Du har ingen artikler på din læseliste

Hvis du ser en artikel, du gerne vil læse lidt senere, kan du klikke på dette ikon

Så bliver artiklen føjet til din læseliste, som du altid kan finde her, så du kan læse videre hvor du vil og når du vil.

Læs nu
Du har ingen artikler på din læseliste
Artiklen er føjet til din læseliste Du har ulæste artikler på din læseliste

Fredagens cyberangreb bør, ifølge den danske afdeling af Microsoft, have konsekvenser for efterretningstjenesters håndtering af sikkerhedsbrister.
Foto: Swayne B. Hall/AP

Fredagens cyberangreb bør, ifølge den danske afdeling af Microsoft, have konsekvenser for efterretningstjenesters håndtering af sikkerhedsbrister.

Danmark
Læs artiklen senere Gemt (klik for at fjerne) Læst

Microsoft: Efterretningstjenester bør advare, når de opdager hacker-værktøjer

NSA vidste måske, at det var muligt at hacke Microsofts styresystemer. Og den viden er nu blevet misbrugt. Efterretningstjenester bør ikke gemme og udnytte oplysninger, men i stedet leve op til aftale om at orientere producenter, lyder kritikken fra Microsoft.

Danmark
Læs artiklen senere Gemt (klik for at fjerne) Læst

Det cyberangreb, der i fredags satte computere i det britiske sundhedssystem ud af spil og senere bredte sig til mindst 200.000 computere i 150 lande verden over, bør få konsekvenser for, hvordan efterretningstjenesterne håndterer kommunikationen med IT-virksomheder, når det gælder åbne huller i deres sikkerhedsværn.

Sådan lyder det fra Microsoft Danmarks teknologi- og sikkerhedsdirektør, Ole Kjeldsen, der kalder det vidtrækkende ransomwareangreb for »klart alvorligt« for verdenssamfundet.

I yderste tilfælde kan menneskeliv også blive berørt

Meget tyder på, at den anvendte virus, WannaCry, var udviklet af den amerikanske efterretningstjeneste National Security Agency (NSA) og derefter stjålet af hackergruppen The Shadow Brokers og lagt ud på internettet til fri afbenyttelse.

Men angrebet understreger, at udviklingen af den slags cybervåben er stærkt risikabel, advarer Ole Kjeldsen.

»Hvis først et værktøj er lavet til at udnytte en sårbarhed, så kan det godt være, at det er the good guys – altså vores efterretningstjenester – der har lavet det. Men at tro, at man kan holde det på the good guys’ hænder, er utopi«, siger Ole Kjeldsen og konkluderer:

»Derfor er det netop, at vi gerne vil have debatten om: Bør de overhovedet gemme information om den her slags værktøjer? Bør vi ikke tværtimod se på at få lappet hullerne i systemerne og få lukket alt det, vi overhovedet kan?«.

Om efterretningstjenesterne bør udvikle den slags værktøjer er et politisk spørgsmål, som Microsoft ikke vil blande sig i, understreger Ole Kjeldsen.

Den ransomware ved navn WannaCry, der fredag indledte sin plyndren ved at kræve løsesummer fra brugere af computere i det britiske sundhedssystem, er som sådan ikke ny.

Det nye, og grunden til, at den kunne spredes meget vidt og meget hurtigt, er, at den fandt vej ind i ikke-opdaterede Windows-styresystemer ved at udnytte en sårbarhed, som er opdaget og benyttet af NSA.

Det er vel en opfordring til efterretningstjenester verden over – også i Danmark – om ikke at gemme og udnytte oplysninger?

»Det er fuldstændigt korrekt. Det er til et fælles bedste. For det har altså meget vidtrækkende konsekvenser, hvis et sådan værktøj falder i de forkerte hænder«, siger Ole Kjeldsen.

Er Forsvarets og Politiets Efterretningstjeneste involveret i det?

»Det ved vi jo af gode grunde ikke. Vi har i Danmark – ligesom i mange andre lande – et Government Security Program, hvor efterretningstjenesterne får mulighed for eksempelvis at se al vores kildekode for Windows og andre programmer«, forklarer Ole Kjeldsen.

