13.09.2018

”Jeg er overbevist om, at vi har et systemisk problem på den måde, at vi ikke i tilstrækkelig grad samordner og samarbejder om tingene. Hvis man virkelig kigger på den nye cyberstrategi, kan man se, at der mangler konkrete mål for, hvornår de forskellige initiativer skal sættes i gang, hvornår de er fuldt implementeret, og hvornår man vil måle på effekten af dem.”

Interview af Iben Engsig Madsen

RÆSON: I trusselsvurderingerne fra 2016, 2017 og 2018 vurderer Forsvarets Efterretningstjeneste, at risikoen for cyberspionage og cyberkriminalitet mod Danmark er MEGET HØJ. Hvad er det for en udvikling, der har gjort, at trusselsniveauet har været på højeste niveau de seneste år?
FOLEY: Dels bliver de mennesker i cyberspace, der vil os det ondt, dygtigere og får bedre redskaber. Dels er vi blevet gennemdigitaliserede igennem de sidste 5-10 år, og jo mere vi digitaliserer og indfører teknologiske forbedringer, desto mere sårbare bliver vi. Jeg er langt fra modstander af digitalisering, tværtimod, men problemet er, at man ikke kan sige digitalisering uden samtidig at sige cybersikkerhed. Det er sådan set meget godt, at vi alle kan bruge Nemkonto og det ene og det andet, men jeg synes, man har gjort det lidt hovedløst gennem de sidste 10 år. Man har ikke i nødvendigt omfang sagt til sig selv, at der er nogle svagheder, og dem må vi tage os af samtidig med, at vi digitaliserer derudaf.

RÆSON: Hvem eller hvad udgør den største cybertrussel mod Danmark?
FOLEY: Der er dem, der spionerer imod os for at finde de svagheder, der måtte være i vores samfundskritiske infrastruktur. Det er sådan set efterretningstjenesternes raison d’être at finde svagheder i systemerne for i en given situation at sætte ind, hvis nogen vil lave en form for samfundsomstyrtende og destabiliserende virksomhed.

Så er der statslige og ikke-statslige aktører, som har interesse i at hive informationer ud af forskellige virksomheder som fx Novo Nordisk, der har brugt milliarder af kroner på at forske inden for sit felt. Hvis man med meget få midler kan gå ind og hive de informationer ud, har man sprunget et væsentligt led over og kan hurtigt profitere på det.

Endelig er der folk, som bare synes, det er sjovt at gå ind og genere og gøre livet lidt vanskeligere for os alle sammen ved at kryptere vores filer og kræve betaling for, at vi kan få adgang til dem igen. Så der er en bred vifte af trusler, der bliver mere omfattende og alvorlige. Samtidig er der næsten ingen, der rynker på næsen over at læse, at der pludselig er 100.000 af vores personfølsomme oplysninger, der er blevet lækket på den ene eller anden måde, og det er jo lidt beskæmmende.

Problemet er, som jeg ser det, at staten ikke kan håndtere truslen alene. De almindelige statslige styringsredskaber som lovgivning, militæroprustning og økonomiske forhold er utilstrækkelige over for cybertruslen. Så mit mantra er, at vi må hjælpe hinanden noget mere og samarbejde i stedet for at gå fragmenteret til det her emne.

 

Problemet er, som jeg ser det, at staten ikke kan håndtere truslen alene. De almindelige statslige styringsredskaber som lovgivning, militæroprustning og økonomiske forhold er utilstrækkelige over for cybertruslen
_______

 

RÆSON: Hvad kan konsekvenserne af forskellige typer små og store cyberangreb være?
FOLEY: Lad os starte med det rigtigt alvorlige. Vi har det, man kalder samfundskritisk infrastruktur i Danmark. Det er det, der fx leverer strøm til os, det er det, der gør, at vi kan hente medicin på apotekerne og i det hele taget fungerer digitalt i hverdagen. Hvis nogen finder frem til det svage led i denne infrastruktur, har de en indgangsdør til at gøre samfundet ustabilt. I Estland var der i 2007 eksempelvis et stort angreb mod deres finanssektor og andre sektorer, og i Georgien og Ukraine har nogen benyttet cyberangreb til at destabilisere samfundene. Forestil dig, at vi i Danmark skulle være uden strøm i bare et døgn. Hvad det kan have af konsekvenser, er det kun fantasien, der sætter grænser for. Det er det rigtigt strategisk alvorlige.

