Rigsrevisionen kan gang på gang dokumentere, at vi bliver kompromitteret, vi bliver angrebet, og at myndighederne er for dårlige til at passe på vores oplysninger.  John Foley om cybersikkerhed i Danmark

Rigsrevisionen kan gang på gang dokumentere, at vi bliver kompromitteret, vi bliver angrebet, og at myndighederne er for dårlige til at passe på vores oplysninger. John Foley om cybersikkerhed i Danmark

19.01.2015


Som optakt til Vidensfestival bringer RÆSON en række interviews med nogle af oplægsholderne. Det første i rækken er dette interview om cybersikkerhed med ekspert og stifter af COPITS, John Foley.

INTERVIEW af Alexander Brun

RÆSONS: Hvad undrer dig mest for tiden?
FOLEY: Jeg har netop læst Jakob Svendsens gode artikel i Politiken om Danmarks planer om at udvikle et cyberangrebsvåben, hvor der ekstraordinært er bevilliget 465 mio. kroner til en offensiv kapacitet, der lægges i hænderne på Forsvarets Efterretningstjeneste (FE). I den forbindelse savner jeg en større granskning og analyse af det samlede billede, hvor det afdækkes, at Forsvarsministeriet og FE i større og større udstrækning, sammen med Center for Cybersikkerhed, får udvidede beføjelser. Det står i skærende kontrast til demokratiske værdier, privatlivets fred og befolkningens retssikkerhed. Herunder savner jeg, at man fører dokumentation og bevis for, at alle de indførte regler, beføjelser og bestræbelser fører til noget. Det gjorde det ikke i Paris, hvor overvågningssamfundet er indført i betydelig større grad end herhjemme. Politiet havde i forvejen alle de nødvendige informationer om terroristerne, men lige meget hjalp det. Det skal blive interessant at høre, hvorfor man ikke fra efterretningernes side og politiet, ikke i tide greb ind.

 

Myndighederne kan skalte og valte med personfølsomme oplysninger i deres varetægt – Foley
____________________

 

Det, der især undrer mig, er befolkningens tilsyneladende ligegyldighed overfor det, der nu overgår dem. Årsagen er givetvis emnets kompleksitet og mediernes manglende evne til at fortælle om problemerne på en forståelig måde, uden unødige tekniske forklaringer. For det er ikke et spørgsmål om teknologi.

Jeg savner og undrer mig over, at der ikke fortages seriøs journalistisk granskning af dette – for befolkningen – særdeles relevante emne. Pressen omtaler kun enkeltsager uden sammenhæng. Der ses på ikke på forhold, der griber ind i den enkelte borgers hverdag, og som kan få alvorlige sikkerhedspolitiske konsekvenser. Her mener jeg også forhold, der tillader, at myndighederne kan skalte og valte med personfølsomme oplysninger i deres varetægt og igangsætte cyberangreb, der kan få uoverskuelige konsekvenser.

 

Det, der især undrer mig, er folks tilsyneladende ligegyldighed overfor det, der nu overgår dem. – Foley
____________________

 

Cyberangrebskapaciteten, der nu udvikles for fuld kraft, bør også ses i sammenhæng med den lov, der blev vedtaget umiddelbart før sommerferien i 2014 (Lov 713 – om Center for Cybersikkerhed), den netop publicerede såkaldte “nationale cybersikkerhedsstrategi” (udsendt af Bjarne Corydon og Nicolaj Wammen under mottoet: “Kom bare an Hackere!”) og det nye lovudkast, som er lækket, og kommenteret af Information. Bemærk i øvrigt, at samme dag som strategien blev publiceret, så blev Sony hacket og ligeledes Pentagon. Så de to herrers ønsker må siges at være blevet indfriet. Det kan vist roligt siges at være hybris, der vil noget!

Alle de nævnte tiltag er udsprunget og igangsat af Forsvarsministeriet og FE, som i min optik forsøger, og har haft held til, at få uindskrænket magt, beføjelser og midler til at operere i cyberspace uden parliamentarisk kontrol. Desværre er der ingen instanser eller medier, der behandler eller analyserer de nævnte tiltag i sammenhæng, hvilket jeg går ud fra at Forsvarsministeren og  FE naturligvis er mere end tilfredse med. Så kan de operere i det skjulte og uden offentlig indsigt eller politisk kontrol.

