Hvordan ville det internationale samfund reagere, hvis en kriminel organisation stjal et amerikansk Tomahawk-missil og truede med at angribe virksomheder i hele verden, hvis ikke de betalte en løsesum?
Det lyder som plottet fra en Austin Powers-film, men spørgsmålet rejses af Microsofts øverste præsident Brad Smith, efter internetormen WannaCry de seneste dage har inficeret op mod 230.000 computere i 150 lande.
Cyberangrebet, hvis størrelse ifølge Europol er af »hidtil uset karakter«, er muliggjort takket være indtrængningssoftware, som tidligere i år blev stjålet fra den amerikanske sikkerhedstjeneste NSA.
Hvis NSA havde oplyst Microsoft om denne sikkerhedsbrist i stedet for at gemme den til egne formål, kunne angrebet være undgået – og det har fået Brad Smith til at kalde på en ’digital Genève-konvention’, der skaber juridiske rammer og etiske normer for cyberkrig.
»Verdens regeringer bør behandle dette angreb som et wake-up call. De er nødt til at gå anderledes til værks og følge de samme regler i cyberspace, som de følger, hvad angår våben i den fysiske verden,« skriver Microsoft-præsidenten på sin blog.
»Vi har brug for, at regeringer tager højde for den skade, de kan påføre civile borgere, når de opmagasinerer de her sårbarheder og udnytter de her sikkerhedsbrister.«
I et policy paper udlægger teknologigiganten, som driver 89 pct. af alle operativsystemer i verden, dens forslag til en cyberkonvention. Blandt andet skal nationalstater forpligte sig til at udveksle sikkerhedsbrister med teknologivirksomheder, samt afstå fra at angribe kritisk infrastruktur, såsom hospitaler og kraftværker.
WannaCry-ormen, som i skrivende stund fortsat spreder sig rundt i verden, har blandt andet inficeret det britiske hospitalsvæsen NHS, de tyske togbaner Deutsche Bahn, samt en af verdens største teleoperatører, spanske Telefónica. Det er uvist, om angrebet har kostet menneskeliv.
Forløbet for ormeangrebet Wannacry
Vi genfortæller forløbet for ormeangrebet, der ramte 230.000 computere i 150 lande i sidste weekend.
Før august 2016
- Den amerikanske sikkerhedstjeneste NSA opdager en sikkerhedsbrist i en række Microsoft-styresystemer, som kan bruges til at afvikle kode på en fremmed computer uden tilladelse. I stedet for at oplyse Microsoft om fejlen, videreudvikler NSA bristen, som får navnet EternalBlue. Det er uvist, hvornår NSA opdager bristen.
15. august 2016
- Hackergruppen The Shadow Brokers annoncerer, at de vil afholde en auktion for at sælge ’cybervåben’, som er udviklet af NSA. Våbnene har kreative navne som PolarSneeze, Eligible BombShell og EternalBlue. Auktionsprisen starter ved en mio. dollars. Det er uvist, hvordan våbnene er blevet stjålet, men flere har mistanke om, at en intern medarbejder i NSA kan stå bag.
19. august 2016
- Dokumenter fra Edward Snowden, som aldrig før er offentliggjort, bekræfter, at NSA står bag cybervåbnene. Det vurderer The Intercept på baggrund af centrale navne og en tophemmelig 16-tegn streng, ace02468bdf13579, der optræder i The Shadow Brokers’ filer.
En ny epoke
Microsofts opråb vækker gehør hos flere eksperter, Information har talt med. På det danske Forsvarsakademi mener major Mikkel Storm Jensen, der forsker i cyberstrategi, at Danmark bør gå forrest i arbejdet for en digital Genève-konvention.
»Hvis jeg skal blive i Genève-metaforen, så befinder vi os på cyberområdet i tiden før Første Verdenskrig, hvor staterne havde udviklet flyvemaskiner, luftskibe og giftgasser, men vi kendte endnu ikke den fulde effekt af de nye våben. Krigens gru tydeliggjorde for verden, at der var behov for at skabe klar jura og regler for krig,« fortæller han.
