Vi er nødt til at tale om sikkerheden hos Centeret for CyberSikkerhed (CfCS) og Forsvarets Efterretningstjeneste (FE)


Man kan hente et program på nettet, som "scraper" meta-information fra de dokumenter, billeder mv., som ligger på et website. Ja, man kan hente mange. 

Søg på "program to scrape meta information from websites", og du er godt i gang.

Meta-information er information om afsenderen/skaberen af billedet eller dokumentet med meget mere - f.eks. hvilken device du brugte, hvilken version af iOS du kører, osv.... 

Vi tager lige en afstikker, før vi vender tilbage til emnet:

Dette fænomen med meta-information blev måske mest landskendt, da den Google-translate-drevne "oversættelse" af Jægerbogen til arabisk blev sendt fra den noget usle, daværende spindoktor i Forsvarsministeriet til pressen som bevis for, at det var meget farligt at udgive bogen, for nu læste arabiskkyndige den også.

Men stymperen, der havde konspireret med en officer inde i ministeriet om denne snedige plan, hvorefter han fik denne oberst til at overtale Jesper til at udføre niddings-dåden, glemte liiige at fjerne meta-informationen, da han (stymperen) videresendte det oversatte dokument til pressen - så pressen/journalisterne kunne se et vandmærke i dokumentet fra... Forsvarsministeriet. 

Andre har så også kunnet se, hvilken version af Windows utysket kørte på sin PC i ministeriet og dermed potentielt målrette en angreb mod ham og dermed komme ind i ministeriet. Flot.

https://www.computerworld.dk/art/126905/forsvaret-fyrer-it-chef-maskinoversatte-jaegerbog

Det er KLART, at det førte til, at ... Jesper, selvfølgelig!, måtte lade sig falde på sit sværd efter en i øvrigt lang og glorværdig karriere i Forsvaret.

Og så gik spindoktoren og Forsvarsministeriet ellers i gang, måske lidt i panik:

https://www.berlingske.dk/samfund/it-chef-i-forsvaret-oversatte-jaegerbogen-til-arabisk

https://www.bt.dk/danmark/fyret-it-chef-fik-ordre-af-oberst

https://www.kristeligt-dagblad.dk/danmark/forsvarsministeriet-forsvarer-spindoktor

https://ekstrabladet.dk/112/article4150372.ece

Jeg snød lidt og spurgte folk, der havde gjort tjeneste med Jesper i mange år og været med ham i med- og modgang. 

De kaldte ham alle for en hædersmand, en yderst loyal officer, der aldrig ville kunne finde på at gøre den slags af egen drift. Men når man får valget mellem at få en træls tid uden pension og med en straf hængende over hovedet - eller at gå frivilligt og påtage sig rollen some scapegoat (ikke scrape-goat!), så vælger man jo tit den første option. 

Det gjorde Hovsa-Olsen i øvrigt også, selvom det ikke var hans skyld, at missilet gik af. Den historie må I få en anden gang.

Og det var slå slut på afstikkeren. Tilbage til emnet:

En god mand brugte engang et af disse meta-info-scraping tools på Centeret for CyberSikkerheds hjemmeside og fik på den måde hevet en komplet liste ud over navnene på samtlige de ansatte i Centeret.

Det gjorde han i øvrigt også på Datatilsynets hjemmeside.

Hvis han kunne gøre det mange år efter Centerets opståen, så har mange andre nok også gjort det i tidens løb.

Centeret, og FE, er bare ikke særligt gode til det der med IT-sikkerhed. Prøv at læse denne ret chokerende artikel fra i dag i Version2, f.eks.:

https://www.version2.dk/artikel/rod-med-mail-sikkerhed-paa-flere-domaener-hos-forsvarets-efterretningstjeneste-cfcs-1087431

Jeg er sikker på, at vi i Nordic Data Intelligence ikke har denne sikkerhed sat op (endnu), og det er sikkert de færreste, der har. Men når det drejer sig om Centeret og FE er der nogle pointer, som jeg gerne vil fremhæve i denne sammenhæng:

1. De bør, når de bliver opmærksomme på den slags, bare få det fixet med det samme. De skal ikke gå i DJØF-selvsving med undskyldninger om processer og procedurer og noget med, at en medarbejder er i gang. Punktum. Ord skaber ikke handling. Man er, hvad man gør, ikke hvad man siger.

