Den moderne slagmark omfatter alt og alle
Illustration: Kotynski
Krig udkæmpes ikke længere kun med krudt og kugler. Den føres med digital afpresning, nedbrud i offentlige it-systemer og falske Facebook-profiler. Og forsvarsstyrkerne kan lige så godt være informationssikkerhedskoordinatorer som soldater.
Da de i gennemsnit 500.000 passagerer, der rejser med DSB hver dag, kiggede op på togstationernes afgangstavler lørdag den 2. november, blev de mødt af den ene aflyste afgang efter den anden. Togene kunne ikke køre, fordi en softwarefejl gjorde det umuligt at få besked om ændrede forhold.
Ondsindede aktører var brudt ind i softwaretestmiljøet hos en af DSB’s underleverandører, som havde slået alarm, og da DSB iværksatte en nødløsning, havde den også fejl.
Efterfølgende kritiserede Statsrevisorerne skarpt den digitale sikkerhed hos Banedanmark – og har også konstateret fejl og svagheder i en række andre statslige it-systemer.
Forsvarets Efterretningstjeneste vurderede i en rapport fra december 2024, at der siden den russiske invasion af Ukraine er kommet øget risiko for cyberangreb, at den risiko kun er blevet større, og at man i de kommende år kun kan forvente, at den bliver endnu større.
Der er kommet flere digitale våben
"Når den unge soldat har fået sine ordrer og spørger: "Hvor er slagmarken?" vil svaret være: "Alle vegne.""
Sådan skrev de to kinesiske oberster Wang Xiangsui og Qiao Liang i 1999 i deres bog ‘Grænseløs krig’ om fremtidens krigsførelse. Deres forudsigelser har vist sig at være overraskende præcise for de efterfølgende 25 års krig.
I takt med at verden er blevet mere og mere digital, er der også kommet flere og flere måder at ødelægge sine fjenders infrastruktur, påvirke afstemninger og skade sammenhængskraften i samfundet på. Danmark er ingen undtagelse.
Samfundskritiske it-systemer
I Danmark findes cirka 90 it-systemer, som af myndighederne vurderes som ’samfundskritiske’.
Listen over, hvilke systemer der er tale om, er ikke offentligt tilgængelig, men Statsrevisorerne har tidligere udpeget Banedanmarks signalsystem som et af dem. I flere undersøgelser i de seneste par år har Statsrevisorerne kritiseret adskillige af dem som værende utilfredsstillende beskyttet.
Et samfundskritisk it-system er et it-system, hvor større driftsforstyrrelser resulterer i væsentlige udfordringer for samfundet som helhed, for eksempel:
- økonomiske tab for staten, borgere eller virksomheder
- længerevarende nedbrud af kritisk infrastruktur
- trusler mod den nationale sikkerhed.
"Det er almindeligt at kalde det hybridkrig, men man kan også kalde det politisk krig eller gråzonekrig," siger Anders Puck Nielsen, der er militæranalytiker ved Forsvarsakademiet og vært for podcasten ‘Krigskunst’.
Man har ifølge ham altid udkæmpet krige med alle mulige andre midler end krudt og kugler, men forskellen nu om dage er, at der simpelthen er så mange måder at gøre det på – i takt med globaliseringen og digitaliseringen.
"Man kan ikke længere tale om en baglinje langt væk fra, hvor krigen reelt udkæmpes."
Under tærsklen for væbnet konflikt
Det, de forskellige hændelser i en hybridkrig har til fælles, er, at de foregår under tærsklen for en åben væbnet konflikt. Han peger på de nylige nedbrud af undersøiske internetkabler i Finland og eksplosionen på gasledningen Nord Stream i Østersøen som eksempler. Men også offentlige it-systemer og sociale medier er mål
"Danmark er løbende under cyberangreb rigtig mange forskellige steder. Det er stensikkert," siger Anders Puck Nielsen.
Cyberangrebene er ifølge ham især intensiveret efter krigen i Ukraine, hvor Rusland forsøger at gøre det så dyrt og ubehageligt som muligt for Danmark at fortsætte med at støtte Ukraine. Målet er at aflede opmærksomhed og ressourcer og at skabe så meget frygt og splittelse som muligt.
Rusland er i direkte krig i Ukraine, men bruger alle andre mulige midler til at angribe koalitionen – og her er Danmark et oplagt mål. Jo længere tid krigen fortsætter, desto mere vil det fyldeAnders Puck Nielsen, militæranalytiker ved Forsvarsakademiet
"Rusland er i direkte krig i Ukraine, men bruger alle andre mulige midler til at angribe koalitionen – og her er Danmark et oplagt mål. Jo længere tid krigen fortsætter, desto mere vil det fylde," siger Anders Puck Nielsen.
Han nævner selv angrebet på DSB eller nedbruddet på TDC’s netværk som mulige eksempler på cyberangreb fra fjendtlige magter.
