Artikel top billede

(Foto: Lars Jacobsen)

Nørgaard: Denne klumme bliver træls læsning for jer. Men der ER ingen vej udenom. Undskyld

Klumme: Som en ven sagde til mig, så mangler vi åbenbart en "Cyber/11"-hændelse, hvor folk dør på operationsbordet eller ikke kan se fodbold fra en diktaturstat, før cybersikkerhed (måske) kan begynde at blive taget alvorligt herhjemme.

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Først: Jeg fik en del ansøgninger fra folk, der gerne ville være med til at få folk hevet ned fra Himlen og ind i kælderen, hvor de hører til.

Ingen ønskede at være sælger, ingen havde penge til finansiering, men til gengæld havde de masser af erfaring og var villige til at arbejde næsten gratis bare for at kunne hjælpe til i en god sags tjeneste.

Et citat: "Jeg er i stand til at kode hvad som helst, og har deltaget i en masse fine projekter der blev vedtaget på grundlag af at de ikke kostede det store og snart var færdige. Udskydelse og forsinkelse og uforudsete hændelser var aldrig del af den oprindelige Projektplan, og derfor har jeg gennem årene kunne tilføje agil og omstillingsparat til CV'et."

Så TAK for jeres skønne ansøgninger - jeg gemmer dem for det tilfælde, at der dukker en rigmand op.

Jeg kan se, at andre også beskæftiger sig med nedstigningen fra Himmeriget.

Der tales om omkostninger, der løber løbsk, om lockins så man aldrig kan komme væk igen - og for dem, der allerede svæver på en sky laves der tools, der forsøger at måle det altid løbske forbrug, finde årsager til svartidsproblemer, osv.

Der vil blive tjent mange penge på cloud-problemer i de kommende år.

//DybAlvorBegynd

Dagens emne er desværre ikke lige så sjovt som skyen.

Vi skal have en runde til om cybertrusler og Danmarks elendige håndtering af disse. Beklager. I har min tilladelse til at drikke lidt mere end normalt i denne weekend.

Cybertrusler er nu et grundvilkår på linie med vand, varme, strøm, storrumskontorer, uendelige Teamsmøder og firmajulefrokosten.

Den 9/11 (!) afholdt Ingeniørforeningen Danmark (IDA) en cybersikkerhedskonference, eller cyberSIKKERhedskonference, som nogle af deltagerne sagde for diskret at lade andre vide, at de har gjort tjeneste i Forsvaret.

Pro-tip: Hvis I vil have et virkeligt fremragende, kort og dækkende referat af forløbet, så skal I bare lytte til de første to-tre minutter af Anders Kjærulffs podcast fra eventet.

Den finder du her: AFLYTTET #5 - Danmark er nr. 32 i cybersikkerhed, og hvad er udsigten til e-valg?

BLUF: Danmark er nummer 1 i digitalisering i EU og nummer 34 i cybersikkerhed. Lige efter Kazakhstan. Nej, Kazakhstan er IKKE medlem af EU.

Det lyder da ikke godt. Det burde alle mulige politikere KASTE sig over. Well, not quite.

Som en ven sagde til mig, så mangler vi åbenbart en "Cyber/11"-hændelse, hvor folk dør på operationsbordet eller ikke kan se fodbold fra en diktaturstat før emnet (måske) tages alvorligt.

Men altså: Vi ER nummer chok i cybersikkerhed, og vi synes ikke, at vi skal bruge rigtige penge på det, endsige gøre noget som helst aktivt.

Det er der sikkert mange gode grunde til

Der er sikkert mange gode grunde til apatien, jvf. den seneste valgkamp:

- Gamle politi- og militærtypers hang til den fysiske verden. En politistav eller en riffel ved man, hvad er. Det samme med udrykningskøretøjer og kampvogne. Når man i forvejen har svært ved at finde K eller @ på et tastatur kan it og cyber-verdenen virke meget fjern og uforståelig.

- Borgernes konstante tillid til og fokus på en større, ikke en bedre, velfærdsstat, der nok skal passe på os.

- En befolkning, der er 43 år gamle i gennemsnit. På den måde lever vi da i Middelalderen, tøhø.

Men der er en årsag, der er større end alle de andre: At vi har placeret ansvaret for den overordnede cybersikkerhed hos CFCS ("Centeret"), der hører under FE, og derfor er underlagt så mange restriktioner med hensyn til åbenhed, at de ikke fungerer overhovedet.

