangrepp får anses vara något kontroversiell, i och med dess acceptans även av kinetiskt våld, är detta inte något som går att anta kommer ske utan fortsatt debatt. Deras gränsdragning vad gäller väpnat angrepp är inte helt ny men inte heller här finns en konsensus tidigare, inte ens inom de som delar synen att det är effekten som är en avgörande faktor. I sin nuvarande form bedöms därför definitionen i låg grad ha en användbarhet inom cyberarenan. Det är dock något som skulle kunna förändras om den allmänt rådande synen på vad ett cyberangrepp förändras.
3.2.8 Sammanfattning
I endast ett fall har Hathaways definition bedömts motsvara den operationaliserade indikatorn i hög grad och det är gällande koherens. Övriga indikatorer har besvarats med i låg eller mycket låg grad. De kriterier definitionen har svårast att uppfylla är förtrogenhet och djup. Definitionen har bedömts i låg grad motsvara redan befintliga definitioner men då den bedömts kräva förförståelse inom exempelvis IHL går det att argumentera för att kriteriet inte uppfylls. Djupet baseras enligt Gerring främst på antal attribut vilket här endast är tre stycken, samtidigt är dessa tre inte tillräckligt precisa vilket gör att även kriteriet återhållsamhet blir lidande. Även om Gerring lyfter koherensen som ett av de viktigaste kriterierna är det här svårt att se att det skulle kompensera för den mycket låga användbarheten då detta var syftet med att han utvecklade sin modell.
Sammantaget leder analysen ovan till bedömningen att Hathaways definition i mycket låg grad kan anses vara ett hållbart begrepp enligt Gerrings åtta kriterier.
3.2.9 Kompatibilitet med jus ad bellum
Hathaways begreppsdefinition innehåller i sig själv ett krav på att en handling skall motsvara ett konventionellt väpnat angrepp och den baseras på den egna definitionen av cyberangrepp. I genomgången av definitionen som, gällande detaljer, här kan liknas vid det juridiska förarbetet
till en lag, beskrivs hur cyberangreppet måste nå upp till nivån av ett väpnat angrepp enligt just jus ad bellum. Att det inte finns en konsensus i akademin om vad den nivån innebär gör inte definitionen mindre kompatibel. Hathaways begreppsdefinition bedöms därför i mycket hög grad vara kompatibel med jus ad bellum.
3.3 Aktörfokus - Green (red.)
“Cyber warfare is an extension of policy by actions taken in cyberspace by state actors (or by non-state actors with significant state direction or support) that constitute a serious threat to another state's security, or an action of the same nature taken in response to a serious threat to a state's security (actual or perceived).”76
3.3.1 Förtrogenhet
Green har modifierat en befintlig definition och gjort den snävare och med den avgränsning som gjorts gällande aktör skiljer den sig från de flesta liknande definitioner. Det finns snarlika definitioner, exempelvis Shakarian som står för ursprungsversionen, men dessa har betydligt mildare krav på den statliga förankringen av en aktör. Då detta är det mest distinkta kravet för Green bedöms definitionen i låg grad motsvara hur samma begrepp används av andra.
Huruvida ett uttryck kan uppfattas som vardagligt eller högspecialiserat kan vara svårt att bedöma när den som tolkar har en viss förkunskap inom ämnet; i det här fallet kan definitionen därför behöva brytas ned.
“Cyber warfare is an extension of policy by actions taken in cyberspace by state actors (or by non-state actors with significant state direction or support…)”77. Den första delen innehåller
till stor del vardagliga ord men sammansatta ställer de krav på en förförståelse av såväl vad handlingar i cyberarenan innebär, som vad statlig respektive icke-statlig aktör innebär med de mellannivåer som kan finnas. Den första delen bedöms därför uppfattas som högspecialiserad.
76 Green, s2 77 Green, s2
” …that constitute a serious threat to another state's security…”78. Definitionens mellandel
bedöms i mycket hög grad uppfattas som vardaglig. Tolkningen ligger i att det går att anta att de flesta kan förstå uttrycket som sådant även om det kan finnas meningsskiljaktigheter om vad ett sådan hot kan omfatta.
”…or an action of the same nature taken in response to a serious threat to a state's security
(actual or perceived).”79 Den avslutande delen påminner om mellandelen såtillvida att språket
är relativt enkelt, men likt den första delen bedöms den ställa högre krav på förförståelse, främst sett till vad handlingar av samma karaktär innebär.
Sammantaget bedöms definitionen uppfattas som i låg grad högspecialiserad.
3.3.2 Återhållsamhet
Av de analyserade definitionerna står Green för den längsta i antal ord. Samtidigt diskuteras definitionen i relativt låg omfattning i boken i övrigt. Som analyseras närmare i 3.3.5 Djup så innebär definitionen fyra distinkta krav som en handling måste uppfylla vilket bedöms hamna i gränslandet för vad som kan kallas återhållsamhet, se Gerrings hänvisning till ett halvt dussin i 2.3.1.4 Återhållsamhet, men samtidigt kunna vara precist. Då ett av de attribut som krävs, ”statlig aktör”, är så specifikt jämfört med övriga definitioner bedöms det här bidra till att begreppet kan tolkas som i hög grad precist men i låg grad kortfattat.
