John Foley om cyber- og hybridangreb: Jeg synes, at de danske myndigheder i unødvendig grad holder befolkningen uvidende
18.01.2025
”Det manes frem, som om russerne er de eneste, der udfører cyberangreb, men alle gør det – og det ville være forkert ikke at gøre det.”
Interview med John Foley, selvstændig cybersikkerhedsrådgiver og pensioneret major. Han har været tilknyttet sikkerhedsekspert i Forsvaret og var med til at etablere Center for Cybersikkerhed under Forsvarets Efterretningstjeneste i 2011.
Interview af Philippa Rosic
RÆSON: I maj 2024 advarede Forsvarets Efterretningstjeneste (FE) og Politiets Efterretningstjeneste (PET) om en skærpet risiko for russiske hybride midler i Danmark. Hvor mange hybride trusler i cyberdomænet står vi overfor i Danmark?
FOLEY: I selve cyberdomænet er det lidt svært at finde ud af, fordi efterretningstjenester hele tiden går ind og finder ud af, hvor et samfunds svage punkter er, også militært, så man kan sætte ind, hvis det bliver nødvendigt.
De hybride trusler og angreb, vi har set indtil videre, har været i form af fx kabeloverrivning, jamming af frekvenser, så skibe ikke kan navigere med GPS, og i det hele taget måder hvorpå man kan ramme den kritiske infrastruktur. Men for at komme med et eksempel på, hvordan man har angrebet cyberdomænet, så kan man se på den GPS-jamming, hacking og DDoS-angreb – dvs. overbelastningsangreb, hvor folk ikke kan komme ind på hjemmesider eller i kontakt med myndighederne. Et konkret eksempel på, hvad der kunne ske, fik vi d. 28. november sidste år, da 112 alarmcentralen blev lagt og en masse mennesker ikke kunne kontakte myndighederne herunder politiet, brandvæsenet og sygehusvæsenet. Det var alvorligt, og beredskaberne måtte køre vogne ud på gader og stræde for at hjælpe folk, der ikke vidste, hvad de skulle gøre. I dette tilfælde var der tale om en teknisk fejl hos TDC, men næste gang kunne det være et hackerangreb.
Vi har endnu ikke set de store alvorlige angreb herhjemme, men kigger man internationalt er der mange eksempler. For eksempel havde man en pipeline i USA (Colonial Pipeline) der blev hacket i maj måned og blev sat ud af funktion. Ligesom der har været en masse nålestikstilfælde, som hacker- og ransomware-angreb på sygehuse og andre beredskabstjenester. De helt store, alvorlige angreb udestår, og dem tror jeg, man vil vente med til en mere alvorlig koncentration konfrontation. De, der skriver doktriner og strategier omkring området, siger, at et større cyberangreb vil være indledningen til et større fysisk angreb. Rusland gjorde det, da de gik ind i Georgien i 2008, og man så det også, da Rusland invaderede Ukraine i 2022: Man lægger systemerne ned for at følge op med et fysisk angreb.
Hvor højt vil du vurdere trusselsniveauet ift. cybertrusler på cyberdomænet i Danmark lige nu?
Jeg kan henholde mig lidt til FE’s vurdering, som hele tiden skrues op, og som siger, at det er meget alvorligt. De har en masse partnere, som de får information fra, men som befolkningen ikke må få at vide.
I Estland var der i 2007 et kæmpe cyberangreb, som måske er sammenligneligt med det, vi kunne være truede af. Esterne havde fjernet en statue af en russisk soldat fra Tallinn, som de havde stillet op efter 2. verdenskrig som tak for, at russerne havde befriet Estland, Letland og Litauen. Esterne ville gerne være lidt mere uafhængige af russerne, så de fjernede statuen, der blev sat ud på en kirkegård. Det bevirkede, at en masse botnets [netværk af kaprede computerenheder red.] fra Rusland, lagde mange af systemerne ned i Estland, hvilket betød, at folk ikke kunne benytte deres mobiltelefoner, ikke kunne hæve penge, ikke kunne få benzin, ikke kunne tilkalde en taxa, og at de ikke kunne ringe til deres nærmeste og fortælle, at den var helt gal. Folk regnede med, at russiske kampvogne, ligesom man havde set det i Ungarn i 1956, ville komme kørende ind over grænserne. Det skete heldigvis ikke, men det betød, at Nationalbanken og andre steder var nedlagt meget længe, hvilket fik befolkningen til at gå i panik. Det er også det scenarie, som jeg frygter allermest, det er hvis folk i Danmark kommer til at opleve en hændelse af længere varighed, hvor man ikke kan få strøm, lys og varme, for så er jeg ikke sikker på, at folk går ind til det lokale supermarked og banker venligt på. I en sådan situation tror jeg godt, at der kan opstå nogle situationer, på trods af at vi er et meget civiliseret samfund. Vi så det fx i forbindelse med corona, hvor Mette Frederiksen sagde, at der ikke var nogen grund til at gå ned og købe toiletpapir, og alligevel var det rippet fjorten minutter senere.
