Cyberekspert: Tredje verdenskrig er allerede i gang - og Danmark er i skudlinjen

En FN-opgørelse over 193 landes cyberforsvar placerer Danmark som nummer 36.

Langt efter lande som Singapore, USA og Malaysia. Men også Estland og vores nordiske naboer klarer sig markant bedre.

Den danske evne til at forsvare sig mod hacking, lækager, propaganda og cyberspionage er på niveau med, hvad Tjekkiet, Rwanda og Luxembourg kan præstere.

Måske ikke alarmerende set i kontekst af, at det danske forsvar alle dage har været afhængig af stærke allierede.

Mærsk mistede to milliarder på angreb
Men hvad gør vi, når NATO ikke længere kan beskytte os? Når vi ikke længere kan kende forskel på venner og fjender og derfor er nødt til at være på vagt og selv beskytte vores nationale interesser i cyberspace?

Hvert sekund, hvert minut, hvert døgn.

Det er den virkelighed, som allerede presser sig på. Hackerangreb fra nær og fjern sætter ind med en styrke, som kun vokser de kommende år.

Et opjusteret estimat viser, at cyberangrebet ved navn NotPetya, som i juni tvang Mærsk til at lukke en række containerterminaler ned, kostede shippingvirksomheden 1,6-1,9 milliarder kroner.

Blot ét eksempel på konsekvenserne af at blive hacket i en global, digital tidsalder. Mere politisk motiverede cases er Putins utimelige indblanding i den amerikanske valgkamp samt russernes angreb på Montenegro kort tid efter, at landet blev optaget i NATO.

Hollandsk cyberekspert: Tager det ikke seriøst
Jaya Baloo er chief information security officer i KPN, der bedst beskrives som den hollandske ækvivalent til TDC.

Altinget møder hende få timer efter, at hun har fascineret og skabt frygt blandt de godt tusinde gæster, som hørte hendes opsang i Operaen under Singularity Universitys konference i København.

Nu falder hun ned med et glas danskvand i Operaens presselokale. Og drømmer mest om at gå omkuld med en pakke småkager i sengen på hotellet.

Men pligterne kalder. Både i form af nysgerrige journalister, som vil vide mere om, hvordan hun opfatter truslen mod den danske digitale infrastruktur. Men også de evigt begejstrede kolleger fra Singularity University, som forventer hendes nærvær ved aftenens efterfest på Nørrebro.

Efter at have beskæftiget sig med cybersikkerhed de sidste 18 år, har Jaya Baloo optjent et ry som en af verdens førende eksperter på området. Hun ved, hvad hun taler om. Og når hun snakker, lytter folk efter.

“Jeg oplever ikke, at spørgsmålet på globalt plan tages tilstrækkelig seriøst. På trods af, at vi har set så mange angreb på den seneste tid, virker det som om, at verdens ledere først er ved at vågne op nu og forstår, hvad der er på spil,” forklarer hun.

Ingen konventioner i cyberspace
Hun taler om cyberspace som den femte dimension. Mennesket har for længst transformeret landet, havet, luften og sågar rummet til militære slagmarker. Og nu er turen så kommet til den digitale sfære.

“Problemet er, at vi ikke har regler for, hvordan landene bør agere med hinanden i den femte dimension. Andre typer krig er formet efter Genève-konventionerne, men i cyberspace findes den type regler for accepteret adfærd ikke. Og det er et problem, når tredje verdenskrig på mange måder allerede er i gang,” siger hun.

Jaya Baloo understreger vigtigheden af, at nationalstaterne skal kunne forsvare sig selv. Hackerangreb kan traditionelt inddeles i tre grupper afhængigt af, hvem der udfører dem:

• Cyberkriminelle: Jagter hurtige penge og går typisk efter virksomheder og andre private aktører
• Hactivister: Forfølger en politisk dagsorden eller bruger hacking til at afsløre digitale huller
• Nationalstater: Jagter militære efterretninger eller bruger cyberangreb som alternativ til konventionel krig

Eksempler på angreb
Det er den sidste type angreb, der anses for den mest alvorlige. Et berømt eksempel herpå er det såkaldte Stuxnet-angreb, der i 2010 tvang det iranske atomprogram i sænk.

Teorier fortæller, at det var USA og Israel, der i fællesskab udviklede virus samt inficerede det det iranske anlæg i Natanz som alternativ til konventionel bombning af den iranske atomindustri.

Et nyere eksempel er WannaCry, som i maj 2017 angreb mere end 300.000 computere i 150 lande. Der var tale om ransomware, som angreber computeren ved at kryptere filerne og derefter kræver en løsesum af ejerne. Det gik blandt andet hårdt ud over det britiske hospitalsvæsen.

I sidste måned udtalte den britiske viceminister for sikkerhed Ben Wallace til Bloomberg, at det var Nordkorea, som stod bag angrebet. Og at angrebet i det store hele kunne have været forhindret, hvis sundhedssektoren havde været bedre gearet til at tackle digitale angreb.

Prevent, detect, recover
Det fører os frem til Baloos basale anbefalinger til, hvordan man undgår at blive lagt ned af et cyberangreb.

