En hel stat blev lagt ned af hackere: Det kan vi lære af Estlands cyber-ulykke

Det hele begyndte med en statue, der blev flyttet ud af det centrale Tallinn – der betyder ‘danerby’. Bronzestatuen fra sovjettiden markerede sovjetiske solda­ters gravsted, og Rusland havde inden flytningen givet klart udtryk for skuffelsen over beslutningen.

Pludselig gik Estland i sort. Under en regn af såkaldte DDoS-angreb, der overbelaster it-systemer, gik først myndighedernes sider i knæ. Kort efter fulgte det estiske bankvæsen, ministerier, medier og organisationer. Det var uhørt og et historisk angreb, der med succes lagde store dele af en stat ned fra den ene dag til den anden.

Esterne er overbevist om, at det var russerne, der stod bag – men beviserne er få. Senere tilstod en prorussisk, moldovisk politiker dog at have orkestreret dele af angrebet. Under alle omstændigheder har esterne siden polstret både deres traditionelle forsvar og i allerhøjeste grad også deres digitale beredskab. Ligesom Danmark er vores baltiske naboer mod øst nemlig blandt verdens mest digitaliserede lande.

Det store spørgsmål er så, hvad vi kan lære af esterne, der både er utrolig digitaliserede, og som har gennemlevet en stats digitale mareridt? Version2, har besøgt de organer, der står for sikkerheden i det digitaliserede Estland, og mens der er flere ligheder mellem Estland og Danmark, er der også ting, vi med fordel kan lade os inspirere af her til lands.

En klar ansvarsfordeling

Først og fremmest har esterne en it-minister. Det har været overvejet i flere omgange i Danmark, men selv efter det seneste digitaliseringsfremstød står Danmark fortsat uden en central it-politiker i de øverste, politiske lag. Det på trods af, at it-systemer i Skat, sundhedssektoren og i blandt andet Banedanmark fylder en betydelig del af de danske budgetter og er dybt kritiske for vores digitaliserede nation.

Det betyder, at ansvaret igen og igen ender mellem stolene, især når tingene går skævt. Men det betyder desuden, at indsatsen på it-området er fragmenteret.

Det gælder også for it-sikkerheden i de sektorer, vi er så afhængige af i Danmark. Energisektoren, sundhedssektoren, transport, tele, finans og søfart. Vi er som danskere afhængige af hver og en af dem, men jævnfør den danske cyberstrategi står de alene med hvert deres sektoransvar.

I Estland har de taget tyren ved hornene og har oprettet én offentlig såkaldt CERT (computer emergency response team), der sikrer alle de sektorer, esterne har vurderet som kritiske. Det går ud over staten, hvis de kompromitteres. Det husker esterne, og derfor tager staten med et centralt sikkerhedsorgan ansvar for, at sektorerne ikke bliver det.

Herhjemme fungerer det ganske anderledes. Mens energibranchen eksempelvis tager ansvar for deres egen it-sikkerhed med den privatejede organisation EnergiCERT, forsøger sundhedssektoren at samle kræfterne i den offentlige Sundhedsdatastyrelse.

De to organisationer skal så både arbejde sammen og dele viden på tværs af det offentlige og private samt på tværs af sektorerne – og det samme gælder de CERT’er, de andre sektorer har etableret eller er i gang med at etablere.

Derudover skal de arbejde sammen med Erhversstyrelsen, der er sikkerhedsmyndighed på især tele- og persondataområdet, Digitaliseringsstyrelsen, der har ansvaret for at drive og udvikle blandt andet MitID. Og sidst men ikke mindst skal de samarbejde med Center for Cybersikkerhed (CFCS), der i Danmark har det overordnede ansvar for cybersikkerheden og for at rådgive danske aktører i den komplekse jungle, moderne it-sikkerhed er.

Problemet er bare, at CFCS, modsat sikkerhedsmyndigheden i Estland, er en del af forsvaret. På den ene side skal CFCS som myndighed dele blandt andet information om konkrete cybertrusler samt overvåge den danske infrastruktur med deres sensornetværk. Men på den anden side er der tale om en organisation under de danske efterretningstjenester, der skal beskytte hemmeligheder om nationens sikkerhed. Herunder også digitale hemmeligheder, og det skaber stor frustration blandt flere af de danske CERT’er. 