Tilsynet med Efterretningstjenesterne har hverken kompetencer eller beføjelser til at kontrollere FE. Datatilsynet er en tandløs institution, uden kompetencer eller de fornødne ressourcer til at føre de nødvendige tilsyn, især ikke efter den sidste sparerunde, der yderligere har beskåret tilsynets muligheder, hvilket anses for hykleri fra Regeringens side, specielt i lyset af, at de angiveligt ønsker bedre It-sikkerhed – formålet med strategien.
Regeringens Kontroludvalg er ligeledes kun tildelt begrænsede muligheder for at se FE efter i kortene. Og så snart der stilles ubehagelige spørgsmål, som Forsvarsministeren og chefen for Efterretningstjenesterne ikke vil svare på, trækker de “sikkerhedskortet” som rygmarvsreaktion og stiller ikke op til interviews.

Det, der ligger mig meget på sinde, er, at der i forbindelse med regeringsgrundlaget blev sagt: ”Regeringen vil, i respekt for retssikkerheden og den personlige frihed, styrke beskyttelsen mod cyberangreb.” Jeg mener helt konkret, at det er det modsatte, de gør, med alle de tiltag, de har igangsat. Dels med den lov, jeg har nævnt (lov 713), dels med det nye lovudkast, og dels med den strategi, der nu ligger – den såkaldte ”nationale strategi for cyber- og informationssikkerhed”. Men det er ikke kun regeringen, jeg er efter her, det er alle de politikere, som lader disse lovforslag gå igennem uden at tænke sig om, og dermed svigter befolkningens retssikkerhed og privatlivets fred.

Et meget aktuelt eksempel på, at regeringen ikke ønsker involvering eller samarbejde med andre end sig selv og embedsværket, er den førnævnte og såkaldte nationale strategi for cyber- og informationssikkerhed, publiceret lige før jul. Regeringen påberåber sig et ønske om samarbejde, men det er tomme ord og spil for galleriet. Ved udarbejdelsen af strategien har man ikke involveret andre end embedsværket selv, der bag lukkede døre og hermetisk lukkede rum, har skrevet en strategi, der langt fra kan betegnes, som en national samlet strategi. I modsætning til hvad EU Kommissionen har anbefalet og som foreskrives i en vejledning til skrivning af nationale cyberstrategier, har man ikke involveret andre end sig selv, og dermed forspildt en god anledning til at få udarbejdet en strategi, som dels ville kunne hjælpe til at imødegå større alvorligere cyberangreb og dels være en samlet national strategi. Det er den ikke nu, og endnu værre er det, at strategien ikke give anvisninger på, hvordan man Danmark som helhed kan bidrage til at bekæmpe cyberterrorister. I andre land som vi normalt sammenligner os med, har man for længe siden oprettet nationale cybersikkerhedsråd, hvor man sammen kan imødegå og afhjælpe cyberangreb, f.eks. i Holland, Norge og England.

I strategien står der, at man om et par år, i en revisonsrunde, vil involvere andre end sig selv og inddrage andre ”relevante” instanser end embedsværket. Men så kan det være for sent. I Folketingets spørgetid den 13. januar tilbød en række partier statsministeren at oprette et forum, hvor man sammen kunne drøfte mulighederne for imødegåelse af radikalisering m.m. Men per rygmarvsreaktion afviste statsministeren tilbuddet. Det skulle man nok selv klare! Den reaktion falder godt i tråd med reaktionsmønsteret ved gennemførelse af alle de øvrige nævnte eksempler. ”Vi alene vide” – og andre skal bare holde sig væk. I må gerne støtte os, når vi kommer med forslag, men vi vil ikke høre på kritik eller involvere andre end os selv, lyder parolen. Beskæmmende når man tænker på sagens alvor, ikke mindst i lyset af terrorsituationen og angrebene i Paris.

Jeg vil også nævne, at den lov; Lov 713 – Lov om Center for Cybersikkerhed, blev sendt i høring, og der blev også lavet en ekspert høring i folketinget, hvor jeg bl.a. var med. Der var der repræsentanter fra seks forskellige organisationer, som alle uden undtagelse advarede meget kraftigt i mod, at loven blev vedtaget. Samtidig sagde man, at Center for Cybersikkerhed på ingen måde burde ligge under FE. Man valgte så, undtagen Enhedslisten og LA, at se bort fra anbefalingerne og kørte den igennem.

