Publisert på nettstedet T4P, 2.mai 2026. Av Maria Krikunenko
Cyberangrep har lenge vært en del av Russlands krig mot Ukraina, og hyppigheten øker hvert år. Bare i 2025 ble det registrert nesten 6000 slike angrep mot Ukraina – ei økning på 37 % sammenligna med året før.
Den internasjonale straffedomstolen etterforsker allerede russiske angrep mot Ukrainas sivile infrastruktur i cyberrommet som potensielle krigsforbrytelser.
Ukraina som testarena for russiske cyberangrep
Etter verdighetsrevolusjonen og den russiske aggresjonens begynnelse i 2014, ble cyberangrep enda et krigsinstrument for Russland i konflikten med Ukraina. Myndighetene, energisektoren, mediehus, bedrifter og kritisk infrastruktur ble alle angrepet.
En av de første høyprofilerte hendingene var angrepet på den sentrale valgkommisjonen (CEC) under presidentvalget i 2014. På den tida forsøkte hackere å forstyrre systemets drift og vise forfalska stemmeresultater på CECs nettsted. Ifølge CEPA ble angrepet avverga og påvirka følgelig ikke valgresultatene. Til tross for at angrepet raskt ble nøytralisert, sendte Russlands «Channel One» et nyhetsinnslag dagen etter som inneholdt det de hevda var fra «CECs nettsted», og viste de manipulerte resultatene.
Året etter angrep Sandworm-gruppa det ukrainske strømnettet, noe som etterlot omtrent 230 000 forbrukere uten strøm. 17. desember 2016 skjedde enda ei slik hending i Ukraina – som denne gangen ramma deler av Kyiv. Ifølge en rapport fra Ukrainas statlige tjeneste for spesialkommunikasjon og informasjonsbeskyttelse har Sandworm blitt knytta til 80 cyberangrep mellom 2022 og 2024 – et gjennomsnitt på to per måned.
I 2017 distribuerte Russland NotPetya-viruset mot Ukraina. Det starta som et angrep på ukrainske systemer som hadde til hensikt å destabilisere situasjonen i landet. Det spredte seg imidlertid raskt globalt og påførte milliardtap på selskaper over hele Europa, Asia og USA. På den tida beskrev Det hvite hus NotPetya som «det mest destruktive og kostbare cyberangrepet i historien». Det britiske utenriksdepartementet hevda at målet med cyberangrepet var å forstyrre drifta til ukrainske statlige institusjoner og landets finans- og energisektorer.
Samme år uttalte Valentyn Petrov – den gang sjefen for informasjonssikkerhetstjenesten i kontoret til Det nasjonale sikkerhets- og forsvarsrådet (NSDC) – at russiske etterretningstjenester og tilknytta hackergrupper brukte Ukraina som et testområde for å utvikle nye metoder for å deaktivere kritisk infrastruktur.
Hvordan Russlands cyberangrepstaktikker har utvikla seg
Etter starten av fullskala-invasjonen fortsatte Russland å bruke cyberangrep, ofte utført parallelt med kinetiske angrep på slagmarken. 24. februar 2022 – omtrent en time før bakkeoffensiven starta – ble et angrep iverksatt mot satellittnettverket til Viasat. Sjøl om hovedmålet sannsynligvis var ukrainsk militærkommunikasjon, ble konsekvensene også merkbare for sivile brukere og bedrifter i andre europeiske land.
Ifølge data fra State Service of Special Communications and Information Protection (SSSCIP) har antallet registrerte cyberhendinger økt årlig gjennom hele fullskala-invasjonen: 1350 i 2021, 2194 i 2022, 2543 i 2023, 4315 i 2024 og nesten 6000 i 2025. Dessuten, ifølge SSSCIPs rapport, har Russlands taktikk gjennomgått ei gradvis endring. I starten av fullskala invasjonen prioriterte motstanderen mest ødeleggende angrep. Seinere har de i større grad begynt å fokusere på spionasje, holde seg skjult i systemer og samla inn informasjon. I 2024 flytta fokuset seg til organisasjoner som er direkte involvert i militære operasjoner og til tjenesteleverandører som støtter krigsinnsatsen.
