BLOG: Det er hverken saglige argumenter eller logik, der er styrende for debatten om Center for Cybersikkerheds placering, men simpel spekulation. Det går ud over investeringer til relevante og nødvendige anskaffelser til Forsvaret, og pengene ville være bedre brugt på 1. Brigade, skriver cybersikkerhedsekspert John Foley i dette blogindlæg.

Meldingen om, at 1. Brigade ikke bliver klar som ventet i indeværende forsvarsforlig på grund af pengemangel og teknikaliteter vedrørende betalingsafløb, modtages med stor utilfredshed såvel indenfor som udenfor Forsvarets rækker. Ikke mindst fra Nato indhøster Danmark allerede alvorlig kritik, idet vi ikke overholder de forpligtelser, som anmodet om i Natos styrkemål og krav til kapaciteter. Anskaffelser til brigaden og en række andre væsentlige og vigtige investeringer udskydes til næste forsvarsforligsperiode fordi riget fattes penge, siges der. Det kan undre at pengekassen er smækket i, men at den står på vid gab og er mere end åben, når det kommer til at finde millioner og atter millioner til et område, der retteligen burde, og sagtens kunne, varetages af andre instanser i civilt regi, hvor ekspertisen og ressourcerne findes i forvejen.

I 2011 blev Forsvaret i forbindelse med regeringsskiftet pålagt den civile opgave at føre tilsyn og gennemføre overvågning med den civile kommunikationsinfrastruktur, herunder at føre kontrol med teleselskabernes overholdelse af regler og love. En opgave, som indtil da blev varetaget af Videnskabsministeriets IT- og Telestyrelse (ministeriet har siden skiftet navn til Uddannelses- og Forskningsministeriet, red.).

Hvorfor IT- og Telestyrelsen blev nedlagt, fik vi aldrig en forklaring på. Det ligger hen i det uvisse, men skyldes nok, at Forsvarets Efterretningstjeneste og IT-og Telestyrelsen var meget uenige om det hensigtsmæssige i at sælge TDC’s mobilnet, og dermed Danmarks største leverandør af kredsløb og infrastruktur, til det kinesiske selskab Huawei. Beslutningen var oppe på allerhøjeste politiske niveau i Regeringens Sikkerhedsudvalg med statsministeren for bordenden. Sølle mammon vandt, og TDC indkasserede 4 milliarder kroner i den sammenhæng – til stor skade for Danmarks sikkerhed og overlevelsesevne i en krise eller krigssituation. En beslutning som mange politikere sidenhen offentligt har fortrudt, blandt andre Mogens Lykketoft (S).

De mere end 200 ansatte i IT- og Telestyrelsen blev spredt for alle vinde og ansat i andre styrelser, hvorfra mange senere blev fyret. Dog ikke de cirka 20 personer, der arbejdede i Sikkerhedskontoret og varetog førnævnte opgaver samt Computer Emergency Response Team-funktionen (CERT), som primært skulle opdage og opklare, om der var noget unormalt og atypisk i gang på internettet og i andre vitale netværk.

Opgaver kan løses af civil instans

Kampen om hvilken ministerium og instans der skulle varetage den del af IT- og Telestyrelsens opgaver, der blev varetaget af de nævnte 20 personer, blev primært en kamp mellem Justitsministeriet og Forsvarsministeriet. Dengang var Lars Findsen departementschef i Forsvarsministeriet og Thomas Ahrenkiel chef for Forsvarets Efterretningstjeneste. Senere byttede de plads. Lars Findsen, der tidligere var ansat i Justitsministeriet, og Thomas Ahrenkiel, der kom fra Udenrigsministeriet, kæmpede hårdt for at få opgaven til Forsvarsministeriet, og Justitsministeriet tabte. Opbygningen – og udbygningen – af deres imperium kunne begynde. I 2011 var der 20 mand på opgaven, i dag er der mere end 250, primært civile, og ansættelserne fortsætter i et hæsblæsende tempo, der koster kassen i milliardklassen. Cybersikkerhed er trylle- og nøgleordet der åbner alle døre og pengekasser, uden småligt hensyn til Forsvarets behov og øvrige opgaver.

