Kjærulffs klumme: Fra wild west til østfronten

Internettet og computerbranchen var engang det vilde vesten, et sted, hvor man kunne gøre, hvad man ville uden nogen form for ansvar for almindelige love eller regler. Meget har ændret sig. Som en af verdens mest digitale nationer er der nu it i al vores infrastruktur. Nu vælter det ind med EU-lovgivning, der skal sikre vores infrastruktur. Men er det for sent?

 


Der er tekster, det er svært at slippe, når man først har læst dem.
Og hvis man er sådan én som mig, ja,så er jeg nødt til at dele dem med andre. Sådan en tekst læste jeg faktisk her fornylig og nu deler jeg den med dig.

For nylig offentliggjorde den hollandske softwareudvikler og rådgiver, blandt andet for diverse efterretningstjenester, Bert Hubert, en tale, han havde holdt ved et seminar afholdt af det hollandske justitsministeriums afdeling for cybersikkerhed.

Talen hed ’"Cyber Security: A Pre-War Reality Check’, et ’Før-krigs-check". Indholdet af den tale er mildt sagt deprimerende.
Med udgangspunkt i erfaringer fra Holland, gennemgår Hubert den ene IT-beredskabs-forringelse efter den anden.
Det vildeste eksempel er, at man har valgt at skifte et fastnet-beredskabssystem ud med IP-telefoni og en urokkelig tro på, at VPN-forbindelser er mere ’sikre’ – tilsyneladende uden at tænke over, at det er netforbindelsen, der kan blive problemet.

Det vi har brug for, mener Hubert er simpelt: Vi har brug for ting, der faktisk virker. Også når der er kaos og klimakrise eller krig. Som Ukraine.

-"Ukraine har reelt været i hybridkrig to år før russerne rykkede fysisk ind, så alt der nemt kunne ødelægges var allerede smadret. Russerne ødelagde for nylig det største teleselsskab i Ukraine, Kyivstar, ved et meget destruktivt angreb. Men ukrainerne er så dygtige nu, at det kun tog dem 2 dage, før det hele virkede igen. Disse mennesker er vant til kaos. De ved hvordan man genopbygger et system fra bunden. Hvis vi skulle få et tilsvarende angreb på et vesteuropæisk teleselskab og vi ikke får hjælp udefra, vil vi være nede i halve år, fordi ingen længere kender deres egne systemer", skriver Bert Hubert.
 

Hør Anders Kjærulff læse sin klumme højt


UDLICITER OG MIST KOMPETANCER
Når vi er endt sådan er det fordi beslutninger om teknisk infrastruktur ikke længere tages af teknisk orienterede mennesker, mener Bert Hubert. Og disse ikke-tekniske mennesker elsker at udlicitere og bruge cloudløsninger og det gør os ekstremt sårbare.

- De teknisk dygtige fra administrationerne siger op overalt – mange af dem ender faktisk med at arbejde for cloudfirmaerne og så kan vi ikke længere trække på dem. Du kommer aldrig til at få Amazon til fortælle hvordan de laver sikkerhed og du har ikke længere folk ansat, der kan fikse problemerne. Hvis du har et teleselskab fyldt med udstyr, der bliver vedligeholdt og opdateret fra et sted 5000 kilometers væk, hvis det så går galt, så må du hellere håbe, at du overhovedet kan få fat i dem, for ellers kan de ikke hjælpe dig, siger altså Bert Hubert, der mener at Europa i dag er helt i hænderne på IT-support fra USA, Indien og Kina, når det kommer til en nødsituation.

- Husk da der var Corona, dengang kunne vi ikke selv lave værnemidler og måtte tigge Kina om de ikke kunne lave nogen til os? Forestil jer en situation, hvor der er cyber-problemer over det hele og vi er nød til at tigge Indien eller en administration i USA kørt af Donald Trump, om de ikke venligst vil fikse problemer med vores cloud, siger han.

REGLER OG LOVE
Bert Hubert indlæg er særligt interessant netop nu, hvor en regn af forordninger og direktiver  rammer IT-branchen.
Som IT-professionel kommer du til at høre rigtig meget om Cyber Security Act(CSA), Cyber Resiliance Act(CRA), Digital Operational Resiliance Act(DORA), Net and Information Security(NIS2) og mindre kendte initatiativer som Cyber Solidarity Act(CSA), der skal sikre en eller anden interoperationalitet over hele EU og Product Liability Diretive(PLD).

Så hvis du synes, at GDPR var en svær omgang, så er der altså lagt op til mere seriøs bogstavleg med 1.000vis af sider af dokumentation fremover, når altså, den danske regering får sig taget sammen til rent faktisk af gøre dem til en del af dansk lov.

Det største dyr i den nye flok er nok NIS2, der følger i hælene på det første NIS-direktiv fra 2016, i erkendelse af, at krigen i Ukraine har øget risikoen for cyberangreb. NIS2 blev vedtaget i november 2022, skal derefter implementeres i national lovgivning og egentlig træde i kraft 18. oktober 2024 over hele EU, men det kommer ikke til at ske, slet ikke i Danmark, hvor den første, foreløbige del af lovarbejdet sandsynligvis rammer folketinget engang efter sommerferien.

