Dorte Toft
Medforfatter af "Bedrag" om Stein Bagger-sagen, hvor Bizzen-bloggen spiller en væsentlig rolle. Har modtaget eJour-prisen, IT-prisen, FUJ-prisen og Publicistprisen for sin journalistik. Desuden nomineret til Cavling-prisen i 2009.
Lykkelig i nørdland. Hvem bygger fremtiden? Gyldendal, 256 s., kr. 249,95.
Læs mere hos Boghuset eller download bogen gratis her.
Krigen på nettet. En fransk dokumentar fra 2008 om cyberwar, hackere, forsvar og smittekilder, er netop afsluttet på Sveriges TV2. Sober OG humoristisk belysning af, hvorledes individer for første gang i verdenshistorien har fået en enorm magt, der går på tværs af grænser, uden om politi og andre værn mod ulovligheder. Hvordan de kan score millioner på at snyde andre, godt beskyttet af alskens teknologi-brug.
“Wake up, DR TV”, tastede jeg straks på min mobil, på miniblog-tjenesten Twitter, da jeg “faldt ind i udsendelsen” efter at havde skrevet hele weekenden om en helt anden, mere traditionel form for forbrydelse, nemlig Stein Baggers.
Mit “Wake up” ville jeg have skrevet også uden den franske dokumentarudsendelse. Min klumme i Berlingske Business i morgen handler nemlig om, hvorledes Danmark på stort set alle fronter har et amatøragtigt forhold til den nye verdens kriminalitet. Nettets kriminalitet, der på ingen tid kan gøre mange af os til ofre.
Regeringen ligeglad
Danmark har vist verdens mest it-ficerede samfund. Flittigst brug af netbanker eller tæt på, flittigst brug af den digitale forvaltning. Men Danmark har ikke et centralt beredskab mod angreb på den digitale infrastruktur, i modsætning til for eksempel Sverige, Norge, Finland, Tyskland, USA og Frankrig.
Vælter der en lastbil med amoniak, træder Beredskabstyrelsen i funktion. Det samme, hvis en atombombe futter af. Men den moderne platform for krig og spionage og bankrån. Who cares? Regeringen gør det ikke. Man er dog omsider nået til, at en sådan indsats vil koste 15 millioner kroner årligt, men det er alt.
DR’s OBS observerer intet
Det er ikke det officielle Danmarks eneste forsømmelse. Har du nogensinde set DR’s OBS have noget som helst af relevans på den front? Har du nogensinde set Finansrådet finansiere en solid information om problemerne?
Har DR eller TV2 løftet deres ansvar som Public Service, når danskere forsøges hvervet som mellemmænd (muldyr, er betegnelsen), for kriminelle, der lænser netbankkonti? Har DR og TV2 været med til at gøre hr. og fru Danmark, olde, bedste, mor og søn klogere, hvad angår de metoder, som nettet kriminelle tager i brug?
Er det nogensinde blevet til andet fra DR eller TV2 end spektakulære nyhedsindslag, hvor en “sikkerhedsekspert” demonstrerer, hvor let det er at stjæle din juridisk gyldige digitale signatur eller penge fra din netbank.
8.000 fik lukket for bankadgang
Hvad fik vi af brugbar viden, da Finansrådet for nylig kunne meddele, at nu havde 8.000 personer brat fået lukket deres adgang til netbanken, fordi der var “spionsoftware” på deres pc’er?
Ikke meget fra Finansrådet, som jeg konstaterede tidligere her på bloggen. Det viste sig at være et angreb fra russisktalende hackere målrettet danske netbanker, fortæller jeg her.
Og i aftenens fransk tv-udsendelse lærer jeg så, hvorfor netop Rusland er et mekka for hackere. Styrets myndigheder går kun efter trusler mod styret. Alle andre har det rimeligt fredeligt, lød forklaringen.
En superpotent nøgle, DanID
Og til november starter en udvikling, der gør et højt informationsniveau og et centralt beredskab helt centralt. Der begynder vi så småt at få tildelt en DanID fra PBS. Denne bliver på en gang nøglen til vores netbank og de offentlige registre på nettet. DanID bliver den nye digitale signatur.