Det andet område er i hverdagen, hvis cyberkriminelle får adgang til vigtige IT-systemer. Tag fx sundhedssektoren. Den har 163 databaser med registreringer på os alle sammen og er ved at opbygge et genomcenter med DNA-oplysninger. Der bliver registreret oplysninger fra før, vi bliver født, til efter vi er døde. Det er alt lige fra, hvad jeg siger til min læge, når jeg er til konsultation, til hvad man finder ud af på hospitalerne, hvis jeg er til operation. Hvis nogen kan gå ind og fifle med disse informationer eller bearbejde dem for at få fat i dem, så har man virkelig et problem. Forestil dig, at nogen ændrer i din journal eller sætter en operationsstues apparatur, hjælperedskaber og værktøjer ud af kraft, når tingene er mest alvorlige.

Så er der hele den økonomiske side af sagen. Hvis man virkelig vil gøre skade på et samfund, skal man jo bare gå ind og pille ved de økonomiske systemer. Tænk, hvis Nationalbanken ikke kunne fungere i 24 timer. Det er noget, der virkelig kan give mig sved på panden.

 

Tænk, hvis Nationalbanken ikke kunne fungere i 24 timer. Det er noget, der virkelig kan give mig sved på panden
_______

 

RÆSON: Hvornår er cyberangreb et hensigtsmæssigt sikkerhedspolitisk redskab?
FOLEY: Det er et rigtigt godt spørgsmål. For bare 10 år siden var det et tabu at tale om cyber som angrebsvåben i NATO og flere andre steder. Men inden for de sidste 10 år er der sket et væsentligt skred henimod at benytte cyberspace til forebyggende angreb. Det er noget af det, man forsker meget aktivt i nu, og Danmark er også gået med på den vogn. Inden cyberstrategien blev udsendt fra Innovationsministeriet i år, havde Forsvaret fået over 500 millioner kroner til at undersøge, hvordan vi kan angribe vores potentielle modstandere i cyberspace i tilfælde af indikationer om, at de vil lægge samfundskritisk infrastruktur ned.

RÆSON: Vil det sige, at cyberangreb særligt er et forebyggende redskab for stater?
FOLEY: Det kan være forebyggende i den forstand, at hvis man ser nogle indikationer på, at der er nogle banditter derude, der er ved at planlægge et større angreb, hvad skulle så være til hinder for at sætte dem ud af spil i cyberspace? Så cyber er ikke et tabu længere, men noget der virkelig arbejdes meget på. Ikke mindst hos amerikanerne, men især også kineserne, russerne, englænderne og franskmændene har alle sammen gang i det. Danmark kan som et lille land ikke selv opfinde alle de dybe tallerkener, og vi må have hjælp af allierede og samarbejdspartnere. Men for et års tid siden meldte man klart ud, at Forsvarets Efterretningstjeneste skulle have 500 millioner kroner til også at lave research på området, der på sigt kan muliggøre brug af offensive cyberoperationer.

RÆSON: I maj lancerede innovationsministeren, forsvarsministeren og erhvervsministeren en ny national strategi, som investerer 1,5 mia. kroner i dansk cyber- og informationssikkerhed. Hvad er din vurdering af denne strategi?
FOLEY: Det er udmærket, at man nu får en national strategi. Danmark var et af de sidste lande, der kom med på den vogn, stærkt tilskyndet af EU og andre. Problemet er, at den nationale strategi med sine 25 initiativer lyder rigtig godt, men ud af de 1,5 milliarder går 1,4 milliarder forventeligt til forsvarspolitiske bindinger. Det betyder, at der kun er afsat 100 millioner kroner til strategiens øvrige områder over fire til fem år. Det er efter min mening alt for lidt, det er for sporadisk, og det er lokaliseret til Forsvaret og Forsvarets Efterretningstjeneste.

