DEBAT:  I Danmark er vi gode til offentlig digitalisering, men det kniber gevaldigt med datasikkerheden. Det skal der hurtigst muligt rettes op på, hvis ikke vi skal have os en ubehagelig overraskelse i forbindelse med et alvorligt angreb eller udfald på kritisk digital infrastruktur, påpeger ekspert i IT- og cybersikkerhed John Foley i dette debatindlæg.

Herhjemme fortælles ofte og gerne, at Danmark i flere år har ligget forrest i kapløbet om offentlig digitalisering. Ja, vi er ligefrem blevet udpeget som verdensmestre på området. Stor er politikernes og myndighedernes begejstring, selvros og klappen sig selv på skuldrene.

Ved FN’s seneste E- Government Survey 2020 indtog Danmark igen førstepladsen. Rapporten omtaler imidlertid ikke sårbarheden som følge af den voksende digitalisering, herunder den kendsgerning, at jo mere der digitaliseres, jo mere udsat og sårbar bliver samfundet og dets befolkning for angreb, der muliggør en destabilisering og nedlukning af samfundet, som vi kender det i dag.

Og de store techgiganter og dansk erhvervsliv kan simpelthen ikke få armene ned. Der øjnes store indtjeningsmuligheder, især fordi Mette Frederiksen har meldt ud, at hun også er ”frelst” og har set lyset og nu er villig til at kaste mange milliarder ind i projektet. Det kan kun gå for langsomt, og derfor skal der sættes turbo på yderligere digitalisering. »Damm the torpedoes – full spead ahead,« lyder parolen.

Når det kommer til samfundets og befolkningens krav på sikkerhed, er situationen imidlertid en ganske anden. Gentagne FN-undersøgelser viser, at Danmark ligger langt nede på listen over lande, når det drejer sig om at passe på og beskytte samfundet og befolkningens data og personlige oplysninger lagret i tusindvis af servere og datacentre placeret i både ind- og udland. Kendsgerninger, som politikere, myndigheder og erhvervsliv helst ikke omtaler eller ønsker skal komme frem.

Google kontrollerer både software og fysisk infrastruktur

Angreb udført mod samfundsvigtig kritisk infrastruktur på landets offentlige institutioner, private virksomheder og befolkningen er og bliver en stadig større udfordring for regeringer og myndigheder, også for Danmark.

Undersøiske kabler, datacentre og internettets knudepunkter, der dagligt transporterer milliarder af data og oplysninger om os alle sammen, samt store dele af den digitale infrastruktur er i dag styret og ejet af udenlandske teknologigiganter som Google og Facebook, og de danske myndigheder har ingen overblik over situationen. Heller ikke de myndigheder, der har det som deres primære og vigtigste opgave at varetage og sikre Danmarks samfundsvigtige og kritiske infrastruktur.

Artiklen fortsætter under billedet …

Klik på billedet, hvis du vil læse om, at Danmark også halter bagefter i forhold til at imødegå hybride trusler …

To danske forskere, Signe Sophus Lai og Sofie Flensburg, henholdsvis postdoc og adjunkt ved Institut for Kommunikation på Københavns Universitet, har i deres netop publicerede Ph.d-afhandling kortlagt de fysiske og digitale infrastrukturer, som danske internetbrugere er dybt afhængige af. Det drejer sig f.eks. om de såkaldte Internet Exchange Points (IXP), som internetudbydere bruger til at udveksle trafik mellem netværk, og de fysiske kabler, der transporterer data, både internt i Danmark og mellem lande, og ikke mindst den lovgivning, der regulerer dem.

»De mange undersøiske kabler, der transporterer data til og fra Danmark, var indtil for få år siden i højere grad offentligt ejede, men i dag er de på private hænder. Så ikke nok med, at et firma som Google sidder på den software, vi bruger til at søge på internettet – de kontrollerer også de fysiske infrastrukturer, der transporterer vores data. De sidder faktisk på hele det digitale økosystem, og de bliver reguleret af så mange forskellige myndigheder, så ingen har et samlet overblik over det,« skriver Signe Sophus Lai og Sofie Flensburg.

Båndbredde og serverkapacitet en knap ressource

I bladet Ingeniøren er jeg for nylig citeret for følgende: »Det er tankevækkende, at myndighederne endnu ikke selv har fundet det nødvendigt at kortlægge den kritiske infrastruktur, som er nødvendig, for at vi kan kommunikere digitalt i Danmark. Hvis man for alvor vil forstyrre den danske internettrafik, så er søkabler og de 5-6 danske IXP’er helt centrale knudepunkter, som myndighederne bør regulere politisk.«

Regeringen udpegede i 2018 seks sektorer som værende kritisk infrastruktur – sundhed, finans, tele, søfart, transport og energi – og bad efterfølgende sektorerne selv om at udarbejde beredskabsplaner og andre sikkerhedstiltag.

