Cyberekspert: Tredje verdenskrig er allerede i gang - og Danmark er i skudlinjen

INTERVIEW: Det danske cyberforsvar er på niveau med Rwandas. En stærkt digitaliseret offentlig og privat sektor gør os ekstra sårbare. Og det er skidt, når tredje verdenskrig ifølge den hollandske cyberekspert Jaya Baloo allerede er brudt ud i cyberspace.

Placeholder image

En FN-opgørelse over 193 landes cyberforsvar placerer Danmark som nummer 36.

Langt efter lande som Singapore, USA og Malaysia. Men også Estland og vores nordiske naboer klarer sig markant bedre.

Den danske evne til at forsvare sig mod hacking, lækager, propaganda og cyberspionage er på niveau med, hvad Tjekkiet, Rwanda og Luxembourg kan præstere.

Måske ikke alarmerende set i kontekst af, at det danske forsvar alle dage har været afhængig af stærke allierede.

Fakta
Blå bog:

Jaya Baloo arbejder som chief information security officer (CISO) i det hollandske teleselskab KPN.
Gennem 18 år har hun arbejdet informationssikkerhed. Blandt andet for globale televirksomheder som Verizon og France Telecom.
Jaya optræder hyppigt som taler på konferencer om cybersikkerhed og juridisk beslægtede emner. I 2017 blev hun anerkendt som en af verdens 100 dygtigste CISO’s.

Bare fordi man sætter to dumme ting sammen, bliver det ikke smart. Problemet med IoT-teknologien er, at vi ofte nøjes med at forbinde apparaterne med hinanden uden at gøre noget for at sikre dem. Hele ideen bag smart city-tankegangen, som også trives her i Danmark, er, at alle dele af byen skal være forbundne. Men når både kranerne, køleskabene, skraldespandene og blenderne kan snakke med internettet, øger man risikoen for at blive hacket.

Jaya Baloo, Chief information security officer, KPN
Foto:

Mærsk mistede to milliarder på angreb
Men hvad gør vi, når NATO ikke længere kan beskytte os? Når vi ikke længere kan kende forskel på venner og fjender og derfor er nødt til at være på vagt og selv beskytte vores nationale interesser i cyberspace?

Hvert sekund, hvert minut, hvert døgn.

Første verdenskrig var bygget op omkring skyttegravskrig. Det var klodset. Det handlede om at grave sig ned i mudder. Og folk døde i hobetal af sygdomme. Anden verdenskrig behøver jeg ikke gå i detaljer med - den er stadig graveret ind i Europas ansigt. I tredje verdenskrig bekriger landene stadig hinanden. Men folk dør ikke - det foregår på en virtuel arena.

Jaya Baloo, Chief information security officer, KPN

Har du hørt om den græske gudinde Kassandra? Hun kunne forudsige fremtiden, men ingen lyttede til hende. Sådan føles det, når man arbejder med informationssikkerhed.

Jaya Baloo, Chief information security officer, KPN

Det er den virkelighed, som allerede presser sig på. Hackerangreb fra nær og fjern sætter ind med en styrke, som kun vokser de kommende år.

Et opjusteret estimat viser, at cyberangrebet ved navn NotPetya, som i juni tvang Mærsk til at lukke en række containerterminaler ned, kostede shippingvirksomheden 1,6-1,9 milliarder kroner.

Blot ét eksempel på konsekvenserne af at blive hacket i en global, digital tidsalder. Mere politisk motiverede cases er Putins utimelige indblanding i den amerikanske valgkamp samt russernes angreb på Montenegro kort tid efter, at landet blev optaget i NATO.

Hollandsk cyberekspert: Tager det ikke seriøst
Jaya Baloo er chief information security officer i KPN, der bedst beskrives som den hollandske ækvivalent til TDC.

Altinget møder hende få timer efter, at hun har fascineret og skabt frygt blandt de godt tusinde gæster, som hørte hendes opsang i Operaen under Singularity Universitys konference i København.

Nu falder hun ned med et glas danskvand i Operaens presselokale. Og drømmer mest om at gå omkuld med en pakke småkager i sengen på hotellet.