Kildekode kan betegnes som grundstammen i ethvert IT-system og giver adgang til at se systemets helt grundlæggende opbygning.

Ifølge Ole Kjeldsen får efterretningstjenesterne – i Danmarks tilfælde Forsvarets Efterretningstjenestes Center for Cybersikkerhed – adgang til kildekoderne for at kunne sikre sig, at »der ikke er bagdøre eller sårbarheder«.

Der ligger i den aftale – Government Security Program – at myndighederne er forpligtet til at fortælle producenten, hvis de finder sårbarheder, forklarer Ole Kjeldsen. På den måde kan producenten lukke hullet og forbedre sit værn mod eventuelle hackere.

Noget kunne tyde på, at NSA ikke har orienteret Microsoft om den sårbarhed i virksomhedens styresystemer, som i weekenden blev brugt som rambuk for den ellers velkendte WannaCry-ransomware.

Ingen tvivl om ansvarsfordelingen

Viser det her, at de amerikanske efterretningstjenester har snydt på vægten og ikke lukket hullet, men tværtimod udviklet et våben til at udnytte det?

»Det kan jeg ikke sige noget om«, siger Ole Kjeldsen, der henviser til Microsoft-topchefen Brad Smith, der i et blogindlæg i weekenden kritiserede efterretningstjenesternes håndtering af oplysninger om de sårbarheder, de finder.

I en helt ny verden kan vi dårligt stilles til ansvar for noget, der er bygget for 16 år siden

»Vi har set sårbarheder, som CIA har gemt, dukke op på WikiLeaks, og nu har denne sårbarhed, som er stjålet fra NSA, påvirket kunder verden over. Gentagne gange er sårbarheder i hænderne på regeringer blevet lækket til offentligheden og har forårsaget omfattende skade«, skrev han.

Ifølge Microsofts danske sikkerhedschef kan Wannacry muligvis være et »spin-off fra nogle af de værktøjer, som CIA har«.

»Det er selvfølgelig bekymrende. Om de har snydt på vægten, skal jeg ikke kunne sige. Vi vil bare gerne gå i rette med det og sige, at for det fælles bedste er det her altså ikke måden at behandle sårbarheder på. Kender man til sårbarheder, skal man fortælle producenten om det, således at alle kan lappe deres huller og undgå at blive offer for hackere«, siger Ole Kjeldsen.

Annonce

Artiklen fortsætter efter annoncen

Annonce

Den sårbarhed, som hackerne har udnyttet, findes tilsyneladende for eksempel i Microsofts Windows XP-system, som stammer fra 2001. Men når det drejer sig om så gammel software, yder Microsoft ikke længere service til brugerne.

Microsoft har i årtier produceret styresystemer, som er centrale for den platform, vores samfund fungerer på. Har I ikke et ansvar for hele tiden at holde dem opdateret og servicere tilbage?

»I al tid fremad? Kan du selv høre det? Det er 16 år gammel software. Både software og hardware var en helt anden. Og specielt var cybercrime-verdenen en helt, helt anden. Vi taler om software fra en tid, hvor cyberkriminelle angreb på en meget anden måde«, siger Ole Kjeldsen.

Der er jo fejl i systemet?

»Ja, men det er stadigvæk et system, der er bygget i en tid, hvor verden så anderledes ud, og vi brugte nettet på en helt anden måde. I en helt ny verden kan vi dårligt stilles til ansvar for noget, der er bygget for 16 år siden«, siger Ole Kjeldsen.

»Det er muligt at købe sig til extended support på de her systemer, fordi det naturligvis har en omkostning for os at skulle lave det på så gamle systemer. Det har nogle brugere så valgt ikke at gøre. Det er en risiko, man løber, for så er man ikke beskyttet. Der er ingen tvivl om ansvarsfordelingen her«.

Nu sidder der så en række hackede computerbrugere med en lås på deres skærm og en tæller med et krav om løsesum. Ved I, hvad der sker, når tidsfristen udløber?

