Kronik: Passes der godt nok på Danmark?

Illustration: Privat

Danmark er det 4. mest digitaliserede land i EU og verden jf. netop offentliggjorte rapporter fra EU-kommissionen (DESI 2019) og IMD World Digital Competiveness rankning.

Det betyder med andre ord, at vi i både den private og offentlige sektor har en særdeles høj internetpenetrering, ligesom den digitale transformation er omsat ambitiøst i Danmark.

Her har både den tidligere og nuværende regering været enige om, at den digitale transformation skal udnyttes positivt af de danske virksomheder og offentlige myndigheder til at skabe nye virksomheder, produkter, software og processer samt øge innovation og forskning til gavn for konkurrenceevne og arbejdspladser.

Indlæggets medforfatter John Foley er stifter og direktør i cybersikkerhedsfirmaet Copits. Illustration: Privatfoto

Teknologien og den digitale udvikling skaber helt nye muligheder for at gentænke og styrke velfærdsstaten. Det har den offentlige sektor i Danmark historisk set været dygtig til at udnytte, og det skal vi fortsat gøre.

Opgaven er at finde en balance, hvor vi både udnytter de mange nye digitale muligheder og samtidig sikrer, at borgerne kan have tillid til myndighedernes og virksomhedernes indsamling og anvendelse af deres data.

Indlæggets medforfatter Torben Ørting Jørgensen er direktør i Profundo Europe A/S. Illustration: Privatfoto Illustration: Privatfoto

Internetkriminalitet stigende

Kriminaliteten på Internettet er desværre stærkt stigende i både omfang og sofistikering og består for langt hovedpartens vedkommende af profit orienteret kriminalitet, hvor kriminelle organisationer stjæler penge, informationer, digitale identiteter, passwords, kreditkort og virksomheder afpresses via såkaldte DDoS angreb eller Ransomware, der har ramt både Maersk, Norsk Hydro og Demant m.fl.

Der er naturligvis også aktivitet i cyberspace fra statslige aktører som fx Rusland, Kina, Iran og andre som primært søger at finde sårbarheder i det nationale forsvar i forbindelse med forberedelse til væbnede konflikter eller subversive formål.

Hvor de kriminelle har alle offentlige eller private virksomheder eller privatpersoner som mål, så har nationalstater interesse i en mindre del af denne målgruppe – nemlig den som kan karakteriseres som kritisk national infrastruktur.

Cybersecurity Ventures har estimeret at udgifter relateret til cyber kriminalitet ville ramme 6 milliader USD i 2021 og Gartner forudser at de direkte udgifter til cyber beskyttelse globalt vil nå 133,7 milliarder USD i 2022.

Langt de fleste cyber angreb er motiveret af profit – nemlig 81 % estimeret af Verizon som også bemærker at SMV – små og mindre store virksomheder – er udsat for 43 % af alle gennemførte sikkerhedsbrud ligesom de er de største modtagere af såkaldte ’phishing mails’ indeholdende malware.

Mange har haft en tendens til at tænke, at bl.a. netsvindel handler om at vi selv er kommet til at kvaje os, har trykket på et link eller gjort noget forkert. Og ofte peges fingre hen mod brugerne, som de formastelige.

Men de store altoverskyggende problemer er svindel, kompromitteringer, spionage og datalæk, som retfærdighedsvist ikke kan påduttes den almindelige bruger af de mange ofte tvugne digitaliserede løsninger.

Marked for informationer

Vi mangler i den forbindelse at diskutere den form for nye muligheder og kriminalitet som Internettet også har potentiale til at levere når alt bliver forbundet til Internettet, når alt har en sensor, når alt bliver lagret og alt bliver bearbejdet af Artificial Intelligence og Machine Learning.

Når Internettet ved hvem vi er, hvad vi stemmer på, hvor vi bor, hvor vi arbejder, hvad vi kan lide og ikke lide, hvor vi er, hvad vi læser, hvad vi ser, hvad vi abonnerer på, køber, fotograferer, hvem vi taler med, sender beskeder til – så opstår der et marked for køb/salg af disse informationer, metadata samt ansigtsgenkendelses data som kan føre til målrettet indsats mod identificerede målgrupper.

Det skaber en række udfordringer, som vi pt. ikke er begyndt at bearbejde, men som teoretisk kan have indflydelse på danskernes holdninger, opfattelse, politiske ståsted mv – man kan måske i fremtiden ’hacke’ vores demokrati.

Og som historien hidtil har vist, så begås disse tiltag ofte af ’vore egne’ kapitalistiske virksomheder, som sælger vores data til højestbydende og som herefter stiller sig til rådighed, som vi så med Cambridge Analytica og som stadigt markedsføres af en lang række vestlige virksomheder og selskaber.

