Martin Ernst bloghoved

Kan Danmark håndtere en cyberkrise samtidig med coronakrisen?

Noget, som har undret mig er, at den mindst læste af mine blogs i denne tid handler om cybersikkerhed. Jeg mener, at emnet er dybt relevant. Derfor kontaktede jeg en af de store kapaciteter på området; nemlig John Foley.

John Foley og Torben Ørting Jørgensen har i en tidligere kronik her i Version2 med overskriften ”Passes der godt nok på Danmark?”, dateret den 13. februar 2020 (lige før corona), givet deres bud på hvordan problemet kunne løses.

Der sker bare ikke så meget siden.

Vi to – John og mig selv sagde … - satte os sammen (hver for sig naturligvis). Det kom der denne blog ud af …

Hvorfor er cybersikkerhed overhovedet relevant?

Det spørgsmål blev aktuelt i forbindelse med udgivelsen af EUROPOLS rapport i sidste uge. Her blev der advaret om, at et cyberangreb kan føre til ”lammelse af en hel sektor eller et samfund”, og det er ikke længere ”utænkeligt”, at det vil ske.

Samtidig advarer forsvarsminister Trine Bramsen om en stigende cybertrussel mod Danmarks kritiske infrastruktur og fra udlandet udgår der løbende rapporter om daglige angreb mod hospitaler og offentlige myndigheder.

I sidste uge blev Italiens velfærdsinstitut ifølge Reuters ramt, mens det var i færd med at udbetale økonomisk krisehjælp til hundredtusinder af italienere, og i midten af marts forsøgte hackere at bryde ind i Verdenssundhedsorganisationens (WHO) systemer. Det sker alt sammen i en krise uden fortilfælde, hvor den nationale og globale sammenhængskraft afhænger direkte af internettet.

Endvidere udtaler Alexander Urbelis, den amerikanske cybersikkerhedsekspert, der driver Blackstone Law Group, og som overvåger cyberkriminalitet på globalt plan.
”Bølgen af cyberangreb kan true sammenhængskraften i samfundet.” Og han fortsætter:
”En meget uhyggelig tanke er at ufærdige, spekulative analyser om eksempelvis pandemiens udbredelse eller muligheden for at anskaffe en vaccine slipper ud af WHO og bliver offentliggjort. Det kunne skabe omfattende panik.”

I Weekendavisens artikel ”Cybervirus”, udgivet den 6. april 2020 spørger journalist Mads Staghøj forsvarsministeren, hvad befolkningen skal gøre, hvis store dele af samfundet stod uden strøm, som følge af et alvorligt cyberangreb på el-nettet.

Trine Bramsen svarede: ”I Danmark har vi jo et beredskab, der handler om, at man tænder for sin radio eller sit fjernsyn, og så er der varslinger der.”

Forsvarsministeren afslører med sit svar, at hun ikke rigtigt forstår, at hvis strømmen går, så er der heller ingen mulighed for elektronisk kommunikation, herunder brug af TV og Radio. Har man en transistorradio, der kører på batterier kan man godt åbne for den, men det er der ganske få, der har.

Mange har mobiltelefoner, men de løber hurtigt tør for strøm, og kan også være uden forbindelse. Og derudover kan ikke alle bilradioer modtage krisebudskaber, hvis eller når et evt. cyberangreb har afskåret strømmen og tillige sat store dele af it-og telenettet ud af drift.

Forudsætningen for at samfundet kan fungere lige nu, er at vi kan få oplysninger og kommunikere. Kan vi ikke det, kan der hurtigt opstå tumultagtige scener med panik til følge og i værste fald medføre en destabilisering af samfundet.

Trine Bramsen indrømmer, at der er plads til forbedringer. Hun tror, at den her krise kommer til at lære os rigtig mange ting, og hun vil ikke afvise, at netop vores beredskabsinstrukser er noget af det, vi kommer til at kigge på.