Bankerne lukkede med et smæk for 8.000 borgeres netbankadgang, fordi disse personers pc’er var inficeret. “Du kan ikke gå i netbanken igen, før din pc er reetableret”, lød beskeden. Informationsindsatsen var som nævnt ekstrem beskeden.
Hvordan bliver den, når DanID bliver mål for et angreb? Og jo, DanID bliver en mere sikker netbanknøgle og en mere sikker og brugervenlig digital signatur. Men ikke at have hverken en løbende god informationsindsat og ikke en centralt beredskab, det er halsløs gerning. Som jeg ser det. Hvad med dig?
I min klumme tænker jeg i øvrigt lidt længere ud i fremtiden.
Af hensyn til efterforskningen
Men spøjst at bemærke sig, at Finansrådet og rådgiveren CSIS’s tysthed, hvad angår at tage vare på borgernes informationsbehov, begrundes i, at man skal have fanget bagmændene.
Jamen herre gud. For hver russer, der fanges, dukker 15 nye op. Men for hver dansker, der informeres grundigt, sættes nye barrierer op for angreb fra russere, kinesere og alle andre, der dyrker den lettest vej til penge og destruktion.
Dansk kvinde er nyttig idiot
Og her er så en link til en EkstraBlads-historie om en dansk kvinde, der blev narret til at være “muldyr” for russere, der lænsede netbanker. Et stillingsopslag, der burde synes for godt til at være sandt. Det var for godt til at være legalt.
Wake up. DR og TV2.
9. februar 2009 kl. 12:40
Ingen løsning er sikker på det tekniske niveau. Det er kun er spørgsmål om, hvor stor indsats, der skal til for at bryde ind – og banditterne vil gøre meget for at bryde ind i DanID, fordi gevinsten er så stor. Så den tekniske sikring skal følges med gode systemer til hurtig opdagelse af indbrud, sporing efter indbrud, retsforfølgelse af indbrud, varsling af problemer osv. osv.
Hvis man ikke adresserer de ikke-tekniske aspekter af emnet “sikkerhed”, er DanID ikke en sikkerhedsløsning, men et nyt sikkerhedsproblem.
9. februar 2009 kl. 18:36
Jeg savner bestemt også noget fakta omkring cyberkriminalitet på dansk TV.
Jeg har ofte tænkt over hvorfor netop disse programmer bliver nedprioteret. Det er da programmer som i den grad er aktuelle i dagens danmark hvor vi ofte hører om nye virusangreb på sygehuse og i netbankerne.
Så jeg bakker op omkring dit opråb til de danske Publib-service kanaler. Lad os få noget mere IT-viden proppet ind i sendefladen.
10. februar 2009 kl. 04:52
Nu kunne man starte med en ændret lovgivning.
Hvis en hacker angriber 1000 pc., tiltales
vedkommende, for 1000 indbrud. De steder der
fjernes penge, bliver tiltalen røveri.
Udover det, skal samtlige pc. erstattes.
Gør det internationalt, så fjerner man de
fleste hackere.
10. februar 2009 kl. 11:32
@ Torben Schmidt. Men DR har da begavet os med et gadget-program iført opspeedet vært:-)
@ john hansen. God idé. Men forebyggende indsats, som den DR og TV2 kunne medvirke til, efterlyser jeg stadig.
10. februar 2009 kl. 17:24
Hehe. Ja, det så jeg godt den anden dag. Værten har da vist fået lidt for meget kaffe inden sendetid :-) Men det var nu heller ikke gadget-programmer jeg efterlyser. De er skam udemærkede og det er da bedre end ingenting.
11. februar 2009 kl. 08:37
[...] Dorte toft omkring cyberangreb og et spørgsmål om hvorfor Danmarks beredskab på området er så lavt [...]
11. februar 2009 kl. 10:03
Historien med de 8.000 bank kunder er idag nået de landsdækkende aviser. Der henvises bl.a til “gode råd” fra IT- og Telestyrelsen.
Desværre mangler – som sædvanli’ – det aller vigtigste råd: brug en konto med begrænsede rettigheder til de daglige gøremål herunder netbanking og brug kun Administrator kontoen til – ja, at administrere computeren.
