Danmarks Offensive Cyberkapacitet: Ja tak … men vi skal liiiige …
I fredags sad jeg fire timer til høring om ”Danmarks Offensive Cyberkapacitet”. Dette var arrangeret af bl.a. ven af huset, John Foley, IDA m.fl. hvor Forsvarsudvalget var vært. Det blev både broadcastet online via IDA og kunne ses på Folketingets TV over et par gange.
Høringen var blevet til i et ønske om at igangsætte en bredere drøftelse og debat mellem de folkevalgte og befolkningen om Danmarks offensive cyberkapacitet, herunder afdække, hvilken betydning det har og vil få for samfundet og Danmarks forsvars- og sikkerhedspolitik. Høringen stillede endvidere skarpt på behovet for et politisk-strategisk mandat og et tidssvarende lovgrundlag, der opstiller mål, midler og måder, hvorpå Danmark kan og bør anvende offensive cyberkapaciteter.
Arrangementet var godt sat med en række gode indlægsholdere. Bl.a. havde vi input fra Israel, som om nogen mærker ”varmen” fra cyberangreb. Se programmet her.
Cyberangreb er et problem …
Jeg har ikke en dyt forstand på, hvad der skal til for at sikre os. Men jeg deltog, fordi jeg er meget optaget af, hvad det er for en værdi, vi skal beskytte. Altså hvad er business casen for at investere i cybersikkerhed.
Der er en joke på de sociale medier, som viser to billeder. Et billede med en der tæller 25-ører med teksten: Budget til it-sikkerhed inden et nedbrud. Det andet billede forestiller en, som knapt kan få luft, da han er badet i penge med teksten: Budget til it-sikkerhed efter et nedbrud. Vi smiler af det – men det er jo sandt.
Jeg har et par gange italesat dette bl.a. hos Dansk-IT i podcastet, webinar hos ComputerWorld, og i forbindelse med konferencen ”Danmarks bedste business case 2020". For at nævne nogle af mine input.
Og så har jeg blogget om det her på Version2, men det er blandt mine mindst læste blogs. Det forstår jeg ikke. Fordi cyberangreb er et reelt problem i dag – og det bliver kun værre fra nu af.
Som indlægsholderne kom ind på under høringen, er det et uhyggeligt kapløb med hackerne. Lige så hurtigt, at der bliver lukket et hul af softwareleverandørerne, finder hackerne et nyt hul.
Disse angreb kommer – jf. oplægsholderne – i ca. 90% af tilfældene fra hackere, som vil gennemføre berigelseskriminalitet. Den resterende del er fra stater. Jeps, du så rigtig. Andre stater hacker os. Jf. indlægsholderne så var angrebet på Maersk et angreb fra en stat, som en del af en konflikt mellem to stater. Jeg kan også forstå på kilder i transportsektoren, så er de under angreb hele tiden. Senest for et par uger siden var et andet transportfirma ramt – og de tog dem to uger at komme sig igen.
I har sikkert jeres historier – kom gerne med dem.
Har vi krig … eller hur?
Forsvarsminister Trine Bramsen blev i torsdag citeret i JP, hvor hun nu kalder angrebene for »krig«. Den skærpede melding kommer på baggrund af en ny trusselsvurdering, som FE offentliggjorde torsdag. En sikkerhedspolitiskekspert afviser, at man kan definere hackerangrebene mod Danmark som krig.
Dette emne var naturligvis også en del af høringen i fredags. Jeg måtte indrømme, at jeg fik blanke øjne, når der blev talt om, hvorvidt det er defineret som krig eller ej. Og om hvordan man måtte ”slå igen” – og i dette tilfælde med den Cyberkapacitet, som vi har i Danmark.
Som nation har vi klare regler for, hvad der er Danmark. Der er grænser, luftrum etc. Hvis en fremmed magt gør noget, gør vi noget andet jf. en masse regler. Sådanne regler har vi ikke i cyberspace. Det er Wild West. Det er udover de nationer, som vi har talt om, og digitale nationer, som næste har samme suverænitet som nationalstater pga. deres størrelse (som Facebook, Amazone). Men er det ikke ligegyldigt? I cyberspace er der ikke ”lande”? Vi er units, som bliver haacket af andre units?
