Danmark holder sig udenfor nyt globalt cybersikkerhedsarbejde

Illustration: leowolfert/Bigstock
Et stort globalt cybersikkerhedsarbejde er indledt i Holland. Og til forskel fra Sverige, Norge, Tyskland og en lang række andre lande holder Danmark sig uden for.

Danmark holder sig uden for et globalt samarbejde for etablering af bedre cybersikkerhed.

På initiativ af den hollandske regering blev netværket Global Forum on Cyber Expertise (GFCE) dannet den 16. april i Haag. Målet med netværket er blandt andet at skabe et forum, hvor lande, virksomheder og organisationer kan dele erfaringer med cyberangreb og -forsvar og trække på hinandens ekspertise.

42 lande og virksomheder tiltrådte forleden netværket herunder Danmarks nabolande i Skandinavien, Tyskland, Frankrig, USA, Canada, Japan blandt en lang række øvrige lande. Men også virksomheder som Microsoft, Vodafone, HP og kinesiske Huawei Technologies er med i netværket.

»Jeg kan fortælle, at Danmark som et af de ganske få lande, der deltager i GCCS2015 konferencen her i Haag, igen har demonstreret sin fodslæbende og mangelfulde respekt for at sikre sin befolkning i cyberspace«, skriver sikkerhedseksperten John Foley til Version2 umiddelbart efter konferencen. Han deltager på særlig invitation fra formanden for det Hollandske nationale cybersikkerheds råd.

Foley har mere end 30 års erfaring med it-sikkerhedsarbejde. Blandt andet i forsvaret, It og Telestyrelsen, Center for Cybersikkerhed ved FE og har nu egen virksomhed COPITS, der rådgiver inden for it-sikkerhed. Han sidder også som dansk repræsentant i Eu's Network and Informations Platform, hvis mål er lidt det samme som GFCEs blot på europæisk niveau.

»Der er et meget stort behov for it-sikkerhedshjælp«, siger Foley under en senere opringning.

»Angrebstrykket er nogle gange mere end vores eget forsvar i Center for Cybersikkerhed eksempelvis kan håndtere alene i forhold til de offentlige institutioner. Men virksomheder står også ofte alene, og vi har kendte eksempler på store danske virksomheder, der har været under seriøse angreb og har måtte bede om hjælp. Der er brug for et organ, hvor man kan dele erfaringer og rekruttere de bedste eksperter fra hele verden. Det har Holland erkendt og det vil de gøre noget ved«, siger han.

Initiativ er en reaktion på flere alvorlige it-sikkerhedstrusler

Mødet i Haag var det fjerde i en række, der siden 2011 har været holdt i Seul, Budapest og London. Hele arbejdet kan ifølge John Foley direkte kædes sammen med et voldsomt angreb på Hollands SSL-certificeringsvirksomhed Diginotar i 2011.
Dengang brød hackere ind hos Diginotar og udstedte falske SSL-certifikater. Angriberne, der aldrig er blevet identificeret og fanget, forfalskede SSL-certifikater og udgav sig for at være blandt andet sikkerhedstjenester som CIA, britiske M16 og israelske Mossad. Der blev ført bevis for, at de falske certifikater blev brugt i Iran til et massivt man-in-the-middle-angreb, hvilket bekræftede mistanken om, at iranske myndigheder stod bag for at kunne spionere på borgernes krypterede nettrafik ud af landet. Sikkerhedseksperten Bruce Schneier har dog senere hævdet, at det lige så godt kunne være amerikanske NSA, der stod bag.

Under alle omstændigheder overtog den hollandske regering udstedelsen af SSL-certifikater, og Diginotar gik fallit.

Læs også: Socialdemokraterne vil person-logge al internetsurf

»Dette er jo blot en sag, men der er rigtig mange. Enkelte bliver omtalt, men langt det meste forbliver skjult, da ingen organisation eller virksomhed ønsker at blamere sig. Derfor er det vigtigt med et forum, hvor man ganske anonymt kan dele erfaringer«, siger Foley.

