Et hemmeligt antal installerede sensorer rundt om i Danmark skal hæve it-sikkerherheden i Danmark.
Således står Govcert under Forsvarets Efterretningstjeneste bag et sensornetværk, der "består af en række elektroniske alarmenheder (sensorer) placeret hos Govcert's kunder".
Kunderne består af myndigheder, men også private virksomheder inden for for eksempel finans-, energi- samt it- og telesektoren.
"Sensornetværket bruges til at indsamle, registrere, analysere og opbevare data samt alarmere ved sikkerhedshændelser," hedder det i Govcerts materiale om netværket.
Dele af den opsamlede data samt alle alarmer fra sensoren bliver overført til Govcerts centrale og særskilte netværk, hvor det bliver analyseret af Govcert, lyder det videre.
"Hvis din organisation er tilsluttet sensornetværket, analyserer
Govcert kontinuerligt jeres internettrafik for at finde mønstre, der indikerer tegn på ondsindet aktivitet."
"Til det formål benyttes information om angrebsmønstre fra lukkede kilder, partnere, efterretningstjenester og egne analyser," hedder det videre.
Hemmeligt antal
Hos Center for Cybersikkerhed under Forsvarets Efterretningstjeneste ønsker man ikke at oplyse, hvor mange sensorer der findes rundt om i landet.
"Af sikkerhedsmæssige årsager kan Center for Cybersikkerhed ikke give nærmere oplysninger om alarmenhederne og deres antal," udtaler Policy and Communications Officer Tobias Liebetrau fra Center for Cybersikkerhed.
Han oplyser dog, at "de fleste ministerområder" i dag er tilsluttet Govcert.
"Dertil kommer yderligere et antal andre offentlige myndigheder og private virksomheder, der er beskæftiget med kritisk infrastruktur".
I en bekendtgørelse fra 2011 - underskrevet af daværende forsvarsminister Nick Hækkerup (S) - fremgår det da også, at på anmodning skal myndigheder tilslutte sig netværket.
Prisen for den tilsluttede myndighed eller virksomhed er årlige driftsudgifter: 82.360 kroner eksklusiv moms, fremgår det af samme bekendtgørelse.
Tobias Liebetrau henviser til § 4 i bekendtgørelsen om vilkår for tilslutning til den statslige varslingstjeneste for internettrusler, "at den tilsluttede myndighed eller virksomhed betaler udgifter, der er forbundet med Govcerts indkøb af henholdsvis alarmenheden og service, samt årlige driftsudgifter."
"Dette beløb opkræver Center for Cybersikkerhed hos de tilsluttede myndigheder. Hvert ministerområde tilbydes dog opsætning af én alarmenhed uden betaling, jf. bemærkningerne til Govcert-loven," forklarer han.
Sådan sættes det teknisk op
Govcert har offentliggjort svar på en stribe spørgsmål i forbindelse med netværket.
Et af dem lyder: "...vil den interne trafik også blive scannet?"
"Det afhænger af sensorens placering. Placeres sensoren på ydersiden af firewall'en, vil det primært være angreb mod organisationens yderside, der bliver registreret," hedder det i Govcerts eget svar.
I materialet fremgår det også, hvordan sensornettet kobles til kundens eksisterende infrastruktur.
"Formålet med Govcert's sensor er at analysere trafikken til og fra jeres organisation via internettet. Sensoren placeres derfor mellem jeres firewall og endepunktet af jeres internetforbindelse fra den valgte internetudbyder (ISP)."
"Det gør det muligt at opsamle den samlede trafik til og fra internettet, uanset konfigurationen af firewallen, det vil sige uden de begrænsninger på internettrafikken, som I måtte have valgt," heddet det.
Ønsker man, at sensoren er placeret før eventuelt endepunktsudstyr, skal dette godkendes af ISP'en, "da det
vil kræve en ændring i ISP'ens fysiske setup."
Data overføres
I praksis er der to muligheder for at overføre data mellem kunden og Govcert via sensoren:
1. Via den eksisterende internetforbindelse, men på ydersiden af jeres firewall
2. Via en dedikeret DSL linje (out-of-band).
Govcert anbefaler, "at kunden vælger at benytte sin eksisterende linje, idet en dedikeret DSL linje ofte ikke
har nok kapacitet, med mindre der vælges en DSL linje med kapacitet 10/10 Mbit eller derover".
"Fælles for begge typer af opkoblinger er, at data vil blive sendt via en krypteret VPN forbindelse," hedder det videre.
Kunden skal selv sørge for en stribe it-tiltag.
Her er krav til dit it-set up
Kunden skal selv sørge for at have de tekniske forudsætninger på plads, før en installation af sensoren
kan påbegyndes.
"...herunder plads i racks, strømudtag og internet forbindelse," hedder det.
