Artikel top billede

(Foto: Lars Jacobsen)

Nørgaards vikar: Når cybersikkerhed bliver til statens skjulte magtapparat - kan Danmark så reelt modstå hybridangreb?

Klumme: Center for Cybersikkerhed er blevet en magtfuld overvågningsmaskine. Er vi reelt klar til at modstå kommende cybertrusler, eller er det tid til at revurdere vores cybersikkerhedspolitik?

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Når I læser dette sidder jeg på en beach bar med en drink eller en stor, kold øl og tænker over, hvordan vi får indført beslutningsevne igen i Danmark. Hvordan vækker vi Holger Danske fra slummeren? Det må da kunne gøres, evt. ved lov?

En af dem, der stadig gider at påpege problemerne i cyberspace igen og igen, er pensioneret officer med mere John Foley.

Jeg har ofte omtalt John som fornuftens stædige stemme i hele debatten om Forsvaret, Centeret, NIS2 og hvad der ellers IKKE bliver gjort rigtigt herhjemme, med kæmpe respekt.

Well! Her er John Foleys gæsteklumme, som han venligst har skrevet specielt til jer, de klogeste læsere i Danmark. Jeg har endda indtalt den med min rustne pre-ferie-stemme!

/ Mogens Nørgaard

John Foleys gæsteklumme: Det ville være en halsløs gerning at forsøge at gå Mogens Langballe i bedene med sine fremragende fredagsklummer, som jeg hver uge ser frem til at læse. De er simpelthen ugens højdepunkt, der med vid og bid kommer godt omkring meget aktuelle emner - og spidder dem der spiddes skal.

Min gæsteklumme vil bl.a. komme ind på, hvordan Center for Cybersikkerhed (CFCS) under Forsvarets Efterretningstjeneste (FE) snigende og næsten ubemærket er blevet til en stat i staten og en edderkop i spindelvævet, der har spændt sit finmaskede net udover det ganske danske land, herunder danske myndigheder og virksomheder m.fl.

Dernæst vil jeg fortælle om EU NIS2 direktivet, der nu langt om længe er omsat i et stærkt forsinket lovudkast fra Forsvarsministeriet, og vil yderligere muliggøre og revolutionere den måde Forsvarets Efterretningstjeneste og CFCS har tænkt sig at overvåge samfundet og dets befolkning, der langt overgår det som Stasiregimet gennemførte i det tidligere Østtyskland.

Til slut kommer jeg ind på CrowdStrike hændelsen, der ikke var af den mest alvorlige slags, men alligevel fik omfattende globale konsekvenser, og derfor bør være et Wake-up call set i lyset af at Danmark næppe ville kunne modstå hybride angreb, herunder alvorlige cyberangreb.

Edderkoppen i spindelvævet

Siden Center for Cybersikkerhed (CFCS) under Forsvarets Efterretningstjeneste blev oprettet i 2012 er der udsendt en lind strøm af love og bekendtgørelser, der minder om skidt fra en spædekalv, der om foråret har spist lucerne.

Tiltagne har gradvist, men sikkert som amen i kirken, givet centeret beføjelser, der af Stasi i det tidligere Østtyskland ville vække beundring og misundelse. Vel og mærke beføjelser, der ikke er underkastet normal demokratisk kontrol, da alt er hemmeligt og ikke tåler dagens lys, hvis man skal tro tjenesten selv. Det der alligevel og en gang imellem kommer ud derfra er gamle nyheder der for længst er fremkommet i medierne og åbne kilder.

Problemet med CFCS, er, at man tilbage i 2012 selv fandt på hvad man skulle beskæftige sig med. Man valgte den lette løsning og fik Folketinget til at gå med på ideen med at skulle rådgive og vejlede. Folketinget og politikerne forstod, lige som i dag, ikke en dyt af hvad der foregik, og lod Forsvarsministeriet, FE og CFCS gøre hvad der passede dem.

Det var i departementschef Lars Findsens og FE chefen, Thomas Ahrenkiels tid. Imperiebyggeri var de gode til, og kunne tryne alt og alle, hvilket de også gjorde da de fik magten. Men det nødvendige cybersikkerheds arbejde med at sikre samfundet og befolkningen mod cyberangreb ville de ikke tage sig af, det var for besværligt.