“Man skal først og fremmest forsøge at undgå angreb. Men fordi alt ikke kan forhindres, skal man koncentrere sig om hurtigst muligt at opdage truslerne og derefter reagere på dem. Prevent, detect and recover,” siger hun.

En rapport fra Deloitte viste tidligere på året, at Danmark er det fjerde mest udsatte land i verden, hvad truslen for cyberangreb angår. Det skyldes i høj grad, at vores samfund er så digitaliseret, som tilfældet er.

The Digital Economy and Social Index (DESI) kårede i år Danmark til at være det mest digitale land i Europa. Og selv om det er positivt for erhvervsklimaet og udsigterne til at tiltrække udenlandske investeringer, betyder det også, at der følger et sikkerhedsmæssigt ansvar med.

Regeringen har en plan
I oktober måned fremlagde regeringen sin plan for at hæve forsvarsbudgettet med 20 procent over de næste seks år. I alt 12,8 milliarder kroner skal tilføres til forsvaret. Heraf skal cirka 900 millioner bruges på at højne cybersikkerheden.

“Cyberangreb kan være lige så ødelæggende for Danmark som et militært angreb,” sagde forsvarsminister Claus Hjort Frederiksen (V) ved præsentationen af regeringens udspil.

Fire konkrete tiltag skal ifølge regeringen styrke den danske modstandsdygtighed over for hackerangreb:

• Bedre beskyttelse mod avancerede cyberangreb, blandt andet ved en udbygning af sensornetværk.
• Etablering af et situationscenter, der skal medvirke til at skabe bedre overblik over truslerne.
• En styrkelse af den forebyggende indsats i forhold til blandt andet virksomheder og offentlige institutioner.
• En styrkelse af Forsvarets Efterretningstjenestes arbejde i forhold til påvirkningsoperationer, herunder gennem udbygning af Forsvarets Efterretningstjenestes analytiske kapacitet.

Travlhed op til gårsdagens kommunalvalg har betydet, at forhandlingerne om et nyt forsvarsforlig de seneste dage har været sat midlertidigt på pause.

Nato kan ikke redde os
Men skal Danmark være i stand til bare perifert at matche de ressourcer, som andre lande de seneste år har afsat til området, er det nødvendigt, at der opnås politisk enighed.

I 2015 oprettede Taiwan en cyberhær med 6.000 it-specialister. Blandt andet som modsvar til Kinas digitale hær, som efter sigende tæller 100.000 specialister. Tyskland råder aktuelt over 14.000 it- og cyberspecialister. Men også Norge, som oprettede et egentligt cyberforsvar i 2012, ruster op.

På topmødet i Polen i juni måned fastslog Nato, at man nu betragter cyberspace som et selvstændigt operationsdomæne. Og at man dermed også på dette område vil gøre brug af musketer-eden om én for alle og alle for én.

Men den ed giver Jaya Baloo ikke meget for. Allerede under formuleringen af spørgsmålet sukker hun højlydt.

“Nato kan ikke hjælpe os længere. Et fundamentalt problem er, at nationalstaterne ikke længere er åbne omkring deres aktiviteter. Alle ved, at en række af verdens mest magtfulde lande har atomvåben. Og der findes klare aftaler, som regulerer, hvordan disse atomvåben kan benyttes. Men spørger man ind til, hvilke cybervåben de største lande ligger inde med, bliver der påfaldende stille,” siger hun.

Venner og fjender
Og her er vi fremme ved et centralt problem: Nemlig at lande, som normalt beskytter os - USA, Storbritannien - nu er de samme lande, der udvikler sofistikerede vira, der ender med at ramme vores virksomheders computere.

“Tag eksempelvis sommerens angreb mod Mærsk. Her peger beviserne på, at den kode, som forårsagede angrebet, oprindelig udsprang fra den amerikanske efterretningstjeneste NSA, men siden faldt i hænderne på fremmede aktører. Og i et sådant spil kan man ikke sætte sin lid til internationale samarbejdsaftaler.”

Hvilke lande bør Danmark hente inspiration hos?

“Det er svært at udpege et enkelt land, som går forrest. Hvis du kigger på evnen til at angribe, er USA, Rusland og Kina i front. Og med fokus på defensiven er det Israel, som er længst fremme.”

Jaya Baloo roser også Storbritanniens cyberforsvar for at være fremme på beatet. Blandt andet har Storbritannien vedtaget en lov, som gør det muligt konstant at scanne centrale netværk både i den offenlige og private sektor for usædvanlige hændelser.

“Det er afgørende, at man hele tiden scanner sin vitale infrastruktur som vand, gas, el og telekommunikation. Og så at bruge hacking som del af et proaktivt forsvar. Hvis man lærer, hvor man kan hacke andre, bliver man også klogere på sine egne forsvarshuller. Og så kan man fikse dem.”

Hævn er ikke en varig løsning
Hun advarer dog imod, at man bruger sin nyudviklede hackingindsigt til at gå i krig med andre lande.