Anonymitet er afgørende for, at et netværk med deltagelse af konkurrerende stater og virksomheder kan fungere. Hvordan et sådan rapporteringssystem skal designes er ikke fastlagt, men arbejdet er indledt. I opsamlingen af konferencens konklusioner nævnes Englands Cyber-security Information Sharing Partnership (CISP) og Triple Helix-modelen fra The Hague Security Delta som mulige modeller.

EU arbejder også med et anonymt indrapporterings- og delingsmiljø i det arbejde, der pågår i NIST, hvor John Foley i øvrigt er Danmarks repræsentant. NISP er EUs såkaldte “Network for Information Security Platform”.
Inden konferencen i Haag, hvor den hollandske udenrigsminister var vært, hvor den hollandske statsminister åbnede mødet, og hvor den hollandske justitsminister også talte, havde John Foley kontaktet det danske udenrigsministerium for at vække interessen for, at Danmark indgik i samarbejdet.

Mystik om dansk deltagelse

Det er Foleys klare indtryk, at Danmark ikke har deltaget i de tre foregående møder og kun er repræsenteret af ambassadør Karsten Ankjær Jensen i Haag. Ankjær Jensen er den eneste dansker på listen over danske deltagere. Langt de fleste andre lande, der er repræsenteret, deltager med tunge minister-delegationer.

Foley, henvender sig direkte til udenrigsminister Martin Lidegaard og foreslår, at Danmark ligefrem tilbyder sig som vært for det næste møde. Dette blev i marts afvist af ministeren Martin Lidegaard, der blandt andet svarer:

Styrken ved GCCS er netop dets globale rækkevidde. Dette gælder også værtskabet for konferencerne. Jeg finder det essentielt, at GCCS ikke udelukkende drives af ligesindede europæiske lande, men at flere lande fremadrettet involveres – også i planlægningsøjemed. Danmark støtter derfor, at værtskabet for GCCS 2016 bliver i et ikke-europæisk land, for dermed at sikre størst mulig global opbakning. Derfor vil vi ikke i denne omgang søge at få værtskabet.

Konferencen har tidligere været afholdt langt udenfor Europa nemlig i Seul i 2013. Endelig skal det med, at listen over deltagere i netværket rækker langt ud over Europa nemlig til Bangladesh, Chile, Indien, Marokko, Mexico, New Zealand osv.

Version2 har henvendt sig til Udenrigsministeriet for at få en forklaring på at netop Danmark ikke går ind i dette arbejde. Her er svaret:

Udenrigsministeriet ser GCCS som et vigtigt tværgående forum for drøftelse af de mange udfordringer og muligheder, som internettet og cyberspace fører med sig. Danmark var repræsenteret med en stor delegation, der aktivt tog del i mange aktiviteter og diskussioner, som fandt sted i løbet af konferencen. Taletid i forbindelse med åbningsceremonien var forbeholdt tilstedeværende ministre og andre særligt indbudte.

Global Forum on Cyber Expertise, der har til hensigt at opbygge cyberkapacitet på global plan, er et initiativ, som en række lande og virksomheder er gået sammen om at lancere under konferencen. Danmark er i udgangspunktet positivt indstillet og vil overveje deltagelse.

Global Conference on CyberSpace var den fjerde – og indtil nu største – GCCS-konference. Der har været dansk deltagelse på nogle af disse møder, men det er korrekt at mødet i Haag er første gang, at Danmark deltager med en egentlig delegation. Opgraderingen af dansk tilstedeværelse skyldes, at GCCS har udviklet sig til at være et de primære globale fora for drøftelse af de cyberrelaterede problemstillinger.

