Danmark smøler med vital varsling

Vejen til magt over andre lande og mennesker er ikke bare herredømmet over farvandet, luftrummet og vejene. Moderne krig hedder cyberkrig, og det handler om at få magten over den digitale infrastruktur. Det fik blandt andet Estland en lærestreg i, da et organiseret Denial-of-Service-angreb i foråret 2007 lukkede hjemmesiden for det estiske parlament i 12 timer. Men værre var det, at det i en time også var umuligt at ringe til alarmcentralen, ligesom flere aviser og tv-stationers hjemmesider havde problemer.

Angrebet blev sporet til en computer i en regeringsbygning i Moskva og skyldes formentlig, at de estiske myndigheder kort forinden havde besluttet at flytte en statue af en russisk soldat fra Anden Verdenskrig. Angrebet fortsatte de følgende dage fra tusinder af zombie-computere over hele verden, der var inficeret med et bot-program.

Botnet er en sammentrækning af robot-net og net og dækker over software-robotter (bots), der fungerer selvstændigt og automatisk. Virtuelle, autonome entiteter, som eksempelvis maskinstyrede figurer i computerspil eller automatiske web-crawlere. Softwarerobotter er grundstammen i distribueret computing, men ordet botnet dækker typisk over skadelige netværk af computere. Den legale version hedder et cluster.

De ubeskyttede zombie-computere er en slags digitale soldater, der, uden ejerne eller brugerne ved noget om det, konstant bombarderer hjemmesider med henvendelser, så de bryder sammen af overbelastning.

I Estland var målet myndighedernes hjemmesider, men også danske medier har under Muhammed-krisen oplevet tilsvarende, massive Denial-of-Serviceangreb.

Botnet og DDOS er den største trussel
– Botnet og distribuerede Denial-of-Service (DDOS) er absolut den største trussel, vi står over for. Det er her, et fælles effektivt varslingssystem kan nytte. Jo før man opdager, at noget er på vej, jo hurtigere kan man gøre noget for at forsvare sig, siger lederen af DK-Cert, Shehzad Ahmad.

DK-Cert, Det danske Computer Emergency Response Team, hører under Uni-C, der igen hører under Undervisningsministeriet. Selvom DK-Certs centrale opgave er overvågning af de danske undervisningsnet og forskningsnettet, er DK-Cert i praksis hele Danmarks sikkerhedscenter på nettet. Men landene omkring os har etableret formelle regeringsorganer til at varsle cyberangreb, etablere præventive foranstaltninger og koordinere den nationale indsats i tilfælde af et angreb – såkaldte Gov-Cert.

– Vi halter bagud på det punkt. For eksempel har de nordiske lande etableret et samarbejde mellem Gov-Certer. Det eneste land, der ikke er med, er Danmark. Der er en politisk barriere i øjeblikket, og det er besynderligt, fordi Danmark ellers er kendt for at være godt fremme i skoene på det digitale område, siger Kim Aarenstrup, der foruden at være it-sikkerhedschef i A. P. Møller-Mærsk også er initiativtager til det nystiftede og uafhængige Rådet for større It-sikkerhed, hvor han er næstformand.
Han understreger, at solid fundering i det internationale samarbejde er afgørende.
– På internettet breder krigen sig på millisekunder fra Timbuktu over Manhattan og til København. Et angreb krydser landegrænser med lysets hastighed, siger Kim Aarenstrup.

Hemmelig rapport anbefaler dansk Gov-Cert
Allerede for mere end et år siden – i august 2007 – skrev It- og Telestyrelsen en rapport, der anbefalede en dansk Gov-Cert.

– Det er primært en behovsanalyse, der slår fast, at der er brug for sådan en funktion, siger kontorchef i It- og Telestyrelsen Flemming Faber, der står bag den interne rapport.

Men projektet har været skudt til hjørne i et år, fordi staten i mellemtiden har omlagt al it-drift til det centrale Statens It-center. Rapporten er først efter sommerferien i år nået til politisk behandling.

”Der foregår tværministerielle overvejelser omkring setup og økonomi i lyset af blandt andet det statslige it-center, og rapporten er endnu ikke offentlig tilgængelig.

Afhængig af udfaldet af overvejelserne og en efterfølgende politisk beslutningsproces vil den blive offentliggjort eller indgå som led i lovforberedende arbejde,” oplyser videnskabsminister Helge Sanders sekretær i en e-mail.

Prosabladet erfarer, at det politiske slagsmål blandt andet handler om, hvorvidt Danmarks Gov-Cert skal være en udvidelse af DK-Cert, ligge i Statens It-Center under Skat eller et helt tredje sted.

– Måske hører det mere logisk til under Justitsministeriet ligesom Datatilsynet, der jo netop kan gå på tværs af alle ministerier og endda selv starte politisager – eller måske under Politiets Efterretningstjeneste. Det er en god ide at holde den slags adskilt fra den operationelle it-drift, siger Kim Aarenstrup og understreger, at det er hans egen private holdning, og at han er meget lydhør over for alternativer. Rådet for større It-sikkerhed har endnu ikke haft lejlighed til at diskutere Gov-Cert.

Det private er bedre til den opgave
Kim Aarenstrup og Shehzad Ahmad er enige i, at selvom Danmark endnu ikke har etableret et statsligt varslingssystem, er vi ikke nær så sårbare, som for eksempel Estland var.

– Vi har en helt anden og langt stærkere infrastruktur, hvor knudepunkterne er fordelt over langt flere lokaliter, og så har vi i DK-Cert allerede et ekstremt godt samarbejde med ISP’erne (internetudbyderne), private virksomheder, politier, PET, Forsvaret og så videre, siger Shehzad Admad.

Faktisk er det eksisterende samarbejde så effektivt, at KPMG ikke vurderer, at der er behov for endnu en offentlig CERT.

– Den type varsling findes i forvejen bedre i privat regi. Jeg kan ikke se, at man får noget ud af at lade staten løse den opgave. Det svarer lidt til, at vi går tilbage til dengang, hvor staten stod for telefoni, siger partner Morten Klitgaard Friis fra IT Risc Management i revisionsfirmaet KPMG. 

Rådet for større It-sikkerhed, www.rfsits.dk
DK-Cert, www.cert.dk og
www.uni-c.dk/produkter/support/dkcert