RÆSON: Er det så selve loven eller det manglende demokratiske grundlag, den medfører, du ser som problemet?
FOLEY: Det er selve loven, der er begyndelsen til, at man begynder og se bort fra befolkningens retssikkerhed og privatlivets fred. Man går ind og giver hjemmel til, at man kan gå ind og indhente en masse oplysninger uden at have dommerkendelse. Det er den lov, som starter det hele. Det, som følger op på det, er strategien, der blev udsendt lige før jul. Den strategi, der blev lanceret af Bjarne Corydon og Nicolaj Wammen, er skrevet i dybeste hemmelighed bag lukkede døre. I øvrigt uden involvering af de instanser, man normalt ville involvere, når man skal skrive en national samlet strategi. Det er absolut ikke en national strategi efter min mening. Det er en strategi, hvor embedsværket har sat sig ned, og krævet en masse ting uden parlamentarisk behandling af den. Det rigtigt nok, at der er otte ministre, der har underskrevet den, men den har ikke være igennem nogen formel politisk behandling, hverken i folketinget eller andre steder.

Nu har jeg været med til at skrive EU’s Cyber Security Strategy, og der har vi anbefalet over for lande, som ikke har lavet en strategi, hvad de skulle gøre for at imødegå cyberangreb, og hvordan man samlet lader alle samfundets instanser indgå i det. Det har man ikke lyttet til. I stedet har man sat sig ned i et embedsværk, og skrevet den her Lov 713, som har givet magtbeføjelser til at give yderligere beføjelser i det nye lovforslag, til FE. Derfor ser jeg den første lov, det nye lovudkast og strategien, som i øvrigt alle vedrører Center for Cybersikkerhed, som et udtryk for en form for trend, der giver dem beføjelser uden om parlamentarisk kontrol.

 

Dem, vi har sat til at passe på vores personfølsomme oplysninger, har gang på gang vist sig ikke at være deres opgave voksen. – Foley
____________________

 

RÆSON: Men der er vel en skildring i forhold til, om det drejer sig om cyberangreb på nationalt plan, eller om det drejer sig om sikring mod eksempelvis identitetstyveri, som de lagde vægt på strategien skulle hjælpe med?
Ja, men hvad er et cyberangreb egentlig? I forhold til identitetstyveri, der har vi nogle problemer med hensyn til, hvem der gør hvad, altså hvem der skal sikre mod det. En af de største trusler er hackere, dem som vil os det ondt. Dem skal vi selvfølgelig have fat i. Omvendt mener jeg, at dem vi har sat til at passe på vores personfølsomme oplysninger, dvs. myndigheder og leverandører, altså dataansvarlige og databehandlere f.eks. CSC og Justitsministeriet, de har gang på gang vist sig ikke at være deres opgave voksen. De lader vores informationer kompromittere, og lader det hele stå åbent som en ladeport. Når det så går galt, så sker der ingen ting, CSC har jo stadig opgaven.

RÆSON: Tænker du på hackersagen, hvor der blev stjålet en masse CPR-numre og oplysninger fra kriminalregisteret?
FOLEY: Ja, du kan ikke læse nogle steder, at disse myndigheder har fået en over nakken, du kan heller ikke læse, at CSC er blevet straffet. Så de myndigheder og virksomheder, der er sat til at passe på vores mangfoldigdata, de gør det ikke godt nok.

RÆSON: Men er det ikke formålet med loven, at eksempelvis CSC kan blive tilknyttet Center for Cybersikkerhed, som kan holde kontrol med hackerangreb?
FOLEY: Jo, altså Center for Cybersikkerhed har en boks hos myndighederne, som kan fortælle, hvordan trafikken er, men kort fortalt, så har det vist sig, at det ikke batter. Alle de bokse, man har sat op til at kontrollere trafikken, har ikke afsløret et eneste angreb. Det var jo hverken politiet eller Center for Cybersikkerhed, der opdagede at CSC var blevet hacket, det var det svenske politi. Over et halvt år negligerede politiet, at der overhovedet var sket noget. Så man kan se, at det ikke gavner noget med deres kontrol. Man kan også læse i de sidste rigsrevisionsrapporter, at Forsvarsministeriet får en hævet pegefinger for dårlig IT-sikkerhed.