"I skal sørge for have undersøgt hvilken type tilkobling, der skal lyttes på og hvilken type fiber, og hvad hastigheden er på den internetforbindelse, der skal overvåges."
Imidlertid skal man holde fingrene fra sensor-udstyret.
Fix pille
Kan min organisation selv overvåge udstyret og sensoren?
"Nej, sensoren og det tilhørende udstyr er Center for Cybersikkerheds ejendom og må udelukkende
håndteres af centrets ansatte," hedder det.
Samtidig oplyses det i øvrigt, at sensoren ikke har negativ påvirkning af hastigheden i infrastrukturen.
Enheden oplyser også åbent om den teknologi, som man benytter til at tæve data igennem.
"Govcert's sensorer benytter Deep Packet Inspection-teknologi (DPI) til at undersøge og analysere pakkedata, som passerer gennem sensoren."
"DPI er en form for computernetværks pakkefiltrering, der
undersøger alle datadele af en datapakke, når den passerer et kontrolpunkt (i dette tilfælde sensoren) og undersøger dataene for mønstre, der eventuelt kan udløse en alarm," hedder det.
Både fiber- og kobber-kunder kan tappes, oplyses det videre.
"Til at duplikere trafikken til sensoren benyttes en tap. Denne tap placeres på det kabel, der lyttes på, og duplikerer trafikken ud på en monitoreringsport."
"Ved kobber-tilslutning skal den tap, som anvendes, være tilsluttet forsyningsnettet (220V), dvs. at den indeholder aktive komponenter. Ved fibertilslutning foretages en passiv tilslutning uden aktive komponenter eller tilslutning til forsyningsnettet."
"Fælles for begge typer af taps gælder, at de ikke vil forhindre trafik ved tilfælde af fejl eller nedbrud, medmindre tappen fysisk bliver ødelagt," oplyses det.
Såfremt en kunde har redundante internetforbindelser, findes der også en løsning på det.
"Som udgangspunkt lytter Govcert's sensor udelukkende på én linje. Det kan være en udfordring i forbindelse med redundante linjer, hvis der er tale om to aktive linjer (eventuelt i forbindelse med load balancing). Govcert har dog mulighed for at overvåge to forbindelser efter specifik aftale," hedder det.
Samtidig oplyses det, at trafikdata kan videregives til udlandet.
Dansk data kan tilgå udlandet
Under punktet "gældende regler" oplyser tjenesten mere om sensoren og dens data.
"Govcert ejer sensoren og de relevante data. Mens data passerer gennem sensoren, bliver alt ind- og
udgående pakke- og trafikdata opsamlet i forbindelse med analysen," hedder det.
Imidlertid tæver man ikke al data igennem.
"Pakkedata må dog kun analyseres ved begrundet mistanke om en stedfunden eller forventet sikkerhedshændelse, og kun i det omfang det er nødvendigt for at gennemføre den pågældende analyse," hedder det.
Samtidig oplyses det, at ligesom logningsdata slettes data efter en periode.
"Uanset formålet med behandlingen gælder følgende:
1) Pakke- og trafikdata, der knytter sig til en sikkerhedshændelse, må højst opbevares i 3 år
2) Pakkedata, der ikke knytter sig til en sikkerhedshændelse, må højst opbevares i 14 dage og under
normale omstændigheder kun i 6 dage
3) Trafikdata, der ikke knytter sig til en sikkerhedshændelse, må højst opbevares i 12 måneder.
Alle fristerne regnes fra tidspunktet for registreringen af de pågældende data i den statslige varslingstjeneste, lyder det videre, ligesom det understreges, at "alle ansatte i Center for Cybersikkerhed har tavshedspligt".
Må videregives til varslingstjenester i andre lande
Endelig kommer enheden under Forsvarets Efterretningstjeneste også ind på, hvornår data må videregives.
"Data, der behandles som led i den statslige varslingstjenestes aktiviteter, kan kun videregives i følgende
tilfælde:
1) Pakke- og trafikdata, der knytter sig til en sikkerhedshændelse, kan videregives til politiet
2) Pakkedata, der knytter sig til en sikkerhedshændelse, kan videregives til MilCERT, hvor GovCERT
skønner det nødvendigt, for at beskytte nationale digitale infrastrukturer mod sikkerhedsmæssige
trusler
3) Trafikdata kan, hvor dette er nødvendigt i henhold til varslingstjenestens formål og aktiviteter,
videregives til danske myndigheder, tilsluttede private virksomheder og tilsvarende varslingstjenester i andre lande."
Særligt de sidste fem ord er måske interessante i denne tid, hvor udveksling af data mellem efterretningstjeneste jo oplever en del fokus.
For ifølge Govcerts eget papir må trafikdata, hvor "dette er nødvendigt i henhold til varslingstjenestens formål og aktiviteter" videregives til "tilsvarende varslingstjenester i andre lande".