Det er utroligt, der ikke gøres mer’ for at gøre folk opmærksom på det:
Kortlink til en artikel fra Version2.dk
http://tinyurl.com/bp8lb8
11. februar 2009 kl. 12:10
[...] DK er mål for cyberangreb, men uden ordentligt beredskab [...]
11. februar 2009 kl. 18:53
Jeg så ikke den dokumentar på SV2 du omtaler, men du taler altså om flere forskellige ting på én gang.
Vedrørende om folk får tømt deres bankkonti, handler sagen vel om økonomi. I Danmark er det (forhåbentlig) sådan, at almindelige bankkunder dækkes 100 % ind via et forsikringssystem oprettet af bankerne i fællesskab. Derfor har almindelige mennesker ikke noget økonomisk incitament til at presse på for et sådant beredskab, som du taler om. For nuværende. Politikere vælges af disse mennesker, så derved mangler de også engagement. Jeg er ikke klar over, om de lande du nævner har et tilsvarende forsikringssystem.
Så de der kunne have økonomisk interesse i et sådant beredskab ville være bankerne og derved naturligvis Finansrådet, som er bankernes interesseorganisation. Det er der man skal henvende sig og få dem til at lobby for at få andre eksempelvis politikere til at rykke ud. Og her senest har vi jo oplevet at banker ganske særligt har udbygget deres interesser ved at få Christiansborg til at dække over deres cirkus i forbindelse med finanskrisen.
Alt i dette land behøver jo ikke nødvendigvis at udgå fra Christiansborg. Især ikke hvis politikerne er sløve, ikke forstår problemet, eller har en anden agenda. Så må man omgå deres indflydelsessfære. Bankerne og andre med interesse i et sådant beredskab kunne jo sagtens SELV organisere et system. Selvom jeg ville mene – med finanskrisen in mente – at bankernes aktiviteter også i denne sag naturligvis skal holdes grundigt øje med. Ligeså Forsikringsselskaber eksempelvis. Men jeg ville henvende mig direkte til bankernes top og få dem interesseret i et sådant beredskab. Det er jo skiftevis Nordeas chef og DDBs chef, der sidder i toppen af Finansrådet, så hvis man henvender eller presser bankerne direkte, udenom bankernes interesseorganisation, ville man få alle i tale. Også de mindre banker. Disse ville derudover være kompetente til at beregne hvad et sådant beredskab koster: I hvor høj grad mindsker den afskrækkende effekt kriminaliteten – dvs. hvor mange ”russere” flytter deres aktiviteter til et område, der er lettere at gå til med større effekt, set fra de kriminelles side. Simpel cost benefit analyse, som banker og forsikringsselskaber præcist ved alt om. Banker rykker pr definition ikke en meter, hvis ikke der er økonomi i sagen. Det er jo deres job.
Hvis man kunne få nogen fra bankverdenen til at beregne udgifter og hvad man omvendt sparer i udgifter, med et sikrere system, og bruge dette som en løftestang overfor bankerne, ville man tale deres sprog, og sikkert kunne opnå lydhørhed.
Når vi åbenbart IKKE i dette land har et sådant beredskab, så vil jeg tro det hænger sammen med, at en økonomisk analyse har vist – indtil videre – at det endnu ikke kan betale sig. Simpelt.
Når andre lande, som du skriver har oprettet et sådant beredskab, så kunne det jo fint tænkes, at Danmark derved blev lettere at operere i for kriminelle. Og at cost benefit analyserne derved ændrede sig. Et argument bankerne, bestemt burde interessere sig for og må være lydhøre overfor.
Når du ikke kan komme igennem via Finansrådet, kan det jo også hænge sammen med, at de netop i denne tid er overbebyrdet med arbejde, der vejer tungere økonomisk. Så igen: Henvendelser til ALLE banker og ikke blot den pt. enlige siddende direktør for Finansrådet, ville måske være mere konstruktivt. Kan man få EEN bank til at rykke, vil resten måske være lettere at få i tale via denne ene banks entusiastiske direktør.
