Fredagens cyberangreb bør, ifølge den danske afdeling af Microsoft, have konsekvenser for efterretningstjenesters håndtering af sikkerhedsbrister.
Foto: Swayne B. Hall/AP

Fredagens cyberangreb bør, ifølge den danske afdeling af Microsoft, have konsekvenser for efterretningstjenesters håndtering af sikkerhedsbrister.

Danmark

Microsoft: Efterretningstjenester bør advare, når de opdager hacker-værktøjer

NSA vidste måske, at det var muligt at hacke Microsofts styresystemer. Og den viden er nu blevet misbrugt. Efterretningstjenester bør ikke gemme og udnytte oplysninger, men i stedet leve op til aftale om at orientere producenter, lyder kritikken fra Microsoft.

Danmark

Det cyberangreb, der i fredags satte computere i det britiske sundhedssystem ud af spil og senere bredte sig til mindst 200.000 computere i 150 lande verden over, bør få konsekvenser for, hvordan efterretningstjenesterne håndterer kommunikationen med IT-virksomheder, når det gælder åbne huller i deres sikkerhedsværn.

Sådan lyder det fra Microsoft Danmarks teknologi- og sikkerhedsdirektør, Ole Kjeldsen, der kalder det vidtrækkende ransomwareangreb for »klart alvorligt« for verdenssamfundet.

I yderste tilfælde kan menneskeliv også blive berørt

Meget tyder på, at den anvendte virus, WannaCry, var udviklet af den amerikanske efterretningstjeneste National Security Agency (NSA) og derefter stjålet af hackergruppen The Shadow Brokers og lagt ud på internettet til fri afbenyttelse.

Men angrebet understreger, at udviklingen af den slags cybervåben er stærkt risikabel, advarer Ole Kjeldsen.

»Hvis først et værktøj er lavet til at udnytte en sårbarhed, så kan det godt være, at det er the good guys – altså vores efterretningstjenester – der har lavet det. Men at tro, at man kan holde det på the good guys’ hænder, er utopi«, siger Ole Kjeldsen og konkluderer:

»Derfor er det netop, at vi gerne vil have debatten om: Bør de overhovedet gemme information om den her slags værktøjer? Bør vi ikke tværtimod se på at få lappet hullerne i systemerne og få lukket alt det, vi overhovedet kan?«.

Om efterretningstjenesterne bør udvikle den slags værktøjer er et politisk spørgsmål, som Microsoft ikke vil blande sig i, understreger Ole Kjeldsen.

Den ransomware ved navn WannaCry, der fredag indledte sin plyndren ved at kræve løsesummer fra brugere af computere i det britiske sundhedssystem, er som sådan ikke ny.

Det nye, og grunden til, at den kunne spredes meget vidt og meget hurtigt, er, at den fandt vej ind i ikke-opdaterede Windows-styresystemer ved at udnytte en sårbarhed, som er opdaget og benyttet af NSA.

Det er vel en opfordring til efterretningstjenester verden over – også i Danmark – om ikke at gemme og udnytte oplysninger?

»Det er fuldstændigt korrekt. Det er til et fælles bedste. For det har altså meget vidtrækkende konsekvenser, hvis et sådan værktøj falder i de forkerte hænder«, siger Ole Kjeldsen.

Er Forsvarets og Politiets Efterretningstjeneste involveret i det?

»Det ved vi jo af gode grunde ikke. Vi har i Danmark – ligesom i mange andre lande – et Government Security Program, hvor efterretningstjenesterne får mulighed for eksempelvis at se al vores kildekode for Windows og andre programmer«, forklarer Ole Kjeldsen.

Kildekode kan betegnes som grundstammen i ethvert IT-system og giver adgang til at se systemets helt grundlæggende opbygning.

Ifølge Ole Kjeldsen får efterretningstjenesterne – i Danmarks tilfælde Forsvarets Efterretningstjenestes Center for Cybersikkerhed – adgang til kildekoderne for at kunne sikre sig, at »der ikke er bagdøre eller sårbarheder«.