Men pligterne kalder. Både i form af nysgerrige journalister, som vil vide mere om, hvordan hun opfatter truslen mod den danske digitale infrastruktur. Men også de evigt begejstrede kolleger fra Singularity University, som forventer hendes nærvær ved aftenens efterfest på Nørrebro.

Efter at have beskæftiget sig med cybersikkerhed de sidste 18 år, har Jaya Baloo optjent et ry som en af verdens førende eksperter på området. Hun ved, hvad hun taler om. Og når hun snakker, lytter folk efter.

“Jeg oplever ikke, at spørgsmålet på globalt plan tages tilstrækkelig seriøst. På trods af, at vi har set så mange angreb på den seneste tid, virker det som om, at verdens ledere først er ved at vågne op nu og forstår, hvad der er på spil,” forklarer hun.

Ingen konventioner i cyberspace
Hun taler om cyberspace som den femte dimension. Mennesket har for længst transformeret landet, havet, luften og sågar rummet til militære slagmarker. Og nu er turen så kommet til den digitale sfære.

“Problemet er, at vi ikke har regler for, hvordan landene bør agere med hinanden i den femte dimension. Andre typer krig er formet efter Genève-konventionerne, men i cyberspace findes den type regler for accepteret adfærd ikke. Og det er et problem, når tredje verdenskrig på mange måder allerede er i gang,” siger hun.

Jaya Baloo understreger vigtigheden af, at nationalstaterne skal kunne forsvare sig selv. Hackerangreb kan traditionelt inddeles i tre grupper afhængigt af, hvem der udfører dem:

  • Cyberkriminelle: Jagter hurtige penge og går typisk efter virksomheder og andre private aktører
  • Hactivister: Forfølger en politisk dagsorden eller bruger hacking til at afsløre digitale huller
  • Nationalstater: Jagter militære efterretninger eller bruger cyberangreb som alternativ til konventionel krig

Eksempler på angreb
Det er den sidste type angreb, der anses for den mest alvorlige. Et berømt eksempel herpå er det såkaldte Stuxnet-angreb, der i 2010 tvang det iranske atomprogram i sænk.

Teorier fortæller, at det var USA og Israel, der i fællesskab udviklede virus samt inficerede det det iranske anlæg i Natanz som alternativ til konventionel bombning af den iranske atomindustri.

Et nyere eksempel er WannaCry, som i maj 2017 angreb mere end 300.000 computere i 150 lande. Der var tale om ransomware, som angreber computeren ved at kryptere filerne og derefter kræver en løsesum af ejerne. Det gik blandt andet hårdt ud over det britiske hospitalsvæsen.

I sidste måned udtalte den britiske viceminister for sikkerhed Ben Wallace til Bloomberg, at det var Nordkorea, som stod bag angrebet. Og at angrebet i det store hele kunne have været forhindret, hvis sundhedssektoren havde været bedre gearet til at tackle digitale angreb.

Prevent, detect, recover
Det fører os frem til Baloos basale anbefalinger til, hvordan man undgår at blive lagt ned af et cyberangreb.

“Man skal først og fremmest forsøge at undgå angreb. Men fordi alt ikke kan forhindres, skal man koncentrere sig om hurtigst muligt at opdage truslerne og derefter reagere på dem. Prevent, detect and recover,” siger hun.

En rapport fra Deloitte viste tidligere på året, at Danmark er det fjerde mest udsatte land i verden, hvad truslen for cyberangreb angår. Det skyldes i høj grad, at vores samfund er så digitaliseret, som tilfældet er.

The Digital Economy and Social Index (DESI) kårede i år Danmark til at være det mest digitale land i Europa. Og selv om det er positivt for erhvervsklimaet og udsigterne til at tiltrække udenlandske investeringer, betyder det også, at der følger et sikkerhedsmæssigt ansvar med.

Regeringen har en plan
I oktober måned fremlagde regeringen sin plan for at hæve forsvarsbudgettet med 20 procent over de næste seks år. I alt 12,8 milliarder kroner skal tilføres til forsvaret. Heraf skal cirka 900 millioner bruges på at højne cybersikkerheden.

“Cyberangreb kan være lige så ødelæggende for Danmark som et militært angreb,” sagde forsvarsminister Claus Hjort Frederiksen (V) ved præsentationen af regeringens udspil.