Dernæst taler du om, at hackere kan lamme dele af IT systemerne i kortere eller længere tid. Det er noget helt andet end, at fru Jensen nogen tid mangler alle sparepengene, og en ”russer” glæder sig over pludselig rigdom via en enkelt forurettet. Eller som du skriver, at 8000 mennesker smides ud af deres Netbank med en vag, ubrugelig forklaring og ukloge begrundelser fra Finansråd og andres side. Den side handler jo også om økonomi, men vore repræsentanter på Christiansborg kunne nok motiveres i højere grad til at agere, hvis der var udsigt til at hele landets computersystemer blev lammet pga. nogle russere, der morede sig. Og selvfølgelig ville en stor mængde inficerede private computere, der kunne kompromittere folks oplysninger på forskellig vis have politikernes interesse. Det er jo grundlæggende set netop deres JOB at sørge for sikkerheden i landet. Jeg vil i øvrigt i den forbindelse, gøre dig opmærksom på, at det ikke er nogen sag at LADE som om man er ”russer”, og få flere systemer til at hjælpe til med at lukke systemer ned. Det kan danskere skam også gøre. Svenskere, Nordmænd. Og det kan let gøres uden nogen IT chef ved politiet kan finde ud af hvor et evt. angreb egentlig kommer fra. Det er en anden historie. Men man kan ikke umiddelbart skyde på russiske bagmænd. Blot at det er billigere og båndbredden er let tilgængelig i omtalte land, samt der er ikke kontrol med IT trafikken i Rusland. Derfor er det russiske servere der pt. bruges. Men det kan fint være danskere, der regner tingene ud.
Så taler du for det tredje om at diverse klummerhoveder lukker IPs ned, fordi enkelte computere er inficerede. Og jeg kan tilføje: At klovner i telebranchen lukker sites ned, fordi de ikke kan lide indholdet på disse. Længe leve Huxley / Orwell. Nu er vi da heldigvis nogle nørder i branchen, der kan finde ud af at ublokere IPs og alt muligt andet, som diverse telefonselskaber og andre noobs – fumler rundt med. Det er en helt tredje sag, som jeg også mener burde have Christiansborgs interesse. Innovativt. Forbud og restriktioner er ikke vejen frem.
Især kan man gøre opmærksom på, at tryk jo avler modtryk, forstået på den måde, at jo mere landets lovgivere, banker, retssystemer og teleselskaber begrænser viden og muligheder dorskt og ureflekteret på Nettet, i jo højere grad uddannes der en subkultur, der bliver stadigt dygtige til at opbygge systemer intet etableret system kan cracke. Det er allerede tilfældet, og accelerationen og magten af denne internationale kultur er langt større end at noget IT-beredskab kan følge med i. Naturligvis er grove IT ulovligheder, som jo næsten ALTID handler om penge, forkastelige, men frem for at starte statsopererede slåskampe med subkulturer her og der, som ikke kan vindes, ville dialog eller blot simpel bl.a. teknisk / psykologisk indsigt i problemerne klart være en forudsætning. Der fandtes måske viden her og der, som kunne bruges samfundsgavnligt. En sådan dialog får man ikke i gang ved at begrænse aktiviteter som den nuværende regering underligt nok åbenbart synes at være fortaler for. Selv regeringer roder tydeligvis rundt i frihedsbegreberne.
Den subkultur jeg taler om, som SV2’s Dokumentar åbenbart handlede om, er for langt størstedelen slet ikke interesseret i at berige sig selv. Det er helt andre motivationer, der driver folk. Nærmere sund nysgerrighed og jagt på viden. Der er forskel på sådanne aktiviteter og simple berigelsesforbrydelser, og det bør antikræfter til en sådan subkultur kalkulere med.
Jeg synes det er fint, at du via din blog gør opmærksom på forskellige problemstillinger, og at du lobbyer rundt omkring: TV, bankorganisationer, politikere osv. Glimrende. Men jeg synes du bliver nødt til at strukturere problemet, fordi årsager og løsningerne til de ting du nævner er vidt forskellige. Samt ikke mindst: Det er forskellige systemer, der har interesse i at finde eller ikke finde løsninger på disse problemer, som jeg har prøvet at skitsere. Og sluttelig: Hvis du prøver at kontrollere IT sikkerhed via begrænsninger uden omtanke, så vil det få den modsatte effekt, fordi folk vil finde på narrestreger for at omgå sådanne begrænsninger. Det lykkes.
