Nørgaard: Gider, vil eller kan Center for Cybersikkerhed overhovedet hjælpe den civile del af det danske samfund?

Klumme: Jeg elsker mit gamle regiment Livgarden, men i dag er der endnu mere brug for en cybergarde. Laptops er vigtigere end nye, franske kanoner. Måske endda vigtigere end nye fly fra USA, selv om jeg synes, at de er fede.

Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.

BLUF (Bottom-Line Up Front):

1. Borgere og private virksomheder kan IKKE få hjælp af Staten i tilfælde af cyberangreb.

2. Offentlige institutioner kan (måske) få hjælp, men har IKKE gjort det de skulle og burde.

3. Danmark har med det seneste forsvarsforlig åbenbart en plan om at skyde cyberangreb ned med franske kanoner og amerikanske jetfly.

I gamle dage var der hæren, flåden og flyvevåbnet. Til lands, til vands og i luften.

Så kom Sputnik og Gagarin og satelitter og månevandringer. Det kaldte man den fjerde dimension - space.

Det har det danske militær ikke gjort så meget i, måske med undtagelse af, at vore F-104 Starfighters kunne komme helt op i stratosfæren, så man populært sagt siger, at Peter Madsen ikke var blevet den første dansker i rummet.

De fleste Starfighter-piloter har været der, hvorfor de også havde lidt kraftigere trykdragter end deres kolleger.

Idéen var, at de skulle have spændt en atombombe (hentet på et amerikansk depot 15 km syd for grænsen) under bugen, og så ellers afsted for fuld afterburner mod stjernerne, vende snuden mod et mål dernede østpå, og springe ud.

Men ellers er vi ikke aktive i space.

Så kom internettet, og dermed det femte element. Det var jo noget mere nærliggende, og her har vi været ganske godt med, rent militært set, med en kraftig FE-organisation, der kan lidt af hvert.

Men hvor de tre første elementer har til formål at beskytte Danmark og danskerne, osv. (sammen med politiet, PET, civilforsvaret, Hjemmeværnet og andre), så har det femte element (Centeret, eller CFCS) ikke meldt klart ud.

For mig at se ligner det en situation, hvor de hverken gider, vil eller kan hjælpe den civile del af vores samfund. Og ofte ikke engang den offentlige infrastruktur. Men det kan ikke være rigtigt.

Bevares, Centeret (CFSC) har nogle fine ord skrevet ned, de lover at passe på alt muligt, og de tager gerne ud til møder med de (meget få) store, danske privat-bikse, der måtte få problemer med statsbanditter eller private banditter, og de er flinke, dygtige og arbejdssomme folk….

Men der sker ikke rigtigt noget. Det skyldes formentlig, at de har for travlt, er for få, har for få midler, og/eller får besked på at lave det forkerte.

Det er i dag således, at:

- Hvis Mærsk bliver angrebet, så er de nødt til at hyre nogle private til at hjælpe dem. Det er ikke billigt. Men de har råd.

- Hvis Sonny’s Kaffebar bliver angrebet, er han nødt til at hyre nogle private til at hjælpe sig. Det er meget dyrt. Men han har ikke råd.

- Hvis CIMA bliver angrebet, er jeg nødt til at hyre nogle private til at hjælpe mig. Det er prohibitivt dyrt. Jeg har sikkert ikke råd.

Og selvom det skærer mig i hjertet at lægge et link fra CW’s ærværdige konkurrent ind her, så er det relevant læsning.

Millioner af cyberangreb hver dag
Der er 7,5 millioner cyber-angreb i Verden på en god dag. Tilmed må vi gå ud fra, at kineserne systematisk har kompromitteret samtlige servere i Danmark (og sikkert resten af Vesten). Deres cyber-efterretningstjeneste har ni organisatoriske lag:

I lag 1 arbejder de nyansatte. Her scanner man for eksempel de 12,5 millioner websites under .dk-domænet (det tager fire til seks minutter med nogle open source-tools) for at finde nye sites.

Så får de lov til at prøve at trænge ind med deres tools.

Hvis det ikke lykkes, går det videre til de noget mere erfarne på level 2. Og så videre.

Omkring level 4-5 stykker bliver der skrevet et lille hyggeprogram specielt til DIG, og SÅ kommer de ind.