Det er kompliceret stof, når det skal fordeles ud over alle mulige myndigheder, der alle sammen fungerer under det sektoransvar, vi har lavet herhjemme, en løsning der er skabt til at medføre ansvarsforflygtigelser og unødvendige kampe om ressourcer. Det er som bekendt ikke noget, der fremmer ens resilens eller gør beredskabet bedre.

Men er det ikke godt med alle de love? Bliver det så ikke fikset, det hele?

Nej, mener Bert Hubert fra sin udsigtspost af "før-krigs-stadie".
Vores infrastruktur er simpelthen ikke robust nok efter alle udliciteringerne og den deraf følgende afhængighed af cloud-services fra Amazon, Microsoft og Google, firmaer, der må forventes at have nok at gøre med at redde deres eget område, hvis der er noget, der går seriøst galt.

Det er ikke flere regler, der skal til, mener Hubert. Det er kompetencer.

Hubert taler bredt om Europa. Og om Holland.

Men hans historie klinger bekendt og hans råd er konkrete: Vi skal væk fra tanken om, at noget der virker "gammeldags" absolut skal skiftes, hvis det ellers virker og ikke vælter ved det mindste pust. 

Behold det, især hvis et moderne alternativ er mere skrøbeligt og gør os afhængige af lande og support, der fysisk befinder sig flere 1.000 kilometer væk. Og så skal vi være klar til at improvisere og fixe ting.
Nogle gange er det rigtige kabel der bare ikke – så må man finde en løsning - og det kan ske man er nød til at fixe firmware problemer selv, hvis man altså vil have styr på det, der holder samfundet, som vi kender det, sammen.

Er vi klar til det?


LÆS BERT HUBERTS INDLÆG HER: https://berthub.eu/articles/posts/cyber-security-pre-war-reality-check/

I ØVRIGT TÆNKER JEG OVER:

….at nu hvor Julian Assange jo højest overraskende blevet løsladt fra Belmarsh fængslet i London, efter at have tilbragt sammenlagt 12 år uden at kunne gå udenfor en dør, først i den Ecuadorianske Ambassade, hvor det senere viste sig, at CIA kiggede med på alt han foretog sig, inklusive toiletbesøg og samtaler med advokater, og senere isoleret i en celle 23 timer i døgnet mens USA forsøgte at få ham udleveret så de kunne idømme ham 135 års fængsel for spionage, hvad kommer der så til at ske? Hvad har den nu 52-årige ballademager fra Australien mon tænkt sig at lave i fremtiden?

….at Teleselskabet OISTER i fem dage har lagt alle oplysninger om kunder…’som har haft skjult nummer og/eller adresse, i en periode fra 21. juni 2024 til 26. juni 2024, blevet eksponeret på nummer- og adresseoplysningssitet www.118.dk’ Jeg tænker, at fem dage faktisk er ret lang tid og om nogen mon følger op på konsekvenserne?
 

…at Dansk Erhverv har udgivet officielle anbefalinger til regeringen om brug af AI, og det er lykkedes dem at bruge ordet 'AI' 355 gange på sølle 40 sider, der tilgengæld flyder med vilde forslag som at gøre ’Danmark verdensførende i digital inklusion med AI’ hvilket jo betyder, at man har tænkt sig at slippe chatbots i bunker løs på digitale udsatte og andre analoge borgere, hvilket vel må siges at være en dobbelt straf?
LINK: https://www.ft.dk/samling/20231/almdel/DIU/bilag/146/2886278.pdf
 


Læs også...

På grund af den nye lov om registrering af arbejdstid, har PROSAs juridiske team hen over sommeren fået mange henvendelser omkring tidsregistrering og…

Forestående ferietid betyder desværre også fyringstid og ”oprydning” i en del virksomheder. Det fortæller jurist Camilla Winter, som her giver et par…

Vi kan ligeså godt se det i øjnene - juli vejret er lunefuldt og rammer ofte sommerdrømmene som en våd karklud. Men fortvivl ikke! PROSAs egen film-…

Hvad er op og ned i junglen af sundhedstrends? PROSAbladet har spurgt Martin Grønne Jensen, som er dataingeniør, holder foredrag om longevity og er…

Vil du gerne leve længere, så bør du måske give longevity escape velocity-teorien lidt opmærksomhed. Tilhængerne af teorien mener nemlig, at vi kan…

Ny image-analyse fra Computerworld rykker ikke ved, hvem de danske it-professionelle sætter ind på en førsteplads. Til gengæld må Apple se sig slået…

XZ Utils-angrebet havde potentialet til at blive det mest alvorlige supply chain attack til dato, men angrebet blev (heldigvis) spottet i tide, fordi…

JA, siger Isak, Amanda, Lea, Martha og Hannibal. De er mellem 16-26 år og bruger dagligt flere timer på at scrolle gennem de sociale medier for at…

Er du en af de mange dimittender, som står med et nytrykt eksamensdiplom i hånden og er på vej ud på arbejdsmarkedet? Så er Kasper Bach manden, du…

Ni ud af ti danskere er på sociale medier. Måske er du en del af statistikken, eller måske holder du det i strakt arm. Men hvad er det egentlig, der…