I medierne bliver hybridkrig og cyberangreb ofte omtalt i sammenhæng med Rusland. Ser du andre lande, der kunne udgøre en trussel mod Danmark i den henseende?
De sidste tre-fire år efter angrebet på Ukraine, som allerede startede i 2014 med annekteringen af Krimhalvøen, er det eskaleret. Jeg tror ikke, at det kun er Rusland, der udgør en trussel, men lige nu er de den store fjende, og det har de altid været, især under Warszawapagt-tiden og Den Kolde Krig. Men jeg kan slet ikke forestille mig andet, end at fx Korea, Iran, Yemen, Kina, Nordkorea og de lande ligger på lur for at prøve at finde ud af, hvor andre landes svagheder er og derefter sætte ind. Det sidste, vi har set, er de små spøgelsesskibe, der sejler rundt, hvor nogle folk mener, at det er bevidst overrivning af kabler osv. At bevise det er svært, for hvordan beviser man, at skibene gør det med vilje?
Jeg kan slet ikke forestille mig andet, end at fx Korea, Iran, Yemen, Kina, Nordkorea og de lande ligger på lur for at prøve at finde ud af, hvor andre landes svagheder er og derefter sætte ind
_______
Sådan nogle kabler bliver revet over hyppigt og ofte. Det er ikke et særsyn. Men det er, som om medierne er tilbøjelige til at mane et billede frem, der passer ind i fortællingen om, at den store stygge bjørn kommer. Jeg siger ikke, at der ikke er fare på færde. Det er der, og der er mange, der siger, at når Ukraine falder, eller når der indgås en fredsaftale, vil Putin få frit spil til at gå endnu videre, end han har gjort tidligere. Så nogen har selvfølgelig interesse i at male fanden på væggen under en bestemt dagsorden. Jeg er også sikker på, at ethvert forsvar, ethvert militær og ethvert land bruger deres efterretninger til at vide, hvad der foregår, så man ikke bliver taget med bukserne nede.
Så der er i princippet mange lande, der er lige så gode om det som Rusland?
Ingen tvivl om det. Nogle af de bedste er endda Frankrig. De er virkelig dygtige – og amerikanerne også. Det manes frem, som om russerne er de eneste, der udfører cyberangreb, men alle gør det – og det ville være forkert ikke at gøre det. Så alle sidder og lurer på hinanden, samtidig med at værktøjerne nu er blevet meget mere sofistikerede med bl.a. kunstig intelligens og kvantecomputerteknologi. Det gør det heller ikke mindre farligt, så vi bevæger os nok på en knivsæg, hvad det her angår, og man kunne frygte, at der måske ikke skal så meget til, for at der opstår nogle misforståelser, og at signalerne bliver fejlfortolket.
Det oplevede vi også i forbindelse med Den Kolde Krig med atomfaren, hvor folk var meget bange for, at der muligvis ikke skulle så meget til, før der kunne opstå et eller andet med misforståelser, hvor et fly krænker et rum osv. Men dengang vi havde atomparaplyen, sagde man, at hvis du angriber, så ødelægger vi dig totalt. Det nye med hybridtrusler og angreb er, at man kan lave nogle små nålestiksoperationer på tærsklen til krig. Det er sådan set det nye i forhold til Den Kolde Krig. Der er det meget vigtigt, at myndighederne viser åbenhed fra deres side. Problemet er, at man aldrig får noget at vide af dem. Det synes jeg er lidt ærgerligt. De kunne godt gå ud og fortælle, at man nu ved noget mere og har beviser for en række ting i henhold til et givent angreb. Noget af det vanskeligste er at finde ud af, hvor det kommer fra, og hvordan det er gjort, da det ofte er sådan, staterne bruger proxy-metoder; man går ind og får kriminelle eller andre ikke-statslige organer til på statens vegne at handle. Det gør det også endnu sværere at finde ud af, om det er en bevidst handling fra en nation.