Helt simpelt handler det om, at hvis nogle gør noget mod os, så kan vi gøre noget som modreaktion. Men hvordan kan det håndteres i cyberspace? Er det et princip eller folkeretlig regel? Denne dialog pågår mellem mange stater – og de er ikke enige. Her er også store juridiske uklarheder – da vi forsat afklarer kernebegreber. Hvordan vi forstår kernebegreberne afgør, om offensive cyberoperationer anses for lovlige eller ulovlige.
Det kan godt være jeg lyder som lægmand her, men hvor er jeg træt af se folk (units) blive skudt på af hackere (stater som ikke stater) – og imens foregår der en juridisk diskussion om, hvad man må. Vi er ramt af ulovligheder – vi må skyde igen. Punktum. Længere er den ikke i min bog.
Vi har brug for at være lidt på forkant her. Måske kunne vi have undgået, at Maersk blev ramt? Jeg tror at den mia. kr. (antageligvis), som Maersk havde brugt på at komme tilbage kunne være godt brugt på noget andet. Måske ville de modangreb havde kost 1/100 del. Se, det ville have være en god business case.
Jeg håber, at vores danske politikere vil fremskynde den juridiske udvikling. Behovet er der.
Hvem har ansvaret?
Jeg mener klart, at vi som nation skal sikre vores borgere, som betaler skat i Danmark imod angreb. Om det så er angreb, som vi kender til fra krig, eller angreb af hackere.
Dette ansvar – tænker jeg som lægmand - skal vel lægges hos en af efterretningstjenesterne. De skal have magt til at skyde, når eller inden nogle når at skyde på os. CfCS er helt sikkert et godt bud, da de allerede har bl.a. CNO viden. Høringen i fredags har vist, at vi langt fra er færdige med at drøfte og behandle det forhold, at Danmark nu har en offensiv cyberkapacitet, der er operativ og meldt klar til brug. Endvidere har Forsvarsministeren i Jyllandsposten meldt ud, at der er ”krig” i cyberspace. Det er jo en ganske kontant udmelding fra den minister, der har cybervåbnet i sit arsenal.
Uanset set hvad – så skal det sikkert være en blivende organisation, da den digitale ufredstid (som åbenbart er et eller andet udefineret mellem krig og fred, som vi kender det i dag) er blevet en permanent tilstand. Det er også dem, som skal skylde tilbage med et kollektiv modforsvar. Det skal hverken ligge hos firmaer eller privatpersoner. Allerede nu kan vi se at Forsvaret er da også begyndt at uddanne ’hackere’.
Det er den eneste måde – tænker jeg – at Danmark kan forblive et forholdsvis sikkert sted (defineret af mange). Hvad tænker I?
Jeg vil slutte af med opsummering fra et oplæg af Tobias Liebetrau, Postdoc, Center for Militære Studier, Institut for Statskundskab, KU.:
• Danmark er i stigende grad udsat for skadelige cyberangreb. De enkeltstående cyberangreb ligger under de juridiske definitioner af krig, men akkumuleret og over tid medfører de betydelige omkostninger for Danmark.
• Danmark besidder en cyberstyrke, der kan anvendes til angreb, spionage og forsvar. En skarp adskillelse mellem de tre funktioner er i dag udgangspunktet for anvendelse af cyberstyrken.
• Danmarks mulighed for at forsvare sig og agere strategisk risikerer at blive alvorligt svækket, hvis ikke adskillelsen løsnes, og den danske cyberstyrke gøres i stand til bedre at imødegå cyberoperationer i ikke-krigssituationer.
• Danmark kan blive foregangsland og standardsætter ved at igangsætte en inkluderende debat om og udarbejdelse af et klart politisk mandat, en strategisk ramme og et tidssvarende lovgrundlag, der leverer et grundlag for anvendelsen af Danmark militære cyberstyrke i den nye normaltilstand af digital ufred.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.