For 25 år siden vandt Danmark europamesterskaberne i fodbold – nu vil Forsvarets Efterretningstjeneste gentage succesen i cyberspace.

Til oktober rejser ti af Danmarks dygtigste IT-talenter til Málaga i Spanien for at dyste til EM i hacking. Mesterskabet er for unge it-talenter og arrangeres for tredje år i træk af det Europæiske Netværk- og Informationssikkerheds Agentur, ENISA, men det er første gang, Danmark deltager.

Derfor er FE-chef Lars Findsen – ved siden af sit arbejde med at spionere mod fremmede statsmagter – i disse dage ved at finde 14-25-årige danskere med flair for at spoofe og skrive exploits til IT-systemer.

Det gør FE, siger Lars Findsen til Information, for at bidrage til, at Danmark i fremtiden bliver bedre rustet til at forsvare sig i cyberspace.

»Vi etablerer et cyberlandshold af to grunde. Dels vil vi sætte fokus på IT-sikkerhed og på vigtigheden af, at vi får uddannet folk med de rette IT-kompetencer i Danmark. Men også fordi, at vi i FE har særlige behov for at tiltrække og fastholde specialister, både nu og i fremtiden,« siger Lars Findsen og tilføjer:

»Baggrunden er, at vi står med en kæmpe rekrutteringsudfordring de kommende år. Cyberområdet vil i endnu højere grad end i dag blive en kampzone, hvor Danmark er alvorligt truet. Og samtidig er IT-sikkerhedseksperter en mangelvare.«

FE er Danmarks vel nok mest lyssky tjeneste, berømt og berygtet for ikke at give ved dørene. Cyberlandsholdet springer derfor i øjnene som den seneste i rækken af kreative og skæve rekrutteringskampagner, efterretningstjenesten har iværksat de seneste år.

Siden 2016 har tjenesten drevet et hackerakademi, hvor IT-talenter oplæres. FE har også annonceret i dagblade og på nettet med digitale puslespil for at tiltrække IT-kyndige studerende, der også er ombejlet af både PET og Rigspolitiets Nationale Cyber Crime Center, NC3, samt private IT-virksomheder.

Kampagnerne er inspireret af det mystiske, årlige Cicada 3301-puslespil, som på internettet spekuleres i at være en rekrutteringskampagne for den amerikanske sikkerhedstjeneste NSA.

»De kreative kampagner er nødvendige,« siger Lars Findsen. »For det er et hårdt marked. Der er måske 100 mennesker i Danmark med de IT-kompetencer, vi har brug for. Og vi konkurrerer om at tiltrække dem med mange, blandt andet det private erhvervsliv.«

– Ved en af jeres seneste kampagner skrev en bruger på Reddit, at det ikke er ’kreative opslag der skal til, når lønnen i det offentlige er 50% af det, en sikkerhedsmand får i det private’. Burde I hæve lønnen?

»Ja, der er jo nogle, for hvem guld og mammon er det afgørende. og vi har muligheder for at betale ekstra for specifikke kompetencer. Det er ikke som i gamle dage, hvor alle i det offentlige sad på samme lønramme. Men når det er sagt, så kommer vi nok aldrig til at matche lønnen i dele af det private erhvervsliv. Det skal vi heller ikke. Vi konkurrerer på opgavens karakter; at vi har en klar og meningsfuld mission, der handler om at sikre Danmark og danskerne.«

Brug for en cyberkonvention

Lars Findsen understreger, at Forsvarets Efterretningstjeneste er godt besat med dygtige IT-specialister i dag. Adspurgt om hvor godt Danmark klarer udfordringen med at rekruttere til deres opgaver i cyberspace i dag, på en skala fra et-ti, »er vi vel oppe omkring otte«, vurderer han.

Problemet er fremtiden. Cybertruslen mod Danmark udvikler sig ifølge Findsen hele tiden, og angrebene stiger hurtigt i både antal og kompleksitet.

Frem mod år 2030 vurderer FE, at »et kapløb vil finde sted på cyberområdet, hvor flere statslige og ikkestatslige aktører vil udvikle kapacitet til at gennemføre cyberoperationer for at kunne ødelægge, forstyrre eller stjæle andre stater og organisationers systemer og data«.

Med andre ord har de mange cyberangreb indtil nu været småting i forhold til, hvad vi kan vente os i fremtiden.

»Det er en helt anden virkelighed, vi skal forberede os på. I dag kan de fleste avancerede digitale angrebsværktøjer i høj grad føres tilbage til statslige aktører, men i fremtiden tror jeg, vi vil se en spredning til ikkestatslige aktører. De vil selvsagt være mere risikovillige og klar til at forsøge sig med angreb mod danske mål,« siger Lars Findsen.

Denne overførsel af cybervåben fra stater til ikkestater blev højaktuel i maj måned, da den såkaldte WannaCry-orm inficerede over 230.000 computere på verdensplan. Private hackere stod efter alt at dømme bag, men teknologien, som muliggjorde angrebet, var stjålet fra NSA. Forløbet fik Microsoft-direktør Brad Smith til at kræve en digital Genéve-konvention for at regulere udviklingen og spredningen af digitale masseødelæggelsesvåben.