Der ligger i den aftale – Government Security Program – at myndighederne er forpligtet til at fortælle producenten, hvis de finder sårbarheder, forklarer Ole Kjeldsen. På den måde kan producenten lukke hullet og forbedre sit værn mod eventuelle hackere.

Noget kunne tyde på, at NSA ikke har orienteret Microsoft om den sårbarhed i virksomhedens styresystemer, som i weekenden blev brugt som rambuk for den ellers velkendte WannaCry-ransomware.

Ingen tvivl om ansvarsfordelingen

Viser det her, at de amerikanske efterretningstjenester har snydt på vægten og ikke lukket hullet, men tværtimod udviklet et våben til at udnytte det?

»Det kan jeg ikke sige noget om«, siger Ole Kjeldsen, der henviser til Microsoft-topchefen Brad Smith, der i et blogindlæg i weekenden kritiserede efterretningstjenesternes håndtering af oplysninger om de sårbarheder, de finder.

I en helt ny verden kan vi dårligt stilles til ansvar for noget, der er bygget for 16 år siden

»Vi har set sårbarheder, som CIA har gemt, dukke op på WikiLeaks, og nu har denne sårbarhed, som er stjålet fra NSA, påvirket kunder verden over. Gentagne gange er sårbarheder i hænderne på regeringer blevet lækket til offentligheden og har forårsaget omfattende skade«, skrev han.

Ifølge Microsofts danske sikkerhedschef kan Wannacry muligvis være et »spin-off fra nogle af de værktøjer, som CIA har«.

»Det er selvfølgelig bekymrende. Om de har snydt på vægten, skal jeg ikke kunne sige. Vi vil bare gerne gå i rette med det og sige, at for det fælles bedste er det her altså ikke måden at behandle sårbarheder på. Kender man til sårbarheder, skal man fortælle producenten om det, således at alle kan lappe deres huller og undgå at blive offer for hackere«, siger Ole Kjeldsen.

Annonce

Artiklen fortsætter efter annoncen

Annonce

Den sårbarhed, som hackerne har udnyttet, findes tilsyneladende for eksempel i Microsofts Windows XP-system, som stammer fra 2001. Men når det drejer sig om så gammel software, yder Microsoft ikke længere service til brugerne.

Microsoft har i årtier produceret styresystemer, som er centrale for den platform, vores samfund fungerer på. Har I ikke et ansvar for hele tiden at holde dem opdateret og servicere tilbage?

»I al tid fremad? Kan du selv høre det? Det er 16 år gammel software. Både software og hardware var en helt anden. Og specielt var cybercrime-verdenen en helt, helt anden. Vi taler om software fra en tid, hvor cyberkriminelle angreb på en meget anden måde«, siger Ole Kjeldsen.

Der er jo fejl i systemet?

»Ja, men det er stadigvæk et system, der er bygget i en tid, hvor verden så anderledes ud, og vi brugte nettet på en helt anden måde. I en helt ny verden kan vi dårligt stilles til ansvar for noget, der er bygget for 16 år siden«, siger Ole Kjeldsen.

»Det er muligt at købe sig til extended support på de her systemer, fordi det naturligvis har en omkostning for os at skulle lave det på så gamle systemer. Det har nogle brugere så valgt ikke at gøre. Det er en risiko, man løber, for så er man ikke beskyttet. Der er ingen tvivl om ansvarsfordelingen her«.

Nu sidder der så en række hackede computerbrugere med en lås på deres skærm og en tæller med et krav om løsesum. Ved I, hvad der sker, når tidsfristen udløber?

»Nej, det ved jeg faktisk ikke. Jeg håber, du vil opfordre de kunder, der måtte opleve det her, til at politianmelde det med det samme«, siger Ole Kjeldsen.

Kan I ikke vurdere, om der er hold i truslen om at slette filer?

»Nej, der skal man selvfølgelig selv vurdere, om man er villig til at løbe den risiko«.

Nu er det her et forsøg på at hente penge. Kunne det rent teknologisk lige så vel have været noget, der var farligt og kunne koste menneskeliv?