Men det er ifølge Anders Puck Nielsen ikke engang sikkert, at de danske myndigheder med sikkerhed ved, hvor et givent angreb kommer fra. I forhold til cyberangreb er der nemlig opstået mange tråde mellem statslige aktører, private aktører og kriminelle grupperinger.
"Noget kan på overfladen se ud som et ransomware-angreb (afpresningssoftware, der kan låse computere og kræve løsepenge for at åbne op igen, red.), der kun har til formål at presse penge ud af en. Men aktørerne kan sagtens være sponsoreret af en fjendtlig stat for at finde sårbarheder eller skabe utryghed," siger han.
"Men vi ved det faktisk ikke. Myndighederne holder tæt, hvis de ved noget, for man risikerer at gå fjendens ærinde og skabe endnu mere usikkerhed, hvis man taler om, at ens fjender har haft held med cyberangreb mod en," siger Anders Puck Nielsen.
"Der kan foregå alle mulige ting, vi ikke får at vide."
Fem gange, computere blev brugt til hybridkrig
1999:
Som respons på NATO’s operationer i Kosovokrigen lægger serbiske hackere NATO’s hjemmesider ned og gør e-mailindbakkerne ubrugelige ved at sende tusindvis af e-mails.
2003-2006:
Hackere iværksætter en række koordinerede angreb på amerikanske forsvarsleverandører som våbenproducenten Lockheed Martin og rumagenturet NASA. Angrebet stammer ifølge USA fra Kina.
2010:
Virussen Stuxnet, som ifølge The Washington Post er udviklet som et samarbejde mellem USA og Israel, bruges til at inficere software i samlebånd og ødelægge centrifuger på iranske atomanlæg.
2014:
Hackere lækker blandt andet personlige mails og ikkeudgivne film fra filmstudiet Sony og forlanger, at Sony trækker filmen ’The Interview’, en politisk satire om Nordkorea, tilbage. Efter trusler om terror vælger mange biografer ikke at vise den. Nordkorea har afvist at stå bag hackerne.
2020:
En formodentlig russisk hackergruppe infiltrerer softwareleverandøren SolarWinds, som leverer software til hundredtusindvis af organisationer og regeringer verden over. Angrebet, som gav hackerne adgang til netværk hos mindst seks amerikanske ministerier, er af flere medier blevet kaldt ‘det værste cyberangreb på den amerikanske regering’.
Borgerne skal kunne forvente fortrolighed
Statsrevisorerne og Rigsrevisionen har i flere år peget på, at mange af statens it-systemer har sikkerhedsbrister i mere eller mindre graverende grad. Af sikkerhedshensyn er det ikke offentligt hvilke – eller præcis hvor graverende de er.
Sidste år konstaterede Statens It-råd i sin årsrapport, at der mangler kompetent arbejdskraft på sikkerhedsområdet. Der er derfor, og i takt med digitaliseringen i det hele taget, blevet oprettet stillinger og ansat folk til at give den danske stats forskellige led en digital sikkerhedsoverhaling.
En af dem er Tomas Vlk. Han er ansat ved Ankestyrelsen som informationssikkerhedskoordinator, hvor han foretager risikovurderinger af informationssystemer, simulerer cyberangreb og arbejder på at forbedre den digitale sikkerhed.
"For mig er det helt centralt, at vi som borgere kan forvente, at vores informationer behandles fortroligt og sikkert og ikke kan tilgås af udenforstående aktører. Det ville skade borgernes tillid til staten og medvirke til at ødelægge samfundets integritet.
Han havde egentlig ikke forestillet sig, at han skulle ende med at arbejde med informationssikkerhed. Men set i bakspejlet var der måske tegn.
"Mine forældre er fra Tjekkiet, og jeg har en lommeteori om, at jeg arvede en form for bevidsthed om, hvor galt det kan gå med naboovervågning og stikkerkultur, som man så det i sovjetsfæren," siger Tomas Vlk.
Han er oprindeligt uddannet sociolog og begyndte på studiet at interessere sig for teknologirelaterede emner og tog et fag om menneskers forhold til teknologi. Sideløbende lagde han mærke til, at flere og flere techgiganter som Facebook blev afsløret i at misforvalte brugernes data.
"Det er der i øvrigt stadig masser af hos techvirksomhederne i Silicon Valley," påpeger han.
Efter at have skrevet sit speciale om Googles adgang til skolebørns private data via Chromebooks i danske skoler faldt han over et jobopslag fra Ankestyrelsen. En vellykket jobsamtale senere kunne han så kalde sig informationssikkerhedskoordinator.
Arbejdet består overvejende i at efterprøve, om Ankestyrelsen lever op til det, der hedder ISO 27001 – en international standard for informationssikkerhed.
"Helt konkret er det en håndbog på størrelse med et tykt magasin. Den handler især om at risikovurdere, hvilke svagheder vi har, og hvad sandsynligheden er for, at de bliver udnyttet, og konsekvenserne af det," siger han.