Med NIS-Direktivet (nichedirektivet, red.) d. 9. maj varslede EU, at alle EU-lande for det første skal identificere, hvad der forstås ved samfundskritisk infrastruktur, og for det andet skal de foretage tiltag til, at samfundet er bedre sikret, dels mod hackerangreb og dels mod uhensigtsmæssig adgang til informationer. Der er imidlertid ikke sat en eneste krone af til disse foranstaltninger. Dem skal hver enkel sektor finde i deres eget budget, og det betyder, at pengene kun kan tages ét sted fra. Hvis vi tager sundhedssektoren, så kan pengene jo kun tages fra patientbehandlingen, så der har vi et dilemma. Derfor synes jeg også, der skal gås helt anderledes struktureret til værks for at sikre befolkningen og den enkelte borger i cyberspace. Politikerne har ikke engang fundet det hensigtsmæssigt at oprette et IT- og sikkerhedsudvalg, hvor de kan sidde og drøfte tingene og blive klædt ordentligt på.

RÆSON: Er det et udtryk for, at man ikke tager cybertruslen alvorligt nok?
FOLEY: Jeg tror mere, det er et udtryk for, at man ikke forstår kompleksiteten og behovet for at se på det her på et holistisk plan og hive det op på allerhøjeste niveau, som man har gjort i andre lande. Jeg fremhæver gerne Holland som det land i verden, der måske er længst fremme. De har for længe siden oprettet et nationalt cybersikkerhedsråd, hvor både det private, offentlige og forskningsverdenen mødes ofte og diskuterer, hvilke problemer der er, hvordan de kan berige frem for at bekrige hinanden, og hvordan de sammen kan løse opgaven. Herhjemme er det alt for fragmenteret og alles kamp mod alle for at hive nogle penge hjem i stedet for at sige: Hvordan kan vi klare det her sammen?

Lad mig også minde om, at det offentliges muligheder langt hen ad vejen er afhængigt af det private. 90-95 pct. af vores kritiske infrastruktur ligger i hænderne på de private, og det er private aktører, der langt hen ad vejen har ressourcer, indsigt, forståelse og kompetence. Det vil man aldrig få i samme grad, hverken inden for det offentlige eller Forsvarets Efterretningstjeneste.

Der er virkelig nogle lavthængende frugter, vi kan høste her og nu, og sandelig også muligheder for, at det offentlige, private og forskningsverdenen kan arbejde helt anderledes professionelt sammen. I dag er arbejdet lukket inde bag hermetisk lukkede døre i FE og Politiets Efterretningstjenester, og alle de virksomheder, jeg har talt med, fortæller, at det er envejskommunikation. De vil gerne vide en masse, men der bliver ikke givet noget igen. Center for Cybersikkerhed skulle i stedet være placeret under en civil myndighed som Beredskabsstyrelsen, Indenrigsministeriet eller Justitsministeriet. Husk på, at hverken FE eller Center for Cybersikkerhed er underkastet samme kontrol og regler, som gælder for øvrige offentlige instanser. Dette skal ses i lyset af, at de løbende igennem de sidste 5 år har fået næsten ubegrænset ret til at foretage overvågning og samkøring af oplysninger og data om os alle sammen. Hvad de bruger disse oplysninger til, kan vi ikke få noget at vide om.

 

Der er virkelig nogle lavthængende frugter, vi kan høste her og nu, og sandelig også muligheder for, at det offentlige, private og forskningsverdenen kan arbejde helt anderledes professionelt sammen
_______

 

RÆSON: Hvorfor sørger politikerne ikke for, at Center for Cybersikkerhed udfører det arbejde, der er brug for?
FOLEY: Jeg var selv med til at oprette Center for Cybersikkerhed i 2011. Da man nedlagde IT- og telestyrelsen, havde jeg med øvelser og sikkerhed at gøre, og der kom vi så ind under Forsvarsministeriets område. De mennesker, der var med til at oprette Center for Cybersikkerhed, havde stort set frie hænder til selv at definere deres opgave, og siden da har man ikke sat spørgsmålstegn ved deres arbejde. Politikerne har ikke i tilstrækkelig grad kunnet definere og fortælle, hvad de skulle. Center for Cybersikkerhed er bare kørt videre siden 2011, efter det de selv synes, der er hensigtsmæssigt.

