Forsvaret kører på med nye offensive danske cyber-operationer uden omtanke og uden demokratisk debat

Tak til John Foley for med sin store viden at holde fanen højt omkring disse principielle emner.

"Selvom cybervåbene er udviklet til mhp. at støtte Forvaret, så er der ingen garanti for at FE og CFCS samt politikerne ikke kan og vil bruge kapaciteten i andre sammenhænge og situtationer end militære operationer i en større sikkerhedspolitisk kontekst i samarbejde med f.eks. USA."

Jeg kommer til kort her. Jeg er sikker på, at John Foley har ret - offensiv cyberkrig lyder bare helt forkert - men som almindelig borger slår min viden og fantasi simpelthen ikke til mht., hvad "i andre sammenhænge og situationer en militære operationer" rent faktisk betyder, og jeg tror, det gælder størstedelen af borgerne, at vi ikke kan gennemskue den slags. Jeg bliver nødt til at forsøge at gætte: Kunne man f. eks. forestille sig, at Trump (hvis vi ikke er så heldige, at han snart er fortid) kunne finde på at lade den slags indgå i en gang "noget for noget" a la Ukraine, hvor Danmark kan blive presset til at give køb på vores demokratiske principper med lyssky formål? Eller misforstår jeg det? Er det noget helt andet, man kan forestille sig? Kunne det også handle om bekymrende indenrigspolitiske tendenser?

Befolkningen bør oplyses langt bedre om, hvad beslutningen kan afstedkomme og betyde for vores demokrati."

Ja! Jeg er ikke i tvivl om berettigelsen af John Foleys bekymringer - men mht. at forstå konsekvenserne i praksis, er jeg lost, som det nok fremgår af mit forsøg på gæt ovenfor. Det her er et område, hvor tingene skal skæres ud i pap for mig (ja, også det :-)) og - gætter jeg på - en meget stor del af befolkningen. Det er et område, som normalt foregår lidt i det skjulte, og som vi ikke er vant til at gennemskue - men det er der da i høj grad behov for, at vi får hjælp til. Et blog-indlæg med konkrete scenarier ville falde på et tørt sted, og ville være en god start på en sådan debat.

Mange tak, John Foley. Det er meget meget vigtigt, dette her.

Samtidig forlyder det dog, at anvendelsen af cybervåbnet skal godkendes af regeringen og Folketinget, men det er en sandhed med modifikationer.

Politikerne vil give Forsvaret, FE og CFCS nogle rammer (Rules of Engagement), ligesom ved brug af andre våben i konflikter.

^^ Det lyder ikke særligt betryggende, i lyset af de aktuelle udmeldinger fra bl.a. FE.

Vil du fortælle lidt mere om det? Eller måske kan jeg finde det i det lovprogram, som er på trapperne?

Beslutningen om at forsvaret skal have kapacitet til både defensive og offensive cyberoperationer blev taget allerede i forsvarsforliget 2010-14 - og understreget i forsvarsaftalen 2013-17: "Militære kapaciteter er afhængige af en velfungerende IKT-infrastruktur, og det er allerede i Forsvarsforlig 2010-2014 besluttet at afsætte ca. 40 mio. kr. årligt til etablering og drift af en Computer Network Operations (CNO) kapacitet med henblik på at tilvejebringe en kapacitet, der kan gennemføre defensive og offensive militære operationer i cyberspace". Det har derfor været både debatteret og besluttet politisk, så har man fulgt godt med, bør det ikke komme som nogen overraskelse. Hvorvidt man vil anvende kapaciteten (evnen) og til hvilke formål er en anden sag. Men som jeg ser det. er CFCS/FE underlagt præcis samme rammer for politisk/parlamentarisk kontrol som enhver anden anvendelse af statens militære magtmidler.

Det har derfor været både debatteret og besluttet politisk,

Hvor har det være debatteret, Hans Peter H. Michaelsen? Kunne du lægge nogle links?

Men at vi måske er nogen, der har sovet i timen, fordi vi ikke har forstået rækkevidden af dette, er jo ikke et argument for ikke at tage debatten nu - bedre sent end aldrig. Forhåbentlig er det ikke for sent. Omstændigheder kan ændre sig (eks. Trump), og beslutninger kan (forhåbentligt) gøres om, hvis det viser sig klogest at gøre.

Tak, Hans Peter H. Michaelsen.

Jeg tænkte ikke så meget på kapacitet (den skal selvfølgelig være på plads, før man kan angribe).

Hvordan med beslutningskompetencen? (Jeg har set dit svar).

Disse eventuelle og højrisikable offensive cyberangreb imod fremmede stater, som FE-chefen beretter om til Berlingske, skal i så fald udføres parallelt med, at Forsvaret er i gang med en omfattende it-modernisering og reorganisering. Hvilket fremgår af deres sponsorerede sider her på V2 for tiden:

Vi skal have nye processer, nye strukturer og nyt produktionsapparat for al it i hele koncernen.

Siger Kristian Vengsgaard, chef for koncern IT i forsvaret

Vi skal være kundecentriske, videndrevne, hurtige og forbindende. Vi skal gøre det både bedre, billigere og sikrere.

En reorganisering og modernisering, der også inkluderer planer om at samle Forsvarets nuværende 50 datacentre i 1 enkelt, som skal bygges op fra grunden. https://www.version2.dk/forsvaret-enorm-it-modernisering-ny-teknologi-ny... https://www.version2.dk/fyrer-konfettikanoner-utraditionelt-robotics-tea...

kundecentriske

? Her bliver jeg nysgerrig. Hvem er "kunden" i denne henseende?

sagde musen til elefanten, da de gik gennem skoven.

Danskernes selvforståelse er over middel, og især det politiske system. Hver borger i Danmark tæller for virtuelt 10, så vi ender med ca. 50 millioner individer. Nogle er så virtuelle, men hvad gør det?

Ja - vi bor i et glashus, og den krig vil vi tabe. ---- Eller den er allerede tabt, --- vil jeg mene. Vi kan end ikke holde på vores egne penge. Det fundament er allerede "hacket".

mvh.