Senere fandt CFCS selv på at blive ”Edderkoppen i spindelvævet” med det såkaldte ”Sensornetværk”. På CFCS´s hjemmeside står der bla. at CFCS driver et sensornetværk, som kan opdage forsøg på avancerede cyberangreb (såkaldte NSS-sensorer). Sensornetværket er et egenudviklet ”intrusion detection system” (IDS). Systemet består af alarmenheder (såkaldte sensorer), som er placeret på eksempelvis ministeriers og underliggende myndigheders og virksomheders infrastruktur med henblik på at monitorere netværkstrafikken.

Ved udgangen af første halvår 2023 havde CFCS i alt 291 tilsluttede myndigheder og virksomheder fordelt på 201 offentlige myndigheder og institutioner m.fl. samt 24 private virksomheder. Hertil kommer 66 offentlige myndigheder og institutioner m.fl. i Grønland.

Myndighederne kan ikke selv bestemme om man vil være tilsluttet, det er de tvunget til. Og virksomhederne ville slet ikke indledningsvist være med. Det kostede for meget og man ønskede ikke at staten skulle overvåge dem. Så fandt Forsvarsministeriet på, ved Claus Hjort Frederiksen, at staten skulle betale for det hele og fortalte, at man havde hjemmel til at tvinge de virksomheder CFCS synes skulle indordne sig og blive tilsluttet sensornetværket. Det virkede.

Dermed er FE’s traditionelle rolle godt og grundigt blevet udvidet til også at være en slags indenrigsefterretningstjeneste, der ellers har været Politiets Efterretningstjenestes opgave.

NIS2 direktivet

Det længe ventet og meget forsinkede lovudkast fra Forsvarsministeriet, der skal omsætte EU’s NIS2 direktivet til dansk lovgivning, har langt om længe og efter flere udsættelser set dagens lys.

Forsvarsministeriet, der er ressortsansvarlig for at omsætte EU’s NIS2 direktiv til dansk lov, har den 5. juli, da embedsværket gik på ferie, udsendt et lovforslag i høring til rigtigt mange instanser, med frist den 22. august 2024.

Så kan de der skal svare bruge deres sparsomme sommerferie på det, i stedet for at være sammen med familie og venner. Loven forventes i øvrigt først at skulle træde i kraft den 1. marts 2025, længe efter EU’s fastsatte deadline. Så det kan undre, at høringen skal hastes igennem i en agurketid.

Lovforslaget er et digert værk på 325 sider. Og som der står på CFCS’s hjemmeside, https://www.cfcs.dk/da/om-os/nis2/, er formålet med NIS2-direktivet at yderligere styrke og ensarte cybersikkerheden og modstandsdygtigheden overfor cybertrusler på tværs af EU for virksomheder inden for en lang række sektorer og for offentlige myndigheder, som anses for at være kritiske for økonomien og samfundet.

Forsvarsministeriet har haft mere end god tid til at komme ud af busken, idet det formelle EU NIS2 direktiv allerede i december 2022 forelå i fuld færdig form hos alle medlemslandene og selvsagt også i Forsvarsministeriet.

Også flere år inden 2022 var Forsvarsministeriet involveret i de første udkast til EU NIS2 direktivet, men har først nu – 4 år senere barslet med et lovforslag, der er udarbejdet af jurister og embedsmænd i Forsvarsministeriet, FE og CFCS.

I øvrigt vil hverken Energi-, finans- og telesektorerne blive omfattet af NIS2-hovedloven. Implementeringen af NIS2-direktivet vil ske særskilt for hver af disse sektorer. Og Energisektoren har allerede sendt sin eget lovudkast i høring, uafhængigt af Forsvarsministeriet.

Så ønsket om en hovedlov, der kunne samle og være redskabet til Danmarks kamp mod de formastelige cyberkriminelle og ondsindede stater samt andre der vil os det ondt, bliver ikke tilgodeset med den lov Forsvarsministeriet til efteråret ønsker vedtaget. Nærmest tværtimod. Den skyder med spredhagl og rammer forbi målet, mildest talt.

