Topmøde

Kampen mod cyberkriminalitet kræver en afmilitarisering af internettet

Debatindlæg

Debatindlægget er udtryk for skribentens egne holdninger.

DEBAT: Bekæmpelse af cyberkriminalitet bør ikke varetages af FE og det militære etablissement, men gennem en langt bredere og mere samfundsforankret indsats, hvor der trækkes på civile kompetencer, mener cybersikkerhedsekspert John Foley. Han agiterer i dette indlæg for, at Danmark lader sig inspirere at velfungerende civile løsninger i udlandet.

Den 30. september deltog jeg i Infosecurity 2021 i Øksnehallen, hvor Troels Ørting Jørgensen gav en fremragende keynote om behovet for at gentænke måden hvorpå cybersikkerhed organiseres i Danmark. Et meget aktuelt og relevant oplæg, ikke mindst set i lyset af, at Forsvarsudvalget har godkendt, at der udover de i forvejen mange millioner, Forsvaret i forvejen bruger på området, en bevilling på yderligere 500 millioner kroner til cybersikkerhed i regi af Forsvarets Efterretningstjeneste (FE) og Center for Cybersikkerhed (CFCS). I forbindelse med bevillingen er det besluttet at undersøge, om opgaven med cybersikkerhed med fordel kunne ligge et andet sted, f.eks. ved en civil instans.

Oplæggets overskrift var ”Quo Vadis Cyber: Skal internettet yderligere militariseres eller er der behov for en mere transparent og civil håndtering af den generelle cybersikkerhed?”. Det var musik i mine ører, idet emnet har interesseret mig og været på min dagsorden igennem nu snart mange år.

Det skal bemærkes, at Troels Ørting Jørgensen ikke er en hr. hvem som helst, men en særdeles erfaren person, der med en baggrund i politiet blev den første cybersikkerhedschef i Europols nyoprettede NC3-enhed og sidenhen har bestridt en række stillinger, der kræver stort indsigt og viden om cybersikkerhed, sidst, men ikke mindst, i forbindelse med opgaven som cybersikkerhedschef for World Economic Forum. Troels Ørting kom langt omkring og havde mange gode pointer. Den vigtigste var konstateringen af, at hovedparten af de trusler og angreb, der finder sted kan henføres til økonomisk kriminalitet, der udgør mere end 90 pct. af problemerne i cyberspace. De øvrige små ti pct. henhører under spionage og andre alvorlige hændelser rettet mod statens sikkerhed og den samfundskritiske infrastruktur.

Gigantiske tab for civile virksomheder

Troels Ørting Jørgensen konkluderede derfor, at bekæmpelse af de cyberkriminelle ikke bør varetages af FE og det militære etablissement. I stedet for bør ansvaret ligge ved en civil myndighed, i bedste fald i Statsministeriet, der kan samle trådene og fordele viden m.m. mellem alle de forskellige aktører, der har aktier i bekæmpelsen, herunder ministerier og styrelser samt private virksomheder og andre offentlige institutioner.

Det, synes jeg, giver rigtig god mening, ikke mindst fordi kriminaliteten på Internettet er stærkt stigende i både omfang og sofistikering og for langt hovedpartens vedkommende består af profitorienteret kriminalitet, hvor kriminelle organisationer stjæler penge, informationer, digitale identiteter, passwords, kreditkort, og virksomheder afpresses via såkaldte DDoS-angreb eller ransomware.

2020 og 2021 har været gyldne år for ransomware, som udvikler sig hastigt – ikke bare hvad angår selve malwaren, men også den organiserede kriminelle aktivitet bag ransomwareangreb. Store danske virksomheder som Mærsk og Demant har været ramt af ransomwareangreb og oplevet tab på flere hundrede millioner kroner. Ransomwareangreb er en væsentlig del af trusselslandskabet over hele verden og i alle sektorer – også i Danmark, hvor grupper som DobbelPaymer og ”SPIDER”-grupperne med ransom- og malware som fx EMOTET og RYUK, er de mest aktive. Dette sker ofte gennem phishing eller sårbarheder som fx den relativt nye Exchange Server-sårbarhed kaldet HAFNIUM.

Det vurderes, at de kriminelle bag ransomwareangrebene tjente mindst 2,2 mia. kr., mens omkostningerne for virksomhederne beløb sig til 125.000 mia. kroner(!) i form af datatab, nedetid, it-omkostninger mv. Analysevirksomheden Gartner vurderer, at 75 pct. af alle organisationer i 2025 vil opleve et eller flere ransomwareangreb, og der observeres en 700 pct. stigning i antallet af angreb. Derfor er det bydende nødvendigt og på høje tid, at der iværksættes en bedre sikring af Danmark og dets befolkning end hidtil. Den nuværende måde at løse opgaven på har spillet fallit.

Afsporer debatten om cybersikkerhed

Der er naturligvis også aktivitet i cyberspace fra statslige aktører som Rusland, Kina, Iran og andre, der primært søger at finde sårbarheder i de nationale forsvar i forbindelse med forberedelse til væbnede konflikter eller subversive formål. Hvor de kriminelle har alle offentlige eller private virksomheder eller privatpersoner som mål, har nationalstater interesse i en mindre del af denne målgruppe – nemlig den, som kan karakteriseres som kritisk national infrastruktur.

Den offentlige debat har været præget af, at man har italesat, at FE’s Center for Cybersikkerhed (CFCS) er det nationale center, som hjælper alle danske private og offentlige virksomheder mod kriminalitet i cyberspace. Efter denne debat og forskellige nye lovinitiativer fremstår CFCS som den danske autoritet på cyberområdet, og medarbejdere fra centret optræder i forskellige sammenhænge og på konferencer, hvor de udlægger teksten som dem med det nationale cyberansvar. Men det er et falsum!