Jeg tænkte ikke så meget på kapacitet

Du har ret, Louise Klint - spørgsmålet om kapacitet er jo ikke det samme som spørgsmålet om konkret at gå igang med at forberede den slags.

Tak for dine kommentarer Hans-Peter H. Michalesen. Debatten og kendskabet i den brede befolkning kan desværre ligge på et meget lille sted. Det er først med fremkomsten af forsvarets "guidelines" og brugermanual (doktirnen), at det er gået op for folk, at den offensive anvendelse af cybervåben og kapaciteter er ved at være klar, at debatten (og modstanden) rigtigt er kommet igang. Desværre kun alt for lidt i de fleste medier, der for det meste er mikrofonholdere for de der er indstillet på at bruge cybervåben offensivt. Jeg er i øvrigt ikke enig med dig i at CFCS/FE underlagt præcis samme rammer for politisk/parlamentarisk kontrol som enhver anden anvendelse af statens militære magtmidler. Tilsynet med Efterretningstjenesternes (TET) beføjelser er fx meget berænsede og den parliamentariske kontrol og indsigt i hvad CFCS og FE fortager sig er næsten ikke eksisterende. FE og CFCS er ikke underlagt de samme love og bestemmelser som gælder for andre. Foletinget vil ikke skulle godkende hver enkelt mission eller angreb i cyberspace. Det er ikke praktisk muligt. I stedet for vil man sandsynligvis give overordnede instrukser (Rules of engagement), der giver brede rammer for krigsførelsen i cyberspace. Og det er her mine betænkeligheder kommer ind. Militærets brug af offensive cybervåben kan ikke styres og kan få uanede og ikke tilsigtede konsevenser og ramme den danske civilbefolkning med en bommerang-effekt. Se blot på de eksempler vi allerde har været vidner til fx. angrebet på Mæsk og det britiske sundhedsvæsen og mange flere. Brugen af cybervåben vil ekskalere til det startegiske niveau in no time, og give den vi angriber en årsag og undskyldning til at angribe os, hvor vi er svagest, dvs. den vitale og kritiske infrastruktur.

Brugen af cybervåben vil ekskalere til det startegiske niveau in no time, og give den vi angriber en årsag og undskyldning til at angribe os, hvor vi er svagest, dvs. den vitale og kritiske infrastruktur.

Der, hvor jeg bliver træt, er når det bliver talt ned overfor offentligheden, som en meget mere præcis og mindre vidtgående option end at kaste bomber. Det virker lidt, som om man forestiller sig, at man kan ramme et elværk og "blinke lidt med lyset", og så er den sag klaret. Hvis det bliver solgt politisk på samme måde, så er der grund til bekymring; det er hverker mere præcist eller mindre vidtgående, måske tværtimod, fordi det er så svært at vide, hvad man rammer og hvor hårdt, og dermed at overskue konsekvenserne.

Et andet aspekt er, at vi nu har legitimeret cyber-baserede angreb på vores kritiske infrastruktur som modsvar til vores indsats med bomber i f.eks. Libyen eller Syrien. Det kan nok være, at vi skal til at tænke os om, inden vi igen deltager i internationale operationer, for der er ikke de samme logistiske udfordringer ved et cyber-baseret modsvar, som ved et konventionelt.

kundecentriske

Jeg har lidt svært ved at få dette ord ud af min hjerne igen. I min optik er det yderst foruroligende, hvis vores militær nu (også) opfatter sig selv som en forretningsenhed og fungerer efter forretningsprincipper, med forretningsjargon. Det kan give mistanke om, at tech-lobbyen har fået alt for stor magt (også) der, og at også vores militær måske er til salg for højestbydende, i lighed med vore forskningsinstitutioner, hvor den evige kamp om bevillingerne styrer, hvad der skal forskes i?

Så hvem er kunden? Hvorfor bruges dette ord, når vores militær burde være en integreret del af vores samfund - en institution, som har os allesamen som "arbejdsgivere" - og ikke et firma med "kunder"? Kan den tankegang være medvirkende til, at man nu også skal have gang i noget "cyberangrebswarfare"? Hvilke pengeinteresser gemmer sig i skyggerne af dette? Er der eksterne "bevillingsgivere" eller interessenter?

Apropos debatten eller manglen på samme. Du, ligesom jeg, var med da Forsvarsakademiet præsenterede doktrinen (brugsanvisningen) for anvendelse af militære cyberopeartioner både defensivt som offensivt i sidste uge, den 25.september 2019. Du husker sikkert at der ikke blev givet mulighed for at stille spørgsmål eller komme med kommentarer i forlængelse af de fire oplæg. Efter min opfattelse er det ikke sådan man normalt gennemfører en konference. Det var énvejskommunikation af værste skuffe, der alene havde til hensigt at præsentere doktrinen og lukke af for enhver debat samt fortælle, at cybervåbnet offensivt kun er blot et andet værktøj i værktøjskassen, hvilket jeg er uenig i, som du sikkert har bemærket. Arrangørerne af "konferencen" heviste til at man på 1:1 basis kunne få en snak og stille spørgsmål til de enkelte oplægsholdere i pausen. Jeg tolker denne fremgangsmåde som et ønske om at standse enhver uønsket debat og ikke gives muligheder for at stille kritiske spørgsmål.

Når du v2 forsætter med at lave næste ens "nye" indlæg og blogs. Så kan man vel også genbruge kommentare.

Men hvordan vil de angribe. Der er jo ikke nogle af deres "fjender" der er så tåbeligt at bruge det OS, som er allermest stårbar.

Så de få brugebare huller i Linux eller andre OS, er vel hurtigt fundet. Især hvis de er blvet brugt aktiv.

Så skal FE bare få lukket alle huller i Micosoft Windows før der kommer et modangeb, mod vores langt større og mere skrøbelige infrastruktur ?