På samme måde tydeliggør cyberangreb som WannaCry og før det Stuxnet fra 2012, der ødelagde iranske atomberigelsesanlæg, at der er behov for en digital konvention. I begge tilfælde blev de statsligt udviklede ’våben’ nemlig senere brugt af kriminelle organisationer til at rette stor skade, forklarer Jesper Lund, formand for IT-Politisk Forening:
»Der er efterhånden mange eksempler på sårbarheder, som efterretningstjenesterne har troet, de kunne sidde på og kontrollere, men som er blevet misbrugt af kriminelle. Og selv hvis sårbarhederne ikke lækkes, er der risiko for, at andre kriminelle organisationer finder de samme sårbarheder. Man eksponerer systemerne og borgerne for unødig fare, og derfor er en konvention, der fastlægger regler på området, en god idé.«
Forløbet for ormeangrebet Wannacry...
14. marts 2017
- Microsoft ruller en sikkerhedsopdatering ud, der bremser fire sikkerhedsbrister til ældre styresystemer. Senere viser det sig, at en af opdateringerne beskytter mod EternalBlue. Det er uvist, om NSA har informeret Microsoft om lækket, eller om Microsoft har købt viden direkte fra The Shadow Brokers. Microsoft sender ikke opdateringen frit ud til sine ældste styresystemer, der er mere end 12 år gamle.
14. april 2017
- The Shadow Brokers lækker NSA’s cybervåben til internettet, hvor de frit kan downloades. Filerne fylder tæt på 300 MB.
12. maj 2017
- Cyberangrebet WannaCry begynder at sprede sig på internettet. Ved hjælp af EternalBlue-sikkerhedsbristen lykkes det på få dage at inficere over 230.000 computere i 150 lande, fra Ruslands indenrigsministerium til Storbritanniens hospitalsvæsen. WannaCry er såkaldt ’ransomware’, der krypterer alle filer på computeren. For at låse filerne op skal brugeren inden for tre dage overføre 300 dollars til en anonym Bitcoin-adresse. Om aftenen ruller Microsoft ekstraordinært sin sikkerhedsopdatering gratis ud til alle gamle styresystemer, men det er for sent. Skaden er sket.
I dag konkurrerer nationalstater om at opmagasinere flest sårbarheder, frem for at dele dem med IT-virksomhederne. Dermed er de ifølge Jesper Lund også med til at skabe et kriminelt sort marked for hackere og kriminelle organisationer.
»Microsoft og andre har dusørprogrammer, hvor de betaler hackere for at finde sårbarheder i deres systemer, så de kan blive rettet. Men de kan på ingen måder konkurrere med NSA og andre efterretningstjenesters budgetter, som efter alt at dømme køber sårbarheder på det sorte marked. Det presser prisen gevaldigt op og øger usikkerheden for alle,« siger Jesper Lund.
’Whodunit’
Eksperter anerkender imidlertid, at det kan blive svært retsligt at håndhæve en digital konvention for cyberkrigsførsel. Ofte er det nemlig umuligt at identificere med sikkerhed, hvem der står bag et konkret cyberangreb, siger major Storm:
»Principielt kan du tage dit program i lommen og fyre det af fra en internetcafé i Bahamas, og så er det svært at bevise, det er dig. Men hvis man er grundig, vil man ofte kunne attribuere med stor sikkerhed, hvem der står bag et givent angreb.«
Han påpeger, at småstater som Danmark har stor interesse i at skabe internationale regler og konventioner, der lægger bånd på de store stater med mange ressourcer og enorme cybermilitære enheder.
»Man skal ikke være blind for, at efterretningstjenester og militær vil gå så langt, de kan på cyberområdet uden at blive opdaget. Men ved en konvention kan vi forhåbentlig skabe nogle globale normer for, hvad er der er acceptabelt inden for digital krigsførsel. Det vil gøre konsekvenserne mere pinlige eller slemme for de stater, som bryder reglerne. Og forhåbentlig vil det få dem til at tænke sig grundigere om,« siger Mikkel Storm Jensen.
Forløbet for ormeangrebet Wannacry...