Danmark har de seneste fire år indtaget førstepladsen inden for offentlig digitalisering i FN’s E-Government Survey. D. 30. november 2024 oplevede vi et nedbrud hos TDC grundet en teknisk fejl, der bl.a. nedlagde 112 og gav et indblik i, hvor skrøbelig den danske kritiske infrastruktur er. Hvor sårbart er vores system overfor cyberangreb og hybridkrigsførelse?
Jo mere digitaliseret et samfund er, jo mere sårbart er det, og hvis der er nogen, der er digitaliseret, og jeg ynder også en gang imellem at sige tvangsdigitaliseret, så er det Danmark. Vi har nærmest troet, at vi ikke kunne eksistere uden digitalisering, og så har vi bare digitaliseret så meget som muligt. Ikke mindst for at effektivisere, men også for at indhente noget provenu. Myndighederne og politikerne har stort set været samstemmende om, at det ikke kan gå for stærkt, og at man ikke kan få for meget digitalisering.
Men man har fokuseret 90 pct. på digitalisering, og højst 10 pct. på den sikkerhed, der bør følge med. Det er den, som både den tidligere minister for digitalisering og den nye digitaliseringsminister har undladt og stadigvæk undlader at fokusere på. Hvis man læser om, hvad de anbefaler, er det eneste, de anbefaler, mere af det samme. Bagsiden af medaljen og det sikkerhedsmæssige har ikke så stor værdi.
Jo mere digitaliseret et samfund er, jo mere sårbart er det, og hvis der er nogen, der er digitaliseret, og jeg ynder også en gang imellem at sige tvangsdigitaliseret, så er det Danmark
_______
Paradokset er, at vi er meget sårbare, samtidig med at man buser på med at gøre os mere sårbare, uden at gøre noget for sikkerheden. Det er paradoksalt eller det som nogen kalder for hykleri. For at tage et eksempel med hensyn til hybridkrigsførelser og angreb, så oprettede EU for mere end seks år siden et Hybrid Center of Excellence i Helsinki. Det var oprettet som et EU-center, men i dag er det både et EU- og NATO-center. Danmark har som det eneste land endnu ikke sendt en person op til centeret. Centeret undersøger, hvilke hybride angreb der er, hvordan de kan imødegås, og hvordan man kan finde ud af, hvem der gør hvad. Det hjælper også til inden for EU med at sprede budskabet. På trods af at man i Udenrigsministeriet og andre steder har spurgt, om det ikke kunne være en idé, at vi som minimum deltog i det arbejde, så står Danmark tilbage. Det er bare et eksempel på, at man taler om hybride trusler og angreb, og hvor farlige disse er, uden at gøre noget ved det.
Hvorfor gør man ikke mere?
For det første har tech-giganterne brug for at sælge deres produkter. De laver lobbyarbejde overfor regeringen og fortæller, hvor vigtige deres produkter er, fordi det kan effektivisere samfundet. Jeg vil nødigt undvære digitaliseringen. Digitalisering har hjulpet os meget, men det første, man skal gøre, når man tager fat om det, er at undersøge, hvordan man sikrer de digitale systemer. Det kommer altid i sidste række. Så tech-giganterne ønsker at tjene mange penge, hvilket konsulentfirmaerne og sikkerhedsfirmaerne lukrerer på. Så hvis de kan få FE til at skrue op for trusselsniveauet, så får de endnu flere kunder. Dermed er der nogle profitønsker i de her ting. Regeringen og politikerne ønsker også at fremstå handlekraftige, men når man kigger på, om ord følger handling, så er der langt fra det ene til det andet. Det er det, der får mig, til trods for min høje alder, til stadigvæk at være indigneret og kæmpe for at gøre noget ud af det her.
Vi har fået et ministerium, som burde tordne derudaf, men som er mindre handlekraftigt, end det burde være. Det nytter jo ikke noget, at man tager personalet fra otte forskellige ministerier, og sætter dem ind et nyt sted, uden at have nogen ide om, hvad de skal gøre. Især hvis det er de samme mennesker, som der har gjort, at det ikke har været så godt tidligere, der sidder der.