»Vi har ikke en fælles definition af, hvad der er kritisk infrastruktur. De seks sektorer er arbitrært udvalgt, for at vi kan overholde EU-lovgivning, og ikke et resultat af en reel kortlægning af kritisk infrastruktur. Corona-krisen har vist, hvor sårbare vi er over for nedbrud i en krisesituation. Bare se lige nu, hvor myndighederne desperat jagter mere båndbredde for at sikre kapacitet nok til at få corona-passet til at fungere,« citeres jeg videre for i Ingeniøren.

Artiklen fortsætter under billedet …

Klik på billedet, hvis du vil læse om behovet for en akut reorganisering af det danske cyberforsvar …

Som med Covid-19-vaccinen, der er en knap ressource, gælder det samme for bredbånd og serverkapacitet. Kapaciteter, der er livsnødvendige og uundværlige, specielt i en krisesituation. Landende er sig selv nærmest, når lokummet brænder. Det er alles kamp mod alle i bestræbelserne på at få den livsnødvendige kur. Og de, der besidder kapaciteten, sidder på magten og kan gøre, hvad de vil. Den højestbydende vinder. Og med et tryk på en knap kan der fra udlandet lukkes og slukkes for et lands samfundskritiske infrastruktur, der får kapaciteter leveret via fx søkabler, datacentre og servere via føromtalte IPX’ere.

Et wakeup-call fra Rusland

På en netop afholdt konference den 6. april med titlen “The Cyber Curse: Is There a Cure?” udtalte tidligere NATO Supreme Allied Commander Europe, den pensionerede general Wesley Clark:

»We’re on the brink of an enormous catastrophe. If you think the pandemic was bad, you can’t imagine what can be done with cyber.«

Og generalen uddyber:

»But is there a cure? Right now, no. In fact, with the Internet of Things, right now the number of attacks is growing. My purpose here is to alert all of you to how serious the danger is: if the power grids are taken down – no nation really has proper backup. This has to be our first priority. This is a wakeup call we’ve had from the Russians for five years. So that’s number one: be advised, be warned, recognize the risk.«

Indtil videre har Danmark været forskånet for et storstilet og alvorligt angreb på landets offentlige institutioner og kritiske infrastruktur. Men ligeså hurtigt og overraskende landet blev overvældet og lukket ned af coronapandemien, ligeså hurtigt og overraskende vil landet kunne blive lukket ned ved et storstilet angreb på landets offentlige institutioner og de kritiske infrastrukturer.

Og reaktionstiden vil, i modsætning til coronakrisen, stort set være ikkeeksisterende. Derfor så meget desto vigtigere at være forberedt og have planlagt i god tid. Desværre ses det ikke at være tilfældet i Danmark. Arbejdet er alt for fragmenteret og ukoordineret og vil, når ”worst case” indtræffer, tage os alle på sengen og med bukserne nede. De såkaldt ansvarlige vil, traditionen tro, stå med røde ører og skynde sig hen til håndvasken og fortælle, at det ikke var deres ansvar eller skyld, at Danmark stod uforberedt og blev lukket ned.

Fravær af en samlende og koordinerende indsats

Danmark skal tage dette alvorligt. Og vi skal gentænke, hvordan der kan samordnes og koordineres bedre. Forsvaret skal bidrage, naturligvis, men kun i en støttende og ikke i en ledende rolle. Og dets kompetencer inden for planlægning og udførelse af operationer bør i den grad udnyttes. Men andre centrale civile aktører må tage føringen og samordne bestræbelserne i en bredere sikkerhedspolitisk kontekst.

Den største udfordring er fraværet af en samlende og koordinerende instans, der kan bringe alle relevante aktører til at arbejde sammen, ligesom en dirigent, der evner at få et stort orkester til at spille harmonisk sammen. Der bør og skal findes andre muligheder og løsninger, som kan sikre Danmark bedre end hidtil.

Som det ser ud nu, passes der ikke godt nok på samfundet og dets befolkning. Danmarks beredskab og evne til at klare alvorlige angreb og udfald kan der med rette sættes et stort spørgsmålstegn ved. Især er paratheden kritisk og mangelfuld.

Svar og løsninger skal findes. Det kan kun gå for langsomt. Det er bare om at komme i gang – inden det er for sent.

John Foley har en fortid som IT-, informations-, cyber- og sikkerhedsekspert i Forsvaret og var bl.a. med i etableringen af Center For Cybersikkerhed under FE i 2011. Foto: Ernstved
Kommentarer

EFTERLAD ET SVAR

Please enter your comment!
Please enter your name here