Vores påstand er derfor, at beredskabet i Danmark ikke i tilstrækkelig grad er sat i system, eller er i stand til at håndtere mere end én krise. Ligeledes kan der sættes spørgsmålstegn ved regeringens mulighed for at informere borgerne om, hvordan de skal forholde sig, hvis skrækscenariet bliver til virkelighed – noget der i dag ikke virker utænkeligt.

Hvorfor tænker vi ikke mere over det med cybersikkerheden?

Vi kan nok ikke rumme det?

For mange er cybersikkerhed noget, som foregår inde i væggen i nogle ledninger.

Sådan er det med mange ting, som ikke kan ses. Vi har svært ved at forholde os til det, der ikke umiddelbart er synlige for os. Det er derfor, der i forbindelse med forandringer (fra bl.a. business cases og gevinstrealisering) er så meget fokus på måling. På den måde kan vi gøre det usynlige synlige og vise, om vi er i røde felt, og de igangsatte tiltag har en effekt.

Der er bare ikke gode måltal for dette emne. Dvs. vi har ikke fakta, som kan fremkalde en ”Sense of Urgency”, som den gode Kotter skriver om i hans 8 step til god forandringsledelse.

En anden grund kan være, at vi ´bare´ forsøger at overleve. Både privat og i firmaerne. Der er fokus på at få hjemmet til at fungere med hjemmearbejdspladser og børnepasning. Der er fokus i virksomhederne på at få dem til flyde ovenvande i krisetider.

I den brede del af befolkning er cybersikkerhed ikke det første trin i behovspyramiden – men det burde det være sammen med god hygiejne og spritte sine hænder af.

Lige nu bliver borgere og virksomheder nemme ofre. Der bliver trykket på forkerte links i phishing-mails, Skype eller Messenger beskeder, som får store konsekvenser. Falske hjemmesider, som sælger håndsprit og værnemidler (til overpris) og sms´er fra nogle, der udgiver sig for at være offentlige myndigheder. Eksemplerne er mange ... hvad ser I af eksempler derude?

Vil Danmark kunne håndtere mere end én krise?

Det skal vi kunne. Så simpelt er det. Og det kommer vi til, hvis vi ikke begynder at tage problemet alvorligt – helt ned til menig mand og kvinde.

Det kan godt være, at corona lammer lige her og nu på en række områder, men forstil jer at statens lønudbetalinger ikke kan gennemføres? At en bank i Danmark går i sort? At borger.dk med alle vores personlige sundhedsdata bliver hacket? Og at vi ikke kan kommunikere sammen via computere, mobiltelefoner og andre enheder, når krisen er på sit højeste.

Derfor har vi brug for handling …

En god begyndelse ville være at forbedre vores evne og parathed til at imødegå kriser og katastrofer. Cyberberedskabet i Danmark er alt for fragmenteret, ustruktureret og ikke tilstrækkeligt koordineret. På samme måde var sundhedsmyndighederne heller ikke tilstrækkeligt forberedt på at håndtere corona-pandemien. En zig-zack kurs og mange divergerende meldinger og råd har præget myndighedernes udmeldinger, ofte med modsigelser mellem regeringen, Sundhedsministeriet of Statens Serum Institut.

Det bliver spændende at læse evalueringen, som lovet af regeringen.

På it- og cybersikkerhedssiden er det desværre ikke bedre. Som et af de få lande vi normalt sammenligner os med, har Danmark endnu ikke formået at identificere og definere, hvad der forstås ved begreberne samfundsvigtig og kritisk infrastruktur, som (også) indrømmet af Forsvarsministeren, der også er øverste chef for FE og Forsvarets Center for Cybersikkerhed. Der findes hverken en officiel definition eller en indkredsning og prioritering af, hvad der er nationalt kritisk, når et alvorligt cyberangreb rammer fx tele- og energinettet. Det er ikke tilstrækkeligt, at man udpeger en række sektorer som værende kritiske, der skal helt anderledes hårdt benarbejde og forberedelser til. Noget Danmark endnu ikke har taget sig sammen til. Det er for dårligt.

