Sikkerhedsfolk: Danmark åben for cyber-angreb
Hvis Danmark bliver angrebet af fjendtlige kræfter i cyberspace, er det i dag op til en gruppe hjælpsomme internetudbydere at sikre forsvaret.
Et grelt eksempel på et cyberangreb fandt sted i Estland i 2007, da hackere angreb landets it-infrastruktur. Den primære internetudbyder, offentlige hjemmesider og netbankerne blev ramt og lagt ned fordi landet stod uden egentlig it-beredskab. Og mens cyberkrigen buldrede, rasede folk i gaderne med brosten.
»Estland er et godt eksempel. Jeg er sikker på, at de ærgrer sig over, at de ikke havde et beredskab,« siger konsulent Peter Kruse fra it-sikkerhedsfirmaet CSIS Security Group.
Danmark står i dag i en lignende situation uden etableret it-beredskab, der har ressourcer og kompetencer til at skride ind i en konfliktsituation.
»Alt er muligt, hvis der er tilstrækkelig kraft og motivation bag angrebet. Har man den fornødne tid, resurser og viden, så kan man forberede et lammende angreb på it-infrastrukteren: ISP'er, elværker, skattesystemer, nyhedsmedier og hele molevitten,« fortsætter han.
Det, der kunne forhindre en lignende situation i Danmark, er en myndighed, som ikke eksisterer. Eksperter har længe anbefalet en såkaldt GovCERT (Government Computer Emergency Response Team), der fra centralt hold kan varsle og dæmme op for trusler mod it-infrastrukturen, og flere kilder peger over for Ingeniøren på, at behovet kun bliver større, efterhånden som digitaliseringen af samfundet skrider frem.
Frivillig indsats
Det tætteste, Danmark kommer på en GovCERT, er Undervisningsministeriets enhed DK-CERT, der hører under UNI-C. Men DK-CERT har ingen muligheder for at beordre nødvendige modtræk. Alt foregår på frivillig basis.
Dertil kommer, at alle de store internetudbydere er med i det danske ISP-sikkerhedsforum, hvor også DK-CERT sidder med. Opstår der et problem, der kræver hjælp fra internetudbyderne, er hjælpsomheden stor. For eksempel ved at spærre for bestemte IP-adresser , som det senest skete, da 8.000 danske netbankkunder blev angrebet i slutningen af januar i år.
I den slags situationer er reaktionstiden kritisk, hvilket allerede blev fastslået af It- og Telestyrelsen i en rapport fra juni 2007:
»I en varslingssituation tæller hvert sekund. Det er derfor essentielt, at der er tale om en central løsning, der kan stå for den overordnede indsamling og koordinering samt udsendelse af varsler på effektiv vis, frem for forskellige lokalt forankrede varslingscentre,« som det hed i rapporten.
Videnskabsminister Helge Sander mener tilsyneladende ikke, at en decentral løsning har konsekvenser for Danmarks samlede it-beredskab:
»Det forhold, at der ikke er oprettet en GovCERT i Danmark, betyder ikke, at Danmark er uden beredskab. I dag har vi blandt andet DK-CERT, som overvåger it-sikkerheden på forskningsområdet, og på Forsvarsministeriets område er der taget beslutning om at etablere en varslingstjeneste for det militære område,« svarer Helge Sander på et paragraf 20-spørgsmål om den manglende GovCert-myndighed.
Version2 har dog for nylig afdækket, at den omtalte varslingstjeneste på det militære område ikke kan kaldes en CERT-funktion, og som sagt har DK-CERT ingen myndighed til at gribe ind.
Ifølge den omtalte rapport fra It- og Telestyrelsen hastede det allerede i 2007 med at få oprettet en central myndighed for varsling og koordinering af indsatsen mod et cyberangreb, og rapporten anbefalede et implementeringsprojekt ? der dog aldrig er blevet til noget.
Kan tænke fremad
Juridisk direktør i Telia, Jens Ottosen-Støtt kan sagtens se fidusen i en GovCERT:
»Alle ansvarlige teleselskaber har tænkt over konsekvenserne af et muligt cyberangreb. Vi kan konstatere, at mange andre lande har en GovCERT, og at det virker hos dem. Vores samarbejde i ISP-forum har karakter af nu-og-her, mens en GovCERT kunne kigge fremad, så det ville bestemt være en styrkelse af beredskabet,« siger han.
Videnskabsminister Helge Sander vil først kommentere indholdet af artiklen over for Version2, når han har besvaret et spørgsmål om GovCERT-funktionen i Folketingets udvalg for videnskab og teknologi.
Kommentarer (8)
Heller ikke i andre IT-spørgsmål. Er han virkelig den bedste mand på posten?
-
0 -
0
Er han virkelig den bedste mand på posten?
Nej han er nok noget nær den ringeste overhovedet - at han sidder på posten har intet med viden og kompetance at gøre, men udelukkende det politiske spil hvor taburetter fordeles ud fra et tjenesteprincip.
Det eneste der vist interesserer ham er fodbold.
Og så kommer man til at tænke på Rocky fra Chicken Run hvergang man ser et billede af manden.
