En hel stat blev lagt ned af hackere: Det kan vi lære af Estlands cyber-ulykke

6 kommentarer.  Hop til debatten
Bronzesoldaten er et mindesmærke for sovjetiske soldater, der døde under 2. verdenskrig og stod i Tallinn, indtil det blev besluttet at flytte den til hærens kirkegård.
Illustration: Keith Ruffles.
Estland mærkede i 2007, hvor sårbar en gennem-digitaliseret stat er. Siden har landets it-organer været i højt beredskab.
Analyse6. maj kl. 03:45

Det hele begyndte med en statue, der blev flyttet ud af det centrale Tallinn – der betyder ‘danerby’. Bronzestatuen fra sovjettiden markerede sovjetiske solda­ters gravsted, og Rusland havde inden flytningen givet klart udtryk for skuffelsen over beslutningen.

Pludselig gik Estland i sort. Under en regn af såkaldte DDoS-angreb, der overbelaster it-systemer, gik først myndighedernes sider i knæ. Kort efter fulgte det estiske bankvæsen, ministerier, medier og organisationer. Det var uhørt og et historisk angreb, der med succes lagde store dele af en stat ned fra den ene dag til den anden.

Esterne er overbevist om, at det var russerne, der stod bag – men beviserne er få. Senere tilstod en prorussisk, moldovisk politiker dog at have orkestreret dele af angrebet. Under alle omstændigheder har esterne siden polstret både deres traditionelle forsvar og i allerhøjeste grad også deres digitale beredskab. Ligesom Danmark er vores baltiske naboer mod øst nemlig blandt verdens mest digitaliserede lande.

Det store spørgsmål er så, hvad vi kan lære af esterne, der både er utrolig digitaliserede, og som har gennemlevet en stats digitale mareridt? Version2, har besøgt de organer, der står for sikkerheden i det digitaliserede Estland, og mens der er flere ligheder mellem Estland og Danmark, er der også ting, vi med fordel kan lade os inspirere af her til lands.

En klar ansvarsfordeling

Først og fremmest har esterne en it-minister. Det har været overvejet i flere omgange i Danmark, men selv efter det seneste digitaliseringsfremstød står Danmark fortsat uden en central it-politiker i de øverste, politiske lag. Det på trods af, at it-systemer i Skat, sundhedssektoren og i blandt andet Banedanmark fylder en betydelig del af de danske budgetter og er dybt kritiske for vores digitaliserede nation.

Artiklen fortsætter efter annoncen

Det betyder, at ansvaret igen og igen ender mellem stolene, især når tingene går skævt. Men det betyder desuden, at indsatsen på it-området er fragmenteret.

Det gælder også for it-sikkerheden i de sektorer, vi er så afhængige af i Danmark. Energisektoren, sundhedssektoren, transport, tele, finans og søfart. Vi er som danskere afhængige af hver og en af dem, men jævnfør den danske cyberstrategi står de alene med hvert deres sektoransvar.

I Estland har de taget tyren ved hornene og har oprettet én offentlig såkaldt CERT (computer emergency response team), der sikrer alle de sektorer, esterne har vurderet som kritiske. Det går ud over staten, hvis de kompromitteres. Det husker esterne, og derfor tager staten med et centralt sikkerhedsorgan ansvar for, at sektorerne ikke bliver det.

ING
Illustration: ING.

Herhjemme fungerer det ganske anderledes. Mens energibranchen eksempelvis tager ansvar for deres egen it-sikkerhed med den privatejede organisation EnergiCERT, forsøger sundhedssektoren at samle kræfterne i den offentlige Sundhedsdatastyrelse.

Artiklen fortsætter efter annoncen

De to organisationer skal så både arbejde sammen og dele viden på tværs af det offentlige og private samt på tværs af sektorerne – og det samme gælder de CERT’er, de andre sektorer har etableret eller er i gang med at etablere.

Derudover skal de arbejde sammen med Erhversstyrelsen, der er sikkerhedsmyndighed på især tele- og persondataområdet, Digitaliseringsstyrelsen, der har ansvaret for at drive og udvikle blandt andet MitID. Og sidst men ikke mindst skal de samarbejde med Center for Cybersikkerhed (CFCS), der i Danmark har det overordnede ansvar for cybersikkerheden og for at rådgive danske aktører i den komplekse jungle, moderne it-sikkerhed er.

Problemet er bare, at CFCS, modsat sikkerhedsmyndigheden i Estland, er en del af forsvaret. På den ene side skal CFCS som myndighed dele blandt andet information om konkrete cybertrusler samt overvåge den danske infrastruktur med deres sensornetværk. Men på den anden side er der tale om en organisation under de danske efterretningstjenester, der skal beskytte hemmeligheder om nationens sikkerhed. Herunder også digitale hemmeligheder, og det skaber stor frustration blandt flere af de danske CERT’er. 

Som det ses på grafikken nedenfor, er Estlands it-struktur centraliseret, hvilket gør den sårbar for angreb. I Danmark er it-sikkerhedsstrukturen decentral både politisk og praktisk. Hver sektor står selv for at etablere en CERT (computer emergency response team). 

ING
Illustration: ING. Illustration: ING.

Åbenhed og ærlighed

Det er ellers en kliché i den danske og internatioanle it-sikkerhedsbranche, at man skal snakke om tingene – også når det går galt. Problemet er bare, at når – ikke hvis – noget går galt, så er det mere og mere almindeligt, at man klapper i som virksomhed eller offentligt organ.

