Spionchef om cyberangreb: (Hemmeligt) samtykke fra Folketinget er nødvendigt

Illustration: alexskopje / bigstock
Danmarks nye cybervåben skal næste år være i stand til at tages i brug. Det er endnu uklart, hvordan der skal gives tilladelse til angrebene.

En ny cyberenhed bestående af it-eksperter og hackere skal gøre Forsvarets Efterretningstjeneste (FE) i stand til at angribe it-systemer hos andre magter.

Selvom målet er at ramme militære systemer, kan det ikke udelukkes, at angrebene også vil gå ud over civilbefolkninger. Sådan lyder det fra Lars Findsen, der er chef for Forsvarets Efterretningstjeneste.

Det skriver Jyllands-Posten.

Det er dog uklart, hvordan der i fremtiden skal gives godkendelse til sådanne cyberangreb.

Normalt godkendes militære operationer med samtykke fra Folketinget, men denne procedure kan have konsekvenser for effekten af fremtidige cyberangreb, mener FE-chefen.

»Hvis vi fortalte detaljeret om en cybereffekt i folketingssalen, ville vi miste effekten af cybervåbnet på forhånd,« siger Lars Findsen i et interview.

Derimod har medlemmerne tavshedspligt, hvis samtykket gives gennem Det Udenrigspolitiske Nævn i Folketinget. Denne procedure har tidligere været anvendt til at sende jægersoldater på hemmelige missioner.

I en mail til Jyllands-Posten oplyser Forsvarsministeriet, at beslutningen om angreb »normalt vil foreligge i form af en folketingsbeslutning«, som det også hidtil har været praksis. Dog ønsker ministeriet ikke at svare på, om nævnet i en »unormal« situation vil kunne give samtykke til et cyberangreb.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (11)
Gert G. Larsen

Det er vel ikke kun FE, men også det almindelige Forsvaret, der skal kunne anvende det, ikke?
Cyber er vel ved at være en almindelig kampplads ligesom søen og luften i dag?
Er Danmark færdig og klar med definitionen på en cyberkampplads? Hvor er den beskrevet?

Og vi har naturligvis sikret os, at vi er klar til at modstå modangreb, ikke?

Niels Henriksen

Når det drejer sig om et angreb som forsvar så ja så bør det være hemmeligt og kun fåtal der bør vide om det. Hvis målet opsnapper at de er ved at komme under angreb så kan de udføre foranstaltninger som gør angrebet nytteløst.

Jesper Frimann

At kunne ‘bring a gun, not a knife to a gunfight’, er da en god ting. Men måske skulle man også koncentrere sig lidt om ‘cyberforsvaret’ af Danmark. Med den ITficeringsgrad vi har af samfundet i Danmark, er vi selv ekstremt sårbare over for angreb og vores potentielle fjender i mindre grad.
Ud over det så er der meget der tyder på, underdrivelse fremmer forståelsen, at vores infrastruktur (også den militære) er relativt dårligt beskyttet.

// Jesper

Bjarne Nielsen

Cyber er vel ved at være en almindelig kampplads ligesom søen og luften i dag?

Det tror jeg desværre er en meget udbredt og helt forkert opfattelse. Jeg tror, at man betagter det som en kryds imellem vores luftvåbens afvisningberedskab og muligheden for at nedkaste frømandskorpset.

Og ærligt talt som lyder al den snak om "cyber-krig" og "offensive kapaciteter" meget som en ny Maginot linje på mig. Det er forsøget på at udkæmpe næste konflikt på de vilkår som galt i seneste krig (og det helt med vilje, at jeg bruger ordet "konflikt" om fremtiden, og "krig" om fortiden).

Jeg har besøgt et fort på Maginot linjen, og det er en imponerende konstruktion, som løste den stillede opgave for fornem vis. Problemet var bare, at det var den forkerte opgave, som blev stillet, og at løsningen derfor viste sig at være irrelevant.

På samme måde forekommer det mig fuldkommen malplaceret at man poster broderparten af ressourcer ind i Forsvaret og et tilsyneladende ønske om offensiv kapacitet. Vi, som er så nemme at ramme, skal kigge på vors sårbarheder og forsvarsevne før vi taler om at angribe en modstander, som er tilsvarende vanskelig at ramme.

At tro at et "cyber-angreb" kan afværges med et korps af teenage-hackere eller en agent 0000-0000-0111, forekommer utroligt naivt. Vi skal ikke starte med at kigge på modangreb, vi skal starte med at kigge på modstandsevne. Og vi må ikke ofre modstandsevne for at kunne lette modangreb. Ikke sålænge at vi er så meget mere sårbare end vores modstandere.

...men jeg er også bare en gammel sur mand.

