Dansk international sikkerhedschef: Tvungen virksomhedsovervågning er ikke vejen frem

Illustration: monsitj/Bigstock
Som leder af cybersecurity hos World Economic Forum og med en mangeårig baggrund i cybersecurity, advarer Troels Ørting mod tvungen virksomhedsovervågning.

»Jeg tror ikke, der er mange udenlandske virksomheder, der vil investere i et land, hvor efterretningstjenesten er med som blind makker.«

Troels Ørting Jørgensen er leder af Centre for Cybersecurity hos World Economic Forum Illustration: WEF

Sådan lyder vurderingen fra Troels Ørting om, at udvalgte virksomheder kan tvinges på Center for Cybersikkerheds sniffernetværk.

Troels Ørting er leder af Centre for Cybersecurity hos World Economic Forum og har et imponerende CV med en række topposter hos blandt andet PET, Interpol og Barclays Bank med fokus på cybersikkerhed, hvilket gør ham værd at lytte til.

Du kan opleve ham som taler på Infosecurity-konferencen til maj, hvor han vil fortælle om den internationale kamp mod cyberkriminalitet, men du kan allerede her læse om hans syn på og arbejde for cybersikkerhed anno 2019.

Don't believe the hype!

Det er med baggrund i sit brede internationale kontaktnetværk, at han kommenterer de danske planer.

»Langt de fleste lande, jeg kender til, har valgt en frivillig løsning, hvor man lægger koordinationen udenfor efterretningstjenesterne, der jo er wired til at indsamle information og ikke til at dele information. På det her område er der meget brug for, at vi deler information,« fremhæver Troels Ørting.

Troels Ørting er en mand, der taler et klart sprog uden forblommede vendinger, men med en del engelske udtryk som følge af hans mangeårige udlandserfaring og it-sikkerhedsarbejde, hvor jargonen er kraftigt påvirket af engelsk.

Han opfordrer virksomheder og folk til ikke at rive sig med af, hvad han kalder cybersecurity-hype.

»Jeg er ved at være træt af hver dag at læse om nye måder, man kan angribes på, og nye farer, som masser af sikkerhedsselskaber - og lande for den sags skyld - hyper op, så man til sidst overgiver sig og siger: 'Kan det overhovedet nytte noget, alt det, vi gør, for alt kan jo i princippet brydes?'.«

Er det sådan nogle som mig, der er med til at hype sikkerhedstruslen op?

»I fokuserer jo på nyheden, og nyheden er ofte, at der er et nyt læk, en ny metode til at bryde ind, og ofte har det et lidt teoretisk skær. Man kunne godt en gang imellem fokusere på succeshistorierne og også på, at det nytter noget. Ellers tror jeg, at læserne er ved at brække sig – undskyld udtrykket – over at læse det her dag ud og dag ind.«

Menneskeheden vil overleve internettet

Troels Ørting følger selvfølgelig selv med i nyhedsstrømmen, men han er absolut ikke typen, der lægger sig grædende ned i fosterstilling og resigneret venter på, at verden går under i et cyberkollaps.

»Humanity will survive the internet, det er jeg sikker på, jeg tror bare, at vi har en lidt bumpet vej foran os. Vi skal løfte hovedet, ranke ryggen og gøre noget ved det. Så vil internettet og teknologien give os fantastiske ting. Det kræver globalt samarbejde, hvilket gør det svært, men det er derfor, vi skal gøre det i god tid.«

Internationalt samarbejde på neutral grund

Det globale samarbejde er præcis det, Troels Ørting fokuserer på i sit nuværende job som leder af cybersecurity hos World Economic Forum.

»Vi er en uafhængig organisation, der ikke er afhængig af nationalpolitik eller shareholder interesser. Det er en neutral uafhængig enhed, der forsøger at samle private og public partnere, så vi samler et civic society omkring et bord for at løse nogle problemer,« siger Troels Ørting, der nævner, at centerets placering i Genève i neutrale Schweiz er med til at bløde fronterne op i en tid, hvor der ellers er dyb mistillid mellem eksempelvis USA og kinesiske Huawei.

