Danmark holder sig uden for et globalt samarbejde for etablering af bedre cybersikkerhed.
På initiativ af den hollandske regering blev netværket Global Forum on Cyber Expertise (GFCE) dannet den 16. april i Haag. Målet med netværket er blandt andet at skabe et forum, hvor lande, virksomheder og organisationer kan dele erfaringer med cyberangreb og -forsvar og trække på hinandens ekspertise.
42 lande og virksomheder tiltrådte forleden netværket herunder Danmarks nabolande i Skandinavien, Tyskland, Frankrig, USA, Canada, Japan blandt en lang række øvrige lande. Men også virksomheder som Microsoft, Vodafone, HP og kinesiske Huawei Technologies er med i netværket.
»Jeg kan fortælle, at Danmark som et af de ganske få lande, der deltager i GCCS2015 konferencen her i Haag, igen har demonstreret sin fodslæbende og mangelfulde respekt for at sikre sin befolkning i cyberspace«, skriver sikkerhedseksperten John Foley til Version2 umiddelbart efter konferencen. Han deltager på særlig invitation fra formanden for det Hollandske nationale cybersikkerheds råd.
Foley har mere end 30 års erfaring med it-sikkerhedsarbejde. Blandt andet i forsvaret, It og Telestyrelsen, Center for Cybersikkerhed ved FE og har nu egen virksomhed COPITS, der rådgiver inden for it-sikkerhed. Han sidder også som dansk repræsentant i Eu's Network and Informations Platform, hvis mål er lidt det samme som GFCEs blot på europæisk niveau.
»Der er et meget stort behov for it-sikkerhedshjælp«, siger Foley under en senere opringning.
»Angrebstrykket er nogle gange mere end vores eget forsvar i Center for Cybersikkerhed eksempelvis kan håndtere alene i forhold til de offentlige institutioner. Men virksomheder står også ofte alene, og vi har kendte eksempler på store danske virksomheder, der har været under seriøse angreb og har måtte bede om hjælp. Der er brug for et organ, hvor man kan dele erfaringer og rekruttere de bedste eksperter fra hele verden. Det har Holland erkendt og det vil de gøre noget ved«, siger han.
Initiativ er en reaktion på flere alvorlige it-sikkerhedstrusler
Mødet i Haag var det fjerde i en række, der siden 2011 har været holdt i Seul, Budapest og London. Hele arbejdet kan ifølge John Foley direkte kædes sammen med et voldsomt angreb på Hollands SSL-certificeringsvirksomhed Diginotar i 2011.
Dengang brød hackere ind hos Diginotar og udstedte falske SSL-certifikater. Angriberne, der aldrig er blevet identificeret og fanget, forfalskede SSL-certifikater og udgav sig for at være blandt andet sikkerhedstjenester som CIA, britiske M16 og israelske Mossad. Der blev ført bevis for, at de falske certifikater blev brugt i Iran til et massivt man-in-the-middle-angreb, hvilket bekræftede mistanken om, at iranske myndigheder stod bag for at kunne spionere på borgernes krypterede nettrafik ud af landet. Sikkerhedseksperten Bruce Schneier har dog senere hævdet, at det lige så godt kunne være amerikanske NSA, der stod bag.
Under alle omstændigheder overtog den hollandske regering udstedelsen af SSL-certifikater, og Diginotar gik fallit.
»Dette er jo blot en sag, men der er rigtig mange. Enkelte bliver omtalt, men langt det meste forbliver skjult, da ingen organisation eller virksomhed ønsker at blamere sig. Derfor er det vigtigt med et forum, hvor man ganske anonymt kan dele erfaringer«, siger Foley.
Anonymitet er afgørende for, at et netværk med deltagelse af konkurrerende stater og virksomheder kan fungere. Hvordan et sådan rapporteringssystem skal designes er ikke fastlagt, men arbejdet er indledt. I opsamlingen af konferencens konklusioner nævnes Englands Cyber-security Information Sharing Partnership (CISP) og Triple Helix-modelen fra The Hague Security Delta som mulige modeller.