Hverken offentligheden eller andre aktører i samme sektor får altså den information, der er brug for, så man ikke laver samme fejl andre steder. Vestashacket for nylig var bare ét eksempel. Her kom der kun nyt frem, fordi Version2 gravede Vestas’ filer frem på dark web. Offentligheden og resten af branchen fik kun det absolutte minimum af informationer.

I skærende kontrast udgiver den estiske sikkerhedsmyndighed en årsrapport, hvor der sagligt og åbent fortælles om årets svipsere. Den estiske, digitale myndighed, RIA, blev hacket sidste år. Esternes digitale valgsystem blev delvist kompromitteret af en vred privacyforkæmper, og det har lært dem, at man ikke skal bruge en konkret legacystruktur i deres systemer, lyder det i magasinet.

Det danske CFCS ville aldrig hænge sit beskidte undertøj til tørre på den måde. Der udgives nogle årlige rapporter om trusselsniveauet, der altid er på sit højeste og med en ganske overordnet opgørelse over de største trusler til dato. Men CFCS-maskineriet har offentligheden kun et ganske begrænset indblik i, og retten til aktindsigt er forringet betydeligt på grund af tilknytningen til Forsvarets Efterretningstjeneste.

Et reelt cyberhjemmeværn

Estland har desuden etableret et cyberhjemmeværn. Staten har erkendt, at man ikke kan tiltrække og fastholde alle landets fremmeste it-folk. Samtidig blev det tydeligt i 2014, at når cyberangreb rammer tilpas hårdt og bredt, er der akut brug for netop en større reserve af kompetente it-folk.

Hør Mads Lorenzen fortælle om det digitale våbenarsenal, som hackerne tager i brug i cyberkrigen mellem Rusland og Ukraine i Ingeniørens podcast Transformator:

 

Remote video URL

 

Derfor etablerede man et cyberhjemmeværn, der i forlængelse af det i øvrigt imponerende, konventionelle estiske  hjemmeværn skal hjælpe, hvis statens it-sikkerhed brænder igen.

Danmark har så småt lagt i ovnen til et lignende initiativ, men siden planen om at oprette et cyberhjemmeværn blev præsenteret tilbage i december sidste år, er der ikke sket noget videre. Detaljerne i den cybersikkerhedsstrategi, der skal sikre Danmark i fremtiden, er ikke blevet udformet endnu.

Kritikken af samme runger da også fra flere danske aktører. Den private sikkerhedsbranche mener ikke, deres tjenester skal ­udbydes gratis af en statslig aktør, men sådan fungerer det heller ikke i Estland. Der er et nødberedskab af dygtige mennesker, der ved, hvad deres rolle er, hvis den digitale stat er under angreb. Ikke et rejsehold, der stryger ud, hvis Vestas har mistet persondata igen.

Akkurat som Estlands reelle hjemmeværn ikke beskytter private virksomheders depoter om natten.

Ændrede militærdoktriner

Der er altså flere ting, esterne selv gør anderledes efter angrebene i 2007. Men også Nato har ændret i de konkrete militærdoktriner, der definerer alliancens reaktioner i tilfælde af hackerangreb. Næste gang et land angribes, som Estland blev det, vil Nato være klar med reaktioner, der svarer til angrebets alvorlighed.

Som en direkte konsekvens af angrebet åbnede Natos  Cooperative Cyber Defence Centre of Excellence (CCDCOE) i Tallinn i 2008. Centret har netop afholdt en fælles cyber­øvelse kaldet Locked Shields.

Nato og Estland har altså ­begge samlet deres koordinerende og uddannende kompetencer ét sted. Danmarks er spredt ud over det ganske land. 

6 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
6
6. maj kl. 14:11

Næste gang et land angribes, som Estland blev det, vil Nato være klar med reaktioner, der svarer til angrebets alvorlighed.

Håber, men tvivler, på at NATO har godt nok styr på False Flag Attacks til rent faktisk at kunne udpege og angribe den korrekte skurk. Med al den Fog of War propaganda fra alle sider efter angrebet på Ukraine, kræver dette ekstrem forsigtighed. Den katastrofale sag med Jægerbogen og chefen for informatikafdelingen i Forsvarskommandoen præsterede viser, hvor dårligt påklædt sådanne folk kan være...

5
6. maj kl. 12:47

Det overordnede problem i DK er absolut ikke teknik, og kun i mindre grad organiseringen.

Det handler om etik og mission.

Digitaliseringen er brugt til at udvande ethvert ansvar hos myndighederne.

Først når man har fået lukket det gabende hul, kan vi begynde at se fremad.

Så der er meget at lære af Estland.

4
6. maj kl. 12:19

Tak for en fed artikel. Jeg kan anbefale bestsellerbogen "This is how they tell me the world ends" fra 2021 der også fortæller meget gribende omkring f.eks. NotPetyas indvirkning på Ukraine i 2017. Godt nok husker vi det primært for Mærsk angrebet, men det er virkelig "worst case scenariet" der ramte det meste af Ukraine den dag.

2
6. maj kl. 11:04

Super artikel! Vi kunne sikkert lære noget!

Det nok mere et spørgsmål om "hvornår" og ikke "hvis", vi blive "udfordret" af en af slyngel-staterne (Rusland, Kina og Nordkorea).

Tjaaa, de er jo nok allerede inde :-(

3
6. maj kl. 11:17

Israelske og Ukrainske hackere har nu også bidraget til festlighederne. Og så er der de diskrete hackere (Fort Meade og lign.), der samler data snarere end at vælte korthuset.

1
6. maj kl. 10:55

Forslaget om et dansk cyberhjemmeværn er vist ældre end december 2021, men jeg kender ikke datoen. Det gav anledning til en del fnisen, og det var ikke i december.