11. februar 2009 kl. 19:32
@ Mikkel Jensen. Du sendte mig en mail med samme indhold, og jeg svarede dig. Nu vil jeg lægge svaret ud nærmest uredigeret, selv om der er fyret af med lidt mindre betænkningstid, end jeg normalt ville bruge her på bloggen:
CITAT
Hej Mikkel,
Har helvedes travlt så i skyndingen et hastigt svar, men tak fordi du tog dig tid til af reflektere over mine skriv.
Ja, jeg taler om flere ting på en gang, og det er faktisk ikke banksiden, der er mit primære udgangspunkt, men det med, at vi snart allesammen får et DanID, der er nøglen til både banker og de offentlige registre.
Risikobilledet er bl.a. økonomiske tab, destabilisering, moderne krig, gidseltagning, ren ondskab (f.eks. fjerne pencillin-allergibetegnelsen fra medicinjournalen), dril (100-doble din selvangivne indtægt), magtdemonstration (catch me if you can) og samspil af sårbarheder (i systemer/menneskelige fejl).
Bag det kan så organiseret kriminalitet, idioter, fremmede magters efterretningsvæsener, den fyrede systemadsministrator, lone rider kriminelle, anti-danmarks-celler og mange andre.
Ja, jeg ved, at det er let at udgive sig for at komme fra andre steder på nettet. Jeg har dækket it-sikkerhed en lang række år.
Og det var IP-leverandører, der fik en lodret ordre at lukke IP-adresser, så vidt jeg hører på vandrørerne. Det var ikke dem, der valgte det.
At jeg så nok er alt for optimistisk, når jeg er fortaler for et nationalt it-beredskab, der via informationer med videre forebygger, varsler, koordinere, informerer, overvåger etc. er en helt anden sag.
Men p.t. er vi til grin. Du erindrer måske, at et “muldyr” i Næstved blev frikendt ved retten, fordi han jo handlede i god tro. Hvordan skulle han dog vide, at jobbet, der blev tilbudt indebar noget kriminelt….
Du får i tv og medier at vide, hvad der er bedste fladskærm, hvordan du kan få dine penge tilbage når forretninger snyder etc. etc. Mediebilledet har udviklet sig til et stort TÆNK. Men information, der kan gøre det lysende klart for alle, hvad de lokkende job annoncer går ud på, eller løftet om 1 mio. i udlodning fra Microsoft…. Hvor ser du det?
11. februar 2009 kl. 22:35
Ovenstående indslag fra min hånd handlede om hvem der har interesse, og hvem der burde agere for at få et IT-beredskab stablet på benene, som du snakker om. Nedenstående handler om hvorfor jeg ikke er enig i at restriktioner og kontrol fører nogen vegne, som man kunne gætte på at bankverdenen i deres uvidenhed ville mene var løsningen.
Den dame der blev udnyttet til hvidvaskning af stjålne penge var da heldigvis fornuftig nok til at henvende sig til politiet. Det er ikke den slags sager, hvor tyvene er åbenbare idioter jeg taler om. Historien melder ikke noget om hvorvidt det så lykkedes politiet at fange disse kriminelle eller ej. Hvis ikke må man vel sige at så florerer dumheden virkelig. Især når politiet jo må have bankoplysningerne. Jeg synes det er en dårlig uoplysende artikel Ekstrabladet sender ud. Noninformation. Plidderpladder.
Jeg forsøger – indrømmet med et MEGET langt indlæg – at gøre opmærksom på, at du er nødt til at definere hvilken type Cyber problemer du taler om, og derfor hvad du mener et beredskab skal kunne håndtere. Jeg synes altså ikke, at en enkelt dame alene, der narres i Næstved berettiger til kontrol, beredskab og 20 millioner skattekroner brugt i det blå. Jeg får blå prikker i hovedet, hver gang jeg hører ordet KONTROL, og MIT hoved er indrettet på en sådan måde, at jeg som nr. et begynder at regne ud, hvordan jeg undgår en sådan kontrol. Fordi jeg mener at kontrol og restriktioner ikke er vejen frem. Tværtimod.