/Christian
-
0
-
0
Okay, det lyder som en god idé men hvad så hvis en botnet-bagmand (ja det kalder medierne disse) angreb alle de større ISP'er altså DDoS'ede dem med en styrke på Storm / Nuwar? Eller dem som er endnu større? Så er det svært at finde et forsvar.
Vi kan selvfølgelig gøre ligesom USA og have 3-X forskellige former for "juridiske afdelinger", herunder CIA, FBI, NSA, og så videre.. Men hvor meget politi er det vi skal have? Loven om at politiet i EU godt må "hacke" (hvis de overhovedet kan finde ud af det) individer hvis de har mistanke om terror eller lignende er jo noget af en bigbrother-lov.
Fra mit synspunkt handler det mere om at sikre infrastrukturen på den rigtige måde og bare have kompetente folk ansat til ikke kun at opretholde driften, men også at checke og følge op på sikkerheden løbende! Kort sagt: Sikkerhedsvurderinger og Penetrerings Tests. På engelsk lyder det nok mere familiært: Vulnerability Assesments and Penetration Tests / Testing.
I NIST SP800-42 er det jo anbefalet af man foretager en sikkerhedsvurdering omkring hver måned, og en penetrerings test hver 3 måned skulle jeg mene. Det kan dog også godt fungere med større mellemrum men det kommer også an på hvor sikker man vil være, fordi hvis man ikke checker sin sikkerhed vha. en ekstern kilde (f.eks. Nessus, en BackTrack cd og så en person der ved hvad han laver) kan det være svært at se hvor der kan være huller i sikkerheden.
~ XxXx #
-
0
-
0
Lad os i stedet kigge på trusselsbilledet.
Hvis der er nogle, der ønsker et storstilet cyberangreb, så hjælper hverken politik, eller 'hensigtserklæringer' fra ministeren.
Et cyberangreb behøver ikke nødvendigvis at implicerere identiteten af parterne.
Comes to my mind.....
Cyberattack mod estland, hvor man var sikker på, at det var svenske 'zombier', der stod bag..
-
0
-
0
Jo, men det er da en god idé lige at sætte sig lidt ins i de forskellige muligheder for udfald? Og så måske prøve at finde ud af, hvad man skal gøre i tilfælde af angreb?
Man kan da ikke bare "se tiden an" og så håbe på at kunne redde den ved at improvisere?
Det er ikke kun her. Jeg er også i tvivl om, hvad de vil på andre områder indenfor IT. Tilgængelighed f.eks. hvor andre lande er foran os, allerede har indført egentlig lovgivning og stillet krav om tilgængelighed, sat minimumsstandarder for det osv.
-
0
-
0
==
»Estland er et godt eksempel. Jeg er sikker på, at de ærgrer sig over, at de ikke havde et beredskab,« siger konsulent Peter Kruse fra it-sikkerhedsfirmaet CSIS Security Group.
==
i Estland klarede ISP'erne og deres CERT det da egentlig ret godt.
Selvom det var et meget stort DDOS angreb mod et lille land, førte det ikke til store katastrofer.
Jeg sysnes Peter Kruse skylder at fortælle os hvorfor et Estisk GovCert ville have så meget bedre.
-
0
-
0
Hej Niels,
Det DDoS der blev rettet mod Estland var ikke et omfattende DDoS. Tværtimod. Vi har fra flere kilder korreleret data der peger i retning af at angrebet stammede fra ikke sammenknyttede, eller åbenlyst relaterede netværk, kontrolleret af Pinch (en informationstyv udviklet i Rusland) der ligesom mange andre af denne type malware kan misbruges til DDoS angreb.
Jeg har den fornøjelse at være inviteret i et lukket netværk, hvor den person i Estland, som stod for skud - også i forhold til krav fra regeringen, deltager og hans erfaringer understøtter behovet for et Gov-CERT. Med et beredskab havde det været muligt bedre at samle data ind der kunne bruges til at finde kilden til angrebet, men også afbøje det i højere grad end det var muligt, da mange arbejdede for at opretholde egen oppetid og ikke samlet, som bl.a. er formålet med et Gov-CERT. At der manglede mandat til bl.a. at tvinge en eller flere ISP'ere til at foretage en koordineret handling havde afgjort haft betydning for effekten af dette angreb og tilsvarende, som det vi senere oplevede da Georgien blev udsat for angreb.
Uanset ville der i dag, med et Gov-CERT muligvis, ikke være så megen snak og spekulation om Svenske BOTs, men måske en reel vurdering af hvad der udspillede sig :-)
Faktum er, at resultatet af angrebet mod Estland, som de afgjort ikke var i stand til at håndtere professionelt, har født et organ i NATO der skal arbejde for bl.a. fremmelsen af regionale GOV-CERTS. Og det er der efter min vurdering god grund til at kigge seriøst på.
Venligst
Peter
-
0
-
0
Jo, selvfølgelig bør man have et beredskab.
Men det ændrer ikke ved det faktum, at et storstilet DDoS angreb kan foretages af - ja nærmest hvemsomhelst, er har kontrol over en 'slat' servere.
Det kan ligeså godt være din nabo's onkels nevø.
Internettet er globalt, og ikke lokalt, så man bør have, som du selv siger, mandat til handling.
[b]Regionale[/b] gov-certs, tror jeg ikke personligt på, kun en koordineret indsats.
Men det er kun mine .02 Euro...
-
0
-
0