13. maj 2017
- Ved at tilfælde lykkes det en 22-årig brite, Marcus Hutchins, kendt som MalwareTech, at bremse angrebet ved at registrere et internetdomæne, der fungerer som en dødemandsknap for ormen. Bagmændene ruller kort efter en opdateret version af WannaCry ud, som inficerer flere computere de kommende dage.
14. maj 2017
- Microsofts præsident Brad Smith kritiserer NSA for at gemme sikkerhedsbrister, frem for at oplyse om det til virksomheder. Han påpeger, at efterretningstjenesters cybervåben gentagende gange er blevet lækket til offentligheden, hvor kriminelle har brugt dem til at udrette stor skade.
16. maj 2017
- Sikkerhedsfirmaet Cyence vurderer, at de finansielle og økonomiske tab som følge af WannaCry kan ende med op mod 27 mia. kr. globalt. Det skriver CBS.
Han får opbakning fra Rasmus Theede, der er chef for cybersikkerhed i DXC Technology og formand for Rådet for Digital Sikkerhed.
»Forleden havde vi den store sag om Rusland, der hackede sig ind i det danske forsvar. Forsvarsminister Claus Hjort Frederiksen gik direkte ud og sagde, at vi ikke kan gøre noget ved det. Det går simpelthen ikke. Vi er nødt til at samarbejde tæt med EU og vores allierede, så vi kan reagere over for den slags,« siger Theede.
Han var i forgårs i Bruxelles for at tale om netop EU’s cyberstrategi fra 2013, hvor landene gav håndslag på at samarbejde tættere:
»Men i praksis virker det ikke. Vi har brugt tusindvis af mandetimer på at udvikle cyberstrategier i EU og på dansk niveau, men når vi så ser konsekvenserne ved en forholdsvist simpel computerorm som WannaCry, lader det til, at strategierne har været effektløse. Direktiver, krav og konventioner er ligegyldige, hvis ikke vi implementerer og effektmåler dem.«
Unødvendigt og utopisk
Trods de gode intentioner er en digital Genève-konvention dog både unødvendig og utopisk. Det mener professor Wolff Heintschel von Heinegg fra Europa-Universitetet Viadrina-Frankfurt. Han er en af 19 internationale eksperter bag den såkaldte Tallinn-manual 2.0, som udkom i februar i samarbejde med NATO. Manualen kortlægger 154 konkrete områder, hvor international lov og humanitær ret allerede dækker nationalstaters ageren i cyberspace.
»Det inkluderer alt fra cyberkrigsførsel til cyberoperationer i fredstid, der krænker suverænitet eller menneskerettigheder,« forklarer von Heinegg.
»Kravet om en digital Genève-konvention i kølvandet på WannaCry er helt uden for skiven. For det første fordi, Genève-konventionen omhandler væbnede konflikter, og manualen viser, at de eksisterende love allerede gælder i cyberspace. Og for det andet, fordi der slet ikke er tale om væbnet konflikt i WannaCrys tilfælde. Microsoft taler om noget andet, global cybersikkerhed, og der har vi allerede etableret regler i den såkaldte Budapest-konvention fra 2004.«
I skrivende stund har 52 lande ratificeret konventionen, som er udarbejdet af Europarådet og søger at harmonisere national lovgivning, samt øge samarbejdet og efterforskningen af cyberkriminalitet. Lande som Kina, Brasilien og Indien har dog afvist at underskrive konventionen. Rusland har heller ikke underskrevet traktaten, fordi nogle af provisionerne ifølge Kremlin kan »underminere national sikkerhed og suverænitet«.
Forløbet for ormeangrebet Wannacry...
16. maj 2017
- Det viser sig, at Microsofts sikkerhedsopdatering mod EternalBlue blev udviklet allerede i februar 2017. Det får flere eksperter til at kritisere Microsoft for at vente over en måned med at sende opdateringen ud. Microsoft kritiseres også for ikke at have delt opdateringen med Windows XP-brugere, som er blevet hårdest ramt, med mindre de har betalt support-licens.
17. maj 2017
- I skrivende stund har 27.868 personer overført i alt 553.246 kr. til WannaCry-bagmændenes Bitcoin-konti. Det viser en opgørelse fra Twitter-brugeren @actual_ransom, der overvåger de tre anonyme konti.
