DEBAT: Der er behov for en revision af den måde, vi i Danmark håndterer og sørger for cybersikkerhed. Særligt afsløringerne af FE’s rolle i NSA-spionagen mod europæiske toppolitikere illustrerer nødvendigheden af nytænkning, men regeringen spænder ben for både en reorganisering og inddragelse af civile aktører, mener cybersikkerhedsekspert John Foley.
I flere år har politikere, eksperter og fagfolk gang på gang peget på det uhensigtsmæssige i at Center for Cybersikkerhed (CFCS) blev placeret som en del af Forsvarets Efterretningstjeneste (FE). Det seneste døgns massive dækning i pressen har indikeret, at FE tjener flere herrer og angiveligt har været et villigt redskab for NSA, der har spioneret mod vores nærmeste venner og allierede.
Alligevel fortsætter regeringen med hovedet under armen og kæmper egenrådigt med næb og klør for at fortsætte som hidtil. Man har ovenikøbet meddelt, at man vil iværksætte yderligere tiltag, der kan udvide det cyberimperium, der siden 2012 er blevet en kæmpe organisation, der løbende tiltager sig endnu flere beføjelser, rettigheder og magt. Senest dokumenteret i forbindelse med en artikel dateret den 27. maj 2021 i bladet i Altinget, skrevet af redaktør Andreas Krog, med overskriften ”Bramsen forsvarer FE’s rolle som cyberpoliti”.
I artiklen udtaler Forsvarsministeren, at alt er, som det skal være, og at ingen kan få hende på andre og bedre tanker. Der skal ikke ændres et komma i den måde, man har organiseret sig og også fremover har tænkt sig at administrere og styre forretningen. Dette til trods for at seniorforsker og postdoc Tobias Liebetrau i samme artikel kommer med særdeles gode argumenter og valide synspunkter, der dokumenter at regeringen er ude på et skråplan og tynd is, der godt og grundigt blander det civile sammen med det militære i en stor pærevælling.
Oplever flere cyberangreb end nogensinde før
Hovedparten (90 %) af CFCS’s opgaver er civilt relateret og er rettet mod civilsamfundet og befolkningen som helhed, herunder også om alt, hvad der foregår såvel inden for som uden for landets grænser. Regeringen har via FE og CFCS gradvist og trin for trin udvidet og tiltaget sig udvidet magt og beføjelser og blander den traditionelle opgavefordeling mellem Politiets- og Forsvarets Efterretningstjeneste.
Også andre har påpeget det uhensigtsmæssige i, at CFCS varetager civile opgaver, som ikke hører hjemme i en militær efterretningstjeneste. I en artikel i Berlingske dateret onsdag d. 26. maj 2021 står der blandt andet, at Dansk erhvervsliv oplever flere cyberangreb end nogensinde før. Det stiller krav til politikere, myndigheder og virksomheder, hvor samarbejde og videndeling er afgørende. Center for Cybersikkerhed står i midten af den danske cybersikkerhedsindsats – men centrets nuværende organisering står i vejen for den brede og koordinerede indsats, der er brug for, lyder det.
Artiklen fortsætter under billedet …
I samme artikel står der endvidere, at »om kort tid starter forhandlingerne om den fremtidige strategi for cybersikkerhed i Danmark, og tiden er inde til en ny organisering af cybersikkerhedsindsatsen for at skabe et endnu bedre samarbejde mellem erhvervslivet og myndigheder, styrke videndeling samt brede indsatsen ud fra de samfundskritiske sektorer til erhvervslivet i bred forstand«.
Og der fortsættes: »Center for Cybersikkerhed er nemlig organiseret som både en efterretningstjeneste og et tilsyn. Det vil sige, at centret også fungerer som den civile tilsynsmyndighed på teleområdet – en usædvanlig kombination for den samme enhed. Det er ikke godt for samarbejdet«. Der er således et stærkt behov for en reorganisering og nytænkning af hvordan og hvilke opgaver CFCS fremover skal varetage. Det kan og må ikke fortsætte som hidtil.
Regeringen alene vide
Der er således ingen tvivl om at der er gode argumenter, der peger på et stort behov for en revision af den måde, vi i Danmark håndterer og sørger for cybersikkerhed. Den nuværende løsning er langt fra hensigtsmæssig. Alligevel fortsætter regeringen sin tromlende fremfærd med en “vi alene vide”-holdning, der hverken er til gavn for Danmark, samfundet eller befolkningen som helhed.
