DEBAT: Det er nødvendigt med en åben debat om, hvordan det danske cyberforsvar fremover skal organiseres, og om hvorvidt Center for Cybersikkerhed hører hjemme under Forsvarets Efterretningstjeneste. Det såkaldte SolarWinds-hack tjener som bevis på behovet for en mere velkoordineret indsats.
Lige siden oprettelsen af Center for Cybersikkerhed (CFCS) i 2012 er vi mange, der har sat spørgsmålstegn ved det hensigtsmæssige i centerets placering, som en del af Forsvarets Efterretningstjeneste (FE). Det skrev pensioneret kontreadmiral Torben Ørting Jørgensen og undertegnede om i en kronik i Version2, dateret den 14. februar 2020, med overskriften ”Passes der godt nok på Danmark”.
Vi ønskede med kronikken at igangsætte en debat og finde løsninger, der kan sikre Danmark og dets befolkning bedre end hidtil mod de mange angreb fra cyberkriminelle samt statslige og ikke-statslige aktører.
En debat, som forsvarsminister Trine Bramsen (S) gentagne gange sidenhen har forsøgt at standse og undertrykke, idet hun mener, at al snak og diskussion om, hvor CFCS skal være placeret, må forstumme og bringes til ophør. Gode argumenter og konstruktive løsningsforslag ønskes ikke diskuteret. Trine Bramsens reaktion falder godt i tråd med den måde, hun nu forsøger at styre debatten om Forsvarets fremtid.
Opdagede ikke SolarWinds-angreb
Tobias Liebetrau, postdoc ved Center for Militære Studier på Københavns Universitet, har bl.a. skrevet:
»Det er ikke uden grund, at cybertruslen i dag regnes for en af de absolut største trusler mod Danmark, hvis ikke den største. Den opfattelse gælder både i et nationalt sikkerhedspolitisk perspektiv såvel som i det danske erhvervsliv. Cybertruslen udfordrer på den måde en række af de traditionelle skillelinjer, som vi normalt bruger til at indrette vores samfund og sikkerhedspolitik efter, herunder skellet mellem offentlig og privat. Statens og Forsvarets historiske monopol på den nationale sikkerhed er kraftigt udfordret på cyberområdet. Det skyldes dels, at truslen går på tværs af mange af de skillelinjer, som vi normalt organiserer rigets sikkerhed på baggrund af, dels at hovedparten af den kritiske (informations) infrastruktur er privat ejet og drevet.«
Hovedparten af CFCS’ opgaver er for det meste relateret til civile opgaver, herunder opgaven med at beskytte den såkaldte kritiske infrastruktur. Til det har man bl.a etableret et sensornetværk, der muliggør at centeret kan overvåge både militære og civile myndigheder samt private virksomheder. Systemet består af alarmenheder (såkaldte sensorer), som er placeret på eksempelvis ministeriers og underliggende myndigheders og virksomheders infrastruktur med henblik på at monitorere netværkstrafikken.
Desværre har sensornetværket vist sig ineffektiv i opdagelsen af et meget alvorligt cyberangreb, kendt som SolarWinds-hacket. SolarWinds-hacket er et såkaldt ”software supply chain”-angreb, hvor hackere gemmer ondsindet kode i softwareopdateringer, som leverandører distribuerer til deres kunder. Der kan således ligge ting gemt og ulme, indtil hackerne har brug for at aktivere det, og det er det, der er rigtig ubehageligt ved denne type angreb. Det kan bl.a. bruges til at foretage destruktive handlinger, hvor der f.eks. kan lukkes ned for el-, vand- eller varmeforsyningen.
Det haster med bedre løsninger
Efter oplysninger fra de amerikanske myndigheder har angrebet kompromitteret en række statslige myndigheder og private virksomheder, bl.a. Homeland Security, Pentagon og det amerikanske atomagentur. Angrebene er gået uopdaget og under radaren hos de mange statslige myndigheder og instanser, hvis fornemmeste opgave det er at opdage den slags angreb. Milliarder og atter milliarder af dollars og kroner er blevet investeret, men har vist sig at være spildt. For at føje spot til skade var det ovenikøbet et privat cybersikkerhedsfirma, der opdagede og afslørede angrebet, hvis konsekvenser i skrivende stund langt fra er erkendt eller håndteret.
Man kan derfor med rette stille spørgsmålstegn ved, om vi i Danmark har organiseret vores cyberforsvar på den rigtige måde. Det kan ligeledes undre, at danske private virksomheder ikke vil være med i nævnte sensorordning, til trods for at staten vil betale hele gildet. Hos de private betegnes ordningen som en fiasko.