»Den generelle tillid mellem landene, mellem virksomheder og mellem Øst og Vest har aldrig været lavere, samtidig med at behovet for samarbejde aldrig har været større. Der prøver vi at spille ind neutralt og prøver at samle virksomheder, lande, universiteter og tænketanke omkring bordet og identificere, hvad der skal gøres, og så lave en alliance, der kan rykke noget.«

Gå først efter de kriminelle

I første omgang vil cybersecurity-afdelingen hos World Economic Forum forsøge at få etableret et globalt politisamarbejde, der kan gøre noget ved, hvad Troels Ørting betegner som 'den almindelige cyberkriminalitet', hvilket er DDoS, ransomware-afpresning og tyveri af personlig information.

»Dem, der stjæler din information, dem, der afpresser dig, og så videre - al den almindelige kriminalitet, den udgør 80-85 pct. af al uønsket aktivitet på nettet. Problemet er, at de kriminelle har frit spil med den slags. Der anholdes stort set ikke nogen, da det internationale samarbejde mellem politiet på tværs af landegrænser er så dårligt.«

Ifølge Troels Ørting er det en simpel udregning for kriminelle organisationer: Investeringen er lille, udbyttet er godt, og risikoen nærmest ikke-eksisterende. Det er en no-brainer for kriminelle at kaste sig over cyberkriminalitet.

Troels Ørting håber, at centeret i Genève kan hjælpe med til at etablere et globalt politisamarbejde på trods af forskelligheder landene imellem.

»Kan vi få amerikansk politi, russisk politi, kinesisk politi og EU-politi til at arbejde sammen mod de her grupper, vil vi kunne gøre noget ved kriminaliteten.«

Samtidig håber Troels Ørting, at det vil skabe tillid og relationer, så man kan begynde at definere internationale spilleregler om cyberwarfare, og hvordan nationer skal opføre sig over for hinanden i cyberspace.

»Vi fokuserer på kriminalitet; ikke på, hvad nation states gør mod hinanden. Det er noget, vi tager hul på til næste år.«

Vær realistisk i sikkerhedsvurderingen

Det vigtigste er, at privatpersoner og virksomheder er realistiske i deres trusselsvurdering og implementerer sikkerhed, der svarer til truslen.

»Er det sandsynligt at NSA, FSB, GCHQ, iranerne, Nordkorea eller andre staters efterretningstjenester vil angribe Troels Ørting Aps? Nej, det er nok ikke sandsynligt. Er det sandsynligt, at jeg vil blive ramt af et nationalt eller regionalt malware-/ransomware-/DDoS-angreb? Ja, det er nok mere sandsynligt,« siger Troels Ørting.

Han erkender, at lande anvender efterretningstjenester til industrispionage, men igen handler det om at være realistisk.

»Det er nogle ganske få store virksomheder, som Boeing og andre, der kan risikere, at nation states vil stjæle deres forretningshemmeligheder. Har man virkelig nogle kronjuveler i form af research, produktplaner og lignende, så skal man selvfølgelig ikke gøre dem nemt tilgængelige fra nettet; de skal virkelig sikres. Virksomheder som BMW, Audi og andre ved godt, at de er mål for den slags aktiviteter, og sikrer dem godt.«

Back to basics

Om en måneds tid vil World Economic Forum udgive retningslinier for cybersikkerhed, der kan hjælpe virksomheder og andre organisationer til at fokusere på det væsentlige.

»Vi kommer med en back to basics rettet mod virksomheder og universiteter om, hvad de skal investere penge i, så de kan forsvare sig mod dem, der laver almindelig kriminalitet. Hvis man koncentrerer sig om dem og gør det svært for dem, så er risikoen for at miste penge eller information langt, langt mindre, end hvis man farer rundt og køber det sidste nye, fordi man lige har været til RSA og har hørt, at nu er der også en teoretisk chance for at blive angrebet på den her helt utrolige måde. Det handler meget om at gøre det basale først, og så kan man bagefter, hvis man er en teknisk virksomhed med store intellectual properties, bevæge sig ud i de mere avancerede tiltag.«

Ikke kun teknologi

Der står mange virksomheder på spring med sikkerhedsteknologi, men Troels Ørting advarer mod at løse sikkerhedsproblemet med et teknologisk fix.