Jeg undrer mig lidt over nogen af kommentarerne i denne tråd. Man kunne få det indtryk at vi er så lille en mus så vi ikke skal tirre de store spillere som rusland og kina som konstant bombarderer os med forsøg på hacking. Men Initiativet omfatter jo både en forsvar og en angrebs del og så vidt jeg kan skønne fra de mange sager man læser om er der stort behov for oprustning på forsvaret mod cyberangreb. I min egen lille andegård med mit hjemmenetværk lander der ca. 4000 forsøg på at finde åbne TCP eller UDP porte i min router/firewall. Mange af disse ville formentlig resultere i opfølgende angreb hvis de fandt en åben port, og i perioder hvor jeg har eksponeret ssh eller web services til internettet går der ikke længe før det vælter ind med egentlige forsøg med hacking, hvor nogle kan genkendes som ganske sofistikerede forsøg på at udnytte kendte sårbarheder. Og de daglige port scanninger går ofte direkte efter dokumenterede sårbarheder. Ved nærmere analyse kommer mange af disse angreb fra rusland og kina og som konsekvens heraf har jeg lavet geoblocking af disse lande såvel som Nordkorea. Der er efter min opfattelse indlysende behov for oprustning af især forsvaret, men det ville da være utrolig dumt hvis vi ikke udviklede muligheden for angreb - ikke mindst fordi udviklingen af disse færdigheder samtidig styrker forståelsen af hvordan man skal forsvare sig bedre. Og det ville da være utroligt dumt ikke at kunne udnytte cyberangre i en evt. kampsistuation.

Jan Thomsen:

Men det er jo primært angrebsdelen, betænkelighederne går på. Selvfølgelig skal vi kunne forsvare os.

Mht. forsvar så savner jeg i den grad en indsats ift. det mest indlysende forsvar af vores infrastruktur: At man skruer ned for hovedløs digitalisering, som man - belært af erfaringerne - jo ikke kan styre eller sikre ordentligt, og at man hurtigst muligt finder analoge erstatninger og backupsystemer for disse sårbare områder.

Det er jo hul i hovedet, at vi fortsætter med at sætte alt på ét digitalt bræt, og dermed gør os så helt utroligt sårbare. For disse digitale systemer kan jo ikke sikres - ganske som dit uhyggelige private eksemple viser.

Tænk, hvis vi - i stedet for at deltage i den digitale løben løbsk - "afdigitaliserede" disse kritiske infrastrukturer i det omfang, det kan lade sig gøre? Man kan jo ikke særligt godt angribe noget analogt fungerende med digitale våben, vel? Sikke meget sikkerhed mod samfundsmæssigt sammenbrud, vi ville få på den måde.

Man ville ganske vist miste nogle bagdøre til borgernes privatliv, men det ville jeg personligt græde tørre tårer over.

Her er det, den åbenbart grænseløst accellererende "forretningsgørelse" af vore samfundsinstitutioner, gør mig betænkelig. Er det virkeligt samfundets og borgernes interesser, man varetager med denne type "cyberforsvar" - eller er det i virkeligheden nogle forretningsinteresser?

Sagens kerne er at man ikke kan styre, begrænse eller foretage militære cyberoperationer uden at det medfører muligheden for en eskalation ved et kæmpe modagreb fra mange forskellige aktører, herunded fra dem vi angriber. Modangreb, der ville kunne lamme vores sårbare, vitale og kritiske infrastrukturer, med risiko for at det danske samfunds muligheder for at fungere ødelægges. At militæret kan opnå en mindre taktisk fordel i en begræsset mission i udlandet står ikke mål med den ødelæggende effekt og konsekvenser det kan få på Danmarks evne til at overleve. Det er det der står på spil og det debatten burde dreje sig om.

Jeg får det indtryk at respondenterne på mit indlæg mener at hvis vi blot ikke selv har cyber angrebsmidler eller afstår fra at bruge dem vi har, så vil store lande som ikke har disse betænkeligheder afstå fra at angribe os. Men historien viser jo at dette er det rene vrøvl, eller ren ønsketænkning. Ehvervelse af cyber angrebsmidler vil bevirke at vi vil være bedre istand til at forsvare os mod den type angreb. Hvorvidt det skal anvendes i offensiv sammenhæng er jo en anden sag. Men i en evt krigs- eller konfliktsituation er det jo absurd at hævde vi bliver mere sikre ved ikke at kunne gå til modangreb. Siden hvornår har en stat kunnet hævde sin neutralitet ved bevidst at være uden mulighed for gengældelse ? Og alle tanker om afdigitalisering og øvrige teknologiforskrækkelses reaktioner er efter min opftattelse utopi. Man kan ikke stoppe ånden tilbage i flasken. Men vi kunne gøre meget mere for at beskytte os mod den slags. Det er eksempelvis beskæmmende at phishing angreb via "spear-fishing" emails med rigget indhold stadig kan finde sted, uagtet at denne type angreb har floreret nu i årevis. For organisationer og private der har en vedligeholdt stateful firewall som kun tillader trafik initieret indefra er der efterhånden ved at være ganske god sikkerhed - især hvis det interne netværk er segmenteret korrekt og de enheder der befinder sig på nettet er patchet til seneste anbefalinger. Men e-mail er og bliver en akilleshæl - og så er der desværre mange firewalls og hosts som ikke vedligheldes efter best practices. Det burder der fokuseres på i langt højere grad fra internet udbydere såvel som oranisationer - og private i det omfang de evner det.

Det er jo hul i hovedet, at vi fortsætter med at sætte alt på ét digitalt bræt, og dermed gør os så helt utroligt sårbare. For disse digitale systemer kan jo ikke sikres - ganske som dit uhyggelige private eksemple viser.