Fire konkrete tiltag skal ifølge regeringen styrke den danske modstandsdygtighed over for hackerangreb:

  • Bedre beskyttelse mod avancerede cyberangreb, blandt andet ved en udbygning af sensornetværk.
  • Etablering af et situationscenter, der skal medvirke til at skabe bedre overblik over truslerne.
  • En styrkelse af den forebyggende indsats i forhold til blandt andet virksomheder og offentlige institutioner.
  • En styrkelse af Forsvarets Efterretningstjenestes arbejde i forhold til påvirkningsoperationer, herunder gennem udbygning af Forsvarets Efterretningstjenestes analytiske kapacitet.

Travlhed op til gårsdagens kommunalvalg har betydet, at forhandlingerne om et nyt forsvarsforlig de seneste dage har været sat midlertidigt på pause.

Nato kan ikke redde os
Men skal Danmark være i stand til bare perifert at matche de ressourcer, som andre lande de seneste år har afsat til området, er det nødvendigt, at der opnås politisk enighed.

I 2015 oprettede Taiwan en cyberhær med 6.000 it-specialister. Blandt andet som modsvar til Kinas digitale hær, som efter sigende tæller 100.000 specialister. Tyskland råder aktuelt over 14.000 it- og cyberspecialister. Men også Norge, som oprettede et egentligt cyberforsvar i 2012, ruster op.

På topmødet i Polen i juni måned fastslog Nato, at man nu betragter cyberspace som et selvstændigt operationsdomæne. Og at man dermed også på dette område vil gøre brug af musketer-eden om én for alle og alle for én.

Men den ed giver Jaya Baloo ikke meget for. Allerede under formuleringen af spørgsmålet sukker hun højlydt.

“Nato kan ikke hjælpe os længere. Et fundamentalt problem er, at nationalstaterne ikke længere er åbne omkring deres aktiviteter. Alle ved, at en række af verdens mest magtfulde lande har atomvåben. Og der findes klare aftaler, som regulerer, hvordan disse atomvåben kan benyttes. Men spørger man ind til, hvilke cybervåben de største lande ligger inde med, bliver der påfaldende stille,” siger hun.

Venner og fjender
Og her er vi fremme ved et centralt problem: Nemlig at lande, som normalt beskytter os - USA, Storbritannien - nu er de samme lande, der udvikler sofistikerede vira, der ender med at ramme vores virksomheders computere.

“Tag eksempelvis sommerens angreb mod Mærsk. Her peger beviserne på, at den kode, som forårsagede angrebet, oprindelig udsprang fra den amerikanske efterretningstjeneste NSA, men siden faldt i hænderne på fremmede aktører. Og i et sådant spil kan man ikke sætte sin lid til internationale samarbejdsaftaler.”

Hvilke lande bør Danmark hente inspiration hos?

“Det er svært at udpege et enkelt land, som går forrest. Hvis du kigger på evnen til at angribe, er USA, Rusland og Kina i front. Og med fokus på defensiven er det Israel, som er længst fremme.”

Jaya Baloo roser også Storbritanniens cyberforsvar for at være fremme på beatet. Blandt andet har Storbritannien vedtaget en lov, som gør det muligt konstant at scanne centrale netværk både i den offenlige og private sektor for usædvanlige hændelser.

“Det er afgørende, at man hele tiden scanner sin vitale infrastruktur som vand, gas, el og telekommunikation. Og så at bruge hacking som del af et proaktivt forsvar. Hvis man lærer, hvor man kan hacke andre, bliver man også klogere på sine egne forsvarshuller. Og så kan man fikse dem.”

Hævn er ikke en varig løsning
Hun advarer dog imod, at man bruger sin nyudviklede hackingindsigt til at gå i krig med andre lande.

“Jeg bryder mig ikke om tanken om at hacke tilbage. Regeringer, der giver tilladelse til, at deres cybercentre kan hacke andre lande, er en skrækkelig idé. Men endnu dummere er de eksempler på lande, som tillader virksomheder, der er blevet ramt, at de kan gøre gengæld. Problemet er, at de ikke aner, hvor de skal hævne sig, og derfor kan det hurtigt ende med at gå ud over uskyldige mennesker.”

Det er vel også et gammeltestamenteligt syn på retfærdighed?

