Læsetid 4 min.

Der er en sprække i alt. Det er dér, hackerne trænger ind

Et digitalt våbenkapløb, der er kommet ud af kontrol, en bundlinjeorienteret tech-gigant og sjusk med it-sikkerheden. Den giftige kombination er forklaringen på, at det verdensomspændende WannaCry-angreb fik så store konsekvenser. Her er tre ting, vi kan lære af det
20. maj 2017

Et sandt blame game er gået i gang i kølvandet på det verdensomspændende WannaCry-angreb, der har ramt computere i 150 lande og lagt dele af det britiske sundhedsvæsen ned.

For nogle, heriblandt Microsoft-præsident Brad Smith, er angrebet en konsekvens af et digitalt våbenkapløb, der er kommet ud af kontrol. For andre er forklaringen banalt sløseri med it-sikkerheden. Og for en tredje gruppe handler historien snarere om softwaregiganter som Microsoft, der prioriterer økonomisk vinding over hospitalspatienters liv.

Men sandheden er en kombination af de tre fortællinger. Når det kunne gå så galt, skyldes det en kædereaktion med både storpolitiske og lavpraktiske elementer.

For det første bærer de, der blev ramt af angrebet, selv et ansvar. Microsoft udsendte allerede i marts, længe inden angrebet, en opdatering til nyere udgaver af Windows, som lukker det sikkerhedshul, WannaCry udnytter. Havde de bare installeret den, var de ikke blevet ramt.

It-sikkerheden i de danske regioner lader meget tilbage at ønske, vurderer eksperter på baggrund af en rundspørge, Information har foretaget blandt de danske regioner.
Læs også

Brugere af ældre versioner af Windows, som for eksempel det 16 år gamle XP, kan undskylde sig med, at Microsoft først efter angrebet udsendte en opdatering til dem. Men det er groft uagtsomt at bruge så forældet software, der er kendt for at være fyldt med sikkerhedsbrister.

Især for offentlige institutioner som hospitaler, der ligger inde med personfølsomme oplysninger om patienter, og hvor et it-nedbrud i yderste konsekvens kan koste liv.

Profit vs. samfundsansvar

For det andet bærer Microsoft en del af ansvaret. Firmaet lavede ifølge teknologimediet The Register allerede i februar en opdatering til ældre Windows-systemer som XP, men stillede den kun til rådighed for en lille kreds af brugere, der betaler Microsoft i dyre domme for fortsat at få opdateringer til den forældede software, og det selv om Microsoft må have vidst, at britiske hospitaler og andre XP-brugere uden en særaftale dermed ville være sårbare over for et angreb som WannaCry.

Microsoft kan forsvare sig med, at firmaet i årevis har advaret om risikoen ved fortsat at bruge XP. Og at deres forretningsmodel kan lide skade, hvis folk får indtryk af, at man fremover kan få den beskyttelse, andre betaler for, helt gratis.

Britain's National Health Service (NHS) blev ramt under weekendens hackerangreb. Det gik blandt andet ud over computersystemer, der koordinerer ambulancekørsel.

 

 
Læs også

Men når virkeligheden er, at millioner af computere stadig bruger styresystemet, og der i dette tilfælde er tale om et særligt alvorligt sikkerhedshul, burde Microsoft have sat samfundsansvar over profit og gjort en undtagelse.

At firmaet valgte at frigive opdateringen kort efter angrebet er selvfølgelig en formildende omstændighed – men det hjælper ikke de mange mennesker, der allerede er blevet ramt.

Digitalt våbenkapløb

For det tredje har Microsoft-præsident Brad Smith en pointe, når han problematiserer det digitale våbenkapløb. Det var efter alt at dømme den amerikanske efterretningstjeneste NSA, der oprindelig opdagede det sikkerhedshul, som bagmændene bag WannaCry udnyttede til at trænge ind i computere overalt i verden.

I stedet for at informere Microsoft om hullet, så det kunne blive lukket, valgte efterretningstjenesten at tie stille og udvikle et værktøj til at udnytte det. Dermed satte tjenesten hensynet til egne muligheder for spionage og cyberangreb over borgere i hele verdens it-sikkerhed.

Konsekvenserne kender vi. I august sidste år kom det frem, at det og andre af tjenestens værktøjer var blevet stjålet af en gruppe, der kalder sig The Shadow Brokers. Og efter forgæves at have forsøgt at bortauktionere tyvekosterne, gjorde gruppen det i april frit tilgængeligt på nettet.

Det var kun et spørgsmål om tid, før kriminelle ville forsøge at udnytte det.

Forsvarere af NSA fremhæver, at Microsoft blev informeret om sikkerhedshullet efter lækken (af hvem er uvist), og at brugere overalt i verden derfor havde mulighed for at beskytte sig mod angrebet.

Men faktum er, at hvis NSA havde kontaktet Microsoft, allerede da hullet blev opdaget, ville folk have haft langt bedre tid til at få opdateret. Og værktøjet til at udnytte det ville måske slet ikke være blevet stjålet i første omgang.

