Tilsyneladende kan hvem som helst med adgang til Forsvarskommandoen snuppe en fil og sende den videre til en avis - uden at blive opdaget i op mod en uge.
Sådan virker det i hvert fald på den udenforstående efter sagen, der indtil videre har kostet både Forsvarets øverste it-ansvarlige, kommandør Jesper Britze, Forsvarskommandoens øverste pressechef; Lars Sønderskov, og forsvarschef Tim Sloth Jørgensen jobbet.
To it-sikkerhedseksperter, Computerworld har talt med, undrer sig over sikkerhedsprocedurerne i Forsvarskommandeon ovenpå sidste uges afsløring af, at den øverste it-ansvarlige i forsvaret, kommandør Jesper Britze oversatte den omdiskuterede bog "Jæger - I krig med eliten" til arabisk.
Formand for Rådet for Større It-sikkerhed, Christian Wernberg-Tougaard, mener, at det på en måde giver god mening, at it-kommandøren oversatte dele af bogen til arabisk.
"Sådan, som jeg har forstået det, så blev han bedt om at finde ud af, om der fandtes en arabisk kopi. Hvis man skulle prøve at finde noget, hvad er så bedre at bruge som søgeskabelon end en oversættelse af originalen," siger Christian Wernberg-Tougaard, som dog ikke forstår, hvordan det har ført til, at hele bogen er blevet oversat og havnet i Forsvarsministeriet, som en ægte oversættelse.
"For at søge behøver man vel kun en til to sider eller uddrag oversat - ikke hele bogen," siger Christian Wernberg-Tougaard.
"Men det er en logisk tanke, at det var en god måde at finde bogen. Det er vel normal taktik, at forsøge at tænke over, hvad modstanderen vil gøre. Det er jo også det, man gør, når man forsøger at tænke almindelig it-sikkerhed," siger Christian Wernberg-Tougaard, som fortæller, at han alene i de sidste par dage to gange har set hackere vise svagheder frem på scener på konferencer for både analysehuset IDC og hos Forbrugerstyrelsen.
"Hvis du ikke ved, hvad din modstander er i stand til, hvordan skal du så beskytte dig," siger Christian Wernberg-Tougaard, der tilføjer, at der ikke er noget mistænkeligt i den opgave, som Jesper Britze angiveligt blev stillet.
"Vi diskuterer jo også nye sikkerhedskoncepter og ser på mulighederne," siger Christian Wernberg-Tougaard, der fortæller, at den måske vildeste ting han har været med til var at promovere et system, der kan slå igen mod et botnet.
Svagt forsvar
Når det til gengæld kommer til selve systemet og forsvarets it-sikkerhedsprocedurer, så er Christian Wernberg-Tougaard forundret over forløbet omkring fup-oversættelsen.
Sikkerhedsformanden mener, at Forsvaret burde have sikret sine dokumenter med sporingssystemer, som andre højsikkerhedsorganisationer.
"I forhold til digital kopiering kan du gøre det, der kaldes track and trace, så man styrer, hvad der kan kopieres og hvem der må se det digitalt. I udgangspunktet bør man altid vide, hvor et dokument er," siger Christian Wernberg-Tougaard.
"Nu går der er en stor afhøring i gang for at finde den påståede læk, det kunne man have sparet," siger Christian Wernberg-Tougaard, som peger på England, som et sted, hvor datalæk og sikkerhedshuller har fået regeringen til at stramme op.
"Den britiske regering ville minimere risikoen for læk og tab af data. De kører nogle stramme systemer, og i en engelsk regerings-pc kan du for eksempel ikke bruge usb," siger Christian Wernberg-Tougaard.
En anden ekspert i it-sikkerhed Lars Neupart, direktør og stifter af it-sikkerhedsvirksomheden Neupart forklarer, at man sagtens kan få systemer, som også holder styr på ledende medarbejdere.
Men til gengæld er han usikker på om sikkerhedsforanstaltninger og it-systemer kunne have forhindret en læk fra Forsvarskommandoen, som så senere viste sig at være et falsum.
"Hvis det her dokument er oprettet for eksempel i GoogleDocs, så ville de systemer jo ikke træde i kraft," konstaterer han.
Lars Neupart forklarer, hvordan man i fremtiden kan sikre sig mod lækager, som han deler op i to grupper. De utilsigtede og dem, hvor en person bevidst vil have information ud.
"De utilsigtede er der to hovedredskaber, det ene er awareness. Gøre folk helt klart, hvad de må og ikke må. Den anden ting er data loss protection, som er en slags filtrering, der opdager, hvis man for eksempel kommer til at videresende et vedhæftet dokument," siger Lars Neupart.
Den anden gruppe er sværere at håndtere, men det er på den anden side en kendt problemstilling - især i en organisation som Forsvaret.
"Det er helt almindelig sikkerhedstyring, som dataklassificering, brugerstyring og regler om, at medarbejderne kun har adgang til nøjagtig det, de skal have," siger Lars Neupart, som forklarer, at man i dag kan få endnu mere vidtgående løsninger.
"Der findes amerikanske produkter, som decideret overvåger brugerne. Så kan systemet være i stand til at detektere et mønster ved en bruger som starter en alarm. Og så kan man afspille noget som minder om en video," siger Lars Neupart, der dog mener, at den model ikke ville gå i spænd med den danske persondatalovgivning.