Den offentlige debat har været præget af, at man har italesat at FE’s Center for Cybersikkerhed (CfCS) er det nationale center som hjælper alle danske private og offentlige virksomheder mod kriminalitet i cyberspace.

Efter denne debat og forskellige nye lovinitiativer fremstår CfCS som den danske autoritet på cyberområdet og medarbejdere fra centret optræder i forskellige sammenhænge og på konferencer, hvor de udlægger teksten som dem med det nationale cyber ansvar. Men det er et falsum!

Tobias Liebetrau , Ph.d, Center for Militære Studier, Københavns Universitet, har bl.a. skrevet:

»Det er ikke uden grund, at cybertruslen i dag regnes for en af de absolut største trusler mod Danmark, hvis ikke den største. Den opfattelse gælder både i et nationalt sikkerhedspolitisk perspektiv såvel som i det danske erhvervsliv. Cybertruslen udfordrer på den måde en række af de traditionelle skillelinjer, som vi normalt bruger til at indrette vores samfund og sikkerhedspolitik efter, herunder skellet mellem offentlig og privat. Statens og forsvarets historiske monopol på den nationale sikkerhed er kraftigt udfordret på cyberområdet. Det skyldes dels, at truslen går på tværs af mange af de skillelinjer, som vi normalt organiserer rigets sikkerhed på baggrund af, dels at hovedparten af den kritiske (informations) infrastruktur er privat ejet og drevet.«

Hvem passer på Danmark?

Så CfCS passer på noget af Danmark – en vigtig del, og det er et godt og nødvendigt skridt i den rigtige retning.

Men hvem passer på og hjælper de 99,7 % af danske virksomheder og indbyggere, som ikke efterstræbes af russiske FSB og kinesiske PLA? Dem som er mål for den stigende organiserede profit motiverede kriminalitet som udgør langt den største trussel mod danske virksomheder – store som små – og alle 5,5 millioner danskere.

Hvor går de hen? Hvem ringer de til? Hvor får de råd og dåd, der passer til det trusselsniveau og den risiko de er udsat for?

De udgør jo rygraden i det danske samfund og den del som skal være med til at gøre den digitale transformation til en dansk succes med innovation, start ups og en indbygget sikkerheds- og databeskyttelsesprofil der gør os attraktive globalt og kan starte et virksomhedseventyr, som det vi har set med grøn energi, vindmøller mv.

Ved at influere den offentlige debat med historier om at al cyber kriminalitet kan henføres til fjendtlige nationale stater er det lykkedes at afspore debatten og vi har misset chancen for at opbygge et nationalt, horisontalt og holistisk center der skulle have til opgave primært at beskytte os mod den største del af cyber kriminaliteten samt koordinere den indsats som er iværksat ved knopskydning overalt i den danske centraladministration.

Endnu et cybersikkerhedsråd

For at føje spot til skade har man netop etableret endnu et cybersikkerhedsråd, som er ikke mindre end det 18. i rækken af offentlige instanser, der har til opgave i en eller anden grad at højne it- og datasikkerhed i Danmark for offentlige midler.

I bladet Ingeniørens leder dateret den 13. december 2019 står der: ”Nu kommer det 18. it-sikkerhedsorgan: Spredt fægtning i Danmarks it-forsvar”. Der konkluderes:

»Derfor duer det ikke, at indsatsen mod angrebsivrige kriminelle, der både vil rane vores penge og industrielle ideer, er for svag og ukoordineret - og at for mange enheder parallelt udøver de samme opgaver….«

Og der fortsættes:

»Uanset hvilken afkrog man kigger i, er vi truet af cyberangreb. I dag fremstår beredskabet så fragmenteret og grotesk ukoordineret, at de kriminelle utvivlsomt griner af vores organisering. De ryster i hvert fald ikke i bukserne.«

Bureaukratisk set-up

I Danmark valgte man i 2012, da situationen var en ganske anden, at det overordnede ansvar for sikring af vores samfund blev lagt i hænderne på Center for Cybersikkerhed under Forsvarets Efterretningstjeneste, som generelt er kendetegnet ved lukkethed.

Og man har nu opbygget et gigantisk bureaukratisk set-up med en militær myndighed - Forsvarets Efterretningstjeneste - som en 'edderkop i spindelvævet', der samler både militær og civil information og data såvel indenfor som udenfor rigets grænser. Vel at mærke uden de sædvanlige mekanismer. love og forvaltningsregler, der er gældende for landets øvrige myndigheder.