Forsvaret varetager som bekendt allerede en række civile opgaver, men det skyldes for det meste, at andre instanser ikke er i stand til det og ikke har de nødvendige kompetencer eller kapaciteter til rådighed. Her tænkes især på opgaverne i forbindelse med søredning, fiskerikontrol og politimæssige opgaver til lands, til vands og i luften, som politiet ikke selv kan udføre.

De civile opgaver, der nu varetages af Forsvaret, herunder FE og Center for Cybersikkerhed, kunne uden problemer (og også bedre) varetages af en civil instans. Undtagen de opgaver, der naturligt falder ind under det, der benævnes Computer Network Operations (CNO). CNO indbefatter en offensiv og defensiv samt spionagemæssig del. CNO hører logisk til under Forsvaret, herunder FE og CFCS. Alt det øvrige gør ikke. Det skrev jeg i en CNO-rapport og et notat til Forsvarsministeriet allerede i 2007, da jeg sad i Forsvarskommandoens Planlægnings- og Udviklingsstab med ansvaret for sagsbehandling m.m. vedrørende strategiske kommunikations- og informationssystemer (Command and Control Communications), både nationalt og i Nato-regi.

Danmark overhalet af Kasakhstan i cybersikkerhed

Danmark er netop udråbt til at være europamester og noget nær verdensmester i digitalisering i henhold til EuroStatistic, der fortæller at Danmark indtager en fornem førsteplads, når det kommer til digitalisering i Europa. Hurra og jubi, frem med dannebrogsflagene. Men medaljen har desværre en mørk bagside, idet vi i samme åndedrag må konstatere, at Danmark aktuelt ligger på en kedelig 32. plads, hvad angår cybersikkerhed. Cybersikkerhedsmæssigt ligger vi lige nu bag et land som Kasakhstan, jf. Global Cybersecurity Index, udarbejdet af The International Telecommunication Union (ITU). Så FE’s og CFCS’s evne til overordnet at beskytte Danmark og dets samfundsvigtige kritiske infrastruktur og dets befolkning må siges at være en fiasko. Seneste aktuelle eksempel er cyberangrebet på Vestas. Andre tidligere eksempler er angrebene på Mærsk og Demant med flere.

Ligeledes er der i forbindelse med Covid-19 rapporteret om alvorlige hackerangreb på både amerikanske, engelske og tyske sygehuse, hvor netværk og adgang til data og helbredsoplysninger blev gjort utilgængeligt for sygehuspersonalet, indtil banditterne fik overført løsesum via bitcoin-konti, der ikke kan spores. Turen er også kommet  til Danmark, og vi er ikke klar. Skræmmende eksempler er der desværre nok af, og det bliver kun værre, til trods for de mange penge og ressourcer samt modforanstaltninger, der benyttes fra myndighedernes – især FE’s og CFCS’ – side. Penge og kræfter, der er spildte, fordi man ikke vil benytte civile løsninger, der beviseligt virker, og som kan forbedre samfundets, befolkningens og den enkelte borgers sikkerhed.

Kriminaliteten på internettet er desværre stærkt stigende i både omfang og sofistikering og består for langt hovedpartens vedkommende af profitorienteret kriminalitet, hvor kriminelle organisationer stjæler penge, informationer, digitale identiteter, passwords og kreditkort, og virksomheder afpresses via såkaldte DDoS-angreb eller ransomware. Der er naturligvis også aktivitet i cyberspace fra statslige aktører som Rusland, Kina, Nordkorea, Iran og andre, som primært søger at finde sårbarheder i de nationale forsvar i forbindelse med forberedelse til væbnede konflikter eller subversive formål.

Men langt de fleste cyber angreb er motiveret af profit. Televirksomheden Verizon anslår, at der er tale om 88,5 pct. og bemærker, at SMV’erne – de små og mellemstore virksomheder – er udsat for 43 pct. af alle gennemførte sikkerhedsbrud, ligesom de er de hyppigste modtagere af såkaldte ‘phishingmails’ indeholdende malware.