Og det er en god idé, mener Lars Findsen:

»Situationen udvikler sig kun i én retning – mod at de store og ressourcestærke lande vil udvikle voldsomme offensive cyberkapabiliteter, og at der vil ske en spredning af disse cyberangrebsværktøjer, som også kan true Danmark. På en eller anden måde bør man prøve at skabe en international regulering, konventioner eller andet, for lige nu er det en jungle derude. Som lille land har vi altid en interesse i at binde de store lande i internationale aftaler, men en cyberkonvention har nok lange udsigter. Desværre.«

Rusland kan true danske valg

Lars Findsen lægger ikke skjul på, at det særligt er truslen fra Rusland, FE er opmærksom på i disse år. Rusland har det seneste år forsøgt at påvirke både den amerikanske og den franske valgkamp med målrettede hackerangreb.

­– Er der en risiko for, at Rusland på samme vis vil forsøge at påvirke kommunalvalget til efteråret eller et kommende folketingsvalg?

»Det er klart, at vi har registreret, hvad der er foregået rundt om i verden. Og vi følger nøje situationen omkring de tyske, svenske og norske valg, som er lige om hjørnet. Danmark må som alle andre vesteuropæiske lande gøre sig nogle overvejelser om det her fænomen i forhold til kommende folketingsvalg i Danmark,« siger Lars Findsen.

I april indikerede FE i en opsigtsvækkende rapport, at Rusland også har forsøgt at hacke det danske forsvar og Udenrigsministeriet. Rapporten kommer i kølvandet på spiontjenestens seneste risikovurdering, hvor det fremgår, at to lande har forsøgt at trænge ind i Forsvarsministeriet og Udenrigsministeriet de seneste år.

– I nævner to lande, og jeg går ud fra, Rusland er det ene. Hvorfor nævner I ikke det andet land?

»FE sætter som udgangspunkt ikke navn på de stater, som forsøger at hacke danske myndigheder. Når vi på den måde vælger at skrive en rapport, der går tættere på aktørens genkendelige modus, end vi tidligere har gjort, skyldes det, at vi synes, det er et illustrativt eksempel på den trussel, som Danmark står over for.«

– Det passer vel også godt ind i forhold til forsvarsforliget, der skal forhandles hjem i Folketinget til efteråret?

»Jeg ved ikke, om man kan sige, at det på den måde passer ind i noget. Vi siger bare, hvordan det hænger sammen.«

– Men i forhold til, at der er en kamp om nogle knappe ressourcer, er det da vigtigt, at I kan gå ud og vise, hvilken trussel, Danmark står over for.

»Det er ingen hemmelighed, at Rusland kommer til at fylde mere, også i forbindelse med efterårets forhandlinger om forsvarsforliget.«

– Nu indikerer I, at Rusland har forsøgt at infiltrere Danmarks forsvar og udenrigsministerium. Men gør FE ikke præcis det samme? Er det ikke jeres opgave?

»Det er klart, at udover vores ansvar for at sørge for, at fremmede stater ikke trænger ind, er vi også en udenrigsefterretningstjeneste – en såkaldt ’all-source’-tjeneste. Det vil sige, at vi benytter alle lovlige midler og teknologier inden for FE-loven til at forsøge at trænge ind der, hvor vi vurderer, der kan ligge informationer af betydning for Danmarks sikkerhed. Så det er vist svaret på dit spørgsmål.«

Ikke et ord om Trump

En ny ubekendt for dansk efterretningsvirksomhed er, at det historisk tætte forhold til USA nu udfordres af Donald Trump. Præsidenten har gentagende gange sået tvivl om forholdet til NATO, og i efterretningsøjemed har han skabt diplomatiske kriser med flere af USA’s nærmeste ’Five Eyes’-allierede, herunder Storbritannien, Australien, samt en anden tæt partner, Tyskland.

I maj måned kunne New York Times så afsløre, at Donald Trump uden tilladelse har delt topklassificerede efterretninger om Islamisk Stat med Rusland, som USA havde modtaget fra Israel.

Ved at dele informationen har Trump muligvis bragt en israelsk spion, som har infiltreret terrororganisationen, i fare. Trumps handling var dermed et voldsomt brud på ’spionetiketten’ – men Lars Findsen ønsker ikke at kommentere, om det får FE til at gentænke deres samarbejde med USA:

»Jeg forstår godt spørgsmålet, men det er et princip, vi har. Vi kommenterer aldrig på partnersamarbejder, og vi ønsker nødigt, at vores partnere kommenterer på deres relationer til os,« siger han.

