Eksperter: Danmarks cyberforsvar er fragmenteret
Jens Jørgen Madsen
Journalist”Hvis vi blev ramt af den helt store katastrofe, så ville vi jo forvente at høre sirenerne over hele landet.”
Christian W. Probst, sektionsleder fra DTU Compute, nævner Danmarks gamle nationale varslingssystem som et billede på noget af det mest synlige og effektfulde, vi kender i forhold til håndtering af alvorlige krigstrusler og forureningsfarer, og som befolkningen over tid er blevet fuldt fortrolig med.
”Jeg tror så ikke, det ville være populært, hvis vi tændte for sirenerne, hver gang der kom et cyberangreb,” ler han og fortsætter:
”Men i Tyskland har de faktisk en forbilledlig national koordinering, når det gælder cybertrusler, i form af Bundesamt für Sicherheit in der Informationstechnik, BSI (Tysklands nationale myndighed for it-sikkerhed, red.). De benytter naturligvis ikke sirener, men BSI har en særlig national indsatsgruppe, som tager afsted i tilfælde af cyberangreb, og når de bliver tilkaldt af virksomheder.”
Der er nu gået en god uge siden WannaCry – historiens foreløbig største internationale hackerangreb af ransomware-typen. Angrebet inficerede alt fra det britiske sundhedsvæsen, NHS, til den franske bilproducent Renault samt energisektorer, offentlig transport, myndigheder og organisationer i mere end 150 lande. Uden for Europa gik det særligt hårdt ud over Kina, hvor mere end 30.000 institutioner og virksomheder blev inficeret, mens vi herhjemme bl.a. oplevede, at et par trafiktavler ved indfaldsvejene til Randers blev ramt.
”Angrebet er langt fra det første, og det bliver heller ikke det sidste,” kommer det lakonisk fra Christian W. Probst, der leder sektionen for Cyber Security ved DTU Compute i Kgs. Lyngby, hvor han tillige er forsker inden for sikkerhed af systemer, fra organisationer til distribuerede computersystemer.
Han minder om, at det første kendte angreb med ransomware-virus, The AIDS Trojan, skete helt tilbage i 1989, og siden er angrebene kun eskaleret. Ifølge den seneste årsrapport fra sikkerhedsfirmaet SonicWall steg antallet af ransomware-angreb i verden til svimlende 638 millioner alene i 2016, hvilket er 167 gange så mange som året før, noterer Forbes Magazine.
Mangelfuld koordinering
Med andre ord kan vi lige så godt indstille os på, at cyberangreb er the new normal. Og derfor bør regeringer – også den danske – til stadighed overveje, om vores sikkerhedsindsats, og selve måden vi organiserer os på, nu også er den smarteste. Christian W. Probst sætter et stort spørgsmålstegn ved den nuværende organisering og tilslutter sig dermed noget af den kritik, som andre sikkerhedseksperter har fremført gentagne gange ved større cyberangreb i de seneste år. Og nu også i forbindelse med WannaCry.
”Problemet er, at der er mangler i det overordnede nationale ansvar i Danmark. Der er for mange aktører. Vi har Center for Cybersikkerhed (CFCS) under Forsvarsministeriet, vi har PET, vi har Rigspolitiets Nationale Cyber Crime Center (NC3) og CERT (Computer Emergency Response Team). Samtidig er der Digitaliseringsstyrelsen og Erhvervsstyrelsen. Jeg tror ikke, at den sektorløsning er god. Altså, ansvaret er lidt for meget delt, og der mangler koordinering,” siger Christian W. Probst.
Hvordan en koordinerende central enhed konkret skal organiseres, kan der være mange bud på, men DTU Computes sektionsleder mener, at den tyske model har flere fordele – ud over at den er højborg for nogle af landets mest kompetente cybersikkerhedseksperter og virker som en magnet for kompetente medarbejdere.
”Styrken ved BSI er, at det er et centralt sted, som føler, at de har det overordnede ansvar for kontrollen med it-sikkerhedsproblemer i hele Tyskland. Det giver handlekraft. Man har stadigvæk et CERT, man har stadigvæk brancheorganisationer. Men problemet er, at i en verden, hvor flere og flere apparater og ting bliver forbundet med nettet (Internet of Things, red.), så kommer vi til at se større og større angreb. Samtidig er vi havnet i en systemverden, hvor det er utrolig svært at overskue, hvordan vi bliver angrebet,” siger Christian W. Probst og nævner et andet stort angreb sidste år, som pludselig lagde både Amazon, Spotify, PayPal og Netflix ned.