Penge kunne være tilgået ny brigade

Det ses ikke at være Forsvarets, FE’s eller CFCS’ opgave at bekæmpe de cyberkriminelle, der for det meste er ude efter penge eller oplysninger, der bruges til at lokke penge ud af enkeltpersoner og virksomheder. Det skal andre tage sig af. Ganske lidt har med alvorlige cyberangreb, der truer landets eksistens, at gøre. Hovedparten vedrører cyberkriminalitet, som i lang større grad berører den enkelte borger og samfundet som helhed. Forsvarsudvalget har desværre alligevel netop tildelt FE og CFCS en ekstrabevilling på yderligere 500 millioner kroner fra forsvarsforligspengene, udover de øvrige mange milliarder til cyberområdet. Så penge er der nok af – bare ikke til de anskaffelser, som Nato efterspørger, og som 1. brigade har så hårdt brug for.

Selvom FE og CFCS i princippet og oprindeligt var tiltænkt og rettet mod udenlandske fjender, har de ved lov fået mulighed for at spionere på alt og alle i Danmark og i udlandet via deres systemer. Skulle de eventurelt mangle yderligere informationer, kan de henvende sig til vores allierede, for eksempel NSA i USA. De fleste husker nok sagen om den tyske kansler Angela Merkel, der blev overvåget og spioneret mod af sine venner og allierede i USA. I Danmark har Tilsynet med Efterretningstjenesterne for nylig afsløret, at FE ikke har rent mel i posen, når regler og bestemmelser skal efterleves. Den sag kører i skrivende stund, hvilket vi nok kommer til at høre mere om senere. Også fra min pen.

Via bl.a. FE’s og CFCS’ sensornetværk og netsikkerhedstjenestens informationssystemer, som alle danske myndigheder og en række private virksomheder ved lov er forpligtet til at være en del af, kan FE og CFCS granske i og undersøge al elektronisk kommunikation – herunder også hvad de involverede instanser og personer har foretaget sig – og gendanne data og oplysninger, de måtte ligge inde med. Det er ikke Forsvarets eller militærets opgave. Der må og skal findes andre løsninger.

Lige siden oprettelsen af Center for Cybersikkerhed i 2012 har der været stor debat om det hensigtsmæssige i placeringen af centeret under FE og Forsvarsministeriet. En væsentlig årsag til at lade det forblive, som det er, skyldes et gustent overlæg med at puste forsvarsbudgettet kunstigt op, så det pynter på vores bidrag til Nato, der ligger langt under de to pct. af bnp, som Danmark har givet tilsagn om at ville bidrage med. Så det er ikke saglige argumenter eller logik, der er styrende for debatten om placeringen, men simpel spekulation, der går ud over investeringer til mere relevante og nødvendige anskaffelser til Forsvaret, herunder til 1. Brigade.

Det har viceadmiral (P) Torben Ørting Jørgensen og jeg skrevet om i en kronik publiceret den 14. februar 2021 i net mediet Version2 med titlen ”Passes der godt nok på Danmark?”. Ligesom dengang mener vi fortsat, at det gør der ikke. Og vi har tilmed anvist løsninger på, hvordan det kan gøres bedre, så Forvaret slipper for de opgaver og udgifter, der ikke naturligt hører til hos dem, og som civile instanser med stor sikkerhed og garanti kan gøre det meget bedre. Endvidere har Troels Ørting Jørgensen, cybersikkerhedschef for World Economic Forum, på Infosecurity 2021 givet et oplæg og foredrag, hvor han fortæller om behovet for nytænkning af hvordan og hvorfor Danmark bør sikrer samfundet og befolkningen i cyberspace bedre end hidtil.

20210224 John Floey byline
John Foley har en fortid som IT-, informations-, cyber- og sikkerhedsekspert i Forsvaret og var bl.a. med i etableringen af Center For Cybersikkerhed under FE i 2011. Foto: Ernstved
guest
0 Kommentarer
Inline Feedback
Læs alle kommentarer