Kilder: The Intercept, TechChrunch, ArsTechnica, Microsoft, Twitter, The Register
I stedet arbejder Rusland gennem FN med en anden konvention, der skal bremse cyberkriminalitet.
Forløbet om Budapest-konventionen tydeliggør for von Heinegg, at en ny konvention er både unødvendig og utopisk.
»Nationalstaternes interesser er simpelthen så forskelligartede, at jeg ikke tror på, man kan opnå konsensus om en ny konvention. Og bare ved at igangsætte en sådan proces, risikerer du at åbne Pandoras Boks, der kan ende med at indskrænke internetfriheder eller andet. Enhver traktat er som en basar, det er tit for tat, hvor alle stater skal have lidt for at være med,« siger han.
I cybersikkerhedsfirmaet FireEye er analytiker Jens Christian Høy Monrad uenig. Firmaet rådgiver nogle af USA’s største firmaer i IT-sikkerhed, og Monrad mener ikke, de gamle konventioner har formået at bremse hverken stater eller kriminelle fra at begå angreb. Til gengæld er der præcedens for, at nye politiske aftaler har formået at forbedre forholdene.
»Da præsident Obama og præsident Xi Jinping mødtes i 2015, indgik de en aftale om, at man ikke længere ville udføre offensive cyberoperationer mod hinanden med henblik på at stjæle forskning og intellektuelle rettigheder. Efter aftalen kunne vi se, at antallet af operationer rettet mod amerikanske virksomheder faldt markant,« siger Monrad.
»Inden aftalen overvågede vi 72 aktive hackergrupper, der angreb USA, og som havde tilknytning til den kinesiske stat eller var direkte del af det kinesiske militær. Efter aftalen mellem Obama og Xi faldt det til ti grupper. For mig beviser det, at politisk dialog på højeste niveau kan gøre en forskel.«
Rigtige venner
Professor von Heinegg tror også mere på bilaterale aftaler. Han mener, Danmark bør øge samarbejdet med sine allierede, ikke mindst EU og NATO, for at sikre den regionale cybersikkerhed.
»Der er behov for at styrke samarbejdet og opruste på det, jeg kalder cyberforensics, cyberefterforskning, så man hurtigere og mere effektivt kan identificere og reagere mod bagmænd til cyberangreb. Attributionsproblemet er svært, men ikke uoverkommeligt,« siger von Heinegg.
EU kan også gøre meget for at højne forbrugersikkerheden, mener Jesper Lund fra IT-Politisk Forening. Vi er på vej ind i det såkaldte ’Internet of Things’, hvor alt fra brødristere til lamper er forbundet til internettet, og derfor bør EU stille større krav til producenterne.
»I dag kan du købe kameraer til 200 kr., som Netto har købt i store papkasser på Alibaba.com, og ingen aner, hvem der står bag. Softwaren er oldgammel og kan hackes. Din digitale brødrister kan, hvis den ikke er sikker, både bruges til at lave et dDos-angreb mod et udenlandsk firma og til at overvåge dig,« siger Jesper Lund, som dog advarer mod hasteløsninger.
EU har før prøvet at øge datasikkerheden med det såkaldte cookie-direktiv, der i bedste fald var besværligt, og i værste fald lærte EU-borgere at klikke ’ok’ til hvilken som helst boks, der åbner på en hjemmeside.
Men trods de mange gode forslag er det i sidste ende den enkelte borger, der har ansvaret for sin private og arbejdsmæssige cybersikkerhed, understreger Rasmus Theede:
»Microsoft havde jo udsendt en opdatering, der beskytter systemer mod den sårbarhed, WannaCry-ormen udnyttede. Men nogle folk installerede den ikke, og så er det jo umuligt at gardere sig. Sådan et problem kan du ikke bare løse med politik og lovgivning – det handler om opdragelse,« siger Rasmus Theede.
»Det er ligesom i hjemmet. Vi kan stille politiske krav til, hvordan låsen og vinduerne er sikrede og certificerede. Men i sidste ende må vi selv låse dem. Det kan aldrig blive en politisk opgave.«