Forsvarsministeriet er sat til at koordinere implementeringen af NIS2-direktivet. Men i praksis overlades det til andre ministerier og styrelser at udarbejde sektorvise bekendtgørelser, der er alt det praktiske og besværlige, og som kommer til at koste kassen. Penge og ressourcer, der skal findes i egne budgetter på bekostning af andre områder, der må nedprioriteres. De mange milliarder regeringen har afsat til området beholder Forsvarsministeriet, FE og CFCS behændigt for sig selv. Andre må selv til lommerne. Keine hekseri – nur behändigkiet.

Mange konsulenthuse og advokatfirmaer er allerede kontaktet af virksomheder og andre, der har brug for hjælp. For de skal lige om lidt efterleve og i al hast implementere de krav direktivet og loven fastsætter – og det er ikke småting, skal jeg hilse og sige. Læs gerne hele lovforslaget igennem, der afslører, et usammenhængende og fragmenteret produkt, der skaber mere usikkerhed end klarhed, men muliggør at CFCS kan sidde som edderkoppen i spindelvævet og overvåge alt hvad der foregår i mere end 16 civile sektorer og meget mere.

CrowdStrike hændelsen var et alvorligt wake-up call, som tog alle på sengen.

CrowdStrike hændelsen den 19. juli var ikke et planlagt cyberangreb eller en bevidst ondsindet handling, men ”kun” en kæmpe brøler i forbindelse med en opdatering af et virusprogram, der fik alvorlige verdensomspændende konsekvenser.

Et tilsigtet og bevidst cyberangreb ville få helt anderledes og uoverskuelige konsekvenser, der kun kan gisnes om. Jeg vil påstå, at Danmark ikke vil være tilstrækkelig forberedt og bliver taget med bukserne nede. Og det skyldes ikke mindst FE og CFCS’s inkompetence og manglende vilje til at hjælpe samfundet og dets befolkning. De har misforstået deres opgave og ikke påtaget sig det ansvar de burde. Deres indsats er til skade og ikke til gavn for Danmark.

Det er på høje tid og ikke et øjeblik for tidligt, at der tages hånd om Danmarks mangelfulde cybersikkerhed og beskyttelse af samfundsvigtig og kritisk infrastruktur, herunder hybride angreb og alvorlige cyberangreb. Der skal og må findes løsninger på udfordringerne hurtigst muligt - hellere i dag end i morgen.

Cybertrusler og de mange dagligt forekommende angreb bliver der kun flere af til trods for et hav af bestemmelser og love, der spyttes ud i en lind strøm fra EU, Folketinget og myndighedernes side. Lige meget hjælper det. Efterlevelse af reglerne koster kassen i den helt store stil, men pengene er stort set spildt og hældes ned i et stort sort hul uden at gøre gavn.

F.eks steg antallet af ransomwareangreb med 74 procent sidste år på globalt plan. Det viser tal fra Cyber Threat Intelligence Integration Center (CTIIC). I Danmark føres der ikke statistik eller tal over de mange angreb, men alle kan i medierne dagligt læse om brud på sikkerheden, eksempler på cyberangreb af alvorlig karakter og firmaer der må gå neden om og hjem. Offentlige myndigheder, institutioner, kommuner, regioner og mange andre går det også ud over- big time.

Ingen tager det overordnede ansvar og opgaverne på sig. Alle peger fingre ad hinanden når det går galt og de såkaldt ansvarlige skynder sig hen til håndvasken. Politikernes spindoktorer fungerer som anæstesilæger, der luller befolkningen i søvn og nedtoner problemerne, uden at anvise løsninger.

Indsatsen og kampen mod de formastelige og banditterne i cyberspace er fragmenteret og ustruktureret, selvom politikerne og myndighederne kontinuerligt forsøger sig med mere lovgivning, strengere regler, bøder og bekendtgørelser, der har vist sig nyttesløse.

Tiden er kommet og ”long overdue”, til at oprette en civil myndighed, der ligesom i Sverige, Norge og Finland, bedre kan varetage samfundets og civilbefolkningens interesser, når det kommer til at skulle beskytte og afhjælpe angreb på samfundsvigtig kritisk infrastruktur, herunder hybride angreb og alvorlige cyberangreb.

Forsvarsministeriet, FE og CFCS formår det ikke.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.