Det netop offentliggjorte beredskabsforlig publiceret den 15. januar 2025 er desværre en dråbe i havet og slet ikke tilstrækkelig til at sikre samfundet og dets befolkning. Det er primært statslige tiltag, der ikke i tilstrækkelig grad tilgodeser hele samfundets behov, herunder regioner og kommuner. Der er godt nok afsat 235 millioner kr. til cybersikkerhed, men vi ved intet om, hvad de penge skal bruges til. Måske er det bare for at lukke nogle af hullerne, fra før det nye ministerium blev oprettet til bage i august 2024.
Det væsentlige og store arbejde udestår, og Regeringen har end ikke fundet ud af, hvilket mandat og hvilke beføjelser den nye minister for samfundssikkerhed og beredskab skal tildeles – herunder hvad han må og ikke må med hensyn til at koordinere og samordne indsatsen. Det kommer vi til at vente længe på, idet en kommission først skal skrive en længere rapport, hvorefter det kommer til at tage år at implementere. Det skriger til himlen, især når man ser hvad der sker i sammenligning med de nordiske lande.
Paradokset er, at vi er meget sårbare, samtidig med at man buser på med at gøre os mere sårbare, uden at gøre noget for sikkerheden
_______
Hvad skal regeringen og myndighederne helt konkret gøre for at sikre Danmark og civilsamfundet mod cyberkrigsførelse og hybridkrig?
De skal for det første sørge for, at der fokuseres på civilsamfundet. De skal komme ud med oplysninger omkring, hvad de kan gøre, og fortælle om de hackerangreb, der foregår. Det, vi mangler, er nogen, som fortæller, hvad der foregår. Men når vi ikke engang vil deltage i Hybrid Center of Excellence oppe i Finland, hvordan skulle de så komme ud og gøre det? Og grunden til, at de fejler, er, at de ikke i tilstrækkelig grad oplyser og deler deres viden. Man kan godt oplyse om, at hvad man fx har opdaget af angreb, uden at afsløre hemmeligheder. Men det gør de ikke. De er altid på bagkant. I stedet er det civile og private, der sidder på sociale medier og advarer hinanden. Vi er bl.a. en gruppe af fagpersoner og eksperter inden for cybersikkerhed, der har oprettet ”Forum for bedre cybersikkerhed” netop for at træde til fordi staten og myndighederne svigter befolkningen.
Det bør man centralisere – ikke for at skabe panik, men for at sende et signal om, at man er på forkant og hjælper befolkningen med at imødegå de kriser, der måtte komme. I stedet er det, vi oplever, lukkethed og ting, der ikke bliver fortalt til befolkningen, fordi man tænker, at de måske ikke kan tåle at høre sandheden.
I tilfælde af et massivt cyberangreb: Hvilken type beredskabsplaner bør eksistere, for at vi hurtigt kan genoprette vitale funktioner i samfundet?
Der er det, jeg kalder for det hellige sektoransvarsprincip. I henhold til sektoransvarsprincippet har vi en masse kritiske sektorer, hvor energi selvfølgelig udgør en stor del af dem, samtidig med at IT og infrastruktur tæller en hel del. Problemet har været, at de arbejder i siloer. Siloerne har ikke arbejdet sammen og koordineret tingene, og en af de vigtigste ting for det nye ministerium, det er at sørge for den koordinering. Hvis man skal få det her til at fungere, så skal man have nogen, der kan have en stor nok kæp til at sige, at hvis man skal få det her til at fungere, så skal følgende ske. Det har man gjort i Israel og lande som Frankrig, Norge, Sverige og Finland.
Hvor går grænsen mellem, hvor meget et land skal digitaliseres for at følge med i den digitale udvikling, og hvor meget det skal holdes sikkert og analogt?
Jeg har ikke noget imod, at man digitaliserer, men det skal gøres på en fornuftig og hensigtsmæssig måde. Og det er ikke det, der sker. Det er med hovedet under armen, og med et ønske om, at effektivisere og indhente en provenu.
Se fx på bankerne, hvor filialer er blevet lukket og slukket, og hvor det efterhånden er svært at komme i kontakt med bankpersonale, der kræver aftaler, før man vil mødes fysisk. I forhold til de offentlige institutioner kan man næsten ikke møde op på et Borgercenter, uden at skulle ringe i forvejen og bestille en tid. Så i takt med, at digitaliseringen skulle gøre det lettere og bedre for os, så gør den afstanden mellem borgeren og det offentlige meget større. Der synes jeg, at man skal have en lige så stor strategi, ikke kun for digitaliseringen, men også for cybersikkerheden.