I sin afrundingstale på konferencens sidste dag den 17. april giver den hollandske udenrigsminister Bert Koenders for det første udtryk for sin glæde over, at det er lykkes at skabe et globalt forum for cyberekspertise med 45 parter fra hele verden.
»Jeg ønsker at takke alle deltagere og at invitere de, der er interesserede i at deltage til at kontakte sekretariatet for GFCE. Flere lande har vist interesse for at komme med nemlig Tanzania, Tunesien og Ukraine.«

Ikke et ord om Danmark.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Niels Jessen

hoveder og vi har viden og vi har både snusfornuft og købmandskab og vi har evner til at lede og gennemføre visionen om internation Cybersikkerhed - ikke blot ende med en dansk lokaludgave.

Dette projekt har potentiale til at forblive i klasse med KBH Bycykler og Rejsekort.

Forsøg med tæft, trit og tråd at gøre det til noget effektivt. Please.

:-)

  • 1
  • 0
John Foley

Det offentlige Danmarks manglende engagement og indsigt i hvad der rør sig internationalt på cybersikkerhedsområdet er bevist endnu engang. De offentlige institutioner manglende samarbejde, koordination og viden om hvem der skal tage sig af hvad, er endnu engang blevet dokumenteret og bevist ved GCCS2015 konferencen i Holland, Haag den 16, - og 17. april, hvor jeg deltog som repræsentant for den private sektor. Det var pinligt at overvære den danske officielle delegations manglende indsats ved bl.a. opening statements og i særdeleshed ved ikke at tilslutte sig det nye globale forum GFCS, der bl.a. har til hensigt at sikre dine og mine personfølsomme oplysninger i cyberspace. Jeg er flov på Danmarks vegne. Og det offentlige Danmark fortsætter som om intet er hændt i håbet om at andre gør deres arbejde for dem. Men politikernes og embedsmændenes løn, som er betalt af dig og mig via skatten, glemmer de nok ikke at hæve regelmæssigt en gang om måneden.

  • 7
  • 1
Christian Nobel

.. at man i Danmark har et organ under krigsministeriet det kaldes for Center For CyberSikkerhed, men som åbenbart på ingen måde er interesseret i at beskæftige sig med cybersikkerhed.

Det ville klæde FE og konsorter at tone rent flag, så befolkningen vidste at forkortelsen CFCS ikke har noget med sikkerhed at gøre, men står for:
Center For CyberSpionage.

  • 9
  • 0
Laila Jasmin Pedersen

Lad os starte med at slå en ting fast: GFCE er ikke alene et sikkerhedsforum, men sikkerhed i bred definition er et vigtigt element.

At bekæmpe kriminalitet foregået på internettet er i Danmark noget, der håndteres af politiet, hvor der jo er et fremragende internationalt samarbejde. Omkring vore nationale interesser, så kan vi jo se, at vi er godt dækket ind - Huawei er jo tilstede (læg en hvis portion ironi heri). Da vi, modsat lande som Australien, har solgt vor tele-infrastruktur til udlandet, så kan man sige, at vi gennem dette forum viser vor reelle interesse her.

Når man ser på listen af stiftere, så er det jo interessant, at 2 bestemte lande ikke står på listen - lande, hvis andel af årsagerne til oprettelsen af dette forum er særdeles stor: Kina og Rusland. En lang række europæiske lande deltager heller ikke: Italien, Spanien, Irland mm. så det er ikke sådan, at Danmark alene ikke er tilstede.

Jeg er enig i de argumenter, der bringes fra John Foley. Man kan jo sige, at nu når Danmark her får en mulighed for at være med og påvirke udviklingen til et bedre og mere sikkert internet, så er det jo ufatteligt, at man nærmest vælger at ignorere GFCE. Det er endnu mere kedeligt, når man gang på gang hører regeringens udmeldinger, om at Danmark skal være mere on-line.

Det at Danmark vælger ikke at være en mere aktiv spiller på det globale område, er en skam. Sikkerhed på internettet er ikke kun en national opgave, men også en global opgave. Derfor er det mit ønske, at Danmark ændrer holdning og viser en mere aktiv deltagelse.