Endvidere kan det undre, at de, der er sat til at passe på Danmarks kritiske infrastruktur, ikke har opdaget angrebet og hverken vil eller evner at oplyse om de myndigheder og organisationer, der er blevet ramt, og som fortsat er under angreb. De oplysninger har man ikke problemer med at videregive og dele i andre lande, og især USA er meget åbne og fortæller uden problemer om angrebet, dets følger og konsekvenser.
I erkendelsen af, at den eksisterende måde at organisere sig på i Danmark ikke virker, skal der findes andre og bedre løsninger tilrettet vores forvaltningskultur og andre hensyn, og det haster. Udfordringen er fraværet af en overordnet samlende og koordinerende instans, der kan bringe alle relevante aktører til at arbejde sammen. Og den opgave kan ikke overlades til en militær efterretningstjeneste.
Første skridt kunne være, at vi får afdækket, om præmisserne for den politiske beslutning om at placere det samlede ansvar for området under Forsvarets Efterretningstjeneste fortsat holder vand, eller om der ikke nærmere er behov for at placere ansvaret for den overordnede koordination af området i en civil ramme på højeste niveau i centraladministrationen.
Den debat får Trine Bramsen ikke lov til at stoppe.
Her er en opfølgning på artikel og min kommentar i Version2, der i dagens udgave omtaler Solar-Winds hacket, som jeg også kom ind på i mit debatindlæg. Her er min kommentar:
Pandoras æske kun så småt ved at åbnes!
Omfanget og alvoren af angrebet og kompromitteringen er desværre endnu langt fra erkendt eller opdaget. Pandoras æske er kun lige så småt blevet åbnet og kommet på klem.
Det er tankevækkende, at det for meste kun er de private/semi private organisationer og virksomhder, der indtil nu er kommet frem i lyset med deres oplevelser. Der må også være en række af de mange og talrige offentlige myndigheder og styrelser, der betegnes som samfundsvigtig kritisk infrastuktur, der uden tvivl også er blevet besøgt og sandsynligvis fortsat er under angreb og er blevet kompromitteret.
I USA har man ingen problemer med at være mere åbne om arten, omfanget og angrebets art og størrelse. Her fortælles, at bl.a. Pentagon, Department of Homeland Security og det amerikanske atomagentur, har været besøgt og nok også kompromitteret.
Herhjemme løftes kun en meget lille flig af sløret til skade bl.a. for muligheden for en bedre bekæmpelse. Det må kunne gøres bedre.
Det er der skrevet en artikel om i OLFI (se link), hvor der også linkes til en tidligere kronik her i Version2, skrevet af Torben Ørting Jørgen og mig, med overskriften “Passes der godt nok på Danmark?”, der før angrebet, pegede på et akut behov for en bedre organisering og strukturering af Danmarks cyberforsvar og peges på vores manglende evne til at passe bedre på vores samfund og befolkningens berretigede krav på bedre sikkerhed.
Opfordringen blev desværre mødt med larmende tavshed fra de såkaldt ansvarliges side. Nu har de fået endnu et alvorligt Wake-up call. https://olfi.local/2021/02/25/det-danske-cyberforsvar-traenger-akut-til-en-.
Jeg vil gerne drage en parallel til Electronic Warfare (EW) og Electronic Counter Messure (ECM). Da jeg startede som telegrafist i Søværnet blev det banket ind i knolden på både radio- og radaroperatører hvordan man agerede imod jamming. Som Forsvaret begyndte at bruge fjernskriver og automatisk kryptografering også på talefrekvenser, gled tingene langsomt i baggrunden og det var op til det enkelte skib / eskadre at træne operatørerne, og det gik ikke så godt. Under en natoøvelse trak en af vores Flåderadioer ud af øvelsen og vi havde frit slag hvad angår jamming, spoofing og alskens julelege, alt med måde selvfølge og inden for visse regler. Øvelsen viste at folk ikke havde lært en dyt, og det man havde lært var gledet i glemmebogen. Det trak tråde rundt i Søværnet specielt fordi vi havde kunnet holde 3 skibe uden kommunikation med land i 22 timer, bortset fra vhf talekommunikation.
Pointen er, at lige så nemt det er at lægge et radionet ned, lige så nemt er det at lægge et cyber netværk ned og når man ser hvordan virksomheder og offentlige servere bliver slået ud eller angrebet af ransomware, kan det undre at man ikke lærer af sine fejl og får overordnet styring og retningslinier som i skitserer og Peter Nielsens kommentar er jo hovedet på sømmet.