Han mener, at det tyske Bundesamt für Sicherheit in der Informationstechnik tillige har den store fordel, at det også i offentlighedens øjne opleves som den centrale enhed, og at der derfor bliver lyttet til BSI.
”Den ny chef for BSI, Arne Schönbohm, som har været der siden 2016, ser sig selv som en frontfigur. Det er ham, der har ansvaret for den nationale cybersikkerhed og for at sikre, at det bliver koordineret på den rigtige måde på bundesniveau. Han er uhyre offensiv og går ud og siger hvad problemerne er. Han er samtidig født i 1969 og dermed ikke lige så gammel som mange af de personer, man ellers ser i lignende positioner. Og i modsætning til dem, som var der før ham, er han en person, som kan formidle problemstillingen,” siger Christian W. Probst, der selv er født i Tyskland, men de seneste 13 år har boet i Danmark.
Embedsmænd uden it-indsigt
Ideen om en central institution støttes af Mikkel Flyverbom, lektor ved CBS og forsker i global internet governance. Gennem studier af FN og det danske diplomati har han set utallige eksempler på, at mange embedsmænd slet ikke har den nødvendige ekspertise om internettet og cybersikkerhed, hvilket også problematiseres i hans bog The Power of Networks – Organizing the Global Politics of the Internet fra 2011. Bogen handler om verdenssamfundets forsøg på at finde en måde at lave lovgivning og politik om internettet på.
”Der er brug for en central institution, der sikrer fælles retningslinjer for vores cybersikkerhed. Og jeg er sådan set enig i, at ansvaret har en tendens til at glide folk af hænde, når det fordeles mellem en hel masse forskellige institutioner,” siger han.
Ikke desto mindre gælder det såkaldte sektoransvarsprincip i Danmark. Det indebærer, at den myndighed eller organisation, der har ansvaret for et område under normale forhold, også har ansvaret for både det forebyggende og afhjælpende beredskab i tilfælde af ulykker, krisesituationer og ekstraordinære hændelser på området. Derfor er overvågningen af cybertrusler og ansvaret for håndteringen af cyberangreb delt mellem et hav af danske myndigheder og instanser. Og på regeringsniveau er princippet ikke blevet udfordret i nyere tid.
Alligevel er der i de senere år sat adskillige spørgsmålstegn ved, om sektoransvarsprincippet nu også er i landets bedste interesse. Ligesom også Danmarks nationale strategi i forhold til cyberangreb – eller mangel på samme – har været et tema.
Tilbage i 2013 udtrykte både it-eksperter og EU-Kommissionen f.eks. bekymring over, at Danmark slet ingen national strategi havde for cybersikkerhed i modsætning til eksempelvis Sverige, Tyskland, Norge og USA. Siden fik vi den første nationale strategi i 2014, som skulle have været revideret i 2016, hvilket dog endnu ikke er sket.
Men også selve spørgsmålet om, hvorvidt man bør samle ansvaret for it-sikkerheden centralt, er blevet flittigt debatteret i nu mange år. Tilbage i 2013 blev det påpeget, at det danske it-forsvar fortsat mest var ”spredt fægtning”, efter at Rigsrevisionen i to år havde udtalt skarp kritik af it-sikkerheden i det offentlige.
Samtidig blev det pointeret, at ansvarsplaceringen mellem myndighederne havde været uklar lige siden nedlægningen af IT- og Telestyrelsen (ITS) i efteråret 2011. Og selv da Danmark havde fået sin første nationale strategi i 2014, fortsatte eksperter med at efterlyse, at der blev etableret en institution, der påtog sig et overnationalt og koordinerende ansvar for cybersikkerheden. Et synspunkt, som senest i forbindelse med WannaCry-angrebet i sidste weekend atter blev fremført:
”Ansvaret flagrer mellem forskellige myndigheder”, hed det på forsiden af dagbladet Politiken, der bl.a. citerede John Foley, der tidligere har arbejdet med cybersikkerhed i forsvarets øverste ledelse, og som i 2013 stiftede sin egen private rådgivnings- og it-sikkerhedsvirksomhed, COPITS.
”Danmark har mange interessenter på cybersikkerhedsområdet, men der er ingen til at samordne indsatsen,” udtalte John Foley til avisen.
Virksomheder har selv et ansvar
Den opfattelse deles dog ikke af Henrik Larsen, bestyrelsesmedlem i Rådet for Digital Sikkerhed og chef for , Danish Computer Security Incident Response Team, der håndterer sikkerhedshændelser på forskningsnettet, som forbinder de danske universiteter og forskningsinstitutioner.