I 2024 ble Ukraina utsatt for et av de mest massive cyberangrepene mot statlige registre i nyere tid. Som et resultat av angrepet, som har blitt knytta til russiske hackere, ble driften av viktige systemer i Justisdepartementet midlertidig stansa. Ifølge Volodymyr Karastelev, leder for SBUs avdeling for cybersikkerhet, ble angrepet utført av ei russisk hackergruppe. Ukrainas sikkerhetstjeneste (SBU) kunne slå fast denne gruppas bånd til hovedetterretningsdirektoratet i generalstaben i de russiske væpna styrkene.
Gjennom krigen har ukrainske medier vært et tydelig mål for russiske cyberangrep. Hacking av TV-kanaler, nyhetsbyråer og nettplattformer brukes ofte til å spre falske historier, forkledd som nyhetsrapporter fra anerkjente mediekilder. En slik hending fant sted i februar 2024. Ifølge Institute of Mass Information angrep russiske hackere minst seks ukrainske mediekilder 18.–19. februar: nettstedene «Telegraf», «Apostrof» og LIGA.net; siden «Ukrainska Pravda» på det sosiale nettverket X; og TV-kanalene «Espreso» og «Priamyi». På de kompromitterte ressursene publiserte hackerne desinformasjon som hevda at russiske styrker angivelig hadde «kjørt over» eliteenheter fra de ukrainske væpna styrkene i Avdiivka.
Infrastrukturen til Ukrainas telekommunikasjons har også blitt angrepet. Pålitelig dekning er avgjørende for varsling om luftangrep, bank- og offentlige tjenester, forretningsdrift og folks evne til å holde kontakten under beskytning. En av de største hendingene var cyberangrepet på Kyivstar 12. desember 2023: på grunn av en teknisk feil ble millioner av abonnenter midlertidig stående uten mobildekning eller internettilgang.
Kan cyberangrep klassifiseres som krigsforbrytelser?
14. juni 2024 rapporterte Reuters at aktorer i Den internasjonale straffedomstolen (ICC) etterforsker russiske cyberangrep retta mot ukrainsk sivil infrastruktur som potensielle krigsforbrytelser. Hvis tilstrekkelig bevis blir samla inn, kan de som er anklaga for denne cyberkriminaliteten få utstedt arrestordre.
Ei slik ICC-etterforskning – der cyberangrep blir undersøkt som potensielle krigsforbrytelser – kan sette en presedens i folkeretten.
I november 2023 fortalte statsadvokat Andriy Kostin til magasinet «TIME» at Ukraina etterforsker russiske cyberangrep som krigsforbrytelser. Ifølge ham er dette en ekstremt kompleks og nærmest enestående prosess, der Palantir og Microsoft bistår ukrainske politimyndigheter.
Denne etterforskninga er viktig ikke bare for Ukraina, men for folkeretten som helhet. Genèvekonvensjonene forbyr angrep på sivile mål; i cyberrommet er det imidlertid fortsatt ingen enighet om nøyaktig hva som utgjør en «cyberkrigsforbrytelse». For eksempel er det fortsatt et debattspørsmål om data i seg sjøl kan betraktes som et eget angrepsobjekt, og om ødelegging av slike data utgjør en krigsforbrytelse, hvis det resulterer i alvorlige konsekvenser for sivile.
ICCs fokus kan særlig dreie seg om angrep mot energiinfrastruktur og telekommunikasjonsnettverk. Reuters rapporterte at Sandworm-gruppa, som er nevnt tidligere i denne teksten, er blant de mistenkte gjerningsmennene.
Angrepet på Kyivstar er et eksempel på hvorfor cyberangrep kan gå utover omfanget av en rein «teknisk hending». Michael Schmitt, professor i internasjonal rett, som Reuters siterer, mener at hackingen av Kyivstar kan oppfylle kriteriene for en krigsforbrytelse, gitt at gjerningsmennene må ha forstått de forutsigbare konsekvensene av et slikt angrep for sivile.