Under den kolde krig havde Danmark planer for, hvordan man sikrede den essentielle infrastruktur, herunder broer, veje, transformatorstationer, jernbaner og rørledninger, men i dag har vi (endnu) ikke de samme planer for, hvad og hvem, der skal sikres, hvis Danmark bliver udsat for et større cyberangreb.

Endvidere ville det klæde vores myndigheder med ansvar for it- og cybersikkerhed at fortælle, hvad de foretager sig af foranstaltninger (24/7) for at beskytte befolkningen under coronakrisen, herunder informere om hvad de oplever af angreb både i Danmark og internationalt, og hvad de gør for at sikre danskerne. Det er ikke tilstrækkeligt blot at fortælle, hvad civilsamfundet og den enkelte borger selv skal gøre og gentager disse budskaber i en lind og ulidelig strøm af banaliteter og almindeligheder.

Det er, som om de danske it- og cybersikkerhedsmyndigheder alene benytter præsident Kennedy’s talemåde: ”Do not ask what your country can do for you? Instead you should ask: what can you do for your country?” Det gælder begge veje, og vi burde som befolkning stille spørgsmålet, ”What is our country doing for us?”.

Til det spørgsmål er der næsten fuldkommen ”radiotavshed” fra myndighedernes side. Det er stort set kun private cybersikkerhedsfirmaer og institutioner, som fx World Economic Forum’s Center for Cybercrime(C3) og CSIS, der på eget initiativ og af egen drift frivilligt (ulønnet) holder os løbende og dagligt orienteret om, hvad der foregår på cyberfronten, bl.a. via de sociale medier. Stor tak til dem.

Men hvordan får vi løftet dette problem i Danmark? For vi skal ikke have flere kriser.

Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kenneth Schack Banner

Jeg kan godt følge bekymringen, men på IT fronten er vi mere udsatte fordi, nu sidder mange hjemmefra og arbejder og er måske ikke i de vante omgivelser, hvor sikkerheden betød meget.. Hvor nu er man i hjemlige omgivelser og tænker ikke så meget på sikkerheden..

Danske internet udbydere har været en stor hjælp til at danskerne ikke har lært hvad sikkerhed er på nettet.

Mange gider eller magter ikke at sætte sig ind i deres computer, det skal bare virke og de skal have alle muligheder.. Det er svært at have alle muligheder uden ulemper af en eller anden art..

Jeg ved ikke hvordan hospitalernes systemer er sat op, men det kan ikke komme som en overraskelse at mange systemer i Danmark efterhånden har været udsatte i lang tid, men at i stedet for at bygge noget nyt, stærkt og godt, så bygger man noget billigt skrammel eller tænker ikke over sikkerhedes problemerne, men at vælge noget folk kender...

Der er vidst også noget med nogle servere/routere mm. som er lidt for gamle.. gadvide hvad status hos de private er på det område? :)

  • 1
  • 0
Deleted User

Og på den bekostning har vi fået en ny bank; som sågar blærer sig med at det hele er gjort hjemmefra! Kun pinligt? Nej tværtimod snakker vi om en fare der er så stor at det kan få konsekvenser for hele landet.

Lad mig sige det på godt russisk; Hvem fanden i helved har givet Lunar en bank licens? Den ledelse er jo skør og farlig! https://frdb.dk/artikel/fejret-vejle-virksomhed-pr%C3%A6senterer-nyt-und...

Og hvis i skulle være i tvivl, så det gjort af: https://www.finanstilsynet.dk/om-os/organisationen/direktionen

Synes i skal læse lidt om Jesper Berg's tidligere karriere og samtdig hvilke samarbejder hans tidligere foretagende har haft med netop Lunar Way og hvordan han har skiftet branche for at benåede dem en banklicens.

Det her move er ikke bare ulovligt, det en skamplet på dansk historie og finanstilsynet gør ikke en skid ved det. Ombudsmanden derimod er interesseret, korrupt har aldrig stået øverst på vores ønskeliste her i landet.