EU arbejder også med et anonymt indrapporterings- og delingsmiljø i det arbejde, der pågår i NIST, hvor John Foley i øvrigt er Danmarks repræsentant. NISP er EUs såkaldte “Network for Information Security Platform”.
Inden konferencen i Haag, hvor den hollandske udenrigsminister var vært, hvor den hollandske statsminister åbnede mødet, og hvor den hollandske justitsminister også talte, havde John Foley kontaktet det danske udenrigsministerium for at vække interessen for, at Danmark indgik i samarbejdet.
Mystik om dansk deltagelse
Det er Foleys klare indtryk, at Danmark ikke har deltaget i de tre foregående møder og kun er repræsenteret af ambassadør Karsten Ankjær Jensen i Haag. Ankjær Jensen er den eneste dansker på listen over danske deltagere. Langt de fleste andre lande, der er repræsenteret, deltager med tunge minister-delegationer.
Foley, henvender sig direkte til udenrigsminister Martin Lidegaard og foreslår, at Danmark ligefrem tilbyder sig som vært for det næste møde. Dette blev i marts afvist af ministeren Martin Lidegaard, der blandt andet svarer:
Styrken ved GCCS er netop dets globale rækkevidde. Dette gælder også værtskabet for konferencerne. Jeg finder det essentielt, at GCCS ikke udelukkende drives af ligesindede europæiske lande, men at flere lande fremadrettet involveres – også i planlægningsøjemed. Danmark støtter derfor, at værtskabet for GCCS 2016 bliver i et ikke-europæisk land, for dermed at sikre størst mulig global opbakning. Derfor vil vi ikke i denne omgang søge at få værtskabet.
Konferencen har tidligere været afholdt langt udenfor Europa nemlig i Seul i 2013. Endelig skal det med, at listen over deltagere i netværket rækker langt ud over Europa nemlig til Bangladesh, Chile, Indien, Marokko, Mexico, New Zealand osv.
Version2 har henvendt sig til Udenrigsministeriet for at få en forklaring på at netop Danmark ikke går ind i dette arbejde. Her er svaret:
Udenrigsministeriet ser GCCS som et vigtigt tværgående forum for drøftelse af de mange udfordringer og muligheder, som internettet og cyberspace fører med sig. Danmark var repræsenteret med en stor delegation, der aktivt tog del i mange aktiviteter og diskussioner, som fandt sted i løbet af konferencen. Taletid i forbindelse med åbningsceremonien var forbeholdt tilstedeværende ministre og andre særligt indbudte.
Global Forum on Cyber Expertise, der har til hensigt at opbygge cyberkapacitet på global plan, er et initiativ, som en række lande og virksomheder er gået sammen om at lancere under konferencen. Danmark er i udgangspunktet positivt indstillet og vil overveje deltagelse.
Global Conference on CyberSpace var den fjerde – og indtil nu største – GCCS-konference. Der har været dansk deltagelse på nogle af disse møder, men det er korrekt at mødet i Haag er første gang, at Danmark deltager med en egentlig delegation. Opgraderingen af dansk tilstedeværelse skyldes, at GCCS har udviklet sig til at være et de primære globale fora for drøftelse af de cyberrelaterede problemstillinger.
I sin afrundingstale på konferencens sidste dag den 17. april giver den hollandske udenrigsminister Bert Koenders for det første udtryk for sin glæde over, at det er lykkes at skabe et globalt forum for cyberekspertise med 45 parter fra hele verden.
»Jeg ønsker at takke alle deltagere og at invitere de, der er interesserede i at deltage til at kontakte sekretariatet for GFCE. Flere lande har vist interesse for at komme med nemlig Tanzania, Tunesien og Ukraine.«
Ikke et ord om Danmark.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