Jeg er helt enig i at al berigelseskriminalitet, samt de typer du nævner: Gidseltagning osv. selvfølgelig skal nakkes godt og grundigt. Det har vi politiet til. De sager er skam alvorlige, men ikke noget der berettiger til eller er et argument for det du plæderer for: At der i Danmark oprettes et IT-beredskab i lighed med det du fortæller, der åbenbart er oprettet i andre lande.
JEG påpeger, at jeg ikke mener dansk politi eller politikere har kapacitet eller fantasi – læs viden – til at sætte sig ind i hvad de dygtige undergrunds folks indenfor IT roder med, og ISÆR hvad der motiverer dem. Den kriminalitet, der pt. pågår får hverken aviser, TV eller for den sags skyld politi kendskab til. Så skulle der da være iværksat et grande spion-net og topkvalificerede cybermuldyr aktiviteter, som tilsyneladende endnu ikke har udrettet noget som helst. Nix.
Derudover påpeger jeg, at jo mere kontrol, jo flere restriktioner, jo mere nærmer vi os Orwell 1984, og jo mere vil undergrundsbevægelser vokse sig stærke og udenfor kontrol. Naturligvis. Det er et kendt politisk doktrin. Jeg så lige i TV, at Robert Kennedy sagde præcist det samme. Så blev han skudt.
Sluttelig siger jeg, at denne undergrunds …. Bevægelse kan man ikke sige … at den ikke for størstedelen er motiveret af usselt mammon, og at myndigheder osv. nærmere burde samarbejde med de konstruktive og dygtige nørder, der sidder rundt omkring i cyberspace og ved langt mere end noget man lærer på universiteter og lignende steder. Hvis disse nørders muligheder og aktiviteter forsøges begrænset, sådan som det i stigende grad sker i dette land, så vil der ske det stik modsatte: Subkulturen udvikler sig, og nogle derfra laver deres egne regler, som ikke altid er forenelige med resten af samfundets. Nogen gange træder denne anarkisme over de usynlige moralske streger og så ryger fru Jensens sparepenge – desværre. Det er ikke altid lige logisk for en cybernørd, at det kan være forkert, når han eller hun ved, at Fru Jensen får fyldt kontoen op af banken næste dag igen. Især ikke hvis man lever alene inden døre i Cyberspace, uden hold på virkeligheden og mangler mønter til mere komputerkraft.
Hvordan løses så ulovligt cybertyveri så UDEN at retssystemer, stat osv. helt åbenlyst ikke fatter noget som helst og udstikker blåøjedede love og forordninger, som efter min mening blot øger aktiviteten. Også i sidste ende den kriminelle ?
Først definerer du præcist hvad det er du ikke vil have, hvor trenden ser ud til at bevæge sig hen, og hvor stort problemet egentlig er. Pengemæssigt. Når de ting er klarlagt spekulerer man grundigt over, hvordan man undgår at forøge problemerne og hvad strategien så er for at forbedre IT-sikkerheden. Hvad er der råd til og hvorfra kommer pengene ?
I den strategi vil jeg være enig i, at et gennemtænkt IT-beredskab, der altså ikke kun er funderet på alt hvad du ikke må, og derved er pengenes forlængede arm, kunne være en del af en konstruktiv løsning. Samt at en sådan strategi inkluderede underground systemer, frem for at ekskludere eller direkte ulovliggøre dem på forhold. Gør du ikke dette, får du 100.000 toppro nørder imod dig på forhold. Dumt. Og som jeg nu har skrevet 8 gange –sry – du har 200.000 på banen næste år. Og de er dygtigere.
Jeg har ikke helt overblik over om dette DanID du taler om, vil være en del af en sådan løsning, men jeg tvivler som du. Du har sikkert ret. Hvis det tilfældet, så griner vi nørder bare og intet sker ud over at IT-kriminaliteten stiger.
13. februar 2009 kl. 23:52
Så vidt jeg forstår, så er det beredskab Dorte taler for et ikke baseret på kontrol, men oplysning.
16. februar 2009 kl. 09:52
[...] DK er mål for cyberangreb, men uden ordentligt beredskab [...]
8. april 2009 kl. 18:57
[...] også kaldet et GovCert (Goverment Computer Emergency Response Team). Jeg præsenterede problemet her på bloggen tilbage i [...]