RÆSON: Så det er ikke mangel på penge, der er årsagen til, at de ikke har leveret tilstrækkeligt?
FOLEY: Nej. De startede med 20 personer, og i dag er de over 120, så de har fået masser af ressourcer. Det er paradoksalt, at vi i en FN-rapport er udnævnt som nummer et i verden til digitalisering, når FN også har lavet en anden rapport, der viser, at vi er helt nede som nummer 34, når det gælder evnen til at modstå cyberangreb og beskytte befolkningen. Jeg er overbevist om, at vi har et systemisk problem på den måde, at vi ikke i tilstrækkelig grad samordner og samarbejder om tingene. Hvis man virkelig kigger på den nye cyberstrategi, kan man se, at der mangler konkrete mål for, hvornår de forskellige initiativer skal sættes i gang, hvornår de er fuldt implementeret, og hvornår man vil måle på effekten af dem. Der er mange gode hensigter i cyberstrategien, men hvordan måler vi, at cybersikkerheden faktisk bliver forbedret? Det står der ikke noget om.

RÆSON: Hvad skal der til for at skabe en bedre strategi?
FOLEY: Der burde blandt andet stå, hvordan vi kommer fra en situation, hvor vi bliver angrebet, til en situation, hvor vi er kommet på fode igen. Hvordan forstås samfundskritisk infrastruktur? Man skulle sætte sig ned og definere, hvad er væsentligt, og hvad er mindre væsentligt i en situation, hvor vi bliver angrebet. EU og ENISA [et agentur i EU, der har med cybersikkerhed at gøre, red.] har lavet skabeloner for, hvad en cyberstrategi skal indeholde. Men det følger vores strategi på ingen måde. Der har man bare sat nogle hensigtserklæringer op, og så giver man i øvrigt Forsvaret alle pengene, som de selv kan boltre sig med inden for egne rækker, og vi kommer ikke til at høre meget mere til, hvad de penge bliver brugt til.

RÆSON: Nogle af de 1,5 mia. kroner skal bruges på at oprette et døgnbemandet nationalt cybersituationscenter i Center for Cybersikkerhed. Er det ikke fornuftigt at oprette et center, som kan varsle myndigheder og virksomheder om aktuelle og potentielle trusler?
FOLEY: Jeg mener, at værdien af det er meget tvivlsom, da man har haft overvågning siden Center for Cybersikkerheds oprettelse. De kan jo bruge alle pengene fra forsvarsforliget, ikke bare de 1,5 milliarder, og de vil aldrig kunne nå til sokkeholderne af, hvad man gør privat. Jeg talte med den tidligere, i øvrigt danske, chef for Europol Cybercrime Center, der nu er ansat som Global Cybersikkerhedschef i World Economic Forum. Da han var ansat i den private bank Barclays som cybersikkerhedschef, fortalte han, at han havde mere end 2000 mand ansat, som kun arbejder med cybersikkerhed. Af de 2000 kigger 100 udelukkende på, hvordan de kan komme på forkant. Så hvis man tror, at staten, FE og politiet på nogen måde kan matche det, der sker inden for det private, så tager man fejl. Hvorfor ikke bruge den viden og de kapaciteter, der ovenikøbet bliver dem tilbudt? I Estland har man lavet et cyberhjemmeværn, og det er en vigtig måde at få frivillige – og de vil gerne hjælpe til.

 

Så hvis man tror, at staten, FE og politiet på nogen måde kan matche det, der sker inden for det private, så tager man fejl
_______

 

Hvis jeg eller andre sikkerhedsfirmaer opdager noget mistænkeligt, så puljer vi sammen og hjælper hinanden. I stedet for den der centralistiske tankegang, hvor tingene først skal gennem nogle kanaler, så skal det til FE, så skal det behandles, og tre måneder efter får vi så at vide, at der har været et eller andet alvorligt i gang. Det er slet ikke den tilgang, vi skal have. Vi skal være der her og nu, hvor tingene foregår, og det skal ud til befolkningen, så de kan være agtpågivende.