Ved at placere opgaven under en efterretningstjeneste har man samtidigt begrænset muligheden for transparens og demokratisk kontrol over et område, der i den grad fortjener offentlighed.

Det ligger ikke i en efterretningstjenestes DNA at være åbne. Sådan er det bare og sådan må det nødvendigvis være. Det giver for så vidt god mening at vi har en efterretningstjeneste, der arbejder i det skjulte, men vi har også brug for viden og indsigt fra den civile verden, der kan gå sammen om at løse de opgaver, der kan og skal foregå i det åbne, herunder 'Early warning', her og nu (real time) vidensdeling om igangværende angreb og igangsættelse af modforanstaltninger.

Ganske lidt har med alvorlige cyberangreb der truer landets eksistens, mens hovedparten vedrører cyberkriminalitet, som i lang større grad berører den enkelte borger og samfundet som helhed.

Illustration: Lasse Gorm Jensen

Andre løsninger

Men giver det ikke god mening, at det arbejde, der skal sikre den danske IT-infrastruktur mod angreb fra fremmede stater, foregår bag lukkede døre? Kan der med rette spørges.

Er det tilfældet, så kan man vel bare argumentere for, at efterretningstjenesten udelukkende skulle, lige som i andre lande, tage sig af denne opgave og ikke beskyttelse af al offentlig IT,og så dele det der kan deles, ligesom i dag.

Derfor er der brug for andre løsninger end de foreliggende, der muliggør, at befolkningen kan føle sig tryg og inddrages i kampen mod de kræfter, der vil os det ondt. Inddragelse af alle grene af samfundet er nødvendigt fordi hovedparten af angrebene, ca. 90%, er rettet mod den enkelte borger og de systemer som deres personfølsomme oplysninger ligger (tvangs) oplagret i.

Næsten dagligt kan man læse om de mange sikkerhedshændelser, læk og fejl, som befolkningen, virksomheder og institutioner udsættes for.

Angreb som dag for dag er med til at undergrave befolkningens tillid. Og i værste fald kan betyde en undergravning af tilliden til vores myndigheder og institutioner og dermed nedsætte vores overlevelsesevne og ultimativt true og afskaffe demokratiet, som vi kender det.

Dirigent mangles

Den største udfordring er fraværet af en samlende og koordinerende instans, der kan bringe alle relevante aktører til at arbejde sammen, ligesom en dirigent, der evner at få et stort orkester til at spille harmonisk sammen.

Udgangspunktet for etableringen af Center for Cybersikkerhed i 2012 var frygten for, at fremmede magter skulle undergraver det danske samfund igennem et velorkestreret cyberangreb eller spionage mod myndigheder og virksomheder.

Tiden er nu en anden og der bør findes andre muligheder og løsninger på at sikre Danmark bedre. Som det ser ud nu passes der ikke godt nok på Danmark og dets befolkning.

Danmark bør lade sig inspirere af udlandet. Imødegåelsen af cyberkriminaliteten forudsætter en langt bredere og samfundsforankret indsats og kompetencer, end det, Center for Cybersikkerhed kan præstere og ønsker at bidrage til. Her kunne man med fordel inddrage de erfaringer, der blandt andet er høstet i Israel.

Det israelske cyberforsvar startede også under efterretningstjenesten, men i erkendelse af, at det ikke var den rette placering, blev det samlede ansvar overdraget til en nyoprettet civil myndighed placeret direkte under den israelske statsministers kontor. Den civile myndighed hedder: National Cyber Directorate og er en del af Prime Ministers Office.

Myndigheden har formået at samle alle gode kræfter under én hat, så både civile og militære trækker på samme hammel. Og det virker.

De arbejder tæt sammen med både politi og den interne og eksterne efterretningstjeneste, men har et civilt fokus som skal øge det israelske samfunds modstandskraft overfor internet baseret kriminalitet, øge awareness, vidensdele og stimulere forskning, innovation og start-ups.

Civil ramme?

I erkendelse af at den eksisterende måde at organisere sig på i Danmark ikke virker, skal der findes andre og bedre løsninger tilrettet vores forvaltningskultur og andre hensyn, og det haster.

Udfordringen er fraværet af en overordnet samlende og koordinerende instans, der kan bringe alle relevante aktører til at arbejde sammen. Og den opgave kan ikke overlades til en militær efterretningstjeneste. Det har man erkendt i Israel, der på mange områder er sammenligneligt med Danmark.

Hvorfor lærer vi ikke at de israelske erfaringer, der har fastslået at cybersikkerhed er et bredt samfundsanliggende, der ikke kan forvaltes af en efterretningstjeneste. Der skal passes bedre på Danmark.

