It sikkerhed og kryptering, Datakommunikation/telefoni, It og samfund

Sikkerhedschef:Sikker kode skal stoppe cybervåben

Potente cybervåben fra efterretningstjenester kan lamme vigtig samfunds­infrastruktur. Men hvad kan der gøres for, at det undgås? Microsoft har foreslået en digital Genève-konvention, men sikkerhedseksperter tvivler.

– Det er Det Vilde Vesten. USA, Rusland, Kina og EU bør sætte sig sammen og definere nogle spilleregler, så vi kan undgå det her.

Sådan lyder det fra den garvede sikkerhedsekspert Troels Ørting, som en kommentar til Baltimore-­ransomware-angrebet og de seneste års cyberangreb, hvor potente værktøjer fra efterretningstjenester er blevet anvendt med omfattende skader til følge.

Troels Ørting har et imponerende sikkerhedsmæssigt cv med stor national og international erfaring fra PET, Interpol, Barclays Bank og nu som leder af World Economic Forum's Centre for Cybersecurity, så der er grund til at lytte, når han forudsiger, at vi kommer til at opleve mere af den slags.
– Kriminelle bruger stjålne, lækkede eller solgte cybervåben fra nationalstater. Vi kommer beklageligvis til at se mere til den slags, da det ikke kun er USA, Rusland og Kina. som er stærke på cyberområdet, siger Troels Ørting.

Mange lande med cybervåben

Troels Ørting peger på, at en lang række lande har adgang til potente cybervåben, som desværre kan misbruges, hvis de kommer i de forkerte hænder.
– Det er en lille eksklusiv kreds af lande, der har atomvåben, men der er måske 30 stater, der virkelig kan ødelægge en anden stats cyberinfrastruktur: hospitaler, centraladministration, elværker, kommunikation. Foruden USA, Kina og Rusland er der Israel, Irak, Nordkorea, ja, selv i Danmark har man offensive cyberkræfter, siger Troels Ørting med henvisning til, at Center for Cybersikkerhed også har offensive cybervåben til rådighed.

Det er blandt andet grundet oprustningen inden for cybervåben, at Microsoft har foreslået at etablere en digital Genève-konvention.
– Ligesom den fjerde Genève-konvention i lang tid har beskyttet civile i krigstid, så har vi brug for en digital Genève-konvention, der forpligter regeringer til at beskytte civile mod nationalstaters angreb i fredstid, lød det fra Microsofts topjurist Brad Smith i februar 2017.

Senere på året slog hackere til med ransomware i form af WannaCry og senere NotPetya, der blandt andet lagde Mærsks globale netværk ned. Begge anvendte det NSA-udviklede EternalBlue.

Digital Genève-konvention

– Regeringer verden over bør se det her angreb som et wakeupcall, lød det efterfølgende fra Brad Smith og Microsoft, der endnu engang opfordrede regeringer til at definere internationale regler for anvendelse af cybervåben.

Brad Smith foreslog blandt andet, at “regeringer skal rapportere sårbarheder til leverandørerne i stedet for at opmagasinere, sælge og udnytte dem.” Troels Ørting er i princippet enig med Microsoft, men mener ikke, det vil være praktisk muligt.
– Det er ment og tænkt godt, så jeg kritiserer ikke Microsofts forslag, men jeg er nok mere kynisk indstillet over for, hvad jeg tror, der kan opnås. Jeg tror ikke på, at USA, Kina eller Rusland vil opgive at anvende en zeroday, fordi de har underskrevet et charter, siger Troels Ørting.

Sikkerhedseksperten Peter Kruse fra CSIS bakker også op om idéen, men mener som Troels Ørting, at det vil være stort set umuligt at gennemføre.
– Det er en god idé, men problemet er, at der er en gigantisk industri derude, som sælger nuldagssårbarheder for millioner af kroner, siger Peter Kruse, som derfor opfordrer til, at softwaren udvikles på en langt mere sikker måde, end tilfældet er i dag.

Sikker kode og internationalt samarbejde

– Der er kun en vej frem, og det er større vægt på security by design og secure coding i software, mener Peter Kruse.

Selvom Troels Ørting anser Microsofts forslag om en digital Genève-konvention som nærmest umuligt at gennemføre, så er han med sine kollegaer fra kontoret i Genève i fuld gang med at få Rusland, USA, Kina og EU til at definere nogle internationale spilleregler om cybervåben.
– Vi prøver at etablere en uafhængig platform, hvor de kan tale sammen. Det ser positivt ud, men det er ikke verdens letteste opgave, når der er så mange geopolitiske spændinger mellem Kina, Rusland og USA, siger han.

Troels Ørting håber, at landene kan blive enige om at bekæmpe organiseret kriminalitet på internettet og etablere spilleregler for spionage og hacking.
– Vi foreslår et charter, der gør det muligt fortsat at spionere i vores nationale sikkerhedsmæssige interesse, men samtidig beskytter vigtig infrastruktur som hospitaler, vandværker og lignende, siger han.

Troels Ørting kan ikke sige noget om, hvor langt hans team i Genève er kommet i bestræbelserne, men han understreger vigtigheden:
– Vi må forsøge at stoppe det her, ellers mister vi alle tilliden til internettet og alle de goder, som det giver os.

Bud på international aftale

Troels Ørting og hans team arbejder på et internationalt charter.
Her er de vigtigste punkter:

Regeringer forpligter sig til:   

  • Ikke at angribe hinandens kritiske infrastruktur
  • At samarbejde med internationale politiundersøgelser
  • Ikke at anvende CERT (Computer Emergency Response Teams) til offensive formål
  • Ikke at stjæle intellektuel ejendom fra virksomheder