At kalde det uhyggeligt synes jeg er stærkt overdrevet - det er blot grundvilkår som man skal erkende og sikre sig imod. Jeg ved godt at alle private ikke går så højt op i den slags som jeg selv - men jeg synes det er sjovt at prøve at være på forfront med sikkerheden. . Ved fornuftig håndtering af firewalls og andre tiltag så kan man jo holde disse angreb ude, og i min egen lille have er der således ikke kommet nogen igennem (og ja, det ved jeg rimeligt sikkert). Selv i tilfælde hvor man er tvunget til at åbne firewalls for visse tilgange udefra - eksempelvis web adgang, e-mail, ssh, etc. - så kan sådanne services hærdes mod angreb ved at følge best practices for håndtering af disse., herunder at isolere sådanne services til et afskærmet område (DMZ) af det interne netværk, således at hvis uheldet er ude så isoleres angrebet til et isoleret område. Det største problem er at der er alt for mange eksempler på at firmaer og institutioner ikke følger best practices , med store problemer til følge. Men det vil kræve en oprustning i den måde man håndterer IT infrastruktur i mange virksomheder og institutioner. FOr private er der behov for oprustning fra vores internet service providers. Ved forespørgsel hos min ISP om de lavede sikkerhedsskanninger for sårbarheder på mit hjemmenetværk var svaret nej. Så det gjorde jeg selv og sikrede mig at kun det der skulle være åbent var åbent. Men her kunne ISPer gøre mere - og de kunne især blive bedre til at opdatere kundeudstyr så kendte sårbarheder blev lukket - og tilbyde udstyr som får rettidige opdateringer af kendte sårbarheder.

Tak for svar, Jan Thomsen.

Og alle tanker om afdigitalisering og øvrige teknologiforskrækkelses reaktioner er efter min opftattelse utopi.

Det er også utopi at kunne forsvare os mod cyberkrig - eller bare alvorligt mente større cyberangreb ...I mine øjne mere utopi...

Det er også utopi at kunne forsvare os mod cyberkrig - eller bare alvorligt mente større cyberangreb ...I mine øjne mere utopi...

Fint nok. Det er jo en holdning. Men det ville være fint hvis man så kunne diske op med et alternativ - uden at skulle falde tilbage på en levevis som i det kommunistiske albanien hvor hestkærren var det foretrukne transportmiddel. For hvor langt skal vi falde tilbage i tid - rent teknologisk før der ikke er trusler iflg. din optik ?

Mener du da, at det kan lade sig gøre at forsvare sig mod egentlig cyberkrig, Jan Thomsen?

Mht. hestekærrer og andre stråmænd, så var mit forslag at stoppe amokløbet , som gør os mere og mere sårbare. Og at afdigitalisere på de områder, hvor det kan lade sig gøre.

Samfundet fungerede også for 30 år siden, hvor digitaliseringen kun var en brøkdel af, hvad den er i dag. Den gang kørte man ikke med hestekærrer (jeg er gammel nok til at kunne huske det). Til gengæld var det dengang ikke muligt at sætte hele samfundet ud af drift med ganske få, målrettede angreb, sådan som det er nu.

Digitaliseringen af hele vores samfund er eskalerende selvdestruktiv - og jeg tror godt, at alle de høje herrer ved det inderst inde - de kan bare ikke lade være.

Mener du da, at det kan lade sig gøre at forsvare sig mod egentlig cyberkrig, Jan Thomsen?

Under visse forudsætninger, så ja, så kan vi beskytte os mod den type angreb hvor man skaffer sig adgang til vitale systemer. Cyberkrigs metoder er jo ikke metafysik. Det er jo kendt teknologi med kendte angrebsprincipper og kendte typer af sårbarheder.

Med anvendelse af best practices vil vi kunne eliminere hovedparten af de typer angreb hvor man får adgang til vitale systemer. De skyldes næsten udelukkende kendte sårbarheder hvor der ikke er udviste rettidig omhu og/eller ikke investeret nok i den digitale infrastruktur til at forhindre det.

Med mindre vi gør som russerne har til hensigt - og skabe en "Hoveddør" til russiske netværk, som kan lukkes i tilfælde af trusler mod nationens sikkerhed, så er og bliver vi sårbare overfor Denial of Service attacks som kan lægge vitale systemer ned. Man kunne formentlig løse det mindre radikalt ved at man istedet opbyggede en struktur så man kunne lukke adgangen til vitale systemer så de kunne køre i et lukket netværk uden adgang til internettet. Men det ville kræve store investeringer og en markant omlægning af mange eksisternde netværks strukturer.

For at undgå phishing hvor nogle sender emails med rigget indhold så kunne man jo for organisationer med vitale systemer gå til yderligheder og forbyde alle fil attachments og links til eksterne hjemmesider. Dette er formentlig den største fare lige nu m.h.t. at skaffe sig adgang til vitale systemer. Det er "social engineering" på højeste plan hvor man kortlægger hvem der er de centrale personer og deres roller så man kan sende mails der foregiver at være legitime så folk hopper i gyngen. Det ville elimiere langt størsteparten af denne type angreb, men vil selvfølgelig betyde at mange arbejdsgange som vi idag bruger må lægges om. Men det er vel ok jo mere vitale organisationer og systemer det drejer sig om.

Vi er ikke forsvarløse overfor cyberangreb som nogen i dette forum synes at mene. Men der er for mange der tager for let på det, og investerer for lidt i tid pg penge på at følge best practices. Og DET kan blive dyrt !

M.h.t. min stråmand, så kunne det da også være dejligt hvis du selv kunne pege på hvor du mener man kan rulle digitaliseringen tilbage. Men visse områder der ikke er digitaliseret idag kunne man selvfølgelig anlægge et mere kritisk syn på - jeg synes f.eks. vi skal undlade at lave digitalt udstyr til folekting og kommuner. Sporene fra USA skræmmer her. .

Da jeg underviser i cyberspaceoperationer kan jeg måske hjælpe lidt ift. artiklens budskab om manglende kontrol.