Af FE’s analyse af trusselsbilledet frem mod 2030 fremgår det dog, at Danmarks efterretningsstrategi bygger på et fortsat tæt samarbejde med USA. Et samarbejde, som statsminister Lars Løkke Rasmussen (V) imidlertid satte spørgsmålstegn ved under sin grundlovstale:

»De overlader spillebanen til andre. Og dét bekymrer mig for alvor. Det er bekymrende for den frie verden, som risikerer at stå tilbage uden leder,« sagde statsministeren om Donald Trumps ageren på klimaområdet som udtryk for USA’s globale lederskab.

»For hvis verden går af lave, så er risikoen størst for de små lande, som er afhængige af andre,« fortsatte statsministeren.

Overvågning: Made in Denmark

Forværres forholdet, kan det potentielt skade forsyningssikkerheden af både forsvarsmateriel og efterretninger fra USA til Danmark. Et problem, der forværres af, at FE forventer, at udviklingen af ny digital infrastruktur frem mod 2030 vil koncentrere sig omkring ganske få lande.

– Man snakker altid om vigtigheden af at råde over en national våbenproduktion i krigstid, så man ikke er afhængig af fremmede nationers velvilje. Gælder det også på cyberområdet i fremtiden?

»Det er fuldstændig det samme. Det er jo et potentielt sikkerhedsmæssigt problem, men heldigvis har vi en lille, men levende digital sikkerhedsindustri i Danmark. At fastholde den industri inden for landets grænser må også være et fokuspunkt for FE og andre i den løbende diskussion om Danmarks robusthed over for cybertruslen.«

– Og det bringer mig til mit sidste spørgsmål. Den seneste uge har Information afsløret, at Danmark har godkendt salg af digitalt overvågningsudstyr fra en dansk IT-producent til lande som Saudi-Arabien, De Forenede Arabiske Emirater, Oman, Qatar, med flere. Hvad tænker du om det?

Lars Findsen smiler – dén var han forberedt på.

»Jo, jo, jeg har skam læst det. Men den sag kører vist i et andet ministerium. Jeg tror, jeg må være en kedelig formalist og sige, at det derfor ikke tilkommer mig at svare på det spørgsmål. Lige her og nu er vores fokus i FE at rekruttere til fremtidens cyberforsvar. Det får vi i dén grad brug for.«

Hvordan får vi flere IT-eksperter? Jens Christian Høy Monrad, analytiker i IT-sikkerhedsfirmaet FireEye: »I Danmark er politikerne meget begejstrede for at digitalisere, men vores talentmasse af IT-sikkerhedseksperter står slet ikke mål med ambitionerne. Dermed synes jeg, man gambler med vores fremtid, for det er jo dine og mine følsomme data, det handler om. Jeg savner målrettede tilbud om uddannelser inden for IT-sikkerhed, samt at alle IT-uddannelser i det hele taget får mere fokus på sikkerhed. Et særskilt problem for Forsvarets Efterretningstjeneste er, at de ikke kan matche lønnen i det private. De store firmaer sidder på en pengetank og kan tilbyde en mere attraktiv jobpakke, som det offentlige ikke kan matche.« Rasmus Theede, chef for cybersikkerhed i DXC Technology og formand for Rådet for Digital Sikkerhed: »Jeg savner, at det offentlige tager IT-sikkerhed seriøst, når de laver udbud på digitale opgaver. Staten må acceptere, at sikkerhed koster penge, frem for altid at tage det billigste udbud, som jeg ofte synes, det er tilfældet i dag. Politikerne vil sige, de også har IT-sikkerhed som et parameter, men ud fra min erfaring handler det altid om prisen. For nylig var jeg til høring om cybersikkerhed i Folketinget, hvor forsvarsminister Claus Hjort Frederiksen (V) sagde, at staten stiller krav om ISO27001 i digitale udbud. Men ISO27001 er nogle basisregler, som ikke for alvor gør en forskel, og det svarer lidt til at kræve, at en madvare har et økomærke. Det er fint nok, men produktet kan stadig godt være råddent. Så længe staten ikke tager IT-sikkerhed seriøst i deres udbud, kan de ikke tiltrække leverandører, der tager sikkerhed seriøst. Så simpelt er det.« Henrik Kramshøj, netværkssikkerhedsingeniør i PatientSky Danmark: »De fleste danske IT-sikkerhedseksperter har taget en formel uddannelse i IT, fx datalog, og så selv lært sig sikkerhedsaspektet. Vi mangler dedikerede uddannelser – jeg har bekendte, som er flyttet til Skotland eller England for at læse IT-sikkerhed. Det bør danske universiteter kunne matche. Forsvarets Efterretningstjeneste har et særskilt problem, fordi de søger specialister, som der kun er få af i Danmark. Flere af dem er ideologiske modstandere af at arbejde for FE, mens det for andre handler om personligheden. Mange IT-sikkerhedsfolk er selvlærte, måske lidt anarkistiske og svære at styre for en mere hierarkisk organisation. Mange af dem ryger også weed. Jeg ved ikke, om de narkotester i FE, men det gør de amerikanske FBI, og det besværliggør unægtelig deres rekruttering.«