»Man skal ikke kun kigge på teknologi, men også kigge på medarbejderne og de processer, man har. Hvis vi opfører os ordentligt sikkerhedsmæssigt, så er risikoen ikke så stor. Problemet er, at vi ikke altid opfører os ordentligt, og virksomhederne opfylder ikke minimumskravene for at sikre sig. Medarbejderne skal vænne sig til, at det, de gør på arbejde og også derhjemme, har en indflydelse på sikkerheden. De skal selvfølgelig være påpasselige med, hvad de trykker på og klikker på, hvor man er henne, hvis man kobler sig på et offentligt wifi, og lignende.«

Sælg ikke frygt, giv håb

Troels Ørtings foredrag hedder 'Hvordan kan vi som cyberspecialister undgå at 'sælge frygt', men beskytte håb og udnytte det store potentiale i den digitale transformation?', og titlen afspejler Troels Ørtings positive tilgang til sikkerhedsproblematikken.

»Jeg er født optimistisk, men er ikke naiv. Hvis man tror, der slet ikke er nogen farer, så spiller man fallit, men hvis vi tager ledelseshatten på og kigger realistisk på verden, så kan man tage sine forholdsregler. Vi har overlevet udfordringer fra de andre industrielle revolutioner, vi har gennemlevet.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Claus Juul

»Jeg tror ikke, der er mange udenlandske virksomheder, der vil investere i et land, hvor efterretningstjenesten er med som blind makker.«

Sådan er det i Kina, og hvis CfCS får sin vilje så bliver det også sådan i Danmark.

Poul-Henning Kamp Blogger

Jeg er helt enig med Troels om at folketingets tilgang til sikkerhed ikke virker.

Det der vil virke er metodefrihed under strafansvar:

Den der tager beslutningerne om hvor meget og hvilken sikkerhed der skal implementeres, bærer alle omkostninger og erstatter alle skader, inkl. indirekte, der følger af disse beslutninger.

Bjarne Nielsen

Den der tager beslutningerne om hvor meget og hvilken sikkerhed der skal implementeres, bærer alle omkostninger og erstatter alle skader, inkl. indirekte, der følger af disse beslutninger.

Ja, det kan godt være vi skal i den retning. Min tid i og med store firmaer siger mig bare, at der er noget, vi skal arbejde med i den forbindelse:

  1. Når rammerne bliver store nok, så ser man det, som vi kom til at kalde "græshopper". De fløj ind, tog en masse kortsigtede beslutninger mens vi andre tog os til hovedet, og fløj videre, med den rygvind som kom på kort sigt, og overlod det til os andre at rydde op bagefter. Tit var det umuligt at redde, men de var over alle bjerge, og der var taget så mange andre opfølgende beslutninger, at der ikke var noget reelt ansvar at placere på dem.
  2. Der er aldrig en "den" til at tage beslutninger; alle farlige beslutninger medfører prompte at der bliver indkaldt til et møde, som først bliver aflyst fordi de alle pludselig bliver forhindret, og så når det endelige blive holdt, beder om mere information og udsætter nødvendige beslutninger til "næste møde", sikkert i håbet om, at nogle andre føler ansvar og dermed får ansvar. Hvis der endelige kommer en beslutning, så er det noget halvgået midlertidigt som kun skubber den endelige beslutning længere ud i fremtiden, og som mindst tre "ansvarlige" har været med til, uden at det bagefter er klart, hvem som traf beslutningen ... og det var vist nok en af de to andre, nu hvor de tænker efter.

Det er som at få placeret et ansvar for at Skat er blevet kørt i sænk, eller at demonstranter fik frataget deres grundlovsikrede ret til at vifte med tibetanske flag.

Per Gøtterup

Sådan er det i Kina, og hvis CfCS får sin vilje så bliver det også sådan i Danmark.


Absolut ikke.

De danske medier - inklusive læserne her - skulle tage og sætte sig i både den reelle trusselssituation og hvad dette 'sniffernetværk' egentlig går ud på og hvordan det administreres og overvåges.