Jeg tror de (FE og Center for Cybersikkerhed, red.) får en masse beføjelser, og de vil kunne gøre en masse ting, ikke til gavn for retssikkerheden og privatlivets fred, men de kan lave imperiebyggeri. Så jeg tror ikke, det gavner noget som helst. Det, der sker, er, at man bag lukkede døre kan få lov til at foretage sig en masse. Man er undtaget retten til aktindsigt, og man kan operere helt uden dommerkendelse.

 

Det, der sker, er, at man bag lukkede døre kan få lov til at foretage sig en masse. Man er undtaget retten til aktindsigt, og man kan operere helt uden dommerkendelse – Foley
____________________

 

RÆSON: Her henviser du til undtagelsen fra Forvaltningslovens kapitel 4-6?
FOLEY: Ja, lige nøjagtigt. De kan gå ind, med både den eksisterende og kommende lov samt strategien, og gøre lige nøjagtigt, som det passer dem. Hvad der er endnu værre er, at de har lov til at udveksle alle vores personfølsomme oplysninger med andre landes efterretningstjenester.
Det er jo sådan, at efterretningstjenester arbejder sammen, og det er godt på mange områder, men det er ikke godt, hvis der udveksles uheldige informationer og oplysninger om danske borgere. Jeg tænker ikke blot på udveksling med USA, men også andre allierede lande. Men det har de fuldt ud lov til.
Det jeg er meget bekymret for er, at Center for Cybersikkerhed ligger under FE, som i forvejen opererer udenrigs, nu kan operere indenrigs. Forskellen mellem PET og FE, er fuldstændigt udslettet nu.

RÆSON: Kan det ikke være et nødvendigt onde, i forhold til den terrortrussel vi i større udstrækning ser komme indefra?
FOLEY: Jo, og det er jeg også fortaler for, at man skal arbejde sammen mellem efterretningstjenesterne. Men problemet er, at man uden dommerkendelser og uden politisk kontrol kan gennemføre disse udvekslinger arbitrært og helt administrativt beføjelsesmæssigt. Hverken du og jeg, politikerne eller kontrolforanstaltningerne, vil nogensinde få at vide, hvad der gives af oplysninger på tværs af efterretningstjenesterne. Hvis det kun kunne gøres med en dommerkendelse, så vil det kunne gøres på betryggende vis.

Men det er klart, det er et tveægget svær. Vi skal jo have fat i dem her, som vil os det ondt, men det skal efter min mening gøres på en, for befolkningen, betryggende måde. Det mener jeg ikke vi har nogen garanti for, så længe Center for Cybersikkerhed ligger under FE, som vi ikke har mulighed for at kontrollere.
Det er jo ikke sådan, at man ikke skal kunne gå ind og udveksle information om, hvis man f.eks. opsnappede en samtale med én, som ville sprænge Jyllands Posten i luften. Men problemet er, at man har givet carte blanche til at udveksle information om ALLE borgere, uanset om man har en mistanke eller ej.

RÆSON: Er det ikke hæmmende for arbejdet, hvis de skal igennem en lang bureaukratisk proces, for at kunne udveksle disse oplysninger?
FOLEY: Det mener jeg heller ikke de skal, men de skal kun arbejde ud fra en begrundet mistanke og på baggrund af den have en dommerkendelse. Jeg siger egentlig bare, at man skal have større mulighed for at kontrollere dem, der kontrollerer os.

RÆSON: Hvis det ikke er udvidet kontrol med alle borgerer, hvad skal der så til for at sikre Danmark mod cyberangreb og terrorisme?
FOLEY: Den strategi der nu forelægger – den såkaldte cyber- og informationssikkerhedsstrategi – den burde være blevet udarbejdet efter anbefalingerne fra EU. Der har man jo sat sig sammen med mennesker fra alle grene af samfundet, der kan bidrage med at afhjælpe de ting. Især Holland er et godt eksempel, hvor man har lavet et nationalt cybersikkerhedsråd. Det er ikke råd, der er sat sammen af embedsmænd og folk fra ministerier. Det er folk fra virksomheder, og folk fra IT-branchen, der virkelig ved noget om det her.