Første skridt kunne være, at vi får afdækket om præmisserne for den politiske beslutning om at placere det samlede ansvar for området under Forsvarets Efterretningstjeneste fortsat holder vand eller om der ikke nærmere er behov for, at placerer ansvaret for den overordnede koordination af området i en civil ramme på højeste niveau i centraladministrationen.

Statsministeriet skal ind i kampen, så alle kræfter kan forenes om opgaven. Cybersikkerhed er et anliggende for os alle. Og, nej, der passes ikke godt nok på Danmark. Det kan og skal gøres meget bedre.

Fælles international interesse

Derudover skal Danmark også være i stand til at samarbejde bedre internationalt. Der er ingen nationer, der har interesse i at lade cyberkriminelle berige sig ved kriminel aktivitet.

Alle nationer, herunder USA, Rusland, Kina og EU-landende har en fælles interesse i, at pengestrømme og samhandel forløber effektivt og uden problemer.

Denne målsætning opnås kun ved internationalt samarbejde, og det skal naturligvis forestås af en instans og organisation, der kan sikre dette.

Det er ikke for sent, men det haster med at finde løsninger, der kan sørge for at der passes bedre på Danmark, end tilfældet er i dag.

Hvis det blev gjort efter grundigt forarbejde så ville grundlaget for en positiv og profitabel digital transformation af Danmark være lagt samtidig med at vi sikrede Danmark bedst muligt til at modstå de digitale risici og angreb der rammer alle på nettet - men hvor de, der er bedst sikret, har den største mulighed for overlevelse og succes.

Svaret er enkelt.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 John Foley

Tak for din reaktion på kronikken. Når du alligevel har brugt en del tid på at besøge min hjemmeside, kunne du der læse, at jeg har mere end 30 års erfaring som uddannet militærteknisk- og sikkerhedsofficer i Forsvaret, herunder med it- og cybersikkerhed som speciale. Og på min LinkedIn profil kan du læse, at jeg derudover har arbejdet 5 år i It- og Telestyrelsen (Sikkerhedskontoret) og derefter ca. 2 1/2 år i FE, hvor jeg bl.a. arbejdede med gennemførelse af nationale og internationale cybersikkerheds-øvelser(Red Teams), og har været med i arbejdet med at etablere det der nu er blever til CfCS. Så det faglige grundlag for kronikken må siges at være i orden, skulle jeg mene. At vi så ikke er enige om, hvordan der bør og kan passes bedre på Danmark er en anden sag. Tilbage står, at der er et udtalt behov for en bedre koordination(kronikkens pointe) end hidtil af kampen mod de cyberkriminelle i m.fl. i Danmark. Det er det Torben Ørting Jørgensen (pens. viceadmiral) og jeg har forsøgt at rejse en debat om og anvise løsninger på. Torben Ørting Jørgensen har i øvrigt i de sidste 5 år været særdeles engageret i samfundsdebatten om behovet for bedre at sikre Danmark, ved bl.a. at arrangere høringer på Chrisinasborg og været taler og ordstyrer på mange cybersikkerhedskonferencer. Der hvor jeg kommer fra har det altid været god latin at anvise og foreslå løsninger i stedet for kun at kritisere..

  • 11
  • 0
#3 Søren Matz

Kære John og Torben. Tak for jeres kronik. Jeg må skuffe jer med, at alle os 'ældre herrer' trænger til nye briller. Sidste år skimtede vi lys for enden af tunnelen https://www.version2.dk/blog/langt-laenge-lys-enden-tunnelen-1088211? Jeg har pudset mine briller mange gange siden valget, men jeg må med beklagelse konstatere, at der ikke er det mindste glimt i tunnelen. Det nye sort er kulsort. Intet nyt under solen dér. Kun hvid støj og statiske hyletoner. Tryghedspakke og lemlæstelse af RIPOL. Det er jo helt væk.

Jeg forsøgte forleden at tegne for mig selv, hvordan de mange forskellige råd hænger sammen. Det blev til noget af et klatmaleri skal jeg lige hilse at sige. Så gik det op for mig, hvorfor pladen er smurt så fuld. Jo flere stole du sætter ind i salen, des nemmere er det at finde én at sidde på, når musikken stopper. Så er der større sandsynlighed for at blive hængende længere i gamet.

Jeg tror det var på Mind the Gap konferencen på Christiansborg, at flere deltagere fremhævede, at der er et betragteligt kommunikationsproblem, når FE eller CfCS skal op på ølkassen og forklare hvordan tingene skal hænge sammen. Det er jo ikke deres fejl. Det er hverken deres kernekompetence eller deres ansvar.