For det første så er truslen fra fremmede magter og fra cyberkriminelle stort set den samme i forhold til erhvervslivet. Der er ganske vist flere små spillere når vi snakker kriminalitet, men de store har et påfaldende personsammenfald, og det er oplagt at mange steder får de kriminelle lov til at bijobbe som kriminelle mens de som dagjob arbejder for deres lands regering med at udvikle værktøjer (malware) som kan give kontrol eller bare ødelægge på kommando. Der er ingen som er for små (et lille ApS for eksempel) til ikke at være interessant som en platform hvorfra man kan arbejde videre med yderligere angreb. Snarere tværtimod for sikkerheden ofte ikke er helt i top hos de mindre virksomheder, hvilket gør dem ekstra interessante. Læs evt. CFCS' seneste sikkerhedsvurdering "Cybertruslen mod Danmark 2019" som er udgivet netop i dag.

For det andet så er dette sniffernetværk ekstremt kontrolleret. Adgang til data fra det kræver både en fuld sikkerhedsgodkendelse (som alt andet indenfor FE), en særlig sikkerhedsbelæring, og en valid grund til at kigge i specifikke data - en retskendelse i hvert eneste tilfælde. Dette kontrolleres med nidkærhed af Tilsynet for Efterretningstjenesterne så sikkerheden er mere end i top. Mere om TET her: https://da.wikipedia.org/wiki/Tilsynet_med_Efterretningstjenesterne

Hans Nielsen

Den der tager beslutningerne om hvor meget og hvilken sikkerhed der skal implementeres, bærer alle omkostninger og erstatter alle skader, inkl. indirekte, der følger af disse beslutninge


Det vil kun virke, hvis der følger fængsel straf med.

Danske Bansk fik jo gode bonuser og aktie opinioner, da de kunne vise en god foretning, baseret på kriminalitet, mord og bedrageri.

De penge bliver jo ikke konfiskeret, Danske Bansk ledelese og bestyrelse er jo gået fra den sag med millioner, tjent på uærligt, uetisk, uloveligt, umoralsk vis. Fængselstaf også for, "bare" ikke at passe deres job, vil være på sin plads.

Ebbe Hansen

De danske medier - inklusive læserne her - skulle tage og sætte sig i både den reelle trusselssituation og hvad dette 'sniffernetværk' egentlig går ud på og hvordan det administreres og overvåges.


Nu er det jo ikke danskernes eller de danske mediers reaktion, der er grund til at frygte. Vi har jo oplevelser med efterretningstjenester hele vejen rundt om os (CIA GRU MIx BND etc), som har anvendt mere eller mindre uretmæssigt tilvejebragte oplysninger til fordel for lndets egne virksomheder. Hvis vi vælger en centralt efterretningstjeneste-styret løsning, vil udlandet jo blot tro, det er 'business as usual', uanset hvordan setuppet så er i virkelighedens verden.

Jesper Frimann

De danske medier - inklusive læserne her - skulle tage og sætte sig i både den reelle trusselssituation og hvad dette 'sniffernetværk' egentlig går ud på og hvordan det administreres og overvåges.

Ok, Så please enlighten us ?

Har du link til dokumentation, der beskrive hvorledes en 'sniffer box' skal passe ind i et stort netværk med hundredevis af vlans og mange veje ind fra og ud til interntetet ?

Har du et link til dokumentation, der beskriver hvorledes at CFcS indgår i Taktisk og Strategisk cyber recovery øvelser, nu hvor de indgår aktivt med detection ? Meget gerne med RACI'er Processer etc. etc.

Jeg ville gerne se dem...

// Jesper

Claus Juul

Dette kontrolleres med nidkærhed af Tilsynet for Efterretningstjenesterne så sikkerheden er mere end i top

Jeps, og tilsyntet har lige nøjagtigt udtalt kritik af bla. CfCS's administration af anvendelsen af data. (http://nyheder.tv2.dk/samfund/2017-07-07-spiontjeneste-foretog-ulovlige-...)

Magt korrumpere, total magt korrumpere totalt.

Derfor skal det foreliggende lovforslag stoppes.

Kun bananrepublikker eller værre stater, sætter forsvaret/hæren ind over for borgerne af deres eget land.

Log ind eller Opret konto for at kommentere