En sprække i alt

Der er altså tre primære forklaringer på, hvordan det kunne gå så galt. Derfor er der også tre ting, der kan gøres for at undgå noget lignende i fremtiden.

For det første skal der bedre styr på it-sikkerheden. Det handler dels om bevidsthed hos borgere, virksomheder og myndigheder, og det kan den massive omtale af WannaCry-angrebet forhåbentlig i sig selv føre til.

Det lykkedes for den 22-årige brite Marcus Hutchis at bremse angrebet fra ormen Wannacry ved at registrere et internetdomæne, der fungerer som en dødemandsknap for den.
Læs også

Men det handler også om, at vi må ændre vores syn på digitaliseringen. Ofte er den drevet frem af et ønske om effektiviseringer og besparelser. Det er ikke nødvendigvis en dårlig ting, men det betyder, at vi ofte ender med de billigst mulige løsninger – og ikke får prioriteret sikkerheden højt nok.

For det andet må der fra politisk hold stilles højere krav til softwareudviklere. Et sted at starte kunne være et krav til virksomheder som Microsoft om, at de i tilfælde af alvorlige sikkerhedshuller straks skal gøre opdateringen frit tilgængelig.

Og endelig er der, som Microsoft har påpeget, brug for klare spilleregler for efterretningstjenesterne. Det er også relevant i Danmark, hvor Forsvarets Efterretningstjeneste både har en enhed, der skal forsvare os mod cyberangreb, og en der skal udføre dem. De to interesser er, som WannaCry-angrebet illustrerer, svært forenelige.

Selv hvis efterretningstjenestens angrebsværktøjer ikke bliver stjålet, er der altid risikoen for, at it-kriminelle eller andre landes efterretningstjenester på egen hånd opdager samme sikkerhedshul. Derfor er der behov for en offentlig debat og en politisk beslutning om, hvordan det offensive og defensive skal vægtes over for hinanden.

Status quo er ikke holdbar. Vi står, for at parafrasere Leonard Cohen, i en situation, hvor der er en sprække i alting. Og det er ikke lyset, der trænger ind.

Bliv opdateret med nyt om disse emner på mail

Vores abonnenter kalder os kritiske, seriøse og troværdige.

Se om du er enig - første måned er gratis

Klik her

Er du abonnent? Log ind her

Anbefalinger

  • Brugerbillede for Niels Nielsen
    Niels Nielsen
  • Brugerbillede for ulrik mortensen
    ulrik mortensen
  • Brugerbillede for Jens Christoffersen
    Jens Christoffersen
  • Brugerbillede for Steffen Gliese
    Steffen Gliese
  • Brugerbillede for Eva Schwanenflügel
    Eva Schwanenflügel
Niels Nielsen, ulrik mortensen, Jens Christoffersen, Steffen Gliese og Eva Schwanenflügel anbefalede denne artikel

Kommentarer

Brugerbillede for Torben Lindegaard
Torben Lindegaard

@Lasse Skou Andersen

Du beskriver FET's defensive & offensive tjeneste i forbindelse med cyberangreb - og det er vel rimeligt at gå ud fra, at de øvrige landes efterretningstjenester er tilsvarende organiseret - så hvis den offensive afdeling opdage en sikkerhedsbrist, er der næsten 100% sikkerhed for, at samme sikkerhedsbrist allerede er eller snart vil blive opdaget af et andet lands efterretningstjeneste.

Så der burde være en fælles interesse i at få lappet alle sikkerhedshuller; men det bliver nok vanskeligt at få den offensive arm til at give oplysningerne videre, hvis de tror, at de er de eneste på planeten, der har fundet sikkerhedsbristen.

Der må lovgivning til.

Brugerbillede for Jens Mose Pedersen
Jens Mose Pedersen

"For det andet må der fra politisk hold stilles højere krav til softwareudviklere. Et sted at starte kunne være et krav til virksomheder som Microsoft om, at de i tilfælde af alvorlige sikkerhedshuller straks skal gøre opdateringen frit tilgængelig."

Det er måske ikke så simpelt endda. Jeg arbejder i en mindre virksomhed som leverer medicinsk udstyr. Inde i vores udstyr sidder er en Windows installation fra Microsoft.
Nu er udstyret godkendt med en bestemt version af Windows komponenten. Hvis nu hospitalet selv lægger en ny Windows version på er udstyret ikke længere godkendt. Måske vil det ikke virke korrekt længere. Kun firmaet som har solgt udstyret kan få det godkendt. Så når Microsoft leverer en ny version af Windows skal leverandøren få denne nye version godkendt. Det er ikke gratis. Hvem skal nu betale?
Det forudsætter en eller anden serviceaftale mellem sygehuset og leverandøren af udstyr, som sygehuset skal skaffe penge til. Det kan de måske ikke få.
Eller hvis levrandøren går ned, så står sygehuset med ydstyr ssom virker fint. Det er måske bare ikke sikkert at sætte det på nettet længere. Men det gør en eller anden måske en dag.
Situationen er slet ikke simpel med kun en skurk.
Jens Mose Pedersen