It sikkerhed og kryptering, It og samfund

Den forsømte cybersikkerhed

Foto: Scanpix

Herbert Lin har forsket i cybersikkerhed ved Stanford University, siden internettet blev spundet.

– Jeg beklager, hvis jeg lyder pessimistisk.

Sådan lyder den afsluttende replik fra Herb Lin, der er seniorforsker i cybersikkerhed på Stanford University, som ligger midt i tech-enklaven Silicon Valley i Californien.

Forud er gået et timelangt interview om viften af bekymrende it-trusler mod nationer, samfund og private virksomheder, og hvad der kan gøres ved dem.

Lin har forsket i cybersikkerhed, siden internettet blev spundet, og er en førende international kapacitet. På samme måde har Stanford University historisk set været en vidensmæssig frontløber på området.

Herb Lin fastslår, at de teknologiske løsninger til at imødegå truslerne i de fleste tilfælde findes, men at der mangler vilje hos politikere og ledere til at gøre det nødvendige – herunder allokering af penge til opgaven.

– Jeg skrev en rapport om cybersikkerhed for 30 år siden, som stadig har gyldighed, siger Herb Lin med et skævt smil.

Sårbare systemer

Hacking og anden uautoriseret, computerstyret intervention antager flere former og har forskellige formål.

Det første store felt er ifølge Herb Lin cybersikkerhed i forhold til nationers militær og politiske institutioner.

– Våbensystemer i et moderne militær er udelukkende computerdrevet, så fjender kan påvirke våbnenes funktion ved at angribe computerne. Kommandoenheden i et militær bruger it-understøttet kommunikation, så ved at angribe disse computere kan fjenden afskære de militære ledere fra at give ordrer videre, siger Herb Lin.

Han nævner som eksempel Israels luftangreb mod en formodet atomreaktor i Syrien i 2007, hvor det israelske militær formentlig satte radarsystemet i det syriske luftforsvar ud af kraft og kunne flyve ind på syrisk territorium uden at blive opdaget.

– På samme måde er mange politiske institutioner i et land blevet fuldstændig afhængige af it til opbevaring af viden og udveksling af information. Et angreb på disse institutioner er et angreb på den sociale sammenhængskraft i landet, erklærer Herb Lin.

Eksempelvis er retsvæsenet baseret på digitale dokumenter, og loven kan ikke håndhæves uden adgang til dem. Herhjemme var Udenrigsministeriet i 2015 under angreb fra en hackergruppe, som med phishing-e-mails og et ondsindet spionprogram forsøgte at få adgang til ministeriets systemer.

Vi ved, hvordan vi kan gøre computersystemer mere sikre. Hvorfor gør vi det ikke?

Et andet stort felt er computersikkerhed i forhold til kritisk infrastruktur. Det gælder elektricitet, varmeværker, vandforsyning, bankvæsen og økonomiske transaktioner generelt samt transport og kommunikation.

Her fremhæver Herb Lin et eksempel fra Ukraine, hvor en femtedel af strømforsyningen hovedstaden, Kijev, i 2016 blev afbrudt af hackere, som var ved at afprøve den mest avancerede malware til at sabotere elnettet.

Han har flere andre eksempler: I Australien er en mand dømt for at hacke et digitaliseret system til behandling af spildevand i det centrale Queensland, hvorved han sendte millioner af liter urenset spildevand ud i lokale floder og parker.

I Bangladesh blev nationalbanken i 2016 drænet for, hvad svarer til 550 millioner kroner ved hjælp af et cyberangreb – Nordkorea menes at stå bag.

Og i USA gennemførte en journalist fra det amerikanske techmagasin Wired et forsøg, hvor han kørte i en Jeep Cherokee med over 100 kilometer i timen i udkanten af St. Louis, mens hackere – efter aftale – overtog kontrollen med klimaanlæg og vinduesviskere via bilens digitaliserede radio.

Som et lille, borgernært eksempel fremhæver Herb Lin, at der er udviklet digitale termostater med mulighed for fjernstyring af varmeapparater, men at der ikke også er mulighed for at bruge aggregaterne manuelt. Og det er lige lovlig smart, mener han, for folk risikerer at komme til at fryse, hvis den interne mikrocomputer går i stykker.

Hacking af vælgere

Den tredje store problematik på nationalt og samfundsmæssigt niveau er cybertrusler mod demokratiske valg og den offentlige debat.

Herb Lins bogsamling vidner om mange års dedikeret forskning i cybertrusler. Foto: Regner Hansen

Ruslands indblanding i det amerikanske præsidentvalg i 2016 er det mest ildevarslende nyere tegn på problemet. Blandt andet spredte russiske såkaldte troldefarme misinformation på Facebook og andre sociale medier, der skulle sværte Hillary Clinton og favorisere Donald Trump, som jo endte med at sejre.

Misinformationen kan lige så vel udgå fra politiske grupper i eget land, understreger han.

– Man kan hacke maskiner, og man kan hacke de mennesker, som stemmer. At hacke vælgere er for mig langt det mest alvorlige. Tænk engang hvad Hitler kunne have udrettet med sociale medier. Det er skræmmende. Selv med radio og aviser var Hitlers propagandamaskine temmelig effektiv, siger Herb Lin.

Økonomisk afpresning

Det fjerde kompleks i forbindelse med cybersikkerhed er private virksomheder, som udsættes for hacking og angreb med ransomware med henblik på at stjæle forretningshemmeligheder, som blandt andet kan anvendes til økonomisk afpresning.

Rederiet Mærsk og høreapparatproducenten Demant er blandt de koncerner herhjemme, der har gjort sig dyrekøbte erfaringer af den art.