Hvis man ser i afslutningen af forordet for den cyberstrategi, Danmark har lavet, så står der, at man om to år vil sætte sig sammen med organisationer, akademikere og andre, hvor man vil snakke om, hvordan vi sammen kan løse problemerne, når de opstår. Men det er først om to år! Min pointe er: Hvorfor har de ikke gjort det inden? Hvorfor har de sat sig bag lukkede døre, og når de er kommet ud, har de kun givet sig selv beføjelser, men ikke forholdt sig til, hvad en cyberstrategi faktisk burde indeholde. De kunne jo bare have taget den skabelon og de anbefalinger, som EU sendte ud allerede i 2013. Danmark er den medlemsnation, der sidst har lavet en strategi, og så er det oven i købet makværk.

RÆSON: Hvad tror du er årsagen til, at de har valgt denne strategi fremfor at følge EU’s anbefaling?
FOLEY: Det er simpelthen, fordi de ikke gider høre på andre end sig selv. De er nok i sig selv. Det er det, jeg vil kalde magtarrogance. De siger: ”Vi skal nok selv bestemme, hvem vi vil arbejde med, og hvordan vi vil arbejde.” Det er min anke, at det er sådan de gør det.
Hvis man kigger på andre som eksempelvis Norge, England og Holland, så de har erkendt det. De har haft større og meget mere alvorlige cyberangreb, end Danmark har haft. De har erkendt, at når de angreb foregik, så kunne de der ”splendid isolation people”, som jeg gerne ynder at omtale disse folk i embedsværket, slet ikke håndtere det. Der har de, som virkelig har forstand på IT-sikkerhed, efterfølgende måttet rydde op i halve og hele år.

RÆSON: Med hensyn til din undren omkring bevillingen på 465 mio. Til en offensiv cyberkapacitet, er det så ikke nødvendigt for Danmark at være med på cyberkrigsførelsen, når man ser eksempler på andre lande, der er godt i gang?
FOLEY: Det er helt fint, hvis man udvider kapaciteten til det defensive, og man udvider det, der hedder Cyber Network Exploitaion (indsamling el. spionage, red.), men jeg synes, det er helt hen i vejret at udvikle angrebsvåben. Det, man burde bruge pengene på, er, at forbedre vores defensive del, og sørge for at myndighederne kan passe på vores alle sammen personfølsomme data, som de har i deres varetægt. Der er ikke sat en eneste krone af til det. Bjarne Corydon siger ved lanceringen af strategien: ”Nu må ministerierne prioritere indbyrdes og sørge for, at have fokus på det her område.” Han praler jo med, at den koster ikke en krone, den her strategi. Omvendt så giver man 465 mio. Til angrebsvåben. Det er til trods for, at rigsrevisionen gang på gang kan dokumentere, at vi bliver kompromitteret, vi bliver angrebet, og myndighederne er for dårlige til at passe på vores oplysninger.

 

Rigsrevisionen kan gang på gang dokumentere, at vi bliver kompromitteret, vi bliver angrebet, og myndighederne er for dårlige til at passe på vores oplysninger. – Foley
____________________

 

RÆSON: Men er det ikke blot en cyberkapacitet, som gælder alle områder, der er bevilliget penge til, og ikke kun en rent offensiv del?
FOLEY: Nej. Forsvarsministeren har været fremme og sige: ”Når vi kan det defensive, når vi kan efterretningsdelen, hvorfor skal vi så ikke have en angrebskapacitet?”
Det klart, man kan ikke konkludere, at de penge alene skal gå til et angrebsvåben. Det kan bruges på nogle af de andre områder også. Jeg tror FE vil bruge de penge, nøjagtigt som det passer dem, og vi får aldrig at vide, hvad de vil bruge dem til.

Hvad er mulighederne for, at vi bruger det til at udvide Cyber Network Exploitation (CNE), fremfor angreb?
FOLEY: Vi har allerede CNE, det er en del af efterretningsvirksomheden. I hvert fald det, at man udenrigs finder ud af, hvem der er vores potentielle fjender, og hvordan de arbejder. Dernæst finder man ud af, hvad deres svageste sider er, osv. Det er med henblik på, at man senere hen kan, hvis det bliver nødvendigt, slå til der, hvor de er svagest.