”Det er korrekt, at der er mange forskellige myndigheder, som har et ansvar for det her. Og jeg ved godt, det er John Foleys kæphest, at vi skal have en overordnet paraplyorganisation. Jeg er bare ikke sikker på, at det er det helt rigtige,” siger Henrik Larsen og argumenterer for, at trusselshåndteringen og ansvaret påhviler de enkelte sektorer, der alle bør have den nødvendige ekspertise, som kan rådgive og hjælpe.
”Og det er stadig den vej, jeg mener, vi skal gå – altså sektorvis. For det offentlige alene kan ikke beskytte Danmark mod den her type angreb. I sidste ende er det i høj grad den enkelte virksomheds ansvar – og dermed også den enkelte virksomhedsledelse og bestyrelser, og hvad man nu har. De er nødt til at investere det nødvendige i at sikre sig og opretholde et cyberforsvar,” siger han.
Ifølge Henrik Larsen er det langt mere presserende, at vi får uddannet både den almindelige bruger og folk i virksomheder og offentlige organisationer:
”De skal forstå, at det ikke er nok, at vi anskaffer en firewall og nogle fine antivirussystemer, og så er den hellige grav velforvaret. Rigtig meget af det handler om brugeradfærd, og at man konstant er oppe på mærkerne med at få installeret de sikkerhedsopdateringer, der skal på.”
Forsvarsminister Claus Hjort Frederiksen (V), som sammen med syv andre ministerier deler ansvaret for den nationale strategi for cyber- og informationssikkerhed, erkender, at udfordringerne på cyberområdet er stigende, og at der er brug for at gøre mere.
”Der er blevet gjort rigtig meget de senere år, men vi skal fortsat gøre mere. Det er jo også derfor, regeringen bl.a. har igangsat arbejdet med en ny national strategi for cyber- og informationssikkerhed,” siger han og peger på, at Center for Cybersikkerhed (CFCS) i en række sammenhænge spiller en koordinerende rolle.
”Men i overensstemmelse med sektoransvarsprincippet løser flere myndigheder deres respektive opgaver på cyberområdet og samarbejder herom,” siger Claus Hjort Frederiksen og opremser nogle af de mange myndigheder, som har med it- og cybersikkerhed at gøre i Danmark:
For det første er Center for Cybersikkerhed under Forsvarets Efterretningstjeneste national it-sikkerhedsmyndighed og oplyser, vejleder og rådgiver danske myndigheder og virksomheder om it-sikkerhed, samtidig med at det fungerer som nationalt kompetencecenter på cybersikkerhedsområdet.
Dernæst er der Center for Cybersikkerheds Netsikkerhedstjeneste, som opdager, analyserer og bidrager til at imødegå avancerede cyberangreb mod myndigheder og virksomheder, der er beskæftiget med samfundsvigtige funktioner. Og i forhold til efterforskning af cyberkriminalitet er der i Rigspolitiet etableret et Nationalt Cybercrime Center.
Endvidere hører en række opgaver, der vedrører den generelle digitalisering i samfundet, under Finansministeriet og Erhvervsministeriet, hvor man har viden om myndigheder, borgere og erhvervslivets muligheder, behov og udfordringer i forhold til digitaliseringen.
Og ifølge regeringen er altså lige præcis denne spredte opdeling af opgaverne og dermed ansvaret fortsat den bedste løsning.
På DTU Compute er Christian W. Probst ikke i tvivl om, at de mange instanser yder en fremragende indsats.
”Jeg tror, at de er supergode til at håndtere deres arbejde. Problemet er snarere, om de enheder, vi allerede har i dag, kommunikerer tilstrækkeligt med hinanden. Min egen erfaring med PET er, at de har mange af de her ERFA-grupper, hvor sikkerhedschefer fra virksomheder, banker og organisationer udveksler erfaringer, når der kommer noget frem. Men de store cyberangreb rammer ikke kun virksomheder. Det rammer også hospitaler, som vi så det senest i Storbritannien, og det rammer også almindelige borgere. Og her er problemet, at vi ikke får koordineret indsatsen tilstrækkeligt og gjort offentligheden klar over den risiko, som de indgår i,” siger Christian W. Probst.
Han mener til gengæld, at regeringens opdatering af den nationale strategi for cyber- og informationssikkerhed er mindre væsentlig.
”Opdateringen er mere et spørgsmål om politisk signalværdi. Nu fik Danmark en ny regering i december, og så skal man forny strategien. Men den gamle stiller os ikke ringere og er heller ikke farlig for os. Det er jo bare et stykke papir. Det afgørende er, hvordan den omsættes. Og her er der brug for, at der opbygges en synlig og udadvendt central institution,” fastslår han.