– Der er flere hundrede steder, hvor en uønsket aktør kan forsøge at skaffe sig adgang. Den angribende part skal kun have heldet med sig ét af stederne, siger Herb Lin.

Sikkerhed er besværlig

Uanset om det er militæret, de politiske institutioner eller det private erhvervsliv, så konstaterer Herb Lin, at der bliver afsat alt for få penge til at forbedre cybersikkerheden.

Den amerikanske forbundsregering brugte ifølge officielle tal 16,6 milliarder dollar (112 milliarder kroner) på cybersikkerhed i finansåret 2019. Heraf gik over halvdelen til landets militær.

Det private erhvervsliv i USA afsatte 124 milliarder dollar (840 milliarder kroner) til cybersikkerhed i samme finansår. Det viser en analyse fra konsulentfirmaet Gartner, Inc.

Man kan hacke maskiner, og man kan hacke de mennesker, som stemmer

Kun hver syvende amerikanske virksomhed bruger over 10 procent af deres budget på cybersikkerhed. En undersøgelse, som IBM har fået udarbejdet, tyder på, at et rimeligt niveau for virksomhederne generelt ville være en budgetandel på næsten 14 procent.

Dilemmaet for beslutningstagerne består i, at fordelene ved it er så store og indlysende, at det er svært at acceptere den forsinkelse og det besvær, som en styrkelse af sikkerheden vil medføre.

– Hvis hastighed har høj prioritet, og man vil have produkter og ydelser hurtigt ud, så kan der være en tilbøjelighed til at nedprioritere sikkerhed. Alle har fart på, siger Lin.

Halvhjertet afprøvning

Herb Lin har kendskab til adskillige eksempler, hvor militær og virksomheder ganske fornuftigt hyrer hackergrupper til at afprøve sikkerheden i et it-system. Men værdien af testen devalueres, hvis hackergruppen – som det ofte sker – kun må teste en efterligning af systemet, eller gruppen bliver afskåret fra at afprøve visse dele af systemet. Han har set eksempler på det inden for militæret og i erhvervslivet.

– Argumentet fra militæret for at slække på kravene under en test er, at hvis the red team (hackergruppen, red.) har held til at gennembryde cyberforsvaret, ville det være nødvendigt at afblæse en igangværende militærøvelse. Det er for høj en pris, hedder det. Hos en virksomhedsledelse er indvendingen, at den bliver tvunget til at sætte produktionen midlertidigt i stå, siger Herb Lin.

Accept af manipulation

Når det gælder den it-understøttede påvirkning af den demokratiske proces, medgiver Herb Lin, at der er kommet øget fokus på problemet, men han kan ikke øjne, at der er taget skridt til en løsning. Dertil er der for mange politikere, der drager fordel af det, mener han.

– Hvis én politisk fløj bruger disse redskaber på en dårlig måde, og den anden fløj opfordrer til at opføre sig anstændigt, hvem vil så vinde? Bevidstheden om, at chancen for at vinde øges ved at sprede falske informationer, undergraver den offentlige samtale, siger Herb Lin.

Men det er også politikerne, der har magten til at indføre regulering af cybersikkerheden, og den magt bør de bruge, mener Herb Lin.

Snarere end specifikke lovkrav til sikkerhedsfunktioner foretrækker han, at politikerne i højere grad gør det muligt at drage producenter, sælgere og operatører til ansvar for ”slap” cybersikkerhed, der påfører skader.

– Mit generelle svar er erstatningsansvar. Politikerne skal være villige til at pålægge ekstra udgifter til at forbedre sikkerheden. Øget cybersikkerhed er ligesom en forsikring. Det koster, siger Herb Lin.

Han forestiller sig, at et skærpet ansvar blandt andet vil føre til en mere grundig afprøvning af systemer, at to-faktor-godkendelse af brugere bliver mere udbredt, og at det bliver normen at supplere digitale systemer i maskiner og apparater med manuelle systemer.

Øget cyber­sikkerhed er ligesom en forsikring. Det koster

Samtidig opfordrer han it-professionelle til at presse på for at øge sikkerheden i deres organisation eller virksomhed ved i kraft af deres faglighed at pege på de kritiske områder. I sidste ende er det ledelsen, som bestemmer, men den er forpligtet til at optræde ansvarligt i forhold til både organisationen og samfundet som helhed, indskærper Lin.

– Vi ved, at vi er i stand til lave vores computersystemer mere sikre. Vi ved, hvordan vi kan gøre det. Hvorfor gør vi det ikke? spørger Herb Lin.

CV: Herb Lin

UDDANNELSE:

Bachelorgrad i fysik fra MIT i 1973. Ph.d.-grad i fysik fra MIT i 1979.

KARRIERE:

Seniorforsker på Center for International Security and Cooperation på Stanford University, hvor han også forsker i cyberpolitik og cybersikkerhed ved Hoover Institution.

Tidligere koordinator af større projekter om politik, it og computer­videnskab under Det Nationale Forskningsråd i USA.

Medlem af præsident Barack Obamas kommission til styrkelse den nationale cybersikkerhed.

Herb Lin udgav sidste år antologien ’Bytes, Bombs, and Spies: The Strategic Dimensions of Offensive Cyber Operations’, hvor en række eksperter analyserer den nye æra med sofistikerede cyberangreb.

3 forslag fra Herb Lin til bedre cybersikkerhed

IMPLEMENTERING

Implementer de mange effektive tekniske sikkerheds­løsninger, som allerede er udviklet.

TEST

Gennemfør reelle test af sikkerheden, der giver et ret­visende billede.

REGULERING

Indfør regulering, der drager producenter, sælgere og operatører til ansvar for sikkerheden.