»I yderste tilfælde kan menneskeliv også blive berørt. Det er gisninger. Men software driver så store og kritiske dele af vores samfund i dag, at er man i stand til at trænge ind i de her systemer, og de ikke er beskyttet godt nok, så har man da desværre også potentialet til at skade både virksomheder og personer«, siger Ole Kjeldsen.

Han forklarer, at der lige nu foregår et »våbenkapløb« mellem sikkerhedseksperter og hackere med onde hensigter. Hvem der vinder det kapløb, er ifølge Ole Kjeldsen »rent gætværk«.

»Vi bruger uanede summer på at beskytte vores platform mod de her cyberkriminelle, som bliver mere og mere avancerede. Det er en krig, vi har tænkt os at føre videre.

Artiklen fortsætter efter annoncen

Annonce

Vi er slet ikke i tvivl om, at vi er i stand til at forsvare os«, siger han og opfordrer computerbrugerne til at opdatere deres sikkerhedssystemer jævnligt.

»Vi oplever, at for os er det at sikre mod hackere noget, som vi gør professionelt. Men for mange af vores kunder er det måske noget, man gør lidt sent og med ikke-tidssvarende midler«, siger Ole Kjeldsen.

Faktisk er danske brugere relativt godt beskyttet, fordi de er bedre opdateret end brugere i mange andre lande, påpeger han, men efterlyser forbedringer i den officielle danske cybersikkerhedsstrategi, der er ved at blive opdateret, men er forsinket.

»Det, at den er forsinket, er selvfølgelig i sig selv et problem, fordi vi reelt kører videre på en strategi, som er gammel. Jeg fokuserer mere på indholdet. Vi har for eksempel længe spurgt efter, hvem der egentlig har ansvaret for at sikre borgerne og sikre, at borgerne får den rigtige rådgivning, når sådan noget her rammer. Dem er der ikke rigtigt nogen, der tager sig af i dag fra officielt hold«.

Redaktionen anbefaler:

Læs mere:

Annonce

Annonce

For abonnenter

Annonce

Podcasts

  • Du lytter til Politiken

    Hør podcast: Klaus Riskær - Danmarks Donald Trump?
    Hør podcast: Klaus Riskær - Danmarks Donald Trump?

    Henter…

    Klaus Riskær - Danmarks Donald Trump? Klaus Riskær er tilbage på avisernes forsider. Han rejser sig altid igen, uanset om han går konkurs, bliver ekskluderet eller sat i fængsel. Og nu stiller han op til Folketinget. Men hvad driver ham? Og kan det passe, at han i dag er mere til klima og social retfærdighed end til utæmmet kapitalisme? Eller er han – som nogle mener – det danske svar på Donald Trump?

  • 
    A male giant panda from China named Cai Tao eat eats a stick at Taman Safari Indonesia zoo in Bogor, West Java, Wednesday, Nov 1, 2017. Giant pandas Cai Tao and Hu Chun arrived Indonesia last month as part of China's "Panda diplomacy." (AP Photo/Achmad Ibrahim)

    Et kongerige for to pandaer? Kun Kinas allerbedste venner får lov at lease et par af de sjældne pandabjørne, sagde den kinesiske præsident Xi Jinping, da han lovede Danmark et par. Kina har flere gange brugt de sjældne dyr som en brik i deres udenrigspolitik. Men hvad har Danmark givet køb på, for at blive en af Kinas allerbedste venner? At tale om Tibet?

  • 
    Arkitekt Jørn Utzon viser prototype på etfamiliehus i 1969.

    Du lytter til Politiken

    Hør podcast: Jørn Utzon – glemte Danmark sin største arkitekt?
    Hør podcast: Jørn Utzon – glemte Danmark sin største arkitekt?

    Henter…

    I dag er der premiere på dokumentarfilmen ’Jørn Utzon – manden & arkitekten’ om den dansker, der bl.a. tegnede Sidney-operaen: En bygning, der regnes med blandt det 20. århundredes mest ikoniske bygningsværker. Men hvordan endte Jørn Utzons hjertebarn, operaen i Sidney, som hans livs tragedie? Og hvorfor frøs danske arkitekter ham siden ud?

Forsiden

Annonce