"Man forsøger at se på svaghederne hele vejen rundt og afgøre, hvilke der er så væsentlige, at man skal indføre tiltag."
Og det kan variere en del.
"For nylig satte jeg mig sammen med ledelsen for at undersøge risikoen for, at bluetooth-tastaturer kunne være en indgang til at hacke et system. Det kan de sådan set godt være, men risikovurderingen viste, at den er lav. Men i tilfælde af at Ankestyrelsen beslutter sig for at indkøbe sådanne tastaturer, har jeg udarbejdet en vejledning til indkøb af sikre bluetooth-tastaturer," siger Tomas Vlk.
Jeg oplever tit, at vi i Danmark har en tillid til, at vi er alt for godt uddannede til at falde for desinformation. Man kan komme til at tro, at man er immun over for propaganda, men det er der ikke nogen, der er. Alle kan blive påvirket under de rette omstændighederJeanette Serritzlev, militæranalytiker ved Forsvarsakademiet
Det handler mere om mennesker end maskiner
Et andet element i arbejdet er at opfinde situationer og simulere angreb, for eksempel ved at sende såkaldte phishing-mails til de ansatte, der skal ligne den slags, hackere benytter til at narre læseren til at trykke på et link, og på den måde give hackeren adgang til computeren.
"Alle undersøgelser viser, at jo oftere du kører simuleringer, desto sjældnere klikker folk på dem."
"I sidste ende handler det mere om mennesker end maskiner. Man kunne måske i de hårdere videnskaber forledes til at tro, at folk bare er dumme, når de kommer til at falde for en phishing-mail eller sådan noget," siger han og nævner den amerikanske forsker C. Wright Mills’ bog ‘The Sociological Imagination’.
"Man skal med Mills’ ord forsøge at sætte parentes om sine egne oplevelser og sætte sig i andre menneskers sted. Hvordan kunne andre mennesker tænkes at reagere i en sikkerhedsfarlig situation? Hvordan vil de opfatte og reagere på et tiltag?" siger Tomas Vlk.
"Der er rigtig mange internationale standarder og direktiver. Men når man skal foretage en risikovurdering, handler det først og fremmest om at komme hele vejen rundt om de mennesker og den teknologi, der nu engang udgør organisationen."
Han mener dog ikke, at Ankestyrelsen nødvendigvis ville være det første mål på en russisk hackergruppes dødsliste.
"Men ingenting er umuligt, selvfølgelig."
Danmark er udsat for informationskrig
Ud over risikoen for hacking af infrastruktur og private og offentlige instanser er det danske samfund også i høj grad udsat for en mere åben form for angreb. Det man kan kalde informationskrig.
"Du bliver udsat for det, i samme øjeblik du samler din telefon op og begynder at scrolle," siger Jeanette Serritzlev, som er militæranalytiker ved Institut for Militære Operationer på Forsvarsakademiet.
Med en baggrund som cand.mag. i dansk og kommunikation har hun skrevet bogen ‘Informationskrig’ om, hvordan moderne statsmagter bruger information som et magtmiddel i både krigs- og fredstid.
"Det er farligt at tro, at man kan vinde en krig uden krudt og kugler – men du vinder den heller ikke med krudt og kugler alene," siger hun.
Det gør sig især gældende i konflikten om Ukraine, som både har en fysisk slagmark og en digital, hvor prorussiske sympatisører, botter og troldefarme forsøger at påvirke folkestemningen i Danmark.
Det kan være Facebook-sider, enkelte konti, der kommenterer falske hjemmesider, der skal ligne troværdige medier med prorussisk indhold, eller sågar hele medievirksomheder, som skal støtte Kremls interesser, som for eksempel det russiskejede Russia Today, der blev sanktioneret i EU, da krigen i Ukraine begyndte.
"Vi kan se, at Rusland i sin informationskrig forsøger at få skabt en mere kritisk stemning mod Ukraine," siger Jeanette Serritzlev.
Eksempler på operationer kan være forsøg på at underminere tilliden til Ukraine. Det har Rusland prøvet ved at køre hårdt på korruptionshistorier, som for eksempel at de penge, Danmark sender til Ukraine, ikke går til forsvar, men i stedet ryger i korrupte politikeres lommer, eller at sanktioner mod Rusland slet ikke virker – og derfor ikke bør opretholdes.
"Heldigvis er vores samfund grundlæggende robust, fordi vi generelt har en høj tillid både mellem borgere og mellem borgere og myndigheder," siger hun og tøver et øjeblik.
"Jeg ved ikke, om det kan kaldes en sårbarhed. Men jeg oplever tit, at vi i Danmark har en tillid til, at vi er alt for godt uddannede til at falde for desinformation. Man kan komme til at tro, at man er immun over for propaganda, men det er der ikke nogen, der er. Alle kan blive påvirket under de rette omstændigheder."