De øvrige lag er til avancerede ting. Level 9 er Stuxnet-agtige angrebsvåben.

Men kineserne trænger ikke ind for at ødelægge. Vi ligger også så langt væk, at det er meningsløst.

De efterlader små kodestumper, der vågner op ind imellem og transmitterer data til Kina. Rekorden foreløbigt i Danmark var et program, der vågnede én gang om året og sendte data i to minutter. Det kan man kalde en sleeper.

Russerne og de andre banditter, såsom Nordkorea, angriber for at afpresse og ødelægge.

De kører Marxisme/Leninisme/Stalinisme på den hårde klinge og føler sig som nogle stakkels ofre, der bør have verdensherredømmet, hvilket Marie Krarup, Boris Johnson og Trumpie i øvrigt er enige i.

Selv den vitale, danske infrastruktur er IKKE sikret tilstrækkeligt mod russerne og de andre banditter, og den ER kompromitteret af kineserne, så der sendes data til Kina.

Og det troede jeg faktisk var problemer, som Centeret skulle tage sig af. Eller måske FE, PET, Rigspolitiet, Hjemmeværnet, Civilforsvaret…

Ja, og så kræves der naturligvis også villighed fra de offentlige institutioner til at implementere de anbefalinger fra FE/CFCS, som de allerede lægger inde med! For det har de fleste IKKE gjort endnu.

Så vi er i Danmark i den fabelagtige, måske lettere Monty Pythonske, situation, at det seneste forsvarsforlig:

- genopliver Slesvigske Fodregiment (jeg ville ønske jeg lavede sjov),
- genopliver Danske Artilleri Regiment,
- genopliver Ingeniørregimentet,
- genopliver de tre værns-kommandoer (Hær-, Flåde- og Flyvekommandoen),
- kalder Forsvarskommandoen for Forsvarskommandoen (den har heddet Værnsfælles Forsvarskommando i nogle år),
- køber nogle kanoner til hæren, nogle fly til flyvevåbnet og nogle ting til at opdage ubåde til flåden,

… men ikke satser på at kunne yde modstand og forsvare offentlige og private virksomheder og borgere på den eneste slagmark, der betyder noget i dag - cyber.

Når jeg bliver diktator af Danmark....
Når jeg bliver Diktator af Danmark bliver der meget hurtigt foretaget nogle ændringer via et antal korrigerende og kammeratlige samtaler:

Der bliver indført massiv værnepligt, og de fleste af de unge mennesker får lov at aftjene deres værnepligt i det femte element, hvor de skal hjælpe borgere, virksomheder og offentlige institutioner med at identificere og afvise russere og kinesere og andre banditter.

Så får de også tilegnet sig nyttige it-færdigheder under værnepligten.

Der bliver givet medaljer til folk, der kan finde svagheder i andres opsætninger, og der bliver lavet ægte whistleblowerordninger, som ikke har til hensigt at nakke drengen, der påpeger kejserens manglende beklædning....

Megakæmpestore gigant-bøder/-straffe til CHEFERNE for de dele af vores vitale, offentlige infrastruktur, der ikke har implementeret de passive cyber-foranstaltninger, som FE/CFSC har udviklet og anbefalet i snart mange år.

Hvis ministeren eller chefen for en styrelse selv skal vedkende sig en bøde på 80.000 kroner (som det skete i Sverige for nyligt), så sker der noget.

En af mine venner fandt i øvrigt ved en scanning for nyligt af .dk-domæner 600-700 åbne NAS/FTP-servere, og de have alle nogle bitcoin-mining-orme eller anden malware liggende - fordi andre også havde været forbi, og han fandt også en mellemstor, jysk by, hvor han kunne slukke for lyset.

Men der er ingen steder, hvor han kan gå hen med den viden uden at blive politianmeldt for forsøg på hacking, forsøg på tyveri, forsøg på … alt muligt.

Jeg spurgte en af de dygtigste og mest erfarne cyberfolk, som vi har i Danmark, Keld Norman, hvad han ellers ville anbefale, at man gjorde.

Han svarede: "Du kunne nævne at man burde have et "verdens" nem-id system til at signere trafik når det kom fra staten eller officielt fra lande."