“Ja. Men det er den vej, som flere lande nu går, fordi de ikke ved, hvordan de ellers skal løse problemerne.”

Når du taler om, at tredje verdenskrig allerede er i gang, mener du det så seriøst, eller er det snarere noget, du siger for at skabe opmærksomhed?

“Lad mig spørge dig: Hvis en fremmed magt angriber 11 hospitaler i Danmark, er det så krig? Eller hvis jeg hackede en virksomhed og forårsagede skader for to milliarder kroner. Er det en krigshandling?”

“Hvis jeg hackede alle ansatte i regeringen - inklusiv sikkerhedsgodkendelser, så jeg kunne udpege spioner, er det en krigshandling? Eller hvis et land blokerer en anden magts eneste adgang til internettet?”

Folk behøver ikke dø i cyberkrig
Men mangler vi ikke stadig at se folk dø i stort antal, før der er tale om reel krig?

“Jeg mener, at vi har at gøre med en anden type krig. Når man hacker regeringer og leder efter spioner, kan det ses som en krigshandling.”

“Første verdenskrig var bygget op omkring skyttegravskrig. Det var klodset. Det handlede om at grave sig ned i mudder. Og folk døde i hobetal af sygdomme. Anden verdenskrig behøver jeg ikke gå i detaljer med - den er stadig graveret ind i Europas ansigt. I tredje verdenskrig bekriger landene stadig hinanden. Men folk dør ikke - det foregår på en virtuel arena.”

Så cyberangreb behøver ikke at føre til fysisk vold for at betragtes som en krigshandling?

“Jeg ser på krig som et attack and defense game. Og nu har vi udvidet grænserne fra det fysiske til det virtuelle plan. Når Nordkorea hacker en bank i Bangladesh for 81 millioner dollars, er det svært for mig at sige, at der ikke skulle være tale om krig. Ellers ville nationalstaterne ikke have så travlt mod at bekæmpe hinanden.”

Gik man en tur ned ad Strøget i København og spurgte tilfældige mennesker, hvorvidt tredje verdenskrig var brudt ud, ville de færreste nok svare ja. Jaya Baloo erkender da også, at diskussionen for manden på gaden kan virke en smule flyvsk.

“Det skyldes især, at en så stor del af krigsførelsen foregår i det skjulte. Det er kun en flig af de angreb, der dagligt finder sted, som når ud til offentligheden,” siger hun.

Internet of shit
Andre elementer af moderne krigsførelse af anderledes synlige. Og især når man opholder sig backstage i Operaen.

Tæt ved vinduerne rager to kraner op i havnelandskabet. Jaya Baloo peger på dem som eksempler på, hvad hun ynder at omtale som internet of shit.

“Bare fordi man sætter to dumme ting sammen, bliver det ikke smart. Problemet med IoT-teknologien er, at vi ofte nøjes med at forbinde apparaterne med hinanden uden at gøre noget for at sikre dem. Hele ideen bag smart city-tankegangen, som også trives her i Danmark, er, at alle dele af byen skal være forbundne. Men når både kranerne, køleskabene, skraldespandene og blenderne kan snakke med internettet, øger man risikoen for at blive hacket.”

Og så er vi tilbage ved kranerne på havnen.

“Typisk sætter man en 2g chip i dem, så de kan snakke sammen med resten af nettet. Det kan da umuligt gå galt. Jeg kan fjernstyre en kran. Hvor slemt kan det være?”

“Men det er her, at vi laver de største fejl. For IoT-udstyret - som i det her tilfælde kranerne - er forbundet til et trusted netværk. Det betyder, at når man har hacket den simple 2g chip i kranen, så har man pludselig adgang til resten af byens infrastruktur. Og det er præcis det samme, der sker i hjemmet.”

Livet som gudinde
Så når man forsøger at få folks vaskemaskiner til at gå automatisk i gang om natten, når strømmen fra vindmøllerne er billigst, er det i virkeligheden en dårlig idé?

“Præcis. Medmindre vi har adskillige lag af beskyttelse og lærer af vores tidligere fejl.”

Hvornår tror du, at folk får øjnene op for den trussel, som du beskriver?

