KOMMENTAR: Forsvarsministeriets og samtlige underliggende styrelser blev torsdag udsat for et såkaldt DDoS-angreb, der lagde alle hjemmesider ned. Først efter flere pressehenvendelser kom kommunikationsafdelingerne i sving og orienterede offentligheden. Det er langt fra første gang, man reagerer på bagkant, og det er bekymrende.
Forsvarsministeriet, Forsvaret og en række andre myndigheder under ministeriets ressortområde blev torsdag ramt af et såkaldt DDoS-angreb (Distributed Denial of Service, red.), som sendte stribevis af centrale hjemmesider offline i flere timer. DDoS-angreb er en simpel og hyppigt brugt type af cyberangreb, som alle fra fjendtlige magter til kedsomhedsramte teenagere med tilstrækkelige ressourcer kan benytte sig af til at sætte servere og hjemmesider ud af spillet ved at overbebyrde dem med forespørgsler.
Selvom det er bemærkelsesværdigt, at stort set samtlige hjemmesider på Forsvarsministeriets koncernområde går offline på en og samme tid, er det lige så værd at hæfte sig ved de berørte myndigheders langsommelige kommunikation om hændelsen.
Tre timer skulle der gå, før de it-ansvarlige i Forsvarsministeriets Materiel- og Indkøbsstyrelse (FMI) kom på banen med en forklaring, som, i parentes bemærket, indledningsvis var forkert. Da havde DR’s tech-korrespondent, Henrik Moltke, for længst tweetet om sagen, og hans kolleger i DR Nyheder havde sågar nået at udgive en artikel på baggrund af hændelsen. Siden fulgte den øvrige dagspresse efter.
Det var altså pressens nysgerrighed, der afstedkom, at FMI leverede den forklaring, at man havde mistanke om en systemfejl, som man søgte at udbedre. ”Systemfejlen” viste sig senere at være føromtalte DDoS-angreb, men denne misforståelse er ikke nær så bekymrende som den lange reaktionstid på kommunikationsfronten.
Planlagt service blev ikke meldt ud
Det er ikke første gang, at man i Forsvaret og ministeriet sidder på hænderne i forbindelse med den eksterne kommunikation. Det er end ikke første gang, at man gør det i forbindelse med sine hjemmesider. 15. september i år – i øvrigt blot to dage efter et større hackerangreb, der lagde Hjemmeværnets side ned i adskillige døgn – var samtlige hjemmesider på Forsvarsministeriets ressort også offline i en længere periode.
Heller ikke i den forbindelse kommunikerede Forsvaret, ministeriet eller andre med kendskab til baggrunden, med offentligheden, som derfor alene kunne spekulere i årsagssammenhængene. For både mit eget og velsagtens en del andres vedkommende var tanken om netop et cyberangreb nærliggende. Jeg skrev et kort tweet, hvor jeg bemærkede, at alt var nede, og først derefter kom der skred i kommunikationen.
Artiklen fortsætter under billedet …
Forsvarsministeriets koncerns hjemmesider, herunder https://t.co/pj96CN7CDB, er i øjeblikket nede på grund af planlagt service. #dkforsvar https://t.co/6HYJKAA2LA
— Forsvaret (@forsvaretdk) September 15, 2022
Det viste sig – sådan lyder den officielle forklaring i al fald – at nedetiden i september måned skyldtes planlangt service. En service, der øjensynligt var meldt ud internt på forhånd, men altså ikke ud af huset, hvor brugerne af eksterne websites jo ellers gerne sidder. Det kan undre, at man ikke prioriterer at kvæle eventuelle spekulationer ved fødslen og benytter sociale medier til at orientere om forestående nedetid på sine hyppigst brugte kommunikationskanaler. Især, selvfølgelig, i en tid, hvor vi stedse taler om risikoen fra cyberangreb fra både private og statslige aktører fra Rusland til Kina.
Særligt bekymrende bliver passiviteten, når der ikke udgår nogen informationer fra det organ, som har til formål at lære os andre om cybersikkerhed. Forsvarets Efterretningstjeneste – herunder altså også Center for Cybersikkerhed – har i begge ovenstående tilfælde været nede, uden at det har givet anledning til noget øget informationsniveau fra den kant heller.
Reagerede sent på unuanceret debat om luftværn
De to episoder med hjemmesiderne illustrerer, at Forsvaret ikke prioriterer at være proaktive i sin kommunikation. I begge tilfælde har man af uransagelige årsager ventet på, at andre bemærkede, at noget var galt. I forhold til torsdagens DDoS-angreb giver det for så vidt mening, at man finder hoved og hale i, hvad der foregår, før man melder noget ud, men i så tilfælde kan man som minimum at anerkende problemets eksistens, før journalister eller andre kommer én i forkøbet.
Hvad angår septembers tekniske vedligeholdelse, er det sværere at finde ræson i den valgte tilgang. For når man ved, at alle Forsvarsministeriets hjemmesider skal være nede i flere timer, kan man så ikke med fordel informere sine brugere om det?