2. De bør uden undtagelse og uden ophør sørge for, at de aldrig anbefaler noget medicin til andre, som de ikke selv tager. 

3. I lyset af den forfærdende idé de har fået om at 

- have fri leg med og adgang til alle, selv de mest interne, data hos alle de institutioner og private bikse de måtte have lyst til, OG

- vel at mærke opbevare det i akkurat lige så lang tid de har lyst hos dem selv OG 


- være berettigede til at udveksle denne information med andre landes E-tjenester, specielt indenfor Nine Eyes, samarbejdet, hvor vi er medlem, OG

- være fri for Forvaltningsloven, GDPR, mv. i de tilfælde, hvor de måttet have lyst til det (fordi de hører under Forsvarsministeriet), OG

- selv være herrer over, hvorvidt TET (Tilsynet med EfterretningsTjenesterne) må kontrollere dem...


... så synes jeg ikke, at FE/Centeret fremstår troværdige i forhold til en sådan opgave.

Det er i forvejen vanvid at samle den slags information fra alle de vigtigste aktører indenfor samfundskritiske og samfundsvigtige funktioner ét sted. 

Læg dertil, at FE/Centeret ligesom alle andre har svært ved at rekruttere nok dygtige folk.

Men det værste er måske, at de bliver centrum for al opmærksomhed fra alle, der vil have fat i den slags information, uanset om det er script-kiddies fra Hobro, hobby-terrorister fra Tyskland og Hviderusland - eller stats-aktører fra Tehran, Beijing, Moskva, Amsterdam eller Cheltenham.

Lav nu et stærkt, civilt ministerium for Digital Sikkerhed. Eller til nød en styrelse under statsministeriet. 

Og kopier så de kloge ting de har gjort i Estland, Holland, Belgien, Israel og et par andre steder.

Start gerne med et råd, der omfatter forskere, civilie virksomheder, skrappe whitehackere, offentlige institutioner og FE/PET/Rigspolitiet, og lad dem mødes hver 14. dag og udveksle viden, data, idéer og forslag. Det ville være et fint første trin hen ad den rette vej.

Man har i Danmark valgt at kopiere UK's idé om at GCHQ skal have adgang til alt. Kun UK har fået den idé. Men de har jo heller ikke engang en grundlov, som en af mine venner sagde en aften :).

Hvad angår det sikkerhedsmæssige kunne det endda gå an. GCHQ er SÅ meget kraftigere og dygtigere (de har også en masse folk fra NSA siddende), at de til nød kan håndtere at være en potentiel sårbar SPOD (Single Point Of Data) og dermed en SPOF (Single Point Of Failure). Men det er stadigvæk helt hen i vejret set fra et demokratisk synspunkt.

Det skal også fremhæves, at alle høringssvar til lovforslaget vender  samtlige fingre nedad, og at f.eks. Tradeshift, har sagt, at de i så fald ikke kan have folk og data i Danmark, da al kommunikation med deres kunder/partnere og mellem medarbejderne på den måde kan havne hos Centeret.

https://www.computerworld.dk/art/246310/dansk-milliardvirksomhed-truer-med-at-forlade-danmark-hvis-nye-regler-for-center-for-cybersikkerhed-bliver-vedtaget

Tak i øvrigt til Version2 for fremragende journalistik. 

Kommentarer

Populære indlæg fra denne blog

​Historien om min nøgenvideo på nettet, Grethe Andersen og kødkurven... Den fulde og sande historie denne gang!

Historien om Oracle i Danmark - TPI, DDE og den slags...