RÆSON: Den nye cyberstrategi sætter også fokus på oplysning og digital dannelse i uddannelsessystemet. Er det den rigtige vej at gå?
FOLEY: Det er det uden tvivl. Men læg mærke til, at strategien kaster den opgave ud til Uddannelsesministeriet og skolerne. De tager ikke opgaven på sig, for strategien nævner bare, at der skal fokuseres særligt på det område.

Én gang om året gennemfører EU en såkaldt ”cyber security month”. Den er møntet på skoleelever, gymnasieelever og den almindelige befolkning for at gøre dem bedre rustet til at modstå de trusler, de møder i cyberspace. Danmark er det eneste land i EU, der ikke har deltaget de sidste fem år, til trods for at jeg har bedt Digitaliseringsstyrelsen, Forsvarets Efterretningstjeneste og andre om at tage ansvar for det. Det er gratis at deltage, men hvis den danske befolkning ikke får noget at vide om det, hvordan skal de så forholde sig?

RÆSON: Hvad er uddannelsessystemets rolle i bekæmpelsen af cybertruslen?
FOLEY: Lige fra børnehaveklassen til gymnasiet og universitetsniveau burde der være en rød tråd. Selv børn i vuggestuen får stukket en iPad i hånden, men fra folkeskolen og op bør der være en langt mere struktureret indsats. Lige nu er det overladt til den enkelte skole, som så er heldig, hvis der er en ildsjæl, der synes, emnet er vigtigt. Det hænger ikke sammen.

RÆSON: Er der ikke en risiko for, at cyberkriminelle altid vil være et skridt foran – uanset hvor mange ressourcer, der bruges i kampen mod dem?
FOLEY: Du rammer spot on. Vi bliver altid taget med bukserne nede. Ligesom i Holland skal vi lave en krystalkuglegruppe, der kan sidde og undersøge, hvad de kriminelle kan finde på næste gang. Altså prøve for en gangs skyld at komme på forkant og ikke konstant være på bagkant. Men det kan jo også være et tveægget sværd. Jeg var med til at lave den første paneuropæiske cybersikkerhedsøvelse i ENISA i 2010. Alle EU-lande var med, og jeg sad som en ”chief incident-indspiller”, hvor vi kunne stresse miljøerne ved at igangsætte nogle handlinger, som de slet ikke drømte om, kunne ske. Der lavede vi kæmpe drejebøger, som de, der vil os det ondt, helst ikke skal se. Men det var nødvendigt for at stresse både offentlige og private, så de kunne tage deres forholdsregler. Det er også noget af det, jeg arbejder meget med i øjeblikket, hvor jeg tager ud til virksomheder og organisationer for at stresse deres cybersikkerhedsorganisation og for at se, om vi kan komme gennem deres systemer og dermed opdage, om de har gjort nok for at beskytte sig. Det er den vej, vi skal gå. De skal sidde bagefter og tænke, at det havde de altså ikke regnet med, men at det var godt, de fik prøvet det af. Det er det fremadskridende, vi skal have fat i. ■

 

Vi bliver altid taget med bukserne nede. Ligesom i Holland skal vi lave en krystalkuglegruppe, der kan sidde og undersøge, hvad de kriminelle kan finde på næste gang
_______

Apropos denne artikel:

Rasmus Emborg: Vi må se i øjnene, at Ruslands gamle imperiedrømme er ved at blive til virkelighed

Jens Ladefoged Mortensen: Trumps toldkrig viser, at tyngdepunktet har flyttet sig væk fra Vesten – hvis det overhovedet findes længere

Vil Silicon Valley redde eller smadre Vesten? Mikkel Vedby med Anders Theis Bolman i Lille Land, Hvorhen

Pâkzâd og Lindstad: Trump indleder en global toldkrig – Norden viser en bedre vej

Interview med Helen Thompson: Her er rationalet bag Trumps tariffer

Tao Bjørn & T. N. Sørensen i RÆSON SØNDAG: Trump tager fejl, hvis han tror, at Kina ikke kan gengælde handelskrigen. Beijing er klar og forberedt til tænderne