  • 0
  • 1
Maciej Szeliga

...burde slet ikke være "på internettet", det hele burde køre på et isoleret netværk (som i "eget fiber") som igen er opdelt i virtuelle kredsløb for de forsk. brancher samt kommuner, regioner og staten. Kontakten til dette netværk er udelukkende mulig via VPN (fortrinsvis IPsec) og kun til det virtuelle kredsløb man har behov for at nå. Der er to~tre firewalls som er placeret i forsk. landsdele for adgang til netværket. Hele anlægget passes af militæret - de er per definition bedst i krisesituationer - og personer skal selvf. være sikkerhedsgodkendte jf. de normale procedurer.

Borgerportalerne befinder sig også her - hvilket automatisk betyder at borgerne skal have VPN til anlægget.

  • 3
  • 1
John Foley

Lyt også gerne til Anders Kjærulff på NØDRADIOEN (linket), hvor vi også drøfter cybesikkerhed (eller manglen på samme) i en coronatid. Udsendelsen starter med 25 min. indlæg af Stine Bossen, med udgangspunkt i en spritny rapport , som DJØFs TechDK-kommision netop har udgivet - CORONA-KATALOG- , en oversigt over de udfordringer vi står overfor, privatlivsmæssigt og mentalt i en undtagelsestilstandstid. Derefter følger et indlæg med undertegnede af ca. 20 min. varighed, hvor vi kommer ind på en række forhold om cybersikkerhed i en coronatid og beredskab (eller manglen på samme). https://podcasts.apple.com/dk/podcast/n%C3%B8dradio-21-coronakataloget-n...

  • 2
  • 0
Søren Matz

Tak for et godt indspark. Uanset hvad vi gør, får vi flere kriser. Store, små, komplekse, simple, uventede, forudsigelige, irriterende eller altødelæggende. Det er evnen til at håndtere kriser, som er altafgørende. Det handler om resiliens: Et systems evne til at reducere sandsynligheden for at en hændelse indtræffer, evne til at reducere negative konsekvenser af en hændelse og en reduktion af den tid det tager før systemet er genoprettet til en normaltilstand efter en hændelse er indtruffet. Cybersikkerhed, som en pemanent tilstand af lyksalighed, eksisterer ikke. Der er ikke noget politisk quick-fix. Beskyttelse af kritiske infrastrukturer kan ikke løses med en app eller mere digitalisering.

  • 2
  • 0
John Foley

Tak for dine kommentarer, Søren Matz. Specielt er jeg ganske og 100 % enig i dine betragtninger:

Det er evnen til at håndtere kriser, som er altafgørende. Det handler om resiliens: Et systems evne til at reducere sandsynligheden for at en hændelse indtræffer, evne til at reducere negative konsekvenser af en hændelse og en reduktion af den tid det tager før systemet er genoprettet til en normaltilstand efter en hændelse er indtruffet.

Det kan ikke siges bedre eller mere tydeligt. Spørgsmålet er så bare, om vi i Danmark er i stand til at håndtere en cyberkrise med alvorlige angreb på samfundsvigtig og kritisk infrastruktur. Det stiller jeg mig tvivlende overfor. Ikke mindst på grund af den fragmenterede og manglende parathed samt ukoordinerede tilgang som myndighederne udstiller. Alene det forhold at man i Danmark, i modsætning til de fleste andre lande vi normalt sammenligner os med, endnu ikke har taget sig sammen til at firnde ud af hvad og hvordan vi skal beskyttes, forekommer både uansvarligt og ufatteligt.

  • 1
  • 0
René Nielsen

I Weekendavisens artikel ”Cybervirus”, udgivet den 6. april 2020 spørger journalist Mads Staghøj forsvarsministeren, hvad befolkningen skal gøre, hvis store dele af samfundet stod uden strøm, som følge af et alvorligt cyberangreb på el-nettet. Luk annoncenAnnonce

Trine Bramsen svarede: ”I Danmark har vi jo et beredskab, der handler om, at man tænder for sin radio eller sit fjernsyn, og så er der varslinger der.”

Jeg er helt enig i at forsvarsministeren er ualmindelig uvidende, men hvad kan man forvente af en person som hvis erhvervserfaring indskrænker sig til at have siddet ved kassen i Føtex i sin gymnasietid?