Episoderne omkring ministeriets og styrelsernes hjemmesider er desværre ikke enlige svaler. Tidligere har Forsvarsministeriet fået kritik for ikke at være åbne om dets ansættelser uden opslag, og for nylig fortalte TV 2 så historien om 1. Brigades luftværn, som muligvis ikke får den high velocity-kanon til nedskydning af droner, som nogle iagttagere og kommende brugere havde håbet på. Forargelsen var stor, og det skortede ikke på kritik af Forsvarskommandoen, FMI og andre involverede i processen, som ifølge kritiske røster øjensynligt er godt i gang med at gøre i nælderne.
Meget tyder på, at sagen om luftværnet – ganske som førnævnte ansættelsespraksis – er mere nuanceret end som så. For eksempel er det værd at notere sig, at et luftværn består af andet og mere end lige den kanon, der har til formål at nedskyde luftmål på kort afstand. Droner kan således uskadeliggøres af andre systemkomponenter – lasere, jamming, missiler – før de kommer på rækkevidde af soldaterne på jorden, hvilket var fuldstændig fraværende i diskussionen om high velocity- vs. low velocity-kanoner.
En proaktiv kommunikation kommer alle til gode
For få dage siden redegjorde chef for Forsvarsstaben generalløjtnant Kenneth Pedersen så for disse kendsgerninger i flere danske medier. Udover de manglende nuancer i forhold til delkomponenterne i et moderne luftværnssystem baserede historien sig alene på et arbejdsdokument og ikke nogen endelig beslutning om at købe en ringere kanon, lød det fra Kenneth Pedersen, som qua sit virke som chef for Forsvarsstaben også er viceforsvarschef.
Da havde toget imidlertid allerede forladt perronen, og billedet af en forsvarsledelse i fuld sving med at diktere et nyt fejlkøb havde manifesteret sig i medier, blandt kommentatorer og i den brede offentlighed. Kenneth Pedersens medieoptrædender havde således karakter af damage control. Sådan havde det ikke behøvet at være. At det alligevel blev tilfældet, er en logisk konsekvens af konstant at reagere på bagkant af, hvad der diskuteres i pressen.
Man må som iagttager spørge sig selv, hvad Forsvarets og ministeriets kommunikationsstrategi i det hele taget går ud på. Lige nu virker den eksterne kommunikation på tværs af ressortområdet til at foregå ud fra devisen “lad os se, om ikke det går i sig selv”. Den tilgang kan man med fordel tage et snarligt opgør med. Ved at komme frem i bussen og være proaktiv, kan Forsvarets ledelse og dens kommunikationsfolk dels fremstå mere åbne, hvilket vil gavne den bredere samfundsdebat om Forsvaret, og dels kan man komme møgsager af varierende alvorsgrad i forkøbet og havde medindflydelse på narrativet om Forsvaret.
En udadvendt og proaktiv kommunikationsstrategi – herunder måske ligefrem en hurtigere og mere strømlinet pressebetjening – vil både komme offentligheden, men i særdeleshed også Forsvaret selv, til gode. Herfra skal lyde en kraftig opfordring til at lægge kursen om (hvis der altså er én).
Vil du læse mere?
Abonnér på OLFI - Ingen binding, bare god journalistik.
Klik HER for at komme igang.
Det er jo desværre resultatet af den lukkethed og tavshedskultur der er så indgroet i Forsvaret i dag, særligt i de højere lag.
Årsagen til at den kultur er opstået er til gengæld politisk, det er ikke nogen hemmelighed at der ligges politisk pres på Forsvarets ledelse og dets repræsentanter for at holde deres kæft!.
Man er nemlig ikke interesseret i at den almindelige borger skal få indblik i Forsvarets egentlige tilstand, og dermed kunne finde på at stille kritiske spørgsmål til politikernes beslutninger på området.
Da der desværre er bred politisk opbakning bag den lukkethed, er der ca 0% chance for at der bliver åbnet op inden for en overskuelig fremtid.
Beskæmmende og kritisabelt, at Center for Cybersikkerhed (CFCS) under FE og Forsvarsministeriet, der er ansvarlig for beskyttelse af Danmarks informationsteknologiske kritiske infrastruktur, igen-igen har svigtet og samtidig ikke oplyst sagens rette sammehæng. Som strudsen gemmer CFCS sig i håbet om at sagen går væk. Lukkethedskulturen er udbredt.
CFCS får årligt rigtigt mange skatteborgerpenge, men leverer ikke varen. På tide at cybersikkeheden i Danmark nytænkes, herunder omorganiseres og struktureres på en bedre måde. Den nuværende løsning har spillet fallit.
Det gør vi i IDA Militærteknik nu noget ved, bl.a som opfølgning på vores heldagskonference om cybersikkerhed i IDA Kongressal, den 10. november 2022.
I seks udsendelser i det nye år, startende onsdag den 11, januar, kl. 10-11, sender vi direkte fra IDA´s TV studie, live, hvor der tages fat om hele problematikken, som også beskrevet i OLFI med særlig vægt på den katastofale og manglende cyberikkerhed, der råder i Danmark.