I DK kræver det jf. Grundloven Folketingets samtykke før der kan anvendes militær magt. Folketingsbeslutning B 150 (2017) indeholder fx en passage om, at cyberkapaciteter kan "indgå i det danske militære bidrag." Dette er dog ikke et carte blanche til, at militæret nu bare kan fyre løs i cyberspace. I Rules of Engagement (RoE) lægges der begrænsninger på, hvor meget magt militæret må anvende, i hvilke situationer og hvordan. RoE godkendes på politisk niveau og er klassificerede, da modstanderen ellers kan udnytte dem mod os. RoE kan fx fastlægge, at der kun må anvendes defensive cyberspaceoperationer. I alle tilfælde SKAL Folketinget give sit samtykke, før forsvaret kan gennemføre et angreb "der forventes at skabe en effekt, der kan føre til tab af menneskeliv, personskade og/eller betydelig skade på eller ødelæggelse af fysiske objekter. Det kan både være umiddelbar betydelig ødelæggelse, eller betydelig ødelæggelse som sekundær effekt..." Det fremgår af en redegørelse bestilt af parterne bag forsvarsforliget 2013-17. Herudover har DK udmeldt, at vi anvender folkerettens regler ifm. militære cyberspaceoperationer. Det betyder bl.a. at ALLE cybervåben der udvikles skal igennem våbenscreening og, at overholdelse af krigens love skal vurderes og sikres forud for ENHVER militær cyberspaceoperation. Det betyder bl.a., at der er krav om at begrænse unødvendig skade, om proportionalitet og at kun militære objekter må angribes. I Danmark har vi således en stærk politisk og juridisk kontrol med hvad militæret måtte foretage sig i cyberspace. Hvad efterretningstjenesten (FE) foretager sig i cyberspace har intet at gøre med kontrollen med militæret. For når FE bidrager til Forsvarets militære cyberspaceoperationer, så sker det via den politiske og juridiske kontrol for magtanvendelse skitseret ovenfor. Når FE spionerer mod fremmede stater, så sker det efter de gældende regler for FE's virke og efter de kontrolregler som politikerne har valgt. FE, Forsvaret og Center for Cybersikkerhed (CFCS) er tre separate myndigheder, reguleret af hver sin lov og deres aktiviteter og kontrollen heraf skal ikke blandes sammen. FE spionerer mod aktører i udlandet (formentlig også gennem cyberspace), Forsvaret gennemfører militære operationer i cyberspace og CFCS er DK's cybersikkerhedsorgan. Den netop udgivne doktrin og den snart fuldt operative kapacitet til at gennemføre militære cyberspaceoperationer er alene knyttet til Forsvaret. FE støtter med ekspertise, men deres egne efterretningsoperationer har ikke som sådan noget med militære operationer at gøre.

Redegørelsen kan i øvrigt læses her: https://www.ft.dk/samling/20151/almdel/fou/bilag/170/1663433.pdf

En reorganisering og modernisering, der også inkluderer planer om at samle Forsvarets nuværende 50 datacentre i 1 enkelt, som skal bygges op fra grunden.

Det lyder som en rigtig god ide. Så bliver det også meget nemmere for en evt. fjende at eliminere hele forsvarets IT miljø på een gang. Bare en lille bombe eller for den sags skyld en stor vandslange skulle være nok til at forsvaret må gå over til kommunikation med motorordonnanser - mon der stadig finde Nimbus motorcykler :-) Det lyder absurd i mine ører, men der er nok noget jeg ikke har forstået.

Denne tråd bevæger sig i mange retninger. Lad mig holde fast i den centrale når vi taler cyberoperationer. Det er sikkerhedspolitik - altså statens politik til at fremme statens og befolkningens sikkerhed. Der findes tre centrale virkemidler: Diplomatiske, økonomiske og militære. Informationer (fx. truslen om anvendelse af ovenstående) kan også anvendes selvstændigt eller understøttende til disse.

Som småstat er det (ligesom i skolegården) vigtigt at have gode venner. Det har Danmark bl.a. i NATO og EU. Danmark agerer sikkerhedspolitisk i tæt sammenhæng med vore allierede. I Forsvarsakademiets Cyberdoktrin defineres cyberoperationer som militære aktiviteter i eller gennem cyberspace, der, afgrænset i tid og rum og gennem anvendelse af cyberspacekapaciteter, har til hensigt at opnå militære mål.

Der er tidligere i tråden (Henrik Palbo) redegjort for at de offensive cyberspaceoperationer er underlagt samme parlamentariske og folkeretslige spilleregler som alle andre (militære) operationer. Det hævdes andre steder i tråden at anvendelse af cybervåben eskalerer konflikter, men er der historisk/teoretisk belæg for at hævde dette? Var USA´s aflysning af et konventionelt angreb på Iran til fordel for et cyberangreb en eskalation? (hvis dette fandt sted? - det hævdes der, men det ved vi ikke)

I mine øjne er Forsvarsakademiets FAK) udarbejdelse af cyberdoktrinen et prisværdigt og vigtigt forsøg på at beskrive og definere cyberoperationer i en militær kontekst samt at definere et fælles begrebsapparat. Det er vigtigt og tiltrængt for at skabe forståelse for området internt i forsvaret og for samarbejdet med allierede. Det var ikke min opfattelse at den manglende Q&A på konferencen var et forsøg på at undgå debat - nærmere tværtimod. Men debat er altid sundt, idet man kun riskererer at blive klogere ved at udveksle synspunkter med mennesker man er uenige med. Jeg kan anbefale at man læser cyberdoktrinen http://www.fak.dk/publikationer/Pages/oversigt.aspx?kategori=Cyber&h=Cyber - tillige kan jeg også anbefale interesserede at man ser/hører konferencen om militær cybersikkerhed som Center for Militære Studier (hvor jeg arbejder) gennemførte i Folketinget d. 11 sept. https://www.ft.dk/da/udvalg/udvalgene/fou

I Danmark har vi således en stærk politisk og juridisk kontrol med hvad militæret måtte foretage sig i cyberspace.

Irak, host host ... I dag ved meget få, hvad politikerne vidste og hvad de gik med til. Næppe engang politikerne ved det. FE er næppe underlagt mere kontrol end resten af militæret.

Jeg får det indtryk at respondenterne på mit indlæg mener at hvis vi blot ikke selv har cyber angrebsmidler eller afstår fra at bruge dem vi har, så vil store lande som ikke har disse betænkeligheder afstå fra at angribe os. Men historien viser jo at dette er det rene vrøvl, eller ren ønsketænkning.