I stedet er det, vi oplever, lukkethed og ting, der ikke bliver fortalt til befolkningen, fordi man tænker, at de måske ikke kan tåle at høre sandheden
_______
Den eksisterende strategi for cybersikkerhed batter som en snebold i helvede, og den adresserer ikke de reelle problemer i samfundet. Jeg synes, at det er på tide at kigge på civilsamfundet behov for sikkerhed. I Sverige har de nu over 2.500 mennesker ansatte og en minister til at sidde og kigge på, hvad der skal gøres for civilsamfundet, og hvordan det skal gøres. De er på et helt andet niveau og meget længere fremme, end vi er i Danmark. Vi kunne bare kopiere Norge, Finland eller Sveriges måde at gøre tingene på. Vi har det hele serveret. Men i stedet laver man et kommission, og så bliver tingene udskudt. Det er det, der bekymrer mig mest.
Specielt Covid-pandemien viste mig, at Danmark ikke er beredt på større kriser. Man skal have øvet sig og prøvet ting af, både på mikro- og makroniveau, og det er jeg bange for ikke sker i tilstrækkelig grad her i Danmark. I Sverige har jeg spurgt, hvordan de har råd til at afholde deres store nationale kriseøvelser. Ministeren sagde til mig, at de bl.a. får alle deres teleoperatører til at aflevere 3 pct. af deres omsætning til ministeriet, som så anvendes til at afholde kriseøvelserne. Godt nok bliver det du og jeg som brugere, der får det på regningen i sidste ende, men på den måde puljer Sverige tingene. De sidste nationale kriseøvelser der skulle være afholdt i Danmark blev annulleret, i en tid hvor der virkelig burde ske noget på området.
Kan NATO spille en rolle på det her område?
NATO kan kun gøre godt med det, som det enkelte land selv bidrager med. Det er også derfor, at vi har det, der hedder styrkemålskrav, hvor det snart bliver meldt ud af NATO, hvad Danmark burde være med til at anskaffe. Styrkemålene gør, at NATO har en holdning til, hvilke krige der skal udspilles, og hvad de skal bruge af militært udstyr til at udkæmpe disse krige. Derfor går NATO ud til de enkelte landene og siger, hvad de skal bidrage med. Hvorvidt de enkelte lande gør det eller ej, er op til landene selv.
Det er derfor, at Danmark ikke har efterlevet sine forpligtelser i mange år, hvad det angår. Da jeg selv sad i forsvarskommandoen og arbejdede med strategier, forlig og kravene fra NATO, brugte vi ikke mere end 1,13-1,16 procent af BNP. Så NATO er kun summen af de ressourcer og kapaciteter, som landene selv bidrager med.
EU har også en mere koordinerende rolle, så det er landenes egne kapaciteter, der er det vigtigste i denne sammenhæng. Men nu er det hele i limbo, hvor man skal finde ud af, hvad den civile del af Beredskab og Samfundssikkerhed skal tage sig af, og hvilken del militæret skal tage sig af. Så jeg er kun glad for, at den del er taget ud af det og ført over i civilt regi, hvor vi, der kan, ikke vil lade dem sove alt for roligt i den kommende tid. Vi laver konferencer og beder om foretræde og kontakter til de enkelte ordførere, der er relevante på den ene eller den anden måde. Det første skridt er taget, og vi må nu håbe, at det udmønter sig i nogle kloge ting hen ad vejen. Men jeg synes, at det går alt for langsomt. Det gør også, at jeg ikke helt kan hengive mig til græsslåning og klipning af min ligusterhæk. ■
Specielt Covid-pandemien viste mig, at Danmark ikke er beredt på større kriser
_______
John Foley er selvstændig cybersikkerhedsrådgiver og pensioneret major. Han har været tilknyttet sikkerhedsekspert i Forsvaret og var med til at etablere Center for Cybersikkerhed under Forsvarets Efterretningstjeneste i 2011.’
ILLUSTRATION: Nær Gotlands kyst, 25. august 2020: Den svenske flåde og flyvevåben patruljerer i Østersøen [FOTO: Antonia Sehlstedt/AFP/Ritzau Scanpix]
![Kampen om magten: “En meget berigende politisk bog […] Anbefales til indkøb”](https://d.raeson.dk/wp-content/uploads/2020/02/usa.trump_-300x274.jpg)