  • 7
  • 0
Kristian Jensen
  • 7
  • 1
Tonny Rabjerg

I forbindelse med GCCS åbnede man også Europas største Security Delta. Åbningen skete med stor deltagelse fra mange lande, ikke mindst lande i Asien som deltog med højtstående deltagere. The Hague Security Delta blev åbnet af Hollands Finansminister og borgmesteren for Haag som i dag har fokus på at blive det største sikkerhedsforum i Europa.

Jeg deltog som leverandør, CodeSealer, med vores løsning til beskyttelse mod Man-in-the-middle/browser og generelt var der stor interesse fra mange lande, dog ikke en eneste fra Danmark.

John Foley og jeg er nok begge enige i at der mangler en egentlig debat og samarbejde på tværs af virksomheder, på tværs af det offentlige og private og ikke mindst på tværs af grænser, så håber klart på et større samarbejde i fremtiden

  • 7
  • 0
Henrik Biering Blogger

Jeg kan se at der i Holland er stor skepsis om scopet for GCCS. Så ud fra det er det vel positivt at Danmark har valgt at tage bestik af situationen. Det virker heller ikke betryggende, når der blot er angivet lande som deltagere uden angivelse af hvilke myndigheder, der står for koordinationen i de respektive lande.

Kunne det tænkes at de danske myndigheder er mere på linie med Obama's dekret fra februar i år, som opfordrer private aktører til at tage initiativer ("Information Sharing and Analysis Organizations") på forskellige specifikke områder? Der er jo ganske mange forskellige aspekter af Cybersikkerhed, som ikke nødvendigvis har overlap med hensyn til relevante deltagere.

F.eks. er der i OpenID Foundation netop taget initiativ til en ny arbejdsgruppe, der har helt specifikt fokus på "account security". Initielt primært mht. konti med emailadresser og telefonnumre som identifiers.

  • 2
  • 2
John Foley

Godt forsøgt Henrik Biering. Men forklaringen er den simple, at det officielle Danmark igen har sovet godt og grundigt i timen og ikke har kendt sin besøgelsestid. Ligesom med f.eks EU's Cyber Security Month, som har været gennemført i de sidste fire år i alle de andre EU lande undtagen Danmark. Her har det officielle Danmark igen-igen svigtet sin befolkning på it-og cybersikkerhedsområdet.
Siden It- og Telestyrelsens nedlæggelse i 2011 har det officielle Danmarks indsats på It- og Cybersikkerhedsområdet lignet en hovedløs høne, der løber forvirret rundt umiddelbart efter den er blevet halshugget. De mange opgaver som styrelsen varetog tidligere er blevet spredt for alle vinde mellem en række ministerier og styrelser, der kappes om at fortælle, at de i hvert fald ikke er ansvarlige, når det den ene gang efter den anden går galt. I min samtale med ambassadøren, der var den danske delegationsleder ved GCCS2015, fortalte han at alt dette jo for Danmark var nyt, men han regnede da bestemt med at Danmark inden alt for længe ville tilslutte sig GFCS initiativet, ligseom de 45 andre lande, herunder Norge, Sverige og Tyskland.
Så din teori er et prisværdig men misforstået forsvar, og du har ikke rigtigt forstået tingenes rette sammenhæng. I øvrigt er GFCS initiativet ikke uklart i sit formål. Jeg skal anbefale at du læser de tre vigtige dokumenter, der findes om GFCS initiativet, der klart og éntydig forklarer både formål og indhold. Hvis formålet var diffust, som du antyder, ville initiativet næppe, som tilfældet er, være med opbakning fra den Hollandske statsminister, udenrigsminister og Justitsminister samt 45 andre landes ministre m.fl.

  • 2
  • 1
Henrik Biering Blogger

I øvrigt er GFCS initiativet ikke uklart i sit formål. Jeg skal anbefale at du læser de tre vigtige dokumenter, der findes om GFCS initiativet, der klart og éntydig forklarer både formål og indhold.

Nu læste jeg faktisk de omtalte dokumenter, og ud fra det må man se GFCS som primært en konferenceorganisation med en bismag af salgsmesse. Altså diskussion af best practices og networking m.h.p. mulige samarbejder mellem medlemmerne (FD p. 7,17). Det er da også et fint initiativ, men ikke noget der på nogen måde behøver at være relateret til et medlemsskab.