Amen.. indtil nu er samtlige kendte våben hurtigst muligt blevet brugt både til forsvar og til angreb.

Digitale våben har også i lang tid (år) været til stede, og har selvfølgeligt som overalt på kloden været brugt i Dannevang.

Nuværende forsvarsministerie hed i Danmark som hos alle krigsministerie før i tiden. Og ministeriets formålet dengang var og i dag er 100% det samme, så her har politikeren fuppet folk med, at "farven blot fik en anden lyd" ;)

Men 98% af befolkningen er da også selv i dag anno 2019 kun optaget af Flipper, Goble og "se mig" "hør mig" medierne samt kattevideoer, porno, godtkøbskram på tilbud og lignende.

De sidste 2% af befolkningen er med rette nok bekymret over, at systemet (endeligt) løfter en flig af den virkelige virkelighed derude i cyperspace, med det glemmer folk når næste skandale ses i medierne. Og pyt.. da maksimalt mindre end en promille - 0,0X%) - af befolkningen (ikke en eneste i folketinget) har den fornøden teknisk indsigt og viden til at bedømme scenario "Krig i cyperspace - for og imod" samt de utallige konsekvenser.

Men indrømmet så er krig en grusom og umenneskelig del af os homo sapiens - en løsning er ukendt. I krig (og kærlighed) anvendes samtlige våben, og hæderlighed samt pænhed er de første to som omgående dræbes.. desværre.

Tankevækkende og positvt, at en mindre gæsteblog i Version2 kan afstedkomme og skabe så stor opmærksomhed og debat som tilfældet er. En debat og udveksling af synspunkter, som fra min side har været savnet og som nu langt om længe , så småt er ved at komme lidt op i omdrejninger. Desværre er der ikke mange medier eller personer, der har forstået, hvad det hele drejer sig om, eller har ønsket at deltage i debatten, udover i denne tråd. En debat som jeg havde håbet på og gerne set gennemført på Forsvarsakademiet (FAK) i forbindelse med præsentationen, den 25. september, af brugermanualen (guidelines) for militærets brug af offensive og defensive cybeoperationer. Desværre ønskede og benyttede FAK sig ikke af anledningen til at igangsætte debatten, med de mange indbudte gæster. I stedet for valgte FAK énvejskom-munikation, som tidligere nævnt. Trods de mange gode synspunkter og forklaringer i tråden oven for, fastholdes at offensive militære cyberoperationer kan få mange utilsigtede og vidtrækkende katastrofale konsekvenser for den danske vitale og kritiske infrastruktur og dermed den danske civilbefolkning, der bliver ofrene. Cyberoperationer er ikke kun endnu et militært kampmiddel, der kan benyttes afgrænset, som det påstås. FE og CFCS (ikke det militære forsvar) besidder og udvikler kapaciteten og våbnet. I visse situationer kan disse stilles til rådighed for militæret, som beskrevet, og kan få de konsekvenser og følger som jeg har tydeliggjort. Men FE og CFCS's kapaciteter og mindre hackerhær (et udtrykt anvendt af chefen for FE, Lars Findsen) kan udover den militære brug også anvendes i andre strategiske og sikkerhedspolitiske sammenhæng. Det hører vi bare ikke så meget om, det er tys-tys og meget hemmeligt.

Jan Thomsen: Tak for svar.

Jeg havde lige brugt 3 kvarter på at skrive et meget langt svar til dig - og så forsvandt det i afsendelsen (GRRRR!). Jeg orker ikke at skrive det hele igen, så jeg nøjes med at opsummere:

Med anvendelse af best practices vil vi kunne eliminere hovedparten af de typer angreb hvor man får adgang til vitale systemer. De skyldes næsten udelukkende kendte sårbarheder hvor der ikke er udviste rettidig omhu og/eller ikke investeret nok i den digitale infrastruktur til at forhindre det.

Her er netop proplemets kerne: Den menneskelige faktor. Den slipper vi aldrig af med, og at læne sig op ad, at den nok kan tæmmes, er i sandhed utopi (tag en gammel psykologs ord for det).

Der er også det problem, at størstedelen af vore digitale systemer i praksis er "internationale" (der har vi i den grad dummet os), og at vi selv kun har kontrol over toppen af isbjerget. Mht. resten er vi udleverede til andre landes, firmaers og aktørers nåde og barmhjertighed. Og intet tyder på hverken vilje eller evne til at føre kontrol med disse - det er ren ønsketænkning.

SKAT, Sundhedsplatformen, samkøring af alle offentlige registre for overførselsindkomstmodtagere, Aula, Movias digitale amokløb, det kontantløse samfund osv. Bare nogle få eksempler, hvor digitalisering ikke har gjort noget godt for os, og hvor det i mange tilfælde bare har gjort os uendeligt sårbare overfor fjendtlige kræfter.

jeg synes f.eks. vi skal undlade at lave digitalt udstyr til folekting og kommuner. Sporene fra USA skræmmer her. .

100% enig - vi har allerede digitaliseret for meget der med den automatiske optælling og indberetning (så vidt jeg har forstået)​

At insistere på et system, som bygger på, at mennesker bare skal holde op med at være mennesker, er både utopi og umenneskeligt. Så er prisen for digitaliseringen blevet for høj.

John Foley:

En debat som jeg havde håbet på og gerne set gennemført på Forsvarsakademiet (FAK) i forbindelse med præsentationen, den 25. september, af brugermanualen (guidelines) for militærets

Var det en lukket konference? Det lyder mærkeligt, at man forsøger at lukke debatten ned på den måde, du beskriver.

Men FE og CFCS's kapaciteter og mindre hackerhær (et udtrykt anvendt af chefen for FE, Lars Findsen) kan udover den militære brug også anvendes i andre strategiske og sikkerhedspolitiske sammenhæng. Det hører vi bare ikke så meget om, det er tys-tys og meget hemmeligt.