Som det ses på grafikken nedenfor, er Estlands it-struktur centraliseret, hvilket gør den sårbar for angreb. I Danmark er it-sikkerhedsstrukturen decentral både politisk og praktisk. Hver sektor står selv for at etablere en CERT (computer emergency response team). 

Åbenhed og ærlighed

Det er ellers en kliché i den danske og internatioanle it-sikkerhedsbranche, at man skal snakke om tingene – også når det går galt. Problemet er bare, at når – ikke hvis – noget går galt, så er det mere og mere almindeligt, at man klapper i som virksomhed eller offentligt organ.

Sponseret indhold

Microsoft rykker forretningssoftware op i ny liga med AI – og det sker fra Lyngby

AI

Hverken offentligheden eller andre aktører i samme sektor får altså den information, der er brug for, så man ikke laver samme fejl andre steder. Vestashacket for nylig var bare ét eksempel. Her kom der kun nyt frem, fordi Version2 gravede Vestas’ filer frem på dark web. Offentligheden og resten af branchen fik kun det absolutte minimum af informationer.

I skærende kontrast udgiver den estiske sikkerhedsmyndighed en årsrapport, hvor der sagligt og åbent fortælles om årets svipsere. Den estiske, digitale myndighed, RIA, blev hacket sidste år. Esternes digitale valgsystem blev delvist kompromitteret af en vred privacyforkæmper, og det har lært dem, at man ikke skal bruge en konkret legacystruktur i deres systemer, lyder det i magasinet.

Det danske CFCS ville aldrig hænge sit beskidte undertøj til tørre på den måde. Der udgives nogle årlige rapporter om trusselsniveauet, der altid er på sit højeste og med en ganske overordnet opgørelse over de største trusler til dato. Men CFCS-maskineriet har offentligheden kun et ganske begrænset indblik i, og retten til aktindsigt er forringet betydeligt på grund af tilknytningen til Forsvarets Efterretningstjeneste.

Et reelt cyberhjemmeværn

Estland har desuden etableret et cyberhjemmeværn. Staten har erkendt, at man ikke kan tiltrække og fastholde alle landets fremmeste it-folk. Samtidig blev det tydeligt i 2014, at når cyberangreb rammer tilpas hårdt og bredt, er der akut brug for netop en større reserve af kompetente it-folk.

Hør Mads Lorenzen fortælle om det digitale våbenarsenal, som hackerne tager i brug i cyberkrigen mellem Rusland og Ukraine i Ingeniørens podcast Transformator:

Derfor etablerede man et cyberhjemmeværn, der i forlængelse af det i øvrigt imponerende, konventionelle estiske  hjemmeværn skal hjælpe, hvis statens it-sikkerhed brænder igen.

Danmark har så småt lagt i ovnen til et lignende initiativ, men siden planen om at oprette et cyberhjemmeværn blev præsenteret tilbage i december sidste år, er der ikke sket noget videre. Detaljerne i den cybersikkerhedsstrategi, der skal sikre Danmark i fremtiden, er ikke blevet udformet endnu.

Kritikken af samme runger da også fra flere danske aktører. Den private sikkerhedsbranche mener ikke, deres tjenester skal ­udbydes gratis af en statslig aktør, men sådan fungerer det heller ikke i Estland. Der er et nødberedskab af dygtige mennesker, der ved, hvad deres rolle er, hvis den digitale stat er under angreb. Ikke et rejsehold, der stryger ud, hvis Vestas har mistet persondata igen.

Sponseret indhold

I Forsvarets nye Cyberdivision er ingeniørerne uden efternavn

Cybersikkerhed

Akkurat som Estlands reelle hjemmeværn ikke beskytter private virksomheders depoter om natten.

Ændrede militærdoktriner

Der er altså flere ting, esterne selv gør anderledes efter angrebene i 2007. Men også Nato har ændret i de konkrete militærdoktriner, der definerer alliancens reaktioner i tilfælde af hackerangreb. Næste gang et land angribes, som Estland blev det, vil Nato være klar med reaktioner, der svarer til angrebets alvorlighed.

Som en direkte konsekvens af angrebet åbnede Natos  Cooperative Cyber Defence Centre of Excellence (CCDCOE) i Tallinn i 2008. Centret har netop afholdt en fælles cyber­øvelse kaldet Locked Shields.

Nato og Estland har altså ­begge samlet deres koordinerende og uddannende kompetencer ét sted. Danmarks er spredt ud over det ganske land.