Det er ligesom fra koldkrigs-tiden, og i øvrigt også som man gør det i dag, hvis du sætter et angreb ind med fly, så sender man ikke bombefly af sted uden at vide, hvad der er af luftforsvarssystemer og radarer. Det man gør i fredstid er, at man finder ud af, hvad der er af radarer, og hvilken frekvens de kører på, samt hvilke våbensystemer de har. Når man endelig sætter angrebet i værk, så laver man det, der hedder elektronisk krigsførelse, som jammer deres systemer, og man derefter kan komme ind med sine fly. Det kunne man godt forestille sig, at man kunne gøre i cyberspace. Man kan finde ud af, hvordan deres infrastruktur hænger sammen, og hvor har de deres store servere, som styrer deres systemer. Så kunne man forestille sig, at det var lønsomt at sætte nogle af de varselssystemer, de har, ud.

RÆSON: Er det ikke med til at legitimere den her angrebskapacitet?
FOLEY: Jo, men det kan give bagslag. De ved jo ikke, hvilke kræfter de slipper løs i cyberspace ved at lave et angreb. Kineserne f.eks. har officielt erklæret, at hvis vi angriber dem i cyberspace, så er det en krigserklæring, og så forbeholder de sig ret til at benytte de nødvendige modforanstaltninger i den sammenhæng. Det også det præsident Obama er i gang med pt., efter angrebet på Sony er man ved at finde ud af, hvem der gjorde, så man på forskellig vis kan foretage modforanstaltninger. Hvis sådan et angreb skulle ske igen, ville USA formentlig slå igen med et cyberangreb. Men det ville Danmark aldrig kunne.

Jeg ser cyberangrebsvåben som relevant, hvis vi bliver embedded (sammensluttet, red.) med andre computer enheder og indsættes et sted på jorden, hvor man lokalt kunne sætte ind. F.eks. den gang vi var i Jugoslavien, der kunne optrævle forskellige mobilnet, og hvis man ville kunne man lukke for de net, hvilket man også gjorde. Det er meget lokalt og begrænset, og der ville et cyberangrebsvåben give mening.

RÆSON: Kan man forestille sig, at Danmark vil indgå i en cyberkoalition, ligesom man har gjort fysisk i f.eks. Afghanistan?
FOLEY: Ja, og man vil kunne på slagmarken kunne udveksle informationer om en fjende, hvis man har mere info om ham, end de andre. Det ser jeg som fuldt ud legitimt i den sammenhæng. Men igen, hvorfor ofre regeringen og staten så mange penge på det, som giver en vis form for mening, hvis man ikke samtidigt bruger penge på den defensive del.

Jeg siger ikke, at vi ikke skal have en offensiv kapacitet, for det kan godt give en form for mening, når det er begrænset til militært ude på slagmarken. Men at bruge det som strategisk middel er problemet. FE er jo en strategisk enhed, og hvorfor giver man dem råderet over det, hvis det er ment til at skulle bruges på slagmarken. At man giver så mange penge til angrebskapacitet, står i skærende kontrast til, at man ikke giver nogle penge til beskyttelse. Man skriver blot i strategien, hvad alle skal gøre for at blive bedre, men det bliver ikke fulgt op med økonomiske midler.

Hvis man i Danmark mener det alvorligt med at beskytte den danske befolkning, havde man for længst afsat penge og ressourcer til at beskytte befolkningens personfølsomme oplysninger og metadata i lyset af de talrige afsløringer og kompromitteringer, der næsten dagligt afsløres i pressen. De værste syndere er at finde hos de offentlige myndigheder, der ved Rigsrevisionens mellemkomst gang på gang fortæller, at cybersikkerheden kan ligge på et lille sted, og kritiseres på det kraftigste. Men her findes hverken vilje eller penge til at gøre noget ved sagen. I stedet for bevilliger man 465 mio. kr. på udvikling af en cyberangrebskapacitet til Forsvarets Efterretningstjeneste, der er Danmarks mest lukkede institution og nærmest en slags ”stat i staten”.

RÆSON: Kommer angrebet på Charlie Hebdo til at have implikationer for vores vurdering af cybertrusler?
FOLEY: Jeg tror ikke at angrebet på Charlie Hebdo vil få implikationer på vores vurdering af cybertrusler. Truslerne fra ekstremistiske kredse som f.eks. Islamisk Stat(IS) har hele tiden været der, og vi ser da også i disse dage en række cyberangreb på diverse hjemmesider udført af sympatisører eller tilhængere af IS. Angrebene er ikke særligt alvorlige og bærer mest præg af “cyberhærværk”. Men det kan ikke udelukkes, at kredse, der vil bekæmpe demokratierne, udbygger evnen og kapaciteterne til angreb i cyberspace. Men det vil de gøre skjult og på en måde som efterretningstjenesterne ikke opdager, før et egentligt angreb iværksættes, ligesom angrebet på Charlie Hebdo. Islamistisk stat har masser af olie- og sympatipenge, og de ville let kunne hyre (virtuelt) personer i mange lande, der kan håndværket, med sympati for IS eller for sølle mamon. Husk på, at cyberkrigen allerede er igang i cyberspace, og har været det længe!