Uklarheden er især omkring projektinitiativerne (FD. p. 8-16), hvor det forventede udbytte beskrives som: "The Initiators will disseminate the results, lessons learned and best practices of an Initiative amongst GFCE members upon its completion to maximize the effectiveness of other Initiatives". Hvorfor skal man køre projektinitiativer i GFCS regi for at kunne udbrede best practices? Og hvorfor kan resultaterne ikke formidles bredt også uden for medlemskredsen?

Kan du nævne et par konkrete eksempler på "initiativer", som er på vej i GFCS. Og forklare hvorfor de ikke ville kunne ske uden et nyt udtrykkeligt frivilligt forum, som hverken:
er lovforberedende
er en international myndighed
en en producentorganisation
en en faglig organisation
er en forskningsinstitution
er en standardiseringsorganisation
er et community of practice
er et trust framework
er en professionel projektfacilitator
???

Efter min mening skal problemer og udfordringer først og fremmest løses blandt de, der har dem tæt på (teknisk eller anvendelsesmæssigt) og har ekspertisen til det. Og i et samspil, så når det så er lykkedes nogle at hæve den teknologiske barre, kan politikerne sætte ind med ny minimumskrav til systemer, regulerende love, herunder krav til standarder, tilpasning af beredskab m.m.

Forestil dig lige hvordan dagens biler havde set ud, hvis man havde sat 50 ministre i T.B.-klassen sammen i Haag for at designe sikkerhed i biler dengang de var en ny og lige så usikkert udtænkt teknologi som som internettet er i dag. For mig at se er det som at smide en hund i et spil kegler, med stor risiko for at der bliver tale om skævvridning af prioriteter og/eller fokus på markedsføring af nogle få netværksleverandørers produkter over for medlemslandene (læs lige FD p. 12 og check så medlemslisten).

En lang række organisationer i Danmark har for nylig foreslået etablering af et Nationalt Sikkerhedsråd, altså en pendant til f.eks. Rådet for Sikker Trafik. Hvad med at vi starter dér og samler op på hvor mange relevante internationale fora de forskellige aktører allerede er aktive medlemmer af? Og ligeledes, hvor vi ikke er repræsenteret, men burde være det? Hvad er behovet for lovgivning, standarder, teknologikrav, beredskab og trust frameworks herfor?

Fordelen ved dette er også at vi ikke skal slås med en enkelt uforstående central myndighed, men får det brudt ned til de enkelte myndigheder og organisationer, der kan se en fordel i at medvirke til Danmarks cybersikkerhed inden for deres specifikke kompetenceområde. Ser man på en tilsvarende international organisation for automobilsikkerhed er det typisk heller ikke centrale myndigheder, der er med, men derimod for Danmarks vedkommende netop Rådet for Sikker Trafik samt Region Midtjylland, der åbenbart går højere op i trafiksikkerhed end vores centrale myndigheder på området. Men altså åbenbart vælger at deltage selv i stedet for blot at brokke sig over passive centrale trafiksikkerheds-myndigheder.

  • 0
  • 0
John Foley

Efter at have læst dit indlæg kan jeg se at vi egentlig ikke er så uenige, som jeg i første omgang troede Henrik Biering. Min skuffelse over Danmarks manglende tilslutning til GFCE initiativet skyldes det forhold, at der i Danmark desværre ikke er et hensigtsmæssigt offentligt - privat samarbejde i bestræbelserne på at sikre den danske befolkning i cyberspace. Der er kastet rigtigt mange penge i efterretningstjenesterne på det sidste begrundet i terrorfrygten. Men virkningen af de bestræbelser tror jeg ikke ret meget på.