Jeg håber, at du vil uddybe dette på et tidspunkt - det er her, jeg er sikker på, at du har ret, jeg mangler bare forudsætninger for at fremmane billeder af de konkrete scenarier. Og hvis man skal have mobiliseret befolkningen, tror jeg, at denne er nødt til at have nogle konkrete billeder at forholde sig til.

I mine øjne er Forsvarsakademiets FAK) udarbejdelse af cyberdoktrinen et prisværdigt og vigtigt forsøg på at beskrive og definere cyberoperationer i en militær kontekst samt at definere et fælles begrebsapparat. Det er vigtigt og tiltrængt for at skabe forståelse for området internt i forsvaret og for samarbejdet med allierede.

Bestemt. Men så mangler vi bare lige debatten.

Amen.. indtil nu er samtlige kendte våben hurtigst muligt blevet brugt både til forsvar og til angreb.

Vi har - så vidt vides - som nation afstået fra kernevåben. Det synspunkt deles ikke af alle nationer, men det har ikke forhindret os i fortsat at have det standpunkt. Der er ikke noget imparativ for at vi skal have alle former for våben i vores offensive arsenal, men der er god ide at opbygge modstandsevne overfor andres brug af dem.

Det er værd at overveje om det bedste forsvar reelt er at angreb, især når vi historisk har set hvordan hensynet til offensive kapacitet har kompromiteret og udsultet defensive hensyn, bl.a. ved at der samles sårbarheder til bunke i stedet for offensivt (!) at få sårbarhederne afhjulpet.

FE, Forsvaret og Center for Cybersikkerhed (CFCS) er tre separate myndigheder, reguleret af hver sin lov og deres aktiviteter og kontrollen heraf skal ikke blandes sammen. FE spionerer mod aktører i udlandet (formentlig også gennem cyberspace) ...

...hhv.

Cyberoperationer er ikke kun endnu et militært kampmiddel, der kan benyttes afgrænset, som det påstås. FE og CFCS (ikke det militære forsvar) besidder og udvikler kapaciteten og våbnet. I visse situationer kan disse stilles til rådighed for militæret, som beskrevet, og kan få de konsekvenser og følger som jeg har tydeliggjort. Men FE og CFCS's kapaciteter og mindre hackerhær (et udtrykt anvendt af chefen for FE, Lars Findsen) kan udover den militære brug også anvendes i andre strategiske og sikkerhedspolitiske sammenhæng. Det hører vi bare ikke så meget om, det er tys-tys og meget hemmeligt.

Det er oplagt at det kan give en skæv debat, hvis den ene part insisterer på betragte forsvarets adskilt fra FE og CFCS, når det så åbenlyst er rodet godt og grundigt sammen og omgæres af så stort omfang af hemmelighedskræmmeri på det politiske plan. Med det sagt, så er eksistensen af en doktrin den mindste af mine bekymringer.

Her er netop proplemets kerne: Den menneskelige faktor. Den slipper vi aldrig af med, og at læne sig op ad, at den nok kan tæmmes, er i sandhed utopi (tag en gammel psykologs ord for det).

Der er også det problem, at størstedelen af vore digitale systemer i praksis er "internationale" (der har vi i den grad dummet os), og at vi selv kun har kontrol over toppen af isbjerget. Mht. resten er vi udleverede til andre landes, firmaers og aktørers nåde og barmhjertighed. Og intet tyder på hverken vilje eller evne til at føre kontrol med disse - det er ren ønsketænkning.

Anne Marie Krogsbøl, jeg er af den opfattelse at man KAN beskytte sig mod cyberangreb, også når man tager den menneskelige faktor i betragtning. Men det vil kræve en anden tilgang end hidtil, og koste mange penge. Men for de kritiske systemer mener jeg ikke vi har noget valg - vi er nødt til at erkende virkeligheden og agere derefter og indføre stringente krav til kritiske systemers netværks arkitektur, hvilke typer indhold der er tilladt i e-mails, samt stringent håndhævelse af best practices.

M.h.t. din bekymring vedr. udenlandske digitale systemer, skriver du ikke hvilke dele af teknologistakken du mener vi selv skulle udvikle. Men hvis det er hele molevitten fra netværksudstyr, operativsystemer, applikationer o.s.v. så forerkommer det mig fuldstændig urealistisk. Udviklingsomkostningerne ville være astronomiske og hvis det endelig lykkedes, s å ville afsætningen være minimal udenfor landets grænser. Hvis man skulle følge den tankegang så ville vi slet ikke have nogen IT infrastruktur - men jeg kunne godt få det indtryk at det var sådan set OK set med dine øjne ? og så er der lige nogle EU udbudsregler der nok ikke ville se med milde øjne på at vi lukkede os om os selv og forbød internationale spillere at byde ind på IT udbud.

Tak for svar, Jan Thomsen.

jeg er af den opfattelse at man KAN beskytte sig mod cyberangreb, også når man tager den menneskelige faktor i betragtning.

Jeg er ikke enig. Der er så uendeligt mange mennesker involveret i disse systemer - man kan ikke undgå brodne kar. Eksemplerne er utallige: https://www.version2.dk/artikel/tidligere-softwareingenioer-yahoo-stjal-...​

Men for de kritiske systemer mener jeg ikke vi har noget valg - vi er nødt til at erkende virkeligheden og agere derefter og indføre stringente krav til kritiske systemers netværks arkitektur, hvilke typer indhold der er tilladt i e-mails, samt stringent håndhævelse af best practices.

Jo, vi har det valg at begynde at tænke mere analogt, for det, du foreslår, kommer efter min opfattelse aldrig til at ske, og jeg tror ikke på, at det ville give tilstrækkelig sikkerhed, hvis det skete. Igen: Den menneskelige faktor.

M.h.t. din bekymring vedr. udenlandske digitale systemer, skriver du ikke hvilke dele af teknologistakken du mener vi selv skulle udvikle. Men hvis det er hele molevitten fra netværksudstyr, operativsystemer, applikationer o.s.v. så forerkommer det mig fuldstændig urealistisk.