“Jeg bryder mig ikke om tanken om at hacke tilbage. Regeringer, der giver tilladelse til, at deres cybercentre kan hacke andre lande, er en skrækkelig idé. Men endnu dummere er de eksempler på lande, som tillader virksomheder, der er blevet ramt, at de kan gøre gengæld. Problemet er, at de ikke aner, hvor de skal hævne sig, og derfor kan det hurtigt ende med at gå ud over uskyldige mennesker.”

Det er vel også et gammeltestamenteligt syn på retfærdighed?

“Ja. Men det er den vej, som flere lande nu går, fordi de ikke ved, hvordan de ellers skal løse problemerne.”

Når du taler om, at tredje verdenskrig allerede er i gang, mener du det så seriøst, eller er det snarere noget, du siger for at skabe opmærksomhed?

“Lad mig spørge dig: Hvis en fremmed magt angriber 11 hospitaler i Danmark, er det så krig? Eller hvis jeg hackede en virksomhed og forårsagede skader for to milliarder kroner. Er det en krigshandling?”

“Hvis jeg hackede alle ansatte i regeringen - inklusiv sikkerhedsgodkendelser, så jeg kunne udpege spioner, er det en krigshandling? Eller hvis et land blokerer en anden magts eneste adgang til internettet?”

Folk behøver ikke dø i cyberkrig
Men mangler vi ikke stadig at se folk dø i stort antal, før der er tale om reel krig?

“Jeg mener, at vi har at gøre med en anden type krig. Når man hacker regeringer og leder efter spioner, kan det ses som en krigshandling.”

“Første verdenskrig var bygget op omkring skyttegravskrig. Det var klodset. Det handlede om at grave sig ned i mudder. Og folk døde i hobetal af sygdomme. Anden verdenskrig behøver jeg ikke gå i detaljer med - den er stadig graveret ind i Europas ansigt. I tredje verdenskrig bekriger landene stadig hinanden. Men folk dør ikke - det foregår på en virtuel arena.”

Så cyberangreb behøver ikke at føre til fysisk vold for at betragtes som en krigshandling?

“Jeg ser på krig som et attack and defense game. Og nu har vi udvidet grænserne fra det fysiske til det virtuelle plan. Når Nordkorea hacker en bank i Bangladesh for 81 millioner dollars, er det svært for mig at sige, at der ikke skulle være tale om krig. Ellers ville nationalstaterne ikke have så travlt mod at bekæmpe hinanden.”

Gik man en tur ned ad Strøget i København og spurgte tilfældige mennesker, hvorvidt tredje verdenskrig var brudt ud, ville de færreste nok svare ja. Jaya Baloo erkender da også, at diskussionen for manden på gaden kan virke en smule flyvsk.

“Det skyldes især, at en så stor del af krigsførelsen foregår i det skjulte. Det er kun en flig af de angreb, der dagligt finder sted, som når ud til offentligheden,” siger hun.

Internet of shit
Andre elementer af moderne krigsførelse af anderledes synlige. Og især når man opholder sig backstage i Operaen.

Tæt ved vinduerne rager to kraner op i havnelandskabet. Jaya Baloo peger på dem som eksempler på, hvad hun ynder at omtale som internet of shit.

“Bare fordi man sætter to dumme ting sammen, bliver det ikke smart. Problemet med IoT-teknologien er, at vi ofte nøjes med at forbinde apparaterne med hinanden uden at gøre noget for at sikre dem. Hele ideen bag smart city-tankegangen, som også trives her i Danmark, er, at alle dele af byen skal være forbundne. Men når både kranerne, køleskabene, skraldespandene og blenderne kan snakke med internettet, øger man risikoen for at blive hacket.”

Og så er vi tilbage ved kranerne på havnen.

“Typisk sætter man en 2g chip i dem, så de kan snakke sammen med resten af nettet. Det kan da umuligt gå galt. Jeg kan fjernstyre en kran. Hvor slemt kan det være?”

“Men det er her, at vi laver de største fejl. For IoT-udstyret - som i det her tilfælde kranerne - er forbundet til et trusted netværk. Det betyder, at når man har hacket den simple 2g chip i kranen, så har man pludselig adgang til resten af byens infrastruktur. Og det er præcis det samme, der sker i hjemmet.”

Livet som gudinde
Så når man forsøger at få folks vaskemaskiner til at gå automatisk i gang om natten, når strømmen fra vindmøllerne er billigst, er det i virkeligheden en dårlig idé?

“Præcis. Medmindre vi har adskillige lag af beskyttelse og lærer af vores tidligere fejl.”

Hvornår tror du, at folk får øjnene op for den trussel, som du beskriver?

“Jeg er så træt af, at vi først lader til at vågne op, når skaden er sket. Har du hørt om den græske gudinde Kassandra? Hun kunne forudsige fremtiden, men ingen lyttede til hende. Sådan føles det, når man arbejder med informationssikkerhed. Man ser problemerne og ved, hvad der skal gøres, men folk mærker det ikke på deres egne kroppe.”

“Det går ikke ud over mig. Det må andre tage sig af. Sådan tænker de fleste af os. Og derfor er det op til erhvervslivet og politikerne at indse, at det ikke er et spørgsmål om, hvorvidt det sker der dig, men hvornår det sker for dig."

red@altinget.dk