Også Torben Ørting Jørgensen og jeg har gang på gang gjort opmærksom på den uhensigtsmæssige måde, vi håndterer cybersikkerheden i Danmark. Vi har bl.a. i en kronik skrevet at kriminaliteten på Internettet desværre er stærkt stigende i både omfang og sofistikering og består for langt hovedpartens vedkommende af profitorienteret kriminalitet, hvor kriminelle organisationer stjæler penge, informationer, digitale identiteter, passwords, kreditkort og virksomheder afpresses via såkaldte DDoS-angreb eller ransomware, der har ramt både Maersk, Norsk Hydro og Demant og mange andre.
Der er naturligvis også aktivitet i cyberspace fra statslige aktører som Rusland, Kina, Iran og andre, som primært søger at finde sårbarheder i de nationale forsvar i forbindelse med forberedelse af væbnede konflikter eller subversive formål. Her har FE en naturlig rolle at spille, men ikke som et villigt og ukritisk redskab for NSA.
Læs også: Regeringen præsenterer nye tiltag til at imødegå “alvorlig trussel” fra cyber
Langt de fleste cyberangreb er motiveret af profit – nemlig 81 % estimeret af Verizon, som også bemærker at SMV – små og mindre store virksomheder – er udsat for 43 % af alle gennemførte sikkerhedsbrud ligesom de er de største modtagere af såkaldte ’phishing mails’ indeholdende malware.
Mange har haft en tendens til at tænke, at bl.a. netsvindel handler om, at vi selv er kommet til at kvaje os, har trykket på et link eller gjort noget forkert. Der peges fingre ad brugerne som de formastelige. Ofte af CFCS og techfirmaerne, der gerne vil tjene penge på at sælge deres produkter, der lover meget mere, end de kan holde. De store altoverskyggende problemer er dog svindel, kompromitteringer, spionage og datalæk, som retfærdighedsvist ikke kan påduttes den almindelige bruger af de mange ofte tvungne digitaliserede løsninger.
Debatten er blevet afsporet
Ved at influere den offentlige debat med historier om, at al cyberkriminalitet kan henføres til fjendtlige nationale stater, er det lykkedes at afspore debatten. Vi har misset chancen for at opbygge et nationalt, horisontalt og holistisk center, der skulle have som primær opgave at beskytte os mod den største del af cyberkriminaliteten og spionage samt koordinere den indsats, som er iværksat ved knopskydning overalt i den danske centraladministration.
I Danmark valgte man i 2012, da situationen var en ganske anden, at det overordnede ansvar for sikring af vores samfund blev lagt i hænderne på Center for Cybersikkerhed under Forsvarets Efterretningstjeneste, som generelt er kendetegnet ved lukkethed. Man har nu opbygget et gigantisk bureaukratisk set-up med en militær myndighed – Forsvarets Efterretningstjeneste – som en ‘edderkop i spindelvævet’, der samler både militær og civil information og data såvel indenfor som udenfor rigets grænser. Vel at mærke uden de sædvanlige kontrolmekanismer, love og forvaltningsregler, der er gældende for landets øvrige myndigheder.
Vi har også brug for viden og indsigt fra den civile verden, der kan gå sammen om at løse de opgaver, der kan og skal foregå i det åbne, herunder ‘Early Warning Systems’, real time-vidensdeling om igangværende angreb og igangsættelse af modforanstaltninger. Der er i den grad brug for nytænkning og reorganisering. En nytænkning, som regeringen med næb og klør kæmper imod til sidste blodsdråbe. Til skade for Danmarks sikkerhed og befolkningens berettigede krav på at blive bedre sikret i en tid, hvor cyberangreb og spionage bliver alvorligere og hyppigere dag for dag.
Regeringen fortsætter med at sætte skyklapper på og modvirke ethvert tiltag til at forbedre situationen og kan til en vis grad siges at være den stopklods, der forhindrer Danmark i at komme videre og forsvare sig bedre mod de formastelige, der dagligt tilstræber at destabilisere og undergrave vores samfund, som vi kender det.