Vores sygehusvæsen har jo været angrebet, næste gang kan det blive vores elforsyning.
Øvelse gør mester, og når man kan lave simulator centre for alt muligt, hvorfor så ikke for cyber forsvar.
Tak Palle for gode pointer. Selv havde jeg fornøjelsen af at være faggruppeleder EW på Hærens Signalskole i en årrække og kan sagtens genkende dine erfaringer og til dels også frustrationer over den manglende evne til koordination og behovet for en overordnet styring.
Som det sikkert er dig bekendt har Danmark meldt sin offensive cyberkapacitet operativ ved årskiftet 2020. I den anledning gennemførtes en konference/høring på Christiansborg, modereret af Torben Ørting Jørgensen (pens. kontréadmiral). Konferencen/høringen afslørede bl.a. at der ikke var noget særligt godt overblik eller kendskab til området hos politikerne m.fl. til, hvordan det nye “våben” skulle anvendes eller koordineres indsat.
Det vil jeg skrive om i min blog her i OLFI i den nærmeste fremtid.
Her rammer du hovedet på sømmet John!
“ikke var noget særligt godt overblik eller kendskab til området hos politikerne m.fl.”
Hvis ikke dem der laver lovene og bevilliger midlerne, har det fornødne indblik, forbliver tingenes tilstand den samme.
Mere af det sædvanlige og mindre af det rigtige.
Og så er vi tilbage ved en anden debat som kører her på OLFI.
Nemlig den om manglende, faglig kvalificeret, debat om Forsvarets tilstand og ikke mindst hvad der venter i fremtiden, af udfordringer og hvad der skal til at løse samme.
Så længe man udelukkende forlader sig på politiske mærkesager og mavefornemmelser, og ikke vil lade fagpersonerne komme offentligt til orde, bliver tingene ikke adresseret.
Nu er det ikke mit skarpeste område, men jeg har et par overvejelser. Det er et godt forslag at forankre CFCS på tværs, men centraladministrationen er siloopbygget og generelt ringe til at samarbejde på tværs af fagområder, når det kommer til opgaveløsning, så det er næsten kun statsministeriet som har en sådan magt, at de kan løfte et effektivt tværgående samarbejde. Og selv da så er det ikke imponerende og Statsministeriet skal jo heller ikke løfte alle opgaver, fordi alle opgaver løses i princippet bedre, når der tænkes på tværs af siloerne. Dernæst, så er det selvfølgelig centralt at udpege, hvad der er kritisk infrastruktur, men det falder mig i øjene, at CFCS ikke er bedre forberedte og har en plan for håndtering af Solar Winds hacket, også har CFCS simpelthen forberedt sig forkert og de forkerte redskaber i værktøjskassen. Det må være muligt at lave nogle “stjernekrigs” scenarier eller fremtidsscenarier, hvor man arbejder med hvordan den kritiske infrastruktur kan blive angrebet og hvordan man mest effektivt beskytter den med mindst muligt indsats, så man effektivt kan håndtere de fleste elementer i en cyberkrig.
Tak for repons, gode pointer, forslag og svar, Rasmus.
Flere lande har indset at løsningen findes ved at forankre opgaven på højeste niveau f.eks. i resperktive landes kabinetter, svarende til vores Stasministerium. Det gør f.eks Frankrig og Israel, der tager opgaven meget alvorligt og koordinerer på tværs af alle sektorer, styret af et directorat med direkte reference til premierminsteren.
Opgaven overlades ikke til en fagminister og en efterretningstjeneste, som i Danmark, der beværliggør en samlet koordineret indsats mellem statslige myndigheder, private organisationer og virksomheder, der ejer mere end 90 % af Danmarks samfundsvigtige og kritiske infrastruktur.
Tak for svar. Det kan sagtens give mening, at en afdeling under statsministeriet tager sig af koordinering af højt prioriterede tværgående beredskabsopgaver fx cybersikkerhed for kritisk infrastruktur som evt. kan hænge direkte sammen med de opgaver som NOST løser, når den aktiveres. Det har man jo allerede besluttet med epidemihåndteringen, og når arbejdet med det daler igen, så man jo overveje om den samme infrastruktur kan bruges til at også koordinere andre opgaver som beskyttelse af kritisk infrastruktur mod cyberangreb. En anden overvejelse er, at det er vigtigt for at det kan lade sig gøre, at udgifterne til cybersikkerhed kan tælle med i forsvarsudgifterne, hvis det placeres i statsministeriet, så det kan tælle med i de 2 % af bnp DK skal bidrage med for Forsvaret til NATO, ellers kan det nok godt have en svær gang på jorden..