Det kan vi i øvrigt takke Findsen for. Han praler ovenikøbet i sin bog med, at det lykkedes ham at få det placeret under FE. Tak for dét, Findsen.

I øvrigt var det ellers blevet placeret under PET, og det havde nok ikke været en døjt bedre.

Det her er embedsmændenes, ikke politikernes skyld. At narre politikere uden indsigt i emnet til at tro, at farlige ting, der kan ramme alt og alle i samfundet, skal håndteres i hemmelighed er ypperlig forvaltningskunst.

Stikker den ind alle vegne

Centeret ELSKER bare at stikke deres "probe", aka sensor, ind allevegne, om nødvendigt med tvang (der er en lov, der giver dem lov), for at suge alle ind- og udgående netværkspakker (eller rettere disses headere med information om afsender, modtager, attachments, osv) til sig.

Hvis din fedtbiks dømmes "samfundskritisk", så er du tvunget til at lade dem installere deres lille snabel.

Men de nægter at dele noget som helst af værdi med danskerne.

FE er til gengæld ovenud lykkelige over, at de får leveret al den data kvit og frit, som de så kan dele med deres samarbejdspartnere i Nine Eyes (som har 13 medlemmer).

Centeret er altså for borgerne den virkelige verdens svar på /dev/null aka Det Sorte Hul.

Der er ovenikøbet skrevet en sang om dem. Den hedder One Way Ticket (To The Blues) og er oprindeligt med gruppen Eruption.

Den findes i den fedeste Frisco Disco In Da House-version (featuring Boney M & Ski) kaldet One Way Ticket 2k12. Drik langhalsede øl af flasken til den. Så skvulper det ikke over.

Så mange herlige unge mennesker

Centeret ansætter masser af herlige, unge mennesker. De holder VM i cyber. De udgiver pjecer og 20-punkts-lister med selvfølgelige råd.

De holder Powerpoint-præsentationer om, hvor alvorlig cybertruslen er for vores samfund. Men de gør ingenting ved det. Det er FE's DJØF-front.

Peter Kruse, der med rette er blevet rig på at sælge CSIS, holdt et fantastisk indlæg på konferencen, komplet med en fuldstændig afklædning af Centeret, forslag til ting, der burde gøres og angivelse af initiativer, som han selv har taget for at prøve at gøre noget ved Centerets manglende deling.

Hans indlæg blev optaget og kan ses her. Advarsel: I bliver klogere, men ikke gladere. More Vodka Required:

Som jeg før har sagt, så er der bare ingen til at beskytte dig i cyberspace.

Du kan skrive til Politiet. De har fået den helt igennem fabelagtige idé at NC3 (Nationalt Cyber Crime Center), der staffer op konstant, selvfølgelig IKKE skal håndtere cyberproblemerne - næh, disse skal sendes videre til de lokale politikredse, der præcist IKKE har den nødvendige viden, og derfor i skrivende stund har over 70.000 sager fra borgere og virksomheder liggende uden at foretage sig en døjt.

Sidste nyt er, at man overvejer at staffe endnu mere op centralt i Rigspolitiet og lave nye dimser, der ikke hedder NC3. Det er jo værkstedshumor der vil noget.

Ingen vil hjælpe

Hvis man er statslig myndighed hører man måske under Statens IT, som har en DART-afdeling. Dem kan de statslige myndigheder jo prøve at ringe til. De vil henvise til Politiet, Centeret og selvfølgelig Datatilsynet, for så er alle regler overholdt.

Man kan kontakte Digitaliseringsstyrelsen. Datatilsynet. Erhvervsstyrelsen. Jernbanemuseet. Havnerundfarten.

Men ingen vil konkret hjælpe. Alle henviser altid til andre.

Det er derfor jeg med fuld ret hævder, at vi i Danmark er længst fremme med den cirkulære økonomi.

Vi er formentlig ikke kun de bedste i EU til at lade ting cirkulere uden at nogen gør noget, men muligvis i top-5 blandt alle civiliserede lande. En god chef sammenligner det med en guldfisk, der tager runde efter runde i bowlen.

"Jamen, er der ikke nogen, der GØR noget?", hører man jævnligt fra De Naive, og svaret fra alle mulige dimser er altid "Jo da! Vi er ved at skrive noget om det".