Så hvis man skulle sende/modtage mails eller data til staten ala told/skat, kommunen, søge visa, eller indrejse til USA eller lign skulle man bruge sit "world-id" - det ville sikre tilliden til det statslige - du kan så ikke kommunikere med stater eller lande uden at man har identificeret sig og omvendt.

Man kunne også foreslå at alle informationer i online medier der kategoriseres som nyheder skal kunne henføres til en kilde som igen benytter en world-id så man ved det er reelt indhold og ikke fake news.

Mht til hack-back ville det være interessant at have ovenstående signeret trafik som det lovlige og alt andet der blandede sig i det statslige (angriber eller forsøger at hente data) kunne man lovligt lave hack back på.

Tilsvarende kunne man så statslig signere virksomheders trafik og igen lave et signeret virksomheds-kommunikations-flow worldwide.

Statslig email-service
Anders Kjerulff (Radio 24/7 Aflyttet) har også foreslået en statslig email-service som alternativ til hotmail/gmail, så den kan hægtes op på ægte identitet, måske endda “strong identity” a la Estlands system.

Vi burde i det hele taget gøre mange ting. I en fart.

For at runde af:

Jeg elsker mit gamle regiment Livgarden, men i dag er der endnu mere brug for en cybergarde. Laptops er vigtigere end nye, franske kanoner. Måske endda vigtigere end nye fly fra USA, selv om jeg synes, at de er fede.

Det er uacceptabelt i et velfærds- og retssamfund, at borgere og virksomheder ikke kan få hjælp mod trusler udefra, samtidig med, at det ikke er tilladt at lave modangreb, dvs. forsvare sig effektivt mod vedholdende og massive angreb/trusler. Det ville ellers være sejt med cyber-borgerværn og cyber-selvtægtsgrupper, ikke?

Det er de færreste, der har råd til at hyre privat cyberhjælp for at redde deres biks, og Centeret er i dets nuværende konfiguration ikke ret meget værd i den henseende, desværre.

Jeg ser frem til en række gode forslag fra læserne til, hvad man kunne gøre. Så kan jeg forsøge at samle det i et idé-katalog og forelægge det for relevante folk i partier og hos myndigheder.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.






Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
Fem vigtige CRM-trends, som det er værd at holde øje med
Aldrig har forholdet til dine kunder været vigtigere - og CRM-systemerne er godt på vej til at skifte over mod en mere holistisk tilgang, som er drevet af masser af data. Her har du fem vigtige trends, som dominerer brugen af CRM lige nu.
Computerworld
Google indfører Android-gebyr efter kæmpe EU-bøde: Android-producenter skal nu betale for brug af Google-tjenester
Efter sommerens kæmpe EU-bøde indfører Google licensbetaling for Android-producenters brug af blandt andet Play Store. Men "Android vil forblive gratis og open source," lyder det fra selskabet.
CIO
Forleden reparerede en mekaniker min bil: Det kostede 4.200 kroner, som min hjerne snød mig til at betale med et smil
De rationelle it-beslutninger du træffer er måske en illusion. Det lærte jeg da min bil gik i stykker og min hjerne snød mig til at tro, at alt var fint. Til gengæld fandt jeg tre fælder dine it-beslutninger kan falde i.
Job & Karriere
Her er syv job-annoncer der overrasker med helt usædvanlige overskrifter
Der er mange ledige it-job i øjeblikket. It-jobbank har her fundet syv spændende stillinger, der har det til fælles, at annoncen har en utraditionel overskrift.
White paper
Står din infrastruktur i vejen for virksomhedens udvikling? … her er de 10 vigtigste overvejelser
Oplever du, at din virksomheds it-infrastruktur er en stopklods for udviklingen af forretningen, digitalisering og konkurrencekraft? Måske er svaret hyperkonvergeret infrastruktur, hvor software og hardware smelter sammen i én konkurrencedygtig enhed, som er nem at administrere. Men der er 10 meget vigtige overvejelser at gøre sig, før man vælger en løsning. Læs dette whitepaper fra Lenovo og bliv klædt bedre på til at vælge rigtigt. 10 Key Considerations for Selecting Hyper-Converged Infrastructure - What to Know Before You Choose a Solution, Lenovo, 18 sider på engelsk.