“Jeg er så træt af, at vi først lader til at vågne op, når skaden er sket. Har du hørt om den græske gudinde Kassandra? Hun kunne forudsige fremtiden, men ingen lyttede til hende. Sådan føles det, når man arbejder med informationssikkerhed. Man ser problemerne og ved, hvad der skal gøres, men folk mærker det ikke på deres egne kroppe.”

“Det går ikke ud over mig. Det må andre tage sig af. Sådan tænker de fleste af os. Og derfor er det op til erhvervslivet og politikerne at indse, at det ikke er et spørgsmål om, hvorvidt det sker der dig, men hvornår det sker for dig."

Dokumentation

Verdens store cyber-angreb (antal i parentes):

2006: (5)

  • USA’s statsadministration hackes og kopieres for flere terabyte data. Rusland og Kina mistænkes.

2007: (12)

  • Estland udsættes fra Rusland for et gigantisk hackerangreb, der er målrettet myndigheders it, banker og kritisk infrastruktur.
  • Kinas regering anklager Taiwan og USA for omfattende cyberspionage.

2008: (17)

  • Amerikanske myndigheder fortæller, at vestlige virksomheder har mistet betydelig intellektuel ejendom på grund af cyberspionage.
  • Demokraternes og Republikanernes databaser bliver kopieret af ukendte hackere forud for det amerikanske præsidentvalg.

2009: (21)

  • Det franske flyvevåben er tvunget til at holde flyene på jorden, fordi militærets databaser er ramt af cyberangreb.
  • Myndigheder i USA og Sydkorea bliver angrebet af ukendte hackere. Nordkorea anklages.
  • U.S. Bank bliver udsat for et hackerangreb, som koster banken flere hundrede mio. kr.

2010: (20)

  • Google og 30 andre store amerikanske virksomheder rammes af et cyberangreb. Kina anklages.
  • NATO og EU advarer mod et stigende antal cyberangreb over de seneste 12 måneder. Rusland og Kina menes at stå bag langt de fleste.

2011: (25)

  • EU’s kulindustri udsættes for et cyberangreb. Hackere svindler sig til minimum 50 mio. kr.
  • Hackergruppen “Anonymous” tiltvinger sig adgang til Sony Playstation Network og mere end 80 mio. brugeres personlige oplysninger. Angrebet koster Sony over en mia. kr.

2012: (23)

  • Storbritannien bekræfter, at en virksomhed med base i London er blevet hacket og har mistet omtrent 6 mia. kr.

2013: (30)

  • FBI sigter ukrainske og russiske hackere for at have stjålet kreditkortinformationer fra over 160 mio. personer.
  • Dokumenter offentliggjort af Snowden viser, at USA har aflyttet Angela Merkels telefon.

2014: (22)

  • Hackere fra Østeuropa bryder ind i energisektorer i blandt andet USA, Spanien, Frankrig og Tyskland.
  • Cyberkriminelle tiltvinger sig adgang til 300 hjemmesider ejet af myndigheder i Tyskland, Østrig og Schweiz.

2015: (29)

  • Cyberangreb, angivelig fra Kreml, skaber adgang til 20.000 brugere i den tyske regerings netværk.
  • Hackere tiltvinger sig adgang til Hollands efterretningstjeneste med henblik på at få indsigt i undersøgelsen af MH17-flyet, der blev skudt ned i Ukraine et år tidligere.

2016: (37)

  • Ukraines nationale energiselskab bliver udsat for et destruktivt cyberangreb og må lukke strømmen til Kiev.
  • Rusland anklages for at have påvirket den amerikanske valgkamp, blandt andet ved flere hack- and-leaks mod Hillary Clintons kampagne.

2017: (32)

  • Sverige anklager Rusland for at plante fake news og misinformation i forsøget på at vende folkestemningen mod de svenske politikere i diskussionen af samarbejdet med NATO.
  • Rusland anklages for et cyberangreb mod Montenegro, efter at landet blev medlem af NATO.
  • Goldeneye-angrebet rammer blandt andet Mærsk, hvilket ender med at koste virksomheden 200-300 mio. dollar.

Kilde: Mandag Morgen på baggrund af Climate Accountability Institute, CDP



Politik har aldrig været vigtigere
Få gratis nyheder fra Danmarks største politiske redaktion
Ved at tilmelde dig Altingets nyhedsbrev, accepterer du vores generelle betingelser