I dagens Danmark er man, hvad man skriver. Ord skaber handling, som DJØF siger. Møder ligeså.

Ligesom i Det Vilde Vesten

Reglerne er de samme som i Det Vilde Vesten: Hvis du har råd til at købe privat sikkerhed er du godt sikret. CSIS. Dubex. Fort Consult. Den slags.

De har de ægte pistolsvingere ansat, og de tager kun mange penge for det. Fattigrøvene må bare tage de tæsk, der kommer og nøjes med et trækors.

Se, vi er desværre også nødt til at tale om åbenhed i Danmark.

Da jeg rendte rundt som sergent i Hjemmeværnet og stadig ikke havde grund til at barbere mig, det vil sige omkring år 1980, undrede det mig, at journalister kunne rejse til USA og få indsigt i sager, som var totalt lukkede i Danmark (Thulesagen, osv).

Det skyldes, at man i USA har den idé, at alt bør være åbent og tilgængeligt for borgerne, med undtagelse af, når det ikke KAN være åbent og tilgængeligt.

Også på dét punkt er Danmark klogere end alle andre og gør det stik modsatte.

I Danmark var selv Feltinstruktion For Enkeltmand (FFE), der indeholdt statshemmeligheder som for eksempel hvordan man laver en bivuak eller graver et hul, stemplet Til Tjenestebrug (TTJ).

Jo mere hemmelighed, jo mere sikkerhed

Den grundlæggende koldkrigstænkning er, at mere hemmelighed giver mere sikkerhed. Men sådan er det jo ikke i cyberspace.

Når det drejer sig om cyber er det vigtigt, at både Forsvaret, Politiet, øvrige myndigheder, private bikse og borgere kan dele informationer, så man hurtigt kan identificere trusler/IOC'er (Indicator Of Compromise), dele dem, konstatere deres udbredelse, adfærd og retning, og gøre noget ved dem.

Internet-pakker leveres lidt hurtigere end pakker sendt med PostNord, og det burde nogen fortælle vore politikere.

Det fatter man som sagt i andre lande. Norge. England. Israel. Holland. Men Centeret NÆGTER at dele, idet de ikke MÅ, fordi de er underlagt FE.

De planter deres sensor/probe alle mulige steder, samler data ind fra disse steder, deler dem med andre nationer, bruger dem til at planlægge offensive operationer mod vore fjender, osv. Men de vil, kan og må ikke dele noget som helst.

De er militærfolk, ikke en gang elendige, civile beder, som vi sagde i Livgarden.

Men selv den karakteristik af FE er ikke hård nok.

Indenfor Forsvaret joker man med, at det burde hedde Regeringens Efterretningstjeneste i stedet for Forsvarets Efterretningstjeneste, fordi selv vigtige og højt-på-strå stabe i Forsvaret, eksempelvis nogle, der er udsendt på skarpe operationer, ikke kan få konkrete informationer fra FE.

Det kan tage op til en måned for en højtstående operationsstab at få svar fra FE på konkrete spørgsmål om trusler i operationsområdet.

Det er jo til at blive vanvittig af. Men det må Forsvaret selv slås med. Heldigvis har de ikke mere ammunition, så kampen bliver nok ikke så blodig.

Vi civile beder skal imidlertid have rykket Centeret væk fra FE og ind i en civil styrelse, hvor man som minimum har parlamentarisk kontrol og kan beordre dem til at dele data med andre, rykke ud og hjælpe, når vi er truet, overholde forvaltningsloven og GDPR, mv.

Jeg foreslår, med udgangspunkt i den fremragende IDA-konferences placering, at vi får lavet en Kalvebod Brygge-deklaration om det.

Så er det jo løst. God weekend

Nå, så er dét emne overstået, sindet er stemt til alvor, og vi kan holde weekend. Drik nu rigeligt!

I næste uge skal vi have det sjovt igen, for så handler det om vidende it-ordførere i Folketinget, et it-ministerium, flyvende grise med læbestift og andre ting, som ikke findes.

Så jeg anser altså Centeret for at være vores største problem i forhold til cybersikkerhed, men er det rigtigt? Sig frem! Jeg er klar på mogensxy@gmail.com! Og skulle I ligge inde med et forslag til en Kalvebod Brygge-deklaration bliver jeg meget glad. Vi må gøre noget.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.