Det er muligt at du har ret, men i så fald understreger det min pointe - at vi skal tænke mere analogt, mindre digitalt, for den digitale verden er ikke til at styre, og den gør os alt for sårbare, når den tager kontrollen over vital infrastruktur.

Hvis man skulle følge den tankegang så ville vi slet ikke have nogen IT infrastruktur - men jeg kunne godt få det indtryk at det var sådan set OK set med dine øjne ?

I mine øjne skal den digitale infrastruktur ned på et nvieau, hvor vi faktisk kan styre den nogenlunde forsvarligt. I mine øjne betyder det tilbagerulning/hjemtagning nogle steder. HVIS det kan sikres ordentligt, og i øvrigt ikke også lige skal bruges til overvågning/datamalkning og økonomiske formål, så er det ok - men i øjblikket kan jeg ikke se noget, der tyder på, at det kommer til at ske. Det går lissom direkte imod hele tankegangen bag digitaliseringen.

så er der lige nogle EU udbudsregler der nok ikke ville se med milde øjne på at vi lukkede os om os selv og forbød internationale spillere at byde ind på IT udbud.

Ikke noget godt argument for at spille hasard med den nationale sikkerhed. Hvis ikke der kan findes en forsvarlig måde at drive systemerne på - og det mistænker jeg, at der ikke kan - så må vi finde andre løsninger, eks. analoge. Eller i hvert fald sørge for, at der er tilstrækkelige og fungerende analoge backupsystemer, som ikke kan lægges ned med et enkelt angreb.

Disse eventuelle og højrisikable offensive cyberangreb imod fremmede stater, som FE-chefen beretter om til Berlingske, skal i så fald udføres parallelt med, at Forsvaret er i gang med en omfattende it-modernisering og reorganisering.

Forsvaret er en stor organisation. Uden at vide noget om detaljerne i forsvarets IT enheder, så er jeg 200% sikker på at det er forskellige komptencer der skal til for at lave moderniseringer hhv. defensivt/offensivt cyberangreb.

Ihhhh, hvor vi gungrer sagde musen til elefanten, da de gik gennem skoven.

Danskernes selvforståelse er over middel, og især det politiske system. Hver borger i Danmark tæller for virtuelt 10, så vi ender med ca. 50 millioner individer. Nogle er så virtuelle, men hvad gør det?

Danmark er med i en militær alliance. For at være med skal alle gøre deres. På samme måde som 40 danske F16 fly ikke holder Putin ude, så er det hele alliancens luftvåben der er med til at holde freden. På samme måde med cyberangreb.

Det er fx. kommet frem i forbindelse med den russiske påvirking af det amerikanske valg, at både hollandske og britiske "stats hackere" har leveret oplysninger at stor betydning til amerikanerne.

"jeg er af den opfattelse at man KAN beskytte sig mod cyberangreb, også når man tager den menneskelige faktor i betragtning".

Jeg er ikke enig. Der er så uendeligt mange mennesker involveret i disse systemer - man kan ikke undgå brodne kar. Eksemplerne er utallige:

Selvfølgeligt kan man beskytte sig. Der kræves bare at man tager det alvorligt. Desværre tager meget få organisationer sikkerhed seriøst ... indtil de bliver ramt.

Teknikken er at adskille systemer, at reducere adgangen, at overvåge adgang, defense in depth, need-to-know, mindre tillid, etc. På mange måder det samme som vi har gjort de sidste 200 år når vi ønsker at holde ting hemmelige.

Så hvis fjenden udvikler angrebsvåben må vi også selv gøre det. Afskrækkelse er grunden til at at Sovjet ikke invaderede Europa i årene 1945-1989.

jeg er af den opfattelse at man KAN beskytte sig mod cyberangreb, også når man tager den menneskelige faktor i betragtning. Men det vil kræve en anden tilgang end hidtil, og koste mange penge. Men for de kritiske systemer mener jeg ikke vi har noget valg - vi er nødt til at erkende virkeligheden og agere derefter og indføre stringente krav til kritiske systemers netværks arkitektur, hvilke typer indhold der er tilladt i e-mails, samt stringent håndhævelse af best practices.

Og her var det på sin plads at man brugte pengene på at netop at beskytte sig, istedet for at spekulere i at angribe andre nationer. Det viser - igen - at CFCS er fejlplaceret i forsvarets afdeling for skæg og blå briller. Der er så stort behov for at øge beskyttelsen af vores digitale infrastruktur, hvoraf mange svagheder er aldeles åbenlyse. Det er ganske naivt at forestille sig at hemmeligholdelse kan hjælpe her. Ovenfor er nævnt det tåbelige i at samle al militærets infrastruktur på een lokation. Jeg kan tilføje samfundets centrale angrebspunkt, NemID. Der er ikke meget som tyder på at man vil gøre noget ved den fejlkonstruktion. Så der er ganske meget som peger mod, at dette land slet ikke er klar til, at gå bort fra kartoteksskabe, papir og blyant.

Så hvis fjenden udvikler angrebsvåben må vi også selv gøre det. Afskrækkelse er grunden til at at Sovjet ikke invaderede Europa i årene 1945-1989.

Den analogi med MAD passer ikke helt.

Hvis vi forbedre vores egen infrakstruktur, så den er mere robust, så svare det til et virkende startwars forsvar. Et hvor ikke engang raket dele falde ned i hovede af os, men på modstanderne.

En angebsstyre i IT svare til at købe F35.

Det er meget dyrt, vi ved ikke hvad det vil koste, men det er dyrt Det er ikke sikkert det vil virke, især ikke om 5-10 år, med nye radar og scaningstyper. Det kan ikke så meget andet, og det andet er det dårligt til. Det er ikke sikkert lever tiden er meget lang. Det er så dyrt, at vi ikke har råd tik anden isenkram, som vil være meget mere effektiv, som ubåde. Desuden vil det i fredstid gøre langt mere skade på Danmark, i form af støj, og forbrug af resurser.

Og vi køber det kun. fordi en idiot beder os om det. En idiot vi, over den langesigt på 30-60 år, i stedet skulle se at finde en erstatning for.