Problemet er at folketingets ledende politikkere i erhvervsprofil alle er ligner Trine Bramsen når vi taler om fravær af rigtig erhvervserfaring – altså jobs udenfor politiske organisationer og det sikkerhedsnet som er udspændt under og over disse organisationer.

Jeg ved godt at der nogle folketingspolitikkere som har stået med problemer som forældrelogistik, madpakker, fyringsrunder, hente børn fordi skolen, børnehaven ringede, udsigt til fyring pga. sygdom osv. osv. Men disse personer sidder langt udenfor reel politisk indflydelse.

I USA er der en bevægelse som kalder sig selv ”Preppers” eller ”Doomsday Preppers”. De forbereder sig hver især på at et eller andet bryder sammen, såsom pengesystemet, et nukleart angreb, civile optøjer, udbrud af virus (og det er ikke en vittighed) osv. osv.

Og det er nok der vi er. Du er nødt til at gøre dig dine egne overvejelser om du f.eks. kan leve i en uges tid uden at kunne bruge dankortsystemet pga. hacking af centrale servere.

Jf. denne artikel i Berlingske - https://www.berlingske.dk/globalt/analyse-putin-overspillede-sin-haand-o... har Rusland igennem flere år forberedt sig på et opgør med den amerikanske skiferolieindustri. Og igennem flere år havde opbygget meget store valutareserver til at modstå en oliepriskrig.

Da Coronakrisen så kom, blev denne (vestlige) krise brugt af Rusland til at udløse olieprisangrebet på den amerikanske olieindustri.

At angrebet gik galt, betyder ikke at Rusland ikke har brugt flere år på at forberede angrebet og undervejs har brændt i hundredvis af milliarder dollars af.

Men tænk over at det i realiteten er en uerklæret krig udført på et tidspunkt hvor det andet land er presset.

Så denne blog er allerede overhalet indenom :-)

Men jeg mener at det er urealistisk at personer som Trine Bramsen for alvor kommer ”op i fart” og sørger for at myndighederne faktisk passer på borgerne.

Vi er nødt til – hver især – at forberede os på periodevis at f.eks. mangle strøm, internet, vand og varme. Tag Sverige hvor man i dag råder folk til at havde foråd i hjemmet til mindst en uge, herunder ting som vandrensningssæt, genopladelig radio og lignede.

Det samme gælder virksomheder, at virksomheder er nødt til at forudse nedbrud af centrale systemer og via nødplaner – få virksomheden op og kører igen. Og hellere få lavet planerne i dag – end at stå i l… til halsen om en uge.

  • 1
  • 1
Christian Nobel

Jeg er helt enig i at forsvarsministeren er ualmindelig uvidende, men hvad kan man forvente af en person som hvis erhvervserfaring indskrænker sig til at have siddet ved kassen i Føtex i sin gymnasietid?

Nu drejer det sig nok ikke kun om erhvervserfaring, men at der i tilfældet Trine Bramsen er tale om en person der er decideret ubegavet.

Men hvis erhvervlivet ikke kan bruge en, så er der åbenbart plads i politik.

  • 1
  • 1
Søren Matz

Selv tak John. Vi har jo snakket kritiske infrastrukturer i et årti nu, men den fænger ikke på Slotsholmen. Jeg registrerer med glæde, at man idag på den daglige pressekonference kunne konstatere en vis erkendelse af, at det måske ikke er den mest begavede idé, at man sælger ud af kritiske infrastrukturer til udenlandske investorer. Det er jo en begyndelse, at man indser, at kritiske infrastrukturer, eksempelvis Statens Seruminstitut, vaccine og værnemiddel produktion bør være under dansk demokratisk kontrol. Det er et godt udgangspunkt for reduktion af sandsynligheden for at ødelæggende hændelser indtræffer og et robust beredskab eksisterer indenfor landets grænser, når hændelser indtræffer.

  • 0
  • 0
Log ind eller Opret konto for at kommentere