»Nej, det ved jeg faktisk ikke. Jeg håber, du vil opfordre de kunder, der måtte opleve det her, til at politianmelde det med det samme«, siger Ole Kjeldsen.

Kan I ikke vurdere, om der er hold i truslen om at slette filer?

»Nej, der skal man selvfølgelig selv vurdere, om man er villig til at løbe den risiko«.

Nu er det her et forsøg på at hente penge. Kunne det rent teknologisk lige så vel have været noget, der var farligt og kunne koste menneskeliv?

»I yderste tilfælde kan menneskeliv også blive berørt. Det er gisninger. Men software driver så store og kritiske dele af vores samfund i dag, at er man i stand til at trænge ind i de her systemer, og de ikke er beskyttet godt nok, så har man da desværre også potentialet til at skade både virksomheder og personer«, siger Ole Kjeldsen.

Han forklarer, at der lige nu foregår et »våbenkapløb« mellem sikkerhedseksperter og hackere med onde hensigter. Hvem der vinder det kapløb, er ifølge Ole Kjeldsen »rent gætværk«.

»Vi bruger uanede summer på at beskytte vores platform mod de her cyberkriminelle, som bliver mere og mere avancerede. Det er en krig, vi har tænkt os at føre videre.

Artiklen fortsætter efter annoncen

Annonce

Vi er slet ikke i tvivl om, at vi er i stand til at forsvare os«, siger han og opfordrer computerbrugerne til at opdatere deres sikkerhedssystemer jævnligt.

»Vi oplever, at for os er det at sikre mod hackere noget, som vi gør professionelt. Men for mange af vores kunder er det måske noget, man gør lidt sent og med ikke-tidssvarende midler«, siger Ole Kjeldsen.

Faktisk er danske brugere relativt godt beskyttet, fordi de er bedre opdateret end brugere i mange andre lande, påpeger han, men efterlyser forbedringer i den officielle danske cybersikkerhedsstrategi, der er ved at blive opdateret, men er forsinket.

»Det, at den er forsinket, er selvfølgelig i sig selv et problem, fordi vi reelt kører videre på en strategi, som er gammel. Jeg fokuserer mere på indholdet. Vi har for eksempel længe spurgt efter, hvem der egentlig har ansvaret for at sikre borgerne og sikre, at borgerne får den rigtige rådgivning, når sådan noget her rammer. Dem er der ikke rigtigt nogen, der tager sig af i dag fra officielt hold«.

Læs mere:

Annonce

For abonnenter

Annonce

Podcasts

  • Du lytter til Politiken

    Vi holder sommerferie men...
    Vi holder sommerferie men...

    Henter…
  • Margethe Vestager taler til EU's kokurrencekommission, februar 2019. Photo by Aris Oikonomou / AFP.

    Du lytter til Politiken

    Hør podcast: Statsministerens rådgiver på ny magtfuld post - et demokratisk problem?
    Hør podcast: Statsministerens rådgiver på ny magtfuld post - et demokratisk problem?

    Henter…

    Dagens politiske special kigger på magtfordeling og nye poster i politik, både i Bruxelles og Danmark. EU har fået nye topchefer, og herhjemme har Mette Frederiksen tildelt sin særlige rådgiver, Martin Rossen, en magtfuld position i Statsministeriet. Er det et demokratisk problem?

  • Campingpladsen på årets Roskilde Festival er åbnet og deltagerne fester mellem teltene indtil pladsen åbner onsdag.

    Du lytter til Politiken

    Hør podcast: Roskilde: Det sidste frirum for præstationskulturens børn
    Hør podcast: Roskilde: Det sidste frirum for præstationskulturens børn

    Henter…

    Campingområdet på Roskilde Festival er et parallelsamfund - en by af luftmadrasser, øldåser og efterladte lattergaspatroner. En stærk kontrast til de unges strukturerede hverdag. Men hvordan føles friheden? Og hvordan er det lige med kærligheden, når intet er, som det plejer?

Forsiden