Tak for svar og gode løsningsforslag. Jeg mener at nogle dele af CFCS, der løser deciderede militære opgaver, godt kan forblive som en del af FE, og løse CNO opgaver, og ligeledes beholde nogle af pengene, som kan tælle med i forsvarsudgifterne, og dermed tælle med til opnåelse af de 2% i BNP til vores NATO styrkemål.
Men de øvrige opgaver, som er langt de fleste, skal overtages og koordineres af en instans direkte under Statsministeriet, som du foreslår. Det ville give god mening.
Tak, John, for et glimrende wake-up call.
Jeg er meget enig i, at cyber fortjener større opmærksomhed, og det vil en organisatorisk ændring kunne medvirke til. Men som vi så ofte har set det, skal der masser af ‘lig på bordet’, før end budskabet forstås. Og det er underligt, for netop omkring cyber er der jo utallige eksempler, men åbenbart ikke nok. Så hvad skal der til for at øge forståelsen? Jeg tror, at simpel wargaming eller table-top exercises kan bidrage. Og det behøver hverken være komplekst eller omfattende. Formålet skal være at øge forståelsen af truslen og fremme udvikling af det rette forsvar. Simple scenarier, der ‘leges med’ på tværs af de sektorer af centraladministrationen, hvor cyber har størst indflydelse, vil kunne kaste lys på mulige optioner for det politiske niveau. Hvorfor tilbyder Forsvaret ikke at arrangere dette? Vi har setup’et og kender værdien af øvelser. Og her drejer det sig ikke om at løse opgaven til punkt og prikke, men om at fejle og fejle og LÆRE af det.
Tak igen for et godt indlæg.
Tak for de pæne ord og gode bemærkninger, herunder dine forslag, Jens-Riis Vestergaard. Jeg er meget enig i at der er et stort behov for bla. table-top øvelser på tværs af sektorerne med deltagelse af bl.a. offentlige myndigheder og private organisationer og virksomheder.
I øvrigt vil jeg gerne henlede opmærksomheden på mine kommentarer til den i OLFI publicerede artikel dateret den 24. februar: “Regeringen iværksætter analyse af den udenrigs- og sikkerhedspolitiske situation”, hvor jeg har skrevet følgende, som også ses relevant i relation til mit debatindlæg:
“Interessant og glædeligt, at man nu (langt om længe) har forstået at samfundsvigtig kritisk infrastruktur er en ny frontlinje, som skal tages alvorligt.
Dog beklageligt, at man endnu ikke har fundet det betimeligt at udarbejde en officiel dansk definition af begrebet, og heller ikke har afdækket, hvad der er væsentligt at prioritere og forsvare i en forsvars- og sikkerhedspolitisk kontekst.
Stort set alle andre lande vi normalt sammenligner os med har for længe siden gjort deres hjemmearbejde. Men ikke i Danmark, hvor arbejdet udestår, også når det kommer til Danmarks samfundsvigtige og kritiske it- og informationsinfrastruktur.
Center for cybersikkerhed (CFCS), under FE, skriver på deres hjemmeside, at deres højst prioriterede opgave er at forsvare og beskytte Danmarks kritiske It- og informationsifrastruktur, men hverken på CFCS´ hjemmesiden eller i Den nationale informations- og cybersikkerhedsstrategi finder man begrebet forklaret eller defineret.
CFCS blev oprettet i 2012, Begyndte med 20 medarbejdere, der nu i 2021, er vokset og består af mere end 250 medarbejdere. Alligevel har man ikke i de mange år siden oprettelsen formået eller fundet tid til at definere, indkredse eller afdække, hvad samfundsvigtig kritisk it- og informationsinfarstruktur er for en størrelse. Til trods for at CFCS og Forsvarsministeriet har tilkendegivet, at det er CFCS´s vigtigste opgave. Det er da tankevækkende og også skræmmende. Man kunne med rette stille det spørgsmål om CFCS ligger det rigtige sted under en efterretningstjenste, og som ikke endnu har evnet eller formået at løse deres vigtigste opgave, men har for travlt med andre lavere prioriterede opgaver.
Man kan kun håbe på at der i det kommende udredningsarbejde også findes tid til at finde ud af hvad den nye frontlinje har af betydning for Danmarks forsvars- og sikkerhedspolitk og tager de fornødne forholdsregler. Og ikke mindst finder ud af hvad samfundsvigtig kritisk infrastruktur er for en størrelse, for det ved man ikke nu”.
Problemer forsvinder ikke bare fordi de ikke nævnes, men de er nemmere at glemme, hvis der ikke tales om dem.