Det er jo de folkevalgte, der skal sige det, som er tvingende nødvendigt at sige, hvis der skal styr på det her digitale halløj. Det er jo det, de får deres løn for. Problemet er, at selvom det er presserende at sige det, som skal siges, vil de folkevalgte ikke sige det, fordi de frygter, at der ikke er nogen, som vil høre det. Det kan jeg da godt forstå. Der er grund til at tale med store bogstaver, når det her digitale eksperiment skal på plads. Det er ikke alle, der tør sige det, som skal siges, når det skal siges med store bogstaver. Og det er bestemt ikke alle, som vil høre det.

Indledningen til denne kommentarstreng viser jo med al tydelighed, at når man diskuterer sikkerheds- og kriminalpolitiske emner med grødfadet, kan enhver debat hurtigt gå ned i shitstorm og flaming.

Har man ikke fulgt med og set hvad andre lande har gjort for at tæmme det sektorspecifikke planlægningsprincip, så er man bagud på point. Så kan enhver diskussion hurtigt gå op i hat og briller.

Alle vore naboer har efterhånden fået en stærk central tværsektoriel koordination på plads. Det er åbenbart svaret. Det virker. I den henseende er Danmark bestemt ikke på omgangshøjde. Selvom det kommer til at koste spidsen af en jetjager, er det alligevel et helt enkel svar. Det er en nødvendig, men også presserende løsning, der kan gå hen at blive en meget klog investering.

Jeg er så taknemmelig for, at i begge tør at sige det, som skal siges.

  • 9
  • 0
#4 Søren Matz

Denne kommentar er et typisk eksempel på 'Doxxing', hvor formålet er nedladende udskamning af forfatterne til denne kronik på baggrund af en helt igennem amatøragtig OSINT. Det er vederstyggeligt og burde slet ikke forekomme på et redaktionelt kontrolleret medie som Version2. Det er jo det rene Facebook.

  • 11
  • 1
#5 Søren Hetland Basse

Tak for en god artikel med et gennemtænkt og brugbart løsningsforslag. Som lagkagediagrammet viser er 88,5 % af angrebene motiveret af profit. Ved at have dette for øje kunne man passende omlægge skattesystemet til nutidens/fremtidens virkelighed, ved at pålægge enhver internet transaktion en mikro beskatning. En sådan beskatning ville med et slag reducere profitabiliteten,og dermed antallet af angrebene voldsomt, således at artiklens forslag bliver mere effektivt og realiserbart. Da "Erik Plovpennig" (1232 - 1250) lagde skat på hver af rigets plove var det heller ikke populært, selvom princippet set på den lange bane var det rette!

  • 6
  • 0
#7 Jens Dalsgaard Nielsen

Det ville nu være rart hvis nogle af de ærede læsere forholdte sig indhold istedetfor om parykken ergrå/ulden/væk/rød og det samme med rynker ... for nu at sige det pænt (ellers vill jeg havde brugt ord som flabet og uforskammet når man går efter personerne istedet).

Et indlæg bidrage og bringe debatten videre - ellers er det intet bevendt.

Og

jeg er enig med forfatterne. Er der 18 instancer der har ansvar på et eller andet niveau er det jo reelt at ingen har ansvar.

mvh og god dag til alle

Jens

  • 8
  • 0
#9 Troels Oerting

En eller anden skrev en nedsættende kommentar om de to forfattere. Jeg spurgte ham hvem han selv var - men jeg kan nu ikke længere finde dette indlæg sin jeg går ud fra man har slettet. Hvorfor er det slettet? Var det en troll eller en bot eller ? Det kunne være rart at få at vide.

  • 1
  • 0
#10 Torben Ørting Jørgensen

Sm det fremgår at linket til DR's udmærkede redegørelse for ISS hackingen, så er der igen tale om simpel berigelseskriminalitet. Er det ikke på tide, at vi er kender, at dette i øjeblikket er den største udfordring og indretter os i overensstemmelse hermed som foreslået i kronikken. https://www.dr.dk/nyheder/penge/iss-ramt-af-hackerangreb-formaalet-var-a...

  • 2
  • 0
#11 Torben Ørting Jørgensen

Sm det fremgår at linket til DR's udmærkede redegørelse for ISS hackingen, så er der igen tale om simpel berigelseskriminalitet. Er det ikke på tide, at vi er kender, at dette i øjeblikket er den største udfordring og indretter os i overensstemmelse hermed som foreslået i kronikken. https://www.dr.dk/nyheder/penge/iss-ramt-af-hackerangreb-formaalet-var-a...

  • 1
  • 0
Log ind eller Opret konto for at kommentere