Ved at influere den offentlige debat med historier om, at al cyberkriminalitet kan henføres til fjendtlige nationale stater, er det lykkedes at afspore debatten, og vi har misset chancen for at opbygge et nationalt, horisontalt og holistisk center, der skulle have til opgave primært at beskytte os mod den største del af cyber kriminaliteten samt koordinere den indsats, som er iværksat ved knopskydning overalt i den danske centraladministration.

Dette er kernen i problematikken og også årsagen til at Troels Ørting Jørgensen nu efterspørger og anbefaler andre løsninger, der kan sikre Danmark og dets befolkning bedre mod de cyberkriminelle.

Nødvendigt med større inddragelse

I Danmark valgte man i 2012, da situationen var en ganske anden, at det overordnede ansvar for sikring af vores samfund blev lagt i hænderne på Center for Cybersikkerhed under Forsvarets Efterretningstjeneste, som generelt er kendetegnet ved lukkethed. Man har nu opbygget et gigantisk bureaukratisk set-up med en militær myndighed – Forsvarets Efterretningstjeneste – som en ‘edderkop i spindelvævet’, der samler både militær og civil information og data såvel indenfor som udenfor rigets grænser. Vel at mærke uden de sædvanlige mekanismer, love og forvaltningsregler, der er gældende for landets øvrige myndigheder.

Ved at placere opgaven under en efterretningstjeneste har man samtidigt begrænset muligheden for transparens og demokratisk kontrol over et område, der i den grad fortjener offentlighed. Det ligger ikke i efterretningstjenesters DNA at være åbne. Sådan er det bare, og sådan må det nødvendigvis være. Det giver for så vidt god mening, at vi har en efterretningstjeneste, der arbejder i det skjulte, men vi har også brug for viden og indsigt fra den civile verden, der kan gå sammen om at løse de opgaver, der kan og skal foregå i det åbne, herunder early warning, real time vidensdeling om igangværende angreb og igangsættelse af modforanstaltninger.

Ganske lidt har med alvorlige cyberangreb, der truer landets eksistens, at gøre, mens hovedparten som nævnt vedrører cyberkriminalitet, som i lang større grad berører den enkelte borger og samfundet som helhed. Derfor er der, som Troels Ørting Jørgensen påpeger, brug for andre løsninger end de foreliggende, der muliggør, at befolkningen kan føle sig tryg og inddrages i kampen mod de kræfter, der vil os det ondt. Inddragelse af alle grene af samfundet er nødvendig, fordi hovedparten af angrebene er rettet mod den enkelte borger og de systemer og databaser, som deres personfølsomme oplysninger ligger (tvangs)oplagret i.

Dagligt kan man læse om de mange sikkerhedsbrister, -læk og -fejl, som befolkningen, virksomheder og institutioner udsættes for. Og det bliver dag for dag kun værre. Angreb, som dag for dag er med til at undergrave befolkningens tillid. I værste fald kan de betyde en undergravning af tilliden til vores myndigheder og institutioner og dermed nedsætte vores overlevelsesevne og ultimativt true, destabilisere og afskaffe demokratiet, som vi kender det.

Israelsk succes med civil forankring

Den største udfordring er fraværet af en samlende og koordinerende instans, der kan bringe alle relevante aktører til at arbejde sammen, ligesom en dirigent, der evner at få et stort orkester til at spille harmonisk sammen. Den opgave kan og skal ikke løftes eller varetages af hverken FE eller CFCS. Der skal helt anderledes boller på suppen.

Danmark bør, efter Troels Ørting Jørgensens mening – hvilket jeg er enig med ham i – lade sig inspirere af udlandet. Imødegåelsen af cyberkriminaliteten forudsætter en langt bredere og samfundsforankret indsats og kompetencer, end det, Center for Cybersikkerhed kan præstere og ønsker at bidrage til. Her kunne man med fordel inddrage de erfaringer, der blandt andet er høstet i Israel og andre lande.

Det israelske cyberforsvar startede også under efterretningstjenesten, men i erkendelse af, at det ikke var den rette placering, blev det samlede ansvar overdraget til en nyoprettet civil myndighed placeret direkte under den israelske statsministers kontor. Den civile myndighed hedder: National Cyber Directorate og er en del af Prime Ministers Office.

Myndigheden har formået at samle alle gode kræfter under én hat, så både civile og militære trækker på samme hammel. Og det virker. De arbejder tæt sammen med både politi og den interne og eksterne efterretningstjeneste, private virksomheder og andre specialister og har et civilt fokus, som skal øge det israelske samfunds modstandskraft overfor internetbaseret kriminalitet, øge awareness, vidensdele og stimulere forskning, innovation og uddannelse.

John Foley har en fortid som IT-, informations-, cyber- og sikkerhedsekspert i Forsvaret og var bl.a. med i etableringen af Center For Cybersikkerhed under FE i 2011. Foto: Ernstved

Andre læste også

OLFI opdaterer til version 2.0 med et ansigtsløft og nye funktioner

Efter mere end otte år med det samme website går OLFI fremtiden i møde med en længe ventet version 2.0. Den byder på et mere tidssvarende udseende og nye funktioner. Vi håber, at I vil synes om forandringerne! Det har været min dårlige samvittighed. Alt for længe er jeg blevet...

Kommentér artiklen ...