3.3.3 Koherens
De olika attributen som Green tillskriver cyberkrigföring rör fyra olika områden. De ska vara en förlängning av politiken, ske i cyberarenan, ha en specifik aktör och utgöra ett allvarligt hot mot statens säkerhet alternativt ske som svar på ett allvarligt hot mot aktörens statliga säkerhet.
Inget av attributen innebär en motsats till något annat men inget av dem har heller en direkt koppling till något av de andra. Däremot kan attributen specifik aktör och förlängning av politiken tolkas som att belysa kärnan i begreppet, eller åtminstone kärnan i begreppet så som
78 Green, s2 79 Green, s2
Green ser det, och övriga attribut står inte i motsats. Inget av de attribut som tillskrivits begreppen har heller fråntagits sin traditionella betydelse.
De olika attributen som används för begreppet bedöms därför i hög grad ha en logisk relevans.
3.3.4 Differentiering
Då författarnas bok är inriktad på cyberkrigföring mellan länder har de också valt att anpassa den definition av begreppet som Shakarian använder; ‘an extension of policy by actions taken
in cyber space by state or nonstate actors that either constitute a serious threat to a nation’s security or are conducted in response to a perceived threat against a nation’s security’.80 Den största skillnaden är att Green betonat att aktören inte kan vara icke-statlig.
Anpassningen innebär att kravet på aktören som statlig eller med betydande statligt stöd ökar. Det innebär i sin tur en mer distinkt särskiljning mot cyberbrottslighet och cyberterrorism. Stiennon beskriver vikten av att särskilja cyberkrigföring från cyberbrott och cyberterrorism (här kallat ”hacktivism”81) samtidigt som han förklarar att de olika begreppen oundvikligen är
sammankopplade.82 Han förklarar inte explicit hur dessa skiljs åt men hänvisar till deras definition. Även om definitionen fokuserar på att det är staten, alternativt en ickestatlig organisation med direkt stöd av staten, som är aktör så menar Stiennon samtidigt att det kan vara svårt att särskilja andra aktörer från dessa då de ofta stödjer statens mål eller bidrar med teknologi och metoder som staten kan använda.83 Det går ändå att dra slutsatsen att definitionen
i sig själv differentierar mellan de olika cyberaktiviteterna.
Slutsatsen är således att ja, begreppet är i hög grad avgränsat från cyberterrorism och cyberbrott. För att nå en högre grad hade en kortare beskrivning av de avgränsade begreppens attribut varit önskvärd.
På inget sätt beskriver författarna i boken cyberkrigföring genom vad det inte är.
80 Paulo Shakarian, Jana Shakarian och Andrew Ruef Introduction to Cyber-Warfare: A Multidisciplinary Approach, Waltham:
Elsevier, 2013, s2
81 Green, s8 82 Green, s8 83 Green, s8
3.3.5 Djup
Direkt kopplat till cyberkrigföring används inga attribut utöver de som ingår i själva definitionen.
• förlängning av politiken alternativt förlängning av policys • handlingar i cyberarenan
• statlig aktör alternativt aktör med betydande stöd av staten • utgör ett allvarligt hot mot en annan stats säkerhet eller en;
• handling av samma karaktär som vidtas som svar på ett allvarligt hot mot en stats säkerhet. o Hotet kan vara såväl faktiskt som upplevt.84
Definitionen innehåller fem separata attribut samt ett stödattribut, ”faktiskt eller upplevt”, som förtydligar ett huvudattribut, ”allvarligt hot”. Två av huvudattributen är av karaktären ”antingen eller” och båda behöver därför inte uppfyllas. Kvar finns alltså bara krav på fyra uppfyllda attribut. Detta skulle kunna förklaras med att författarna medvetet har velat ha en öppnare definition än vad exempelvis cyberkrig skulle medge85. Sammantaget bedöms definitionen ha ett djup om än inte i mycket hög grad.
Samtidigt beskriver Green i bokens introduktion att begreppen cyberkrigföring och cyberangrepp kan användas synonymt86 vilket möjligen kan ge utrymme för argument kring att cyberangrepps attribut även kan anses gälla för cyberkrigföring, åtminstone inom ramen för aktuell bok. Dessa kommer dock inte räknas med här då det inte explicit uttryckts att så är fallet.
3.3.6 Teoretisk användbarhet
Då Green valt begreppet cyberkrigföring i syfte att det ska vara just öppnare än cyberkrig så går det anta att de strävat efter en ökad användbarhet. Den definition som används här öppnar för bruk även utanför cyberarenan och de teoretiska ramverk som kan användas här. Då den särskiljer från andra typer av krigföring genom att ställa krav på att handlingarna sker inom cyberarenan men också avgränsar mot exempelvis gerillakrigföring genom att ställa krav på en
84 Green, s2 85 Green, s1 86 Green, s1