Bemærkes skal det også, at Frankrig og dets efterretningstjenester og politi har etableret et af europas mest overvågede samfund med ubegrænsede beføjelser og uindskrænket magt til at søge oplysninger i bl.a. cyberspace og overvåge dets borgere uden demokratisk kontrol, mulighed for aktindsigt eller dommerkendelser. Frankrig havde i forvejen alle nødvendig oplysninger om terroristerne, men til ingen verdens nytte. Frankrigs myndigheder, efterretningstjenester og politi evnede alligevel ikke med sin viden, sine beføjelser og værktøjer, at forhindre terrorhandlingerne i Paris, til trods for at de har alle de magtmidler og beføjelser, som de kunne ønske sig.

Beføjelser og værktøjer, som nu også den danske regeringen vil indføre i panikreaktion og i ønsket om at virke handlekraftig overfor befolkningen i et valgår, med katastrofen i Paris som begrundelse. Jeg synes det er tankevækkende at statsministeren, til trods for gentagne opfordringer, affejede alle forsøg på at oprette et forum fra samtlige partier, i spørgetiden tirsdag den 13. januar 2015, der kunne drøfte og iværksætte passende og balancerede tiltag, der kunne hjælpe på situationen. I stedet for vil statsministeren i “splendid isolation” – ligesom den netop publicerede såkaldte nationale strategi for cyber – og informationssikkerhed – udsendt under mottoet : “Kom bare an- hackere”, og det lækkede lovudkast, vil fremsætte forslag, der i endnu større grad vil begrænse og krænke demokratiet, befolkningens retssikkerhed og privatlivets fred.

Når så embedsværket og efterretningstjenesterne og politiet har tildelt sig selv yderligere beføjelser og magt, som de fleste politikere alligevel ikke forstår, vil regeringen fremsætte forslag, som de øvrige partier blot skal godkende. Det har vi set før og det vil ske se igen. Danmarks største trussel og syndere, når det gælder It- og cybersikkerhed, er paradoksalt nok myndighederne og styrelserne selv. De evner desværre ikke at beskytte de milliarder og atter milliarder af personfølsomme oplysninger om befolkningen, der er i deres varetægt. Det har Danmarkshistoriens største hackersag og Rigsrevisonen gang på gang afsløret. I stedet for at forstærke evnen til at beskytte befolkningen, har regeringen bevilget ekstraordinært 465 mill. kroner til “cyberangrebsvåben”, der skal forvaltes af ingen andre end Forsvarets Efterretningstjeneste.!! Samtidig med at der ikke bliver ofret en eneste krone mere på at sikre befolkningens følsomme oplysninger i cyberspace. Bjarne Corydon og Nicolaj Wammen udtaler endog, med en vis stolthed, at der ikke følger en eneste krone med til udmøntningen af den nye cyberstrategi. Tværtimod har man gennemført yderligere besparelser i f.eks.. Datatilsynet, hvis mulighederne og kompetencerne i forvejen er meget begrænsede, men alligevel skal forsøge at holde myndighederne op til deres ansvar. Det er vist nok det der kan kaldes hykleri og dobbeltmoral. Tankevækkende ikke sandt?

John Foley er uddannet militærteknisk- og sikkerhedsofficer med it- og cybersikkerhed som speciale. Han har mere end 30 års erfaring med it-sikkerhedsarbejde. Han har blandt andet udformet Forsvarets overordnede strategier og politikker i relation til it- og cybersikkerhed. Desuden har han et indgående kendskab til it- og cybertrusselsbilledet og identifikation af samfundsvigtig og kritisk informations-infrastruktur. Foley er stifter af virksomheden COPITS, der rådgiver omkring cybersikkerhed. ILLUSTRATION: Arkivfoto [foto: Shutterstock]