DEBAT: Det er nødvendigt med en åben debat om, hvordan det danske cyberforsvar fremover skal organiseres, og om hvorvidt Center for Cybersikkerhed hører hjemme under Forsvarets Efterretningstjeneste. Det såkaldte SolarWinds-hack tjener som bevis på behovet for en mere velkoordineret indsats.

Lige siden oprettelsen af Center for Cybersikkerhed (CFCS) i 2012 er vi mange, der har sat spørgsmålstegn ved det hensigtsmæssige i centerets placering, som en del af Forsvarets Efterretningstjeneste (FE). Det skrev pensioneret kontreadmiral Torben Ørting Jørgensen og undertegnede om i en kronik i Version2, dateret den 14. februar 2020, med overskriften ”Passes der godt nok på Danmark”.

Vi ønskede med kronikken at igangsætte en debat og finde løsninger, der kan sikre Danmark og dets befolkning bedre end hidtil mod de mange angreb fra cyberkriminelle samt statslige og ikke-statslige aktører.

En debat, som forsvarsminister Trine Bramsen (S) gentagne gange sidenhen har forsøgt at standse og undertrykke, idet hun mener, at al snak og diskussion om, hvor CFCS skal være placeret, må forstumme og bringes til ophør. Gode argumenter og konstruktive  løsningsforslag ønskes ikke diskuteret. Trine Bramsens reaktion falder godt i tråd med den måde, hun nu forsøger at styre debatten om Forsvarets fremtid.

Opdagede ikke SolarWinds-angreb

Tobias Liebetrau, postdoc ved Center for Militære Studier på Københavns Universitet, har bl.a. skrevet:

»Det er ikke uden grund, at cybertruslen i dag regnes for en af de absolut største trusler mod Danmark, hvis ikke den største. Den opfattelse gælder både i et nationalt sikkerhedspolitisk perspektiv såvel som i det danske erhvervsliv. Cybertruslen udfordrer på den måde en række af de traditionelle skillelinjer, som vi normalt bruger til at indrette vores samfund og sikkerhedspolitik efter, herunder skellet mellem offentlig og privat. Statens og Forsvarets historiske monopol på den nationale sikkerhed er kraftigt udfordret på cyberområdet. Det skyldes dels, at truslen går på tværs af mange af de skillelinjer, som vi normalt organiserer rigets sikkerhed på baggrund af, dels at hovedparten af den kritiske (informations) infrastruktur er privat ejet og drevet.«

Hovedparten af CFCS’ opgaver er for det meste relateret til civile opgaver, herunder opgaven med at beskytte den såkaldte kritiske infrastruktur. Til det har man bl.a etableret et sensornetværk, der muliggør at centeret kan overvåge både militære og civile myndigheder samt private virksomheder. Systemet består af alarmenheder (såkaldte sensorer), som er placeret på eksempelvis ministeriers og underliggende myndigheders og virksomheders infrastruktur med henblik på at monitorere netværkstrafikken.

Desværre har sensornetværket vist sig ineffektiv i opdagelsen af et meget alvorligt cyberangreb, kendt som SolarWinds-hacket. SolarWinds-hacket er et såkaldt ”software supply chain”-angreb, hvor hackere gemmer ondsindet kode i softwareopdateringer, som leverandører distribuerer til deres kunder. Der kan således ligge ting gemt og ulme, indtil hackerne har brug for at aktivere det, og det er det, der er rigtig ubehageligt ved denne type angreb. Det kan bl.a. bruges til at foretage destruktive handlinger, hvor der f.eks. kan lukkes ned for el-, vand- eller varmeforsyningen.

Det haster med bedre løsninger

Efter oplysninger fra de amerikanske myndigheder har angrebet kompromitteret en række statslige myndigheder og private virksomheder, bl.a. Homeland Security, Pentagon og det amerikanske atomagentur. Angrebene er gået uopdaget og under radaren hos de mange statslige myndigheder og instanser, hvis fornemmeste opgave det er at opdage den slags angreb. Milliarder og atter milliarder af dollars og kroner er blevet investeret, men har vist sig at være spildt. For at føje spot til skade var det ovenikøbet et privat cybersikkerhedsfirma, der opdagede og afslørede angrebet, hvis konsekvenser i skrivende stund langt fra er erkendt eller håndteret.

Man kan derfor med rette stille spørgsmålstegn ved, om vi i Danmark har organiseret vores cyberforsvar på den rigtige måde. Det kan ligeledes undre, at danske private virksomheder ikke vil være med i nævnte sensorordning, til trods for at staten vil betale hele gildet. Hos de private betegnes ordningen som en fiasko.

Endvidere kan det undre, at de, der er sat til at passe på Danmarks kritiske infrastruktur, ikke har opdaget angrebet og hverken vil eller evner at oplyse om de myndigheder og organisationer, der er blevet ramt, og som fortsat er under angreb. De oplysninger har man ikke problemer med at videregive og dele i andre lande, og især USA er meget åbne og fortæller uden problemer om angrebet, dets følger og konsekvenser.

I erkendelsen af, at den eksisterende måde at organisere sig på i Danmark ikke virker, skal der findes andre og bedre løsninger tilrettet vores forvaltningskultur og andre hensyn, og det haster. Udfordringen er fraværet af en overordnet samlende og koordinerende instans, der kan bringe alle relevante aktører til at arbejde sammen. Og den opgave kan ikke overlades til en militær efterretningstjeneste.

Første skridt kunne være, at vi får afdækket, om præmisserne for den politiske beslutning om at placere det samlede ansvar for området under Forsvarets Efterretningstjeneste fortsat holder vand, eller om der ikke nærmere er behov for at placere ansvaret for den overordnede koordination af området i en civil ramme på højeste niveau i centraladministrationen.

Den debat får Trine Bramsen ikke lov til at stoppe.

John Foley har en fortid som IT-, informations-, cyber- og sikkerhedsekspert i Forsvaret og var bl.a. med i etableringen af Center For Cybersikkerhed under FE i 2011. Foto: Ernstved