Claus Juul

Jeg så gerne at fe/cfcs gik efter at pille div c&c servere ned og alt andet der bruges i angreb på Danmark. Altså alle resurser der kan bruges til at ramme Danmark. Det betyder også at fe/cfcs skal medvirke til at forbedre sikkerheden i systemer, fx dns servere. Altså søge efter sårbarhed.

Kjeld Flarup Christensen

Cyberangreb vil til alle tider være uetiske. Disse angrebstyper burde ikke være mulige overhovedet, og er de, er det nærmere en demokratisk stats opgave at lukke de huller, der gør det muligt.

Der er den store forskel, at på slagmarken, vinder den med de største og de fleste kanoner. Er en server imidlertid sat rigtigt op, ja så kan selv "atombomber" ikke røre den.

Bjarne Nielsen

Jeg så gerne at fe/cfcs gik efter at pille div c&c servere ned og alt andet der bruges i angreb på Danmark.

Nu skal du lige finde dem først. Og hvad gør du, hvis det er en iøvrigt velfungerende router på et hospital i et venligtsindet land, med igangværende aktiviteter, som ikke kan stoppes? Hvad gør du, hvis du ikke opdager det inden du 'piller den ned'? Hvis det er i kontrolsystemet til en dæmning? Etc. etc.

Og hvad får dig til at tro, at der ikke er tale om et mesh-netværk af køleskabe, termostater, microovne, tv, overvågningskameraer etc. Det vel selvfølgelig være bekvemt med en centraliseret struktur, men den kan være kraftigt decentraliseret, randomiseret og med diverse 'dødemandsknapper'. Whack-a-mole, hvor hver sjette muldvarp er en detonator.

Er en server imidlertid sat rigtigt op, ja så kan selv "atombomber" ikke røre den.

Og du kan lægge alle servere med samme hardware, software etc. ned på en gang med et 'zero-day-exploit', også dem som er 'sat rigtigt op' og velpatchede. Eller du lægger deres storage eller netværk ned, så er de ikke meget værd.

Jeg ser umiddelbart to pointer:

  1. Det har er meget anderledes end hvad vi hidtil har set. Vi skal passe på med at bruge erfaringer og genbruge løsninger ukritisk.
  2. Offensiv kapacitet er værdifuldt i forhold til at forstå, hvad der kan angribes og hvordan, og dermed for evnen til at udforme modforanstaltninger. Alt for ofte ser man helt utilstrækkelige løsninger, som konstruktøren selv ikke formår at angribe. Men offensiven bør altid underordnes defensiven (fordi vi er så meget mere sårbare, har vi meget mere at vinde ved styrket modstandskraft). Derfor skal der ikke laves lovgivning om bagdøre eller hordes zero-day-exploit.
  3. Et angreb kan være det bedste forsvar - i nogle særlige situationer. Så det vil være fjollet helt at ignorere offensive kapaciteter. Men at satse stort set udelukkende på dem, og tro at vi i øvrigt kan forsætte vores nuværende ubekymrende kurs, hvor vi ignorer eller fortrænger vores sårbarhed pga. bekvemmelighed, dovenskab, nærighed eller uvidenhed, det er helt forkert.
Hans Nielsen

Hvis man i stedet for at bruge voldsomme metoder og mange penge, så brugt det på at LUKKE huller, og sikker infrastruktur.
Det tror jeg er givet meget bedre ud.

Og måske mulige civile ofre og dødsofre, vandforsyninger, dæmninger, elnet, kommunikation, er Danmark også villigt og klar til at gå ind i den varme krig, der kan komme. Måske "bare" lidt terrorisme ?

Hvordan sikrer man sig at man rammer de rigtigt, og hvordan ved man at det er de rigtige ?

Hvem tager ansvaret og betaler, hvis man i stedet for at ramme nogle hacker i Rusland, som skal bruge 2-3 dage på at være oppe at køre. Men man så samtidigt nedlægger halvdelen af erhverv i vesten, samtidigt med at alle private PC blev inficeret.

Hvis Danmark bruger angriber med en computer virus, der spreder sig bare til 5-10 store virksomheder. Vil de betale de 100-1000 milliarder det koster i udgifter ?

Hvis Danmark angriber med en virus og den angriber "uskyldige" civile, hvordan vil vi så forsvare os, de næste 100 år mod angreb for samtlige hacker i verden. Som svar på denne modbydelighed, se bare på Sonys ?

Computer Virus skal netop betragtes som dens biologisk ligesindede, Et ulovlig biologisk våben, som rammer i flæng, kan spredes uden for nogens kontrol, og gøre også venligsindet områder ubeboeligt og farligt i årtusinde. Når det først er brugt, bliver det meget dyrt udviklet våben ,tilgængelig for alle, meget billigt som for terrorister med adgang til et bryghus. Og en vaccine kan hurtigt udvikles og beskytte dem man ville angribe.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder