Martin Ernst bloghoved

Danmarks Offensive Cyberkapacitet: Ja tak … men vi skal liiiige …

I fredags sad jeg fire timer til høring om ”Danmarks Offensive Cyberkapacitet”. Dette var arrangeret af bl.a. ven af huset, John Foley, IDA m.fl. hvor Forsvarsudvalget var vært. Det blev både broadcastet online via IDA og kunne ses på Folketingets TV over et par gange.

Høringen var blevet til i et ønske om at igangsætte en bredere drøftelse og debat mellem de folkevalgte og befolkningen om Danmarks offensive cyberkapacitet, herunder afdække, hvilken betydning det har og vil få for samfundet og Danmarks forsvars- og sikkerhedspolitik. Høringen stillede endvidere skarpt på behovet for et politisk-strategisk mandat og et tidssvarende lovgrundlag, der opstiller mål, midler og måder, hvorpå Danmark kan og bør anvende offensive cyberkapaciteter.

Arrangementet var godt sat med en række gode indlægsholdere. Bl.a. havde vi input fra Israel, som om nogen mærker ”varmen” fra cyberangreb. Se programmet her.

Cyberangreb er et problem …

Jeg har ikke en dyt forstand på, hvad der skal til for at sikre os. Men jeg deltog, fordi jeg er meget optaget af, hvad det er for en værdi, vi skal beskytte. Altså hvad er business casen for at investere i cybersikkerhed.

Der er en joke på de sociale medier, som viser to billeder. Et billede med en der tæller 25-ører med teksten: Budget til it-sikkerhed inden et nedbrud. Det andet billede forestiller en, som knapt kan få luft, da han er badet i penge med teksten: Budget til it-sikkerhed efter et nedbrud. Vi smiler af det – men det er jo sandt.

Jeg har et par gange italesat dette bl.a. hos Dansk-IT i podcastet, webinar hos ComputerWorld, og i forbindelse med konferencen ”Danmarks bedste business case 2020". For at nævne nogle af mine input.

Og så har jeg blogget om det her på Version2, men det er blandt mine mindst læste blogs. Det forstår jeg ikke. Fordi cyberangreb er et reelt problem i dag – og det bliver kun værre fra nu af.

Som indlægsholderne kom ind på under høringen, er det et uhyggeligt kapløb med hackerne. Lige så hurtigt, at der bliver lukket et hul af softwareleverandørerne, finder hackerne et nyt hul.

Disse angreb kommer – jf. oplægsholderne – i ca. 90% af tilfældene fra hackere, som vil gennemføre berigelseskriminalitet. Den resterende del er fra stater. Jeps, du så rigtig. Andre stater hacker os. Jf. indlægsholderne så var angrebet på Maersk et angreb fra en stat, som en del af en konflikt mellem to stater. Jeg kan også forstå på kilder i transportsektoren, så er de under angreb hele tiden. Senest for et par uger siden var et andet transportfirma ramt – og de tog dem to uger at komme sig igen.

I har sikkert jeres historier – kom gerne med dem.

Har vi krig … eller hur?

Forsvarsminister Trine Bramsen blev i torsdag citeret i JP, hvor hun nu kalder angrebene for »krig«. Den skærpede melding kommer på baggrund af en ny trusselsvurdering, som FE offentliggjorde torsdag. En sikkerhedspolitiskekspert afviser, at man kan definere hackerangrebene mod Danmark som krig.

Dette emne var naturligvis også en del af høringen i fredags. Jeg måtte indrømme, at jeg fik blanke øjne, når der blev talt om, hvorvidt det er defineret som krig eller ej. Og om hvordan man måtte ”slå igen” – og i dette tilfælde med den Cyberkapacitet, som vi har i Danmark.

Som nation har vi klare regler for, hvad der er Danmark. Der er grænser, luftrum etc. Hvis en fremmed magt gør noget, gør vi noget andet jf. en masse regler. Sådanne regler har vi ikke i cyberspace. Det er Wild West. Det er udover de nationer, som vi har talt om, og digitale nationer, som næste har samme suverænitet som nationalstater pga. deres størrelse (som Facebook, Amazone). Men er det ikke ligegyldigt? I cyberspace er der ikke ”lande”? Vi er units, som bliver haacket af andre units?

Helt simpelt handler det om, at hvis nogle gør noget mod os, så kan vi gøre noget som modreaktion. Men hvordan kan det håndteres i cyberspace? Er det et princip eller folkeretlig regel? Denne dialog pågår mellem mange stater – og de er ikke enige. Her er også store juridiske uklarheder – da vi forsat afklarer kernebegreber. Hvordan vi forstår kernebegreberne afgør, om offensive cyberoperationer anses for lovlige eller ulovlige.

Det kan godt være jeg lyder som lægmand her, men hvor er jeg træt af se folk (units) blive skudt på af hackere (stater som ikke stater) – og imens foregår der en juridisk diskussion om, hvad man må. Vi er ramt af ulovligheder – vi må skyde igen. Punktum. Længere er den ikke i min bog.

Vi har brug for at være lidt på forkant her. Måske kunne vi have undgået, at Maersk blev ramt? Jeg tror at den mia. kr. (antageligvis), som Maersk havde brugt på at komme tilbage kunne være godt brugt på noget andet. Måske ville de modangreb havde kost 1/100 del. Se, det ville have være en god business case.

Jeg håber, at vores danske politikere vil fremskynde den juridiske udvikling. Behovet er der.

Hvem har ansvaret?

Jeg mener klart, at vi som nation skal sikre vores borgere, som betaler skat i Danmark imod angreb. Om det så er angreb, som vi kender til fra krig, eller angreb af hackere.

Dette ansvar – tænker jeg som lægmand - skal vel lægges hos en af efterretningstjenesterne. De skal have magt til at skyde, når eller inden nogle når at skyde på os. CfCS er helt sikkert et godt bud, da de allerede har bl.a. CNO viden. Høringen i fredags har vist, at vi langt fra er færdige med at drøfte og behandle det forhold, at Danmark nu har en offensiv cyberkapacitet, der er operativ og meldt klar til brug. Endvidere har Forsvarsministeren i Jyllandsposten meldt ud, at der er ”krig” i cyberspace. Det er jo en ganske kontant udmelding fra den minister, der har cybervåbnet i sit arsenal.

Uanset set hvad – så skal det sikkert være en blivende organisation, da den digitale ufredstid (som åbenbart er et eller andet udefineret mellem krig og fred, som vi kender det i dag) er blevet en permanent tilstand. Det er også dem, som skal skylde tilbage med et kollektiv modforsvar. Det skal hverken ligge hos firmaer eller privatpersoner. Allerede nu kan vi se at Forsvaret er da også begyndt at uddanne ’hackere’.

Det er den eneste måde – tænker jeg – at Danmark kan forblive et forholdsvis sikkert sted (defineret af mange). Hvad tænker I?

Jeg vil slutte af med opsummering fra et oplæg af Tobias Liebetrau, Postdoc, Center for Militære Studier, Institut for Statskundskab, KU.:
• Danmark er i stigende grad udsat for skadelige cyberangreb. De enkeltstående cyberangreb ligger under de juridiske definitioner af krig, men akkumuleret og over tid medfører de betydelige omkostninger for Danmark.
• Danmark besidder en cyberstyrke, der kan anvendes til angreb, spionage og forsvar. En skarp adskillelse mellem de tre funktioner er i dag udgangspunktet for anvendelse af cyberstyrken.
• Danmarks mulighed for at forsvare sig og agere strategisk risikerer at blive alvorligt svækket, hvis ikke adskillelsen løsnes, og den danske cyberstyrke gøres i stand til bedre at imødegå cyberoperationer i ikke-krigssituationer.
• Danmark kan blive foregangsland og standardsætter ved at igangsætte en inkluderende debat om og udarbejdelse af et klart politisk mandat, en strategisk ramme og et tidssvarende lovgrundlag, der leverer et grundlag for anvendelsen af Danmark militære cyberstyrke i den nye normaltilstand af digital ufred.

Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Ditlev Petersen

Det store problem med offensivt cyberforsvar er, at man sjældent kan være sikker på, at man "hævner sig" på de rette. Og det kan sagtens få Danmarks offer til også at ville hævne sig. Det er meget sjældent, at en cyberangreb er signeret, selv om der åbenbart altid er lagt et "clue" (et par ord på russisk). Altså der blev jo fundet et lig i en polsk uniform ved radiosenderen i Gleiwitz, men ...

Skulle man faktisk kunne føre et angreb tilbage til et bestemt land, så er det heller ikke givet, at dette lands regering har noget med det at gøre. Der er jo ret mange meget velorganiserede bander i både Rusland og Ukraine, som ikke nødvendig vis styres af regeringerne. Nogle af dem gør sikkert.

Man har også set eksempler på alvorlige angreb, der viste sig at stamme fra enkeltindivider (script kids), selv om de blev annonceret som klart russiske. Det galdt f.eks. at angreb på det tyske parlament.

Og hvad f... vil vi gøre i Danmark, hvis f.eks. Rusland føler sig kaldet til at slå igen på et angreb fra os?

  • 15
  • 1
#2 Mark Klitgaard

Jeg har svært ved at se hvori business casen for at udføre såkaldt modangreb (med risiko for at ende med at hacke tilfældige aktører fordi det oprindelige angreb var maskeret), hvad er værdien i at alle angriber alle fremfor man investerer i moderne IT-infrastruktur og sikkerhed?

Det er udfordrende, at fra centralt hold af at gå ind og sikre imod digitale angreb, det er lidt nemmere at spotte en fjendtlig tank end en fjendtlig datapakke.

Det er derfor svært at komme udenom det er aktøren selv der skal stå for sikkerheden, og f.eks. kunne angrebet der ramte Maersk, være undgået hvis man havde udvist rettighed omhu og sikret sine systemer efter gældende best practices, og det er klart en løbende proces da det var velkendte fejl der blev udnyttet.

  • 12
  • 0
#4 Claus Bobjerg Juul

Vi er ramt af ulovligheder – vi må skyde igen. Punktum. Længere er den ikke i min bog.

Så når Rusland sender jagerfly ind i dansk luftrum, så skal vi ikke bare sende en jager op, vi skal skyde den ulovlige russiske jager ned?

Der skal være proportionalitet i det vi gør og vi skal være sikker på at vi ikke hævner os på de forkerte.

Personligt mener at, vi som et lille land, skal være langt bedre til at indhente oplysninger og bruge dem. fx have agenter der er aktive på The Dark Web mv. og bedriver reverse engineering på alt hvad de kan få fat i og sørger for at dele oplysningerne med dem som skal beskytte Danmarks interesseer, både offentlige og private virksomheder.

  • 11
  • 1
#5 Nis Schmidt

Lad ps sige vi har et cyberangreb fra X på Y. Hvordan konstaterer man dette? Vi ser kun på hændelser TCP/IP, hvor X har "indstalleret" software på Y's maskine. Vi kan senere se på hvordan X fik det indstalleret - selvom dette spørgsmål nok er det mest interessante her.

Angrebet er igang. Hos Y findes der noget som kan modtage "pakker" fra X. Dvs en "driver" - eller rettere en "vektor" i form af en (hukommelses) adresse i RAM. I teorien kan man finde den adresse og hvilket program, den tilhører. Det er forsvarets numero uno.

Så skal man igang med at finde ud, hvor programmet hos Y sender "svaret" hen. Formentlig ikke direkte til X - og her begynder vanskelighederne at tårne sig op. Lad os sige svaret sendes til Z. Her kommer det aktive forsvar ind i billedet. Vi skal indstallere et program hos Z, som kan finde ud af hvad der sker med pakken fra Y til X. Dette trin skal nok gentages for hver mellemstation Zi; indtil vi når X.

Så kan man overveje eventuelle "modforanstaltninger": skal vi stoppe X eller er det nok at hindre det svar Y sender i at nå X?

Jeg ved ikke hvordan man hacker, fordi jeg havde udfordringer nok med at få software til at virke. Men, jeg har kendskab til SW og hvordan teorien virker.

En hyppig vej ind for X er at lokke en Zi- eller Y-bruger til at køre et program, som indstallerer den software X har brug for hos Y/Z.

  • 1
  • 4
#6 Martin J. Ernst Blogger

Og hvad f... vil vi gøre i Danmark, hvis f.eks. Rusland føler sig kaldet til at slå igen på et angreb fra os?

Jeres kommentarerne viser hvor svært og kompliceret det er med brugen af cybervåbnet offensivt.

Det er et tveægget sværd, som man skal være meget varsom med at bruge. Men jeg mener fortsat, at vi ikke kan nøjes med kun at forsvare os selv. Vi bliver nød til at være et skridt foran vores modstander. Derfor min kommentar om at skyde tilbage. Det er ikke nemt - det medgiver jeg jer.

Det værste er næsten at politikerne ikke endnu har forholdt sig problematikken og heller ikke har sørget for at rammerne for dets brug er på plads, og overlader derfor cybervåben arsenalet til det militære kompleks, der ikke har fået tilstrækkelig med retningslinjer eller instruks fra politkerne, og handler derfor på egen hånd, måske mere til skade end gavn for Danmark. Det med at skyde og så givet det bagslag kommer I også ind på.

  • 4
  • 2
#7 Torben Mogensen Blogger

Og hvad f... vil vi gøre i Danmark, hvis f.eks. Rusland føler sig kaldet til at slå igen på et angreb fra os?

Mogens Glistrup foreslog engang, at Danmark skulle erstatte sit forsvar med en telefonsvarer, der sagde "Vi overgiver os" på russisk. Det er nok ikke løsningen.

Jeg tror heller ikke, at svaret på cyberangreb er cyberangreb i den modsatte retning. Det er nok bedre at bruge diplomati, og hvis det ikke virker aftale økonomiske sanktioner med resten af EU (eller NATO).

Clausewitz sagde, at "krig er videreførsel af diplomati med andre midler". Et korrolar deraf må så være, at man kun tyr til krig, når almindeligt diplomati ikke slår til. Det gælder også cyberkrig.

  • 9
  • 0
#8 Martin J. Ernst Blogger
  • 0
  • 2
#9 Torben Mogensen Blogger

Men det vurderes at kun 10% af de angreb, som vi oplever kommer fra stater. Der kan vi bruge diplomati.

Det kan vi så ikke med de resterende 90%.

De resterende 90% er en blanding af industrispionage, ransomwareangreb, og phishing, Her er forsvar det bedste -- det giver ikke meget mening at svare med cyberangreb -- udover sporing af ophavsmændene, så de kan stilles for civil ret.

Deciderede cyberangreb (udover sporing) vil kun have værdi, hvis man har erklæret krig mod modstanderen.

  • 11
  • 1
#10 Christian Nobel

angrebet på Maersk et angreb fra en stat, som en del af en konflikt mellem to stater. Jeg kan også forstå på kilder i transportsektoren, så er de under angreb hele tiden. Senest for et par uger siden var et andet transportfirma ramt – og de tog dem to uger at komme sig igen.

"Angrebet" på Maersk var ikke målrettet Maersk, men en følgevirkning af, om man så må sige, at befinde sig på det forkerte tidspunkt på det forkerte tidspunkt.

Det største problem fsva. Maersk var deres ukritiske bekendelse til en notorisk usikker monokultur fra Redmont, og især manglende rettidig omhu.

Det giver ingen mening at tale om modangreb - faktisk vil jeg mene at tankesættet er direkte stupidt.

Hvis vi skal gøre noget fornuftigt her i landet, så er det at etablere et kompetent, uvildigt og på ingen måde underlagt krigsministeriet, cybersikkerhedsråd (eller hvad man nu vil kalde barnet) som skal hjælpe og rådgive virksomheder, myndigheder, forsvar, privatpersoner etc, og det skal også være en ordentlig vagthund (med deraf følgende tildeling af ressourcer) omkring datasikkerhed og persondata.

Og cfcUs skal nedlægges - des før des bedre (og røg digitaliseringsforstyrrelsen også på den konto, så ville jeg kun græde tørre tårer).

  • 11
  • 0
#12 Gert Madsen

Men det vurderes at kun 10% af de angreb, som vi oplever kommer fra stater. Der kan vi bruge diplomati.

Det kan vi så ikke med de resterende 90%.

Derfor er det ikke hensigtsmæssigt at den danske stats indsats er lagt i forsvarets afdeling for falske overskæg og solbriller.

Danskerne og danske virksomheder skal hjælpes til at beskytte sig selv, og det kræver en helt anderledes åbenhed og kommunikation, end man på nogen måde kan forvente fra den kant.

Kommunikationen til danskerne kommer mest fra IT-styrelsen, som fortæller at IT er sikkert, og at man skal føle sig helt tryg.

Cfcs meddeler så at det ikke passer, i sine (send-flere-penge-) meddelelser, men kommmunikerer ikke til danskerne.

  • 7
  • 0
#13 Martin J. Ernst Blogger

Derfor er det ikke hensigtsmæssigt at den danske stats indsats er lagt i forsvarets afdeling for falske overskæg og solbriller.

Danskerne og danske virksomheder skal hjælpes til at beskytte sig selv, og det kræver en helt anderledes åbenhed og kommunikation, end man på nogen måde kan forvente fra den kant.

Kommunikationen til danskerne kommer mest fra IT-styrelsen, som fortæller at IT er sikkert, og at man skal føle sig helt tryg.

Cfcs meddeler så at det ikke passer, i sine (send-flere-penge-) meddelelser, men kommmunikerer ikke til danskerne.

Jeg enig i meget af det du skriver.

Dog er ikke alle dansker eller SMV’er for den sags skyld gode til det. I tillæg går udviklingen alt for stærkt. Jeg er selv en lille SMV’er, og jeg har alle flanker åbne. Nogle flanker er endda ukendte for mig – herunder hvor meget jeg er eksponeret, der hvor jeg ikke ved at jeg er eksponeret.

Jeg har også tidligere været inde på i tidligere blogs, at FE er for lukket – og kan tillade sig at lukke ned for info hvis det nu er bekvemt eller truer statens sikkerhed. Jo mere jeg tænker på det jo mere skal det være en enhed fri af FE, som har et oplysende formål. Jo, man må godt få input. Og det har jeg bestemt fået fra jer i kommentarsporet. Tak for de input.

De kommentarer, som I kommer til mig, har jeg virkelig læst med interesse. Jeg anerkender jeres kommentarer – og kan konstatere at I bare ikke syntes det er på nogen måde en god ide.

Så jeg kan konstatere, at det beredskab, som er ved at (eller sikkert allerede er, for det ved vi faktisk ikke) blive etableret bare ikke falder i jeres gode jord. Slet ikke hvis der er planer (eller ikke er, for det ved vi jo heller ikke) om at bruge det. I er bange for at det kommer til at give bagslag.

  • 2
  • 0
#14 Martin J. Ernst Blogger

Marc Schack, adjunkt, Forsvarsakademiet, og Astrid Kjeldgaard-Pedersen, professor, iCourts, Det Juridiske Fakultet, KU har skrevet en kronik i tanten:

Nej, Trine Bramsen, Danmark er endnu ikke i »krig« i cyberspace

Ministerens brug af ordet »krig« er uheldig fra et folkeretligt perspektiv. Som vi vil uddybe i denne kronik, er det helt afgørende for en stats reaktionsmuligheder, om bestemte handlinger falder inden for eller uden for den folkeretlige definition af »krig« – eller med en mere gængs nutidig betegnelse, »væbnet angreb«. Herudover er retorikken uheldig set fra et nationalretligt synspunkt.

Står der ... læs den her: https://www.berlingske.dk/kronikker/nej-trine-bramsen-danmark-er-endnu-i...

  • 3
  • 0
#15 Bjarne Nielsen

"Angrebet" på Maersk var ikke målrettet Maersk, men en følgevirkning af, om man så må sige, at befinde sig på det forkerte tidspunkt på det forkerte tidspunkt.

Nej, NotPetya var angiveligt et russisk angreb (man tilskriver det gruppen "Sandworm") på Ukraine, som løb amok. Et angreb, som byggede på EternalBlue sårbarheden, som NSA forsøgte at holde hemmelig, for at kunne bruge det offensivt, samt et fransk proof-of-concept kaldet Mimikatz.

Og det skete som et såkaldt "supply-chain-attack", hvor man ikke angriber direkte, men derimod angriber indirekte via leverandørerne. Det svarer til at ville skade sin ex ved at forgifte poserne med speltmel i supermarkedet. Hvis der var en server, som man kunne "slukke" i et "offensivt angreb", så stod den i Ukraine, og var angiveligt allerede forlængst taget af nettet.

Så hvem skal man så angribe, for at "statuere et eksempel" eller bare "få hævn", så de tænker sig om to gange næste gang? Ukraine? Rusland? USA? Frankrig?

Nå, men anledningen til at jeg farer i blækhuset er, at Bruce Schneier skriver i The Guardian om at meget aktuelt supply-chain angreb, nemlig SolarWinds/Orion: https://www.theguardian.com/commentisfree/2020/dec/23/cyber-attack-us-se...

Der er ligheder og forskelle. En forskel er, at der ikke er tale om et cyber-krigs angreb, men om simpel spionage, og det gør alle imod alle, og ikke mindst USA imod alle andre, så de vil nok passe på med at kaste den første cyber-sten.

Men det rammer også bredt, så det er ikke kun USA, som bliver ramt, det rammer også os, og sandsynligvis også russerne selv.

Det er massivt, og dermed slår det en pæl igennem ideen om et offensiv cyber-forsvar, og at en cyber-angrebskapabilitet er det bedste cyberforsvar - eller som amerikaner kalder det: "persistent engagement" og "defending forward".

Eller som Schneier selv siger:

If anything, the US’s prioritization of offense over defense makes us less safe.

Maersk blev "collateral damage" i træfning imellem Rusland og Ukraine, men rodårsagen - våbenproducenten, om man vil - var amerikansk cyber-offensiv tænkning, og NSA tro på at EternalBlue kunne være en god ide. Hvis man skal pege på noget, som kunne have forhindret den store skade på Maersk og mange andre, så ville det være, hvis NSA havde tænkt defensivt fremfor offensivt ifm. EternalBlue.

Og samme tankegang har ramt os lige i nakken, også som "collateral damage" ifm. SolarWinds/Orion (angiveligt bl.a. Vestforbrændingen). Vi tænker ikke defensivt nok, og vores modstandskraft svækkes af, at man ser offensive fordele i at bevare usikre systemer og protokoller. Jeg kan, ligesom Schneier, godt undre mig over, at det er et privat firma, som opdager vel historiens største hack af den amerikanske stat - en stat, som efter sigende har investeret massivt i cyber-kapabiliteter. Men måske i de forkerte kapabiliteter?

Derfor kan jeg godt blive skræmt ved tanken om, at vi skulle opbygge en "offensiv cyber-kapabilitet" - ikke mindst fordi at tankerne om at slå først eller "bare" slå tilbage virker ... ugennemtænkte. Og at våbnet lægges i hænderne personerkredse som landets forsvarministre, der sikkert er gode mennesker, som vil os det godt, men nok ikke ligefrem er belastet af dyb indsigt i, hvordan cyberkrig netop ikke er som konventionelle konflikter. De tænker nok også, at der en server, som man kan sætte ud af spillet, og dermed stoppe et "angreb".

...så mangler vi bare en solnedgang, som helten kan ride ind i, efter at have reddet verden.

  • 7
  • 0
Log ind eller Opret konto for at kommentere