Erfaringer fra lande der er blevet udsat for særdeles alvorlige cyberangreb har vist, (f.eks. det hollandske Diginotar angreb), at offentlige myndigheder ikke er i stand til at håndtere alvorlige angreb. Her må man ty til den ekspertise og viden, der findes i den private sektor. Det har man erkendt i Holland og har derfor etableret et nationalt cyber sikkerheds råd, bestående af repræsentanter fra såvel det offentlige, private og akademia (7-7-4). Rådet mødes en gang hver uge for at koordinere bestræbelserne på at sikre befolkningen i cyberspace. Noget ligende burde Danmark efter min mening også gøre både nationalt og internationalt ved at tilmelde sig GFCE initiativet. Desværre er der ingen instans i Danmark der koordinerer bestræbelserne på ordentlig vis, jf. mine tidligere kommentarer.
Bemærk at den før jul udsendte og såkaldte nationale cybersikkerhedstrategi, udarbejdet af Digitaliseringsstyrelse og Center for Cybersikkerhed, ikke på noget tidspunkt har involveret den private sektor eller akademia i udfærdigelsen af strategien. Strategien er et stykke embedsmakværk, der intet har med en strategi at gøre målt med international Best Practise og som anvist og anbefalet af ENISA og EU. Danmark har med strategien igen-igen sprunget over hvor gærdet er lavest. Formuleret nogle hensigtserklæringer og ikke afsat en eneste krone til dets implementering, og samtidig lukket øjenene for regionerne, kommunerne og de små og mellemstore virksomheders problemer. Så jeg synes det er på høje tid at Danmark både etanblerere et nationalt cyber sikkerhedsråd i stil med det hollandske og og tillige tilslutter sig GFCE initiativet, der til en vis grad kan ses som et globalt cybersikkerheds råd. Men det kan man ikke finde ud af i Danmark. Her vil man hellere slås med hinanden indbyrdes i stedet for at samarbejde på tværs. Og placeringen af Center for Cybersikkerhed i en efterretningstjeneste er helt til grin.
Bemærk i øvrigt, at der i forordet til den føromtalte nationale cyber- og informationssikkerhedsstrategi står, at man ved en revision om to år vil inddrage (høre) andre end embedsværket selv. Magen til magtarrogance, magtbrynde og selvtilstrækkelighed skal man lede længe efter, især når man ved, at de offentlige institutioner ikke selv kan klare problemerne når lokummet for alvor brænder. Det har talrige eksempler vist senest i Holland, Norge og England, og såmænd også i CSC sagen, hvor de offentlige institutioner har måtte anmode om hjælp fra den private sektor til at hjælpe med oprydningsarbejdet, som de ikke selv kan klare.

  • 1
  • 0
Henrik Biering Blogger

Efter at have læst dit indlæg kan jeg se at vi egentlig ikke er så uenige, som jeg i første omgang troede Henrik Biering.

Jamen så er vi ihvertfald meget enige mht. situationen i DK. Og den forskel, der er i vores tilgang til at løse problemet, skyldes nok at du har en militær baggrund, mens jeg har en baggrund fra en stor virksomhed med en usædvanligt flad struktur og en gør-det-selv-hvis-du-brænder-for-det-og-du-mener-det-er-til-gavn-for-virksomheden filosofi.

Overvej ligesom en landmand, der har en stor klippeblok på sin mark at køre udenom den, indtil du har fået samlet opbakning og maskineri til effektivt at flytte, begrave eller sprænge den væk. Det er en kedelig situation, når vi ellers befinder os i en tid, hvor andre myndigheder er blevet mere åbne over for dialog med virksomheder og befolkning end tidligere.

  • 0
  • 0
Gert Madsen

At bekæmpe kriminalitet foregået på internettet er i Danmark noget, der håndteres af politiet, hvor der jo er et fremragende internationalt samarbejde


Tjah.
/konspiration

Nu skal der snart være afstemning om vore EU-forbehold.
Er det ikke et af de (falske) argumenter, at politiet ikke kan have et velfungerende internationalt smarbejde, medmindre forbeholdet ophæves ?
/konspiration off

  • 0
  • 0
Log ind eller Opret konto for at kommentere