Kan Danmark håndtere en cyberkrise samtidig med coronakrisen?
Noget, som har undret mig er, at den mindst læste af mine blogs i denne tid handler om cybersikkerhed. Jeg mener, at emnet er dybt relevant. Derfor kontaktede jeg en af de store kapaciteter på området; nemlig John Foley.
John Foley og Torben Ørting Jørgensen har i en tidligere kronik her i Version2 med overskriften ”Passes der godt nok på Danmark?”, dateret den 13. februar 2020 (lige før corona), givet deres bud på hvordan problemet kunne løses.
Der sker bare ikke så meget siden.
Vi to – John og mig selv sagde … - satte os sammen (hver for sig naturligvis). Det kom der denne blog ud af …
Hvorfor er cybersikkerhed overhovedet relevant?
Det spørgsmål blev aktuelt i forbindelse med udgivelsen af EUROPOLS rapport i sidste uge. Her blev der advaret om, at et cyberangreb kan føre til ”lammelse af en hel sektor eller et samfund”, og det er ikke længere ”utænkeligt”, at det vil ske.
Samtidig advarer forsvarsminister Trine Bramsen om en stigende cybertrussel mod Danmarks kritiske infrastruktur og fra udlandet udgår der løbende rapporter om daglige angreb mod hospitaler og offentlige myndigheder.
I sidste uge blev Italiens velfærdsinstitut ifølge Reuters ramt, mens det var i færd med at udbetale økonomisk krisehjælp til hundredtusinder af italienere, og i midten af marts forsøgte hackere at bryde ind i Verdenssundhedsorganisationens (WHO) systemer. Det sker alt sammen i en krise uden fortilfælde, hvor den nationale og globale sammenhængskraft afhænger direkte af internettet.
Endvidere udtaler Alexander Urbelis, den amerikanske cybersikkerhedsekspert, der driver Blackstone Law Group, og som overvåger cyberkriminalitet på globalt plan.
”Bølgen af cyberangreb kan true sammenhængskraften i samfundet.” Og han fortsætter:
”En meget uhyggelig tanke er at ufærdige, spekulative analyser om eksempelvis pandemiens udbredelse eller muligheden for at anskaffe en vaccine slipper ud af WHO og bliver offentliggjort. Det kunne skabe omfattende panik.”
I Weekendavisens artikel ”Cybervirus”, udgivet den 6. april 2020 spørger journalist Mads Staghøj forsvarsministeren, hvad befolkningen skal gøre, hvis store dele af samfundet stod uden strøm, som følge af et alvorligt cyberangreb på el-nettet.
Trine Bramsen svarede: ”I Danmark har vi jo et beredskab, der handler om, at man tænder for sin radio eller sit fjernsyn, og så er der varslinger der.”
Forsvarsministeren afslører med sit svar, at hun ikke rigtigt forstår, at hvis strømmen går, så er der heller ingen mulighed for elektronisk kommunikation, herunder brug af TV og Radio. Har man en transistorradio, der kører på batterier kan man godt åbne for den, men det er der ganske få, der har.
Mange har mobiltelefoner, men de løber hurtigt tør for strøm, og kan også være uden forbindelse. Og derudover kan ikke alle bilradioer modtage krisebudskaber, hvis eller når et evt. cyberangreb har afskåret strømmen og tillige sat store dele af it-og telenettet ud af drift.
Forudsætningen for at samfundet kan fungere lige nu, er at vi kan få oplysninger og kommunikere. Kan vi ikke det, kan der hurtigt opstå tumultagtige scener med panik til følge og i værste fald medføre en destabilisering af samfundet.
Trine Bramsen indrømmer, at der er plads til forbedringer. Hun tror, at den her krise kommer til at lære os rigtig mange ting, og hun vil ikke afvise, at netop vores beredskabsinstrukser er noget af det, vi kommer til at kigge på.
Vores påstand er derfor, at beredskabet i Danmark ikke i tilstrækkelig grad er sat i system, eller er i stand til at håndtere mere end én krise. Ligeledes kan der sættes spørgsmålstegn ved regeringens mulighed for at informere borgerne om, hvordan de skal forholde sig, hvis skrækscenariet bliver til virkelighed – noget der i dag ikke virker utænkeligt.
Hvorfor tænker vi ikke mere over det med cybersikkerheden?
Vi kan nok ikke rumme det?
For mange er cybersikkerhed noget, som foregår inde i væggen i nogle ledninger.
Sådan er det med mange ting, som ikke kan ses. Vi har svært ved at forholde os til det, der ikke umiddelbart er synlige for os. Det er derfor, der i forbindelse med forandringer (fra bl.a. business cases og gevinstrealisering) er så meget fokus på måling. På den måde kan vi gøre det usynlige synlige og vise, om vi er i røde felt, og de igangsatte tiltag har en effekt.
Der er bare ikke gode måltal for dette emne. Dvs. vi har ikke fakta, som kan fremkalde en ”Sense of Urgency”, som den gode Kotter skriver om i hans 8 step til god forandringsledelse.
En anden grund kan være, at vi ´bare´ forsøger at overleve. Både privat og i firmaerne. Der er fokus på at få hjemmet til at fungere med hjemmearbejdspladser og børnepasning. Der er fokus i virksomhederne på at få dem til flyde ovenvande i krisetider.
I den brede del af befolkning er cybersikkerhed ikke det første trin i behovspyramiden – men det burde det være sammen med god hygiejne og spritte sine hænder af.
Lige nu bliver borgere og virksomheder nemme ofre. Der bliver trykket på forkerte links i phishing-mails, Skype eller Messenger beskeder, som får store konsekvenser. Falske hjemmesider, som sælger håndsprit og værnemidler (til overpris) og sms´er fra nogle, der udgiver sig for at være offentlige myndigheder. Eksemplerne er mange ... hvad ser I af eksempler derude?
Vil Danmark kunne håndtere mere end én krise?
Det skal vi kunne. Så simpelt er det. Og det kommer vi til, hvis vi ikke begynder at tage problemet alvorligt – helt ned til menig mand og kvinde.
Det kan godt være, at corona lammer lige her og nu på en række områder, men forstil jer at statens lønudbetalinger ikke kan gennemføres? At en bank i Danmark går i sort? At borger.dk med alle vores personlige sundhedsdata bliver hacket? Og at vi ikke kan kommunikere sammen via computere, mobiltelefoner og andre enheder, når krisen er på sit højeste.
Derfor har vi brug for handling …
En god begyndelse ville være at forbedre vores evne og parathed til at imødegå kriser og katastrofer. Cyberberedskabet i Danmark er alt for fragmenteret, ustruktureret og ikke tilstrækkeligt koordineret. På samme måde var sundhedsmyndighederne heller ikke tilstrækkeligt forberedt på at håndtere corona-pandemien. En zig-zack kurs og mange divergerende meldinger og råd har præget myndighedernes udmeldinger, ofte med modsigelser mellem regeringen, Sundhedsministeriet of Statens Serum Institut.
Det bliver spændende at læse evalueringen, som lovet af regeringen.
På it- og cybersikkerhedssiden er det desværre ikke bedre. Som et af de få lande vi normalt sammenligner os med, har Danmark endnu ikke formået at identificere og definere, hvad der forstås ved begreberne samfundsvigtig og kritisk infrastruktur, som (også) indrømmet af Forsvarsministeren, der også er øverste chef for FE og Forsvarets Center for Cybersikkerhed. Der findes hverken en officiel definition eller en indkredsning og prioritering af, hvad der er nationalt kritisk, når et alvorligt cyberangreb rammer fx tele- og energinettet. Det er ikke tilstrækkeligt, at man udpeger en række sektorer som værende kritiske, der skal helt anderledes hårdt benarbejde og forberedelser til. Noget Danmark endnu ikke har taget sig sammen til. Det er for dårligt.
Under den kolde krig havde Danmark planer for, hvordan man sikrede den essentielle infrastruktur, herunder broer, veje, transformatorstationer, jernbaner og rørledninger, men i dag har vi (endnu) ikke de samme planer for, hvad og hvem, der skal sikres, hvis Danmark bliver udsat for et større cyberangreb.
Endvidere ville det klæde vores myndigheder med ansvar for it- og cybersikkerhed at fortælle, hvad de foretager sig af foranstaltninger (24/7) for at beskytte befolkningen under coronakrisen, herunder informere om hvad de oplever af angreb både i Danmark og internationalt, og hvad de gør for at sikre danskerne. Det er ikke tilstrækkeligt blot at fortælle, hvad civilsamfundet og den enkelte borger selv skal gøre og gentager disse budskaber i en lind og ulidelig strøm af banaliteter og almindeligheder.
Det er, som om de danske it- og cybersikkerhedsmyndigheder alene benytter præsident Kennedy’s talemåde: ”Do not ask what your country can do for you? Instead you should ask: what can you do for your country?” Det gælder begge veje, og vi burde som befolkning stille spørgsmålet, ”What is our country doing for us?”.
Til det spørgsmål er der næsten fuldkommen ”radiotavshed” fra myndighedernes side. Det er stort set kun private cybersikkerhedsfirmaer og institutioner, som fx World Economic Forum’s Center for Cybercrime(C3) og CSIS, der på eget initiativ og af egen drift frivilligt (ulønnet) holder os løbende og dagligt orienteret om, hvad der foregår på cyberfronten, bl.a. via de sociale medier. Stor tak til dem.
Men hvordan får vi